Neste documento, descrevemos como analisar os registros de auditoria do Cloud Logging usando consultas SQL padrão do BigQuery na página Análise de registros. Com as consultas SQL, é possível agregar e analisar os registros de auditoria, que fornecem informações sobre atividades administrativas e acessos aos recursos do Google Cloud.
Sobre os registros de auditoria
Há quatro tipos de registros de auditoria que podem ser gravados pelos serviços do Google Cloud:
Registros de auditoria de atividade do administrador: esses registros gravam chamadas de API ou outras ações que modificam a configuração ou os metadados de recursos. Esses registros são sempre gravados. Não é possível configurá-los, excluí-los ou desativá-los.
Registros de auditoria de acesso a dados: esses registros gravam chamadas de API que leem a configuração ou os metadados dos recursos, além das chamadas de API com base no usuário que criam, modificam ou leem dados de recursos inseridos pelo usuário. Como o acesso aos dados é uma operação de API frequente, esses registros são desativados por padrão (exceto para o BigQuery).
Registros de auditoria de eventos do sistema: contêm entradas de registro para ações do Google Cloud que modificam a configuração de recursos. Esses registros são gerados pelos sistemas do Google, não por ações do usuário. Não é possível configurar, excluir ou desativar os registros de auditoria de eventos do sistema.
Registros de auditoria de políticas negadas: são registrados quando um serviço do Google Cloud nega acesso a um usuário ou a uma conta de serviço devido a uma violação da política de segurança. Esses registros não podem ser desativados, mas é possível usar filtros de exclusão para impedir que eles sejam armazenados no Logging.
Para mais informações sobre registros de auditoria, consulte Visão geral dos registros de auditoria. Para uma lista de serviços integrados com registros de auditoria, consulte Serviços do Google Cloud com registros de auditoria.
Usar registros de auditoria para identificar violações da política ou atividades suspeitas
Você pode usar os registros de auditoria para identificar violações da política ou atividades suspeitas:
Para identificar um possível escalonamento de privilégios usando o Identity and Access Management (IAM) ou evasão de defesa desativando o Logging, use os registros de auditoria de atividade do administrador. Para ver um exemplo de consulta que identifica esse cenário, consulte Mudanças feitas nas configurações do Logging.
Para identificar possíveis usos indevidos de APIs ou dados hospedados em serviços como o Cloud Storage ou o BigQuery, use os registros de auditoria de acesso a dados. Para um exemplo de consulta que identifica esse cenário, consulte Identificar o alto uso da API por um principal.
Para identificar com que frequência os dados são acessados e por quais usuários, consulte todos os registros de auditoria. Para um exemplo de consulta que identifica esse cenário, acesse Determinar as ações mais comuns realizadas no último mês.
Antes de começar
Verifique se você tem um projeto, uma pasta ou uma organização do Google Cloud que gere registros de auditoria.
Verifique se você tem acesso a uma visualização no bucket de registros para onde os registros de auditoria são roteados. É preciso fazer upgrade do bucket de registros para usar a análise de registros. Para informações sobre como criar um bucket de registros com upgrade para usar a análise de registros, consulte Configurar buckets de registros.
-
Para ter as permissões necessárias para criar coletores e visualizar registros, peça ao administrador para conceder a você os seguintes papéis do IAM:
-
Gravador de configuração de registros (
roles/logging.configWriter
) no projeto -
Visualizador de registros (
roles/logging.viewer
) no projeto
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Talvez você também consiga receber as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.
Dependendo dos registros de auditoria que você quer visualizar, talvez sejam necessários papéis ou permissões separados. Para informações sobre como configurar papéis do IAM, consulte a documentação Controle de acesso com IAM do Logging.
-
Gravador de configuração de registros (
Para usar as consultas neste documento da página Análise de registros, faça o seguinte:
-
No painel de navegação do console do Google Cloud, selecione Logging e, em seguida, Análise de Registros:
Execute a consulta padrão para identificar o nome da tabela de uma visualização de registro:
Na lista Visualizações de registros, localize a visualização de registro e selecione Consulta. O painel Consulta é preenchido com uma consulta padrão, que inclui o nome da tabela consultada. O nome da tabela tem o formato
project_ID.region.bucket_ID.view_ID
.Para mais informações sobre como acessar a consulta padrão, acesse Consultar uma visualização de registro.
Substitua TABLE pelo nome da tabela que corresponde à visualização que você quer consultar e copie a consulta.
Cole a consulta no painel Consulta e clique em Executar consulta.
-
Amostras de consultas
Nesta seção, você verá exemplos de consultas SQL para consultar registros de auditoria.
Mudanças feitas nas configurações de registro
Para identificar quando os registros de auditoria estão desativados ou quando são feitas alterações nas configurações padrão do Logging, consulte os registros de auditoria de atividades do administrador:
SELECT
receive_timestamp, timestamp AS eventTimestamp,
proto_payload.audit_log.request_metadata.caller_ip,
proto_payload.audit_log.authentication_info.principal_email,
proto_payload.audit_log.resource_name,
proto_payload.audit_log.method_name
FROM
`TABLE`
WHERE
proto_payload.audit_log.service_name = "logging.googleapis.com"
AND log_id = "cloudaudit.googleapis.com/activity"
Determinar as ações mais comuns realizadas no último mês
Para identificar quais ações são as mais realizadas nos últimos 30 dias, consulte todos os registros de auditoria:
SELECT
proto_payload.audit_log.method_name,
proto_payload.audit_log.service_name,
resource.type,
COUNT(*) AS counter
FROM
`TABLE`
WHERE
timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 30 DAY)
AND log_id="cloudaudit.googleapis.com/data_access"
GROUP BY
proto_payload.audit_log.method_name,
proto_payload.audit_log.service_name,
resource.type
ORDER BY
counter DESC
LIMIT 100
A consulta anterior pesquisa todos os registros de auditoria nos últimos 30 dias e retorna
as 100 ações mais realizadas com informações sobre method_name
,
service_name
, tipo de recurso e um contador das ações realizadas.
Detectar papéis concedidos em uma conta de serviço
Para identificar a representação de uma conta de serviço ou de papéis concedidos a ela, consulte os registros de auditoria de atividade do administrador:
SELECT
timestamp,
proto_payload.audit_log.authentication_info.principal_email as grantor,
JSON_VALUE(bindingDelta.member) as grantee,
JSON_VALUE(bindingDelta.role) as role,
proto_payload.audit_log.resource_name,
proto_payload.audit_log.method_name
FROM
`TABLE`,
UNNEST(JSON_QUERY_ARRAY(proto_payload.audit_log.service_data.policyDelta.bindingDeltas)) AS bindingDelta
WHERE
timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 7 DAY)
AND log_id = "cloudaudit.googleapis.com/activity"
AND (
(resource.type = "service_account"
AND proto_payload.audit_log.method_name LIKE "google.iam.admin.%.SetIAMPolicy")
OR
(resource.type IN ("project", "folder", "organization")
AND proto_payload.audit_log.method_name = "SetIamPolicy"
AND JSON_VALUE(bindingDelta.role) LIKE "roles/iam.serviceAccount%")
)
AND JSON_VALUE(bindingDelta.action) = "ADD"
-- Principal (grantee) exclusions
AND JSON_VALUE(bindingDelta.member) NOT LIKE "%@example.com"
ORDER BY
timestamp DESC
A consulta anterior pesquisa registros de auditoria que capturam os papéis concedidos a um principal em uma conta de serviço. O papel de criador do token da conta de serviço permite que a
principal personifique a conta de serviço. A consulta também especifica um período dos últimos sete dias e exclui os beneficiários aprovados (%@example.com
).
Identifique o uso elevado da API por um principal
Para identificar um uso muito alto da API por um principal, consulte todos os registros de auditoria:
SELECT
*
FROM (
SELECT
*,
AVG(counter) OVER (
PARTITION BY principal_email
ORDER BY day
ROWS BETWEEN UNBOUNDED PRECEDING AND 1 PRECEDING) AS avg,
STDDEV(counter) OVER (
PARTITION BY principal_email
ORDER BY day
ROWS BETWEEN UNBOUNDED PRECEDING AND 1 PRECEDING) AS stddev,
COUNT(*) OVER (
PARTITION BY principal_email
RANGE BETWEEN UNBOUNDED PRECEDING AND UNBOUNDED FOLLOWING) AS numSamples
FROM (
SELECT
proto_payload.audit_log.authentication_info.principal_email,
EXTRACT(DATE FROM timestamp) AS day,
ARRAY_AGG(DISTINCT proto_payload.audit_log.method_name IGNORE NULLS) AS actions,
COUNT(*) AS counter
FROM `TABLE`
WHERE
timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 60 DAY)
AND proto_payload.audit_log.authentication_info.principal_email IS NOT NULL
AND proto_payload.audit_log.method_name NOT LIKE "storage.%.get"
AND proto_payload.audit_log.method_name NOT LIKE "v1.compute.%.list"
AND proto_payload.audit_log.method_name NOT LIKE "beta.compute.%.list"
GROUP BY
proto_payload.audit_log.authentication_info.principal_email,
day
)
)
WHERE
counter > avg + 3 * stddev
AND day >= DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY)
ORDER BY
counter DESC
Para o principal especificado, principal_email
, a consulta calcula o número médio de chamadas de API por dia e o desvio padrão dessas chamadas de API.
Quando o número médio de chamadas de API for maior que a média em execução mais três vezes o desvio padrão, a consulta exibirá as seguintes informações:
- Um contador das ações realizadas.
- A média calculada de ações realizadas por dia.
- As ações específicas que foram realizadas.
A seguir
Para uma visão geral da Análise de Registros, consulte Análise de Registros.
Para mais exemplos de consultas, confira Amostras de consultas SQL.
Confira mais exemplos de consultas usadas para gerar insights de segurança dos seus registros no repositório Análises de segurança da comunidade.
Para saber como ativar, agregar e analisar seus registros usando a Análise de registros, consulte Análise de registros de segurança no Google Cloud.