In diesem Dokument wird eine Abfolge von Audit-Logging-Aufgaben empfohlen, mit denen Sie in Ihrer Organisation für Sicherheit sorgen und Risiken minimieren können.
Dieses Dokument ist nicht als abschließende Liste von Empfehlungen zu betrachten. Er soll Ihnen stattdessen einen Überblick über den Umfang der Audit-Log-Aktivitäten bieten, damit Sie entsprechend planen können.
In jedem Abschnitt werden wichtige Aktionen und weiterführende Links aufgeführt.
Cloud-Audit-Logs
Audit-Logs sind für die meisten Google Cloud-Dienste verfügbar. Cloud-Audit-Logs stellt für jedes Google Cloud-Projekt, jeden Ordner und jede Organisation die folgenden Arten von Audit-Logs bereit:
| Audit-Logtyp | Konfigurierbar | Kann in Rechnung gestellt werden |
|---|---|---|
| Audit-Logs zur Administratoraktivität | Nein, immer geschrieben | Nein |
| Audit-Logs zum Datenzugriff | Ja | Ja |
| Audit-Logs zu Richtlinienverstößen | Ja. Sie können festlegen, dass diese Logs nicht in Log-Buckets geschrieben werden. | Ja |
| Audit-Logs zu Systemereignissen | No; immer geschrieben | Nein |
Audit-Logs zum Datenzugriff sind – außer für BigQuery – standardmäßig deaktiviert. Wenn Audit-Logs zum Datenzugriff für Google Cloud geschrieben werden sollen müssen Sie sie explizit aktivieren. Weitere Informationen finden Sie unter Konfigurieren Sie Audit-Logs zum Datenzugriff dazu. Seite.
Informationen zur Gesamtlandschaft für Audit-Logging mit Google Cloud finden Sie unter Cloud-Audit-Logs.
Zugriff auf Logs steuern
Aufgrund der Sensibilität von Daten aus Audit-Logs ist es besonders wichtig, die entsprechenden Zugriffssteuerungen für die Nutzer Ihrer Organisation zu konfigurieren.
Legen Sie je nach Compliance- und Nutzungsanforderungen die folgenden Zugriffssteuerungen fest: wie folgt:
- IAM-Berechtigungen festlegen
- Logansichten konfigurieren
- Zugriffssteuerungen auf Feldebene für Logeinträge festlegen
IAM-Berechtigungen festlegen
IAM-Berechtigungen und -Rollen bestimmen die Fähigkeit von Nutzern, auf Audit-Logdaten in der Logging API, dem Log-Explorer und der Google Cloud CLI zuzugreifen. Mit IAM können Sie detaillierte Zugriffsberechtigungen auf bestimmte Google Cloud-Buckets gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern.
Die rollenbasierten Berechtigungen, die Sie Ihren Nutzern gewähren, hängen von ihren prüfungsbezogenen Funktionen in Ihrer Organisation ab. Zum Beispiel könnten Sie Ihrem CTO umfassende administrative Berechtigungen erteilen, während Ihr Entwicklerteam Mitglieder benötigen möglicherweise Berechtigungen zum Ansehen von Logs. Informationen dazu, welche Rollen Sie den Nutzern Ihrer Organisation zuweisen sollten, finden Sie unter Rollen für das Audit-Logging konfigurieren.
Wenn Sie IAM-Berechtigungen festlegen, wenden Sie das Sicherheitsprinzip der geringsten Berechtigung an, um Nutzern nur den erforderlichen Zugriff auf Ihre Ressourcen zu gewähren:
- Entfernen Sie alle nicht erforderlichen Nutzer.
- Gewähren Sie wichtigen Nutzern die richtigen und minimalen Berechtigungen.
Eine Anleitung zum Festlegen von IAM-Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Logansichten konfigurieren
Alle von Logging empfangenen Logs, einschließlich Audit-Logs, werden geschrieben in Speichercontainer namens Log-Buckets Mit Logansichten können Sie steuern, wer Zugriff auf die Logs in Ihren Log-Buckets hat.
Da Log-Buckets Logs aus mehreren Google Cloud-Projekten enthalten können, müssen Sie möglicherweise steuern, auf welche Google Cloud-Projekte verschiedene Nutzer Logs ansehen aus. Benutzerdefinierte Logansichten für einen detaillierteren Zugriff erstellen für diese Gruppen.
Eine Anleitung zum Erstellen und Verwalten von Logansichten finden Sie unter Logansichten für einen Log-Bucket konfigurieren
Zugriffssteuerung auf Feldebene für Protokolle festlegen
Mit den Zugriffssteuerungen auf Feldebene können Sie einzelne LogEntry-Felder für Nutzer eines Google Cloud-Projekts ausblenden, sodass Sie eine detailliertere Möglichkeit zum Festlegen der Logdaten haben, auf die ein Nutzer zugreifen kann. Im Vergleich zu Logansichten, in denen der gesamte LogEntry ausgeblendet wird, sind bei Zugriffssteuerungen auf Feldebene einzelne Felder des LogEntry ausgeblendet. So können Sie beispielsweise personenidentifizierbare Informationen externer Nutzer, z. B. eine E-Mail-Adresse in der Payload des Logeintrags, für die Mehrheit der Nutzer Ihrer Organisation entfernen.
Eine Anleitung zum Konfigurieren der Zugriffssteuerung auf Feldebene finden Sie unter Zugriff auf Feldebene konfigurieren
Audit-Logs für den Datenzugriff konfigurieren
Wenn Sie neue Google Cloud-Dienste aktivieren, sollten Sie prüfen, ob Audit-Logs für den Datenzugriff aktiviert werden sollen.
Audit-Logs zum Datenzugriff helfen dem Google-Support beim Beheben von Problemen mit Ihrem Konto. Daher empfehlen wir, nach Möglichkeit Audit-Logs zum Datenzugriff zu aktivieren.
Wenn Sie alle Audit-Logs für alle Dienste aktivieren möchten, folgen Sie der Anleitung zum Aktualisieren der IAM-Richtlinie mit der in der Audit-Richtlinie aufgeführten Konfiguration.
Nachdem Sie Ihre Datenzugriffsrichtlinie auf Organisationsebene definiert und Daten aktiviert haben Auf Audit-Logs zugreifen, mit einem Google Cloud-Testprojekt validieren Konfiguration Ihrer Audit-Log-Sammlung, bevor Sie Entwickler- und Google Cloud-Produktionsprojekte in der Organisation.
Eine Anleitung zum Aktivieren von Audit-Logs zum Datenzugriff finden Sie unter Audit-Logs zum Datenzugriff aktivieren.
Speicherort von Protokollen festlegen
Sie können Aspekte der Buckets Ihrer Organisation konfigurieren und benutzerdefinierte Buckets erstellen, um Ihren Logspeicher zu zentralisieren oder zu unterteilen. Je nach Ihren Compliance- und Nutzungsanforderungen können Sie den Speicherort für Protokolle so anpassen:
- Wählen Sie aus, wo Ihre Logs gespeichert werden sollen.
- Legen Sie die Aufbewahrungsdauer für Daten fest.
- Schützen Sie Ihre Logs mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs).
Speicherort der Logs auswählen
In Logging sind Buckets regionale Ressourcen: die Infrastruktur, in der Ihre Logs gespeichert, indexiert und durchsucht werden, befindet sich an einem bestimmten geografischen Standort.
Ihre Organisation muss Logdaten möglicherweise in bestimmten Regionen speichern. Einer der primären Hauptfaktoren bei der Auswahl der Region, in der Logs gespeichert werden, ist die Erfüllung der Anforderungen Ihres Unternehmens in Bezug auf Latenz, Verfügbarkeit oder Compliance.
Um eine bestimmte Speicherregion automatisch auf die neue
_Default und _Required Buckets, die in Ihrer Organisation erstellt wurden, können Sie
Standardressourcenstandort konfigurieren.
Eine Anleitung zum Konfigurieren von Standardressourcenstandorten finden Sie unter Standardeinstellungen für Organisationen konfigurieren.
Aufbewahrungsdauer für Daten festlegen
Cloud Logging speichert Logs gemäß den Aufbewahrungsregeln für den Log-Bucket-Typ, in dem die Logs gespeichert sind.
Konfigurieren Sie Cloud Logging so, dass Logs zwischen folgenden Ereignissen aufbewahrt werden, um Ihre Complianceanforderungen zu erfüllen. 1 Tag und 3.650 Tage. Benutzerdefinierte Aufbewahrungsregeln gelten für alle Logs in einem Bucket, unabhängig vom Logtyp oder davon, ob dieses Log von einem anderen Speicherort kopiert wurde.
Eine Anleitung zum Festlegen von Aufbewahrungsregeln für einen Log-Bucket finden Sie unter Benutzerdefinierte Aufbewahrung konfigurieren.
Prüfprotokolle mit vom Kunden verwalteten Verschlüsselungsschlüsseln schützen
Cloud Logging verschlüsselt inaktive Kundendaten standardmäßig. Ihr haben möglicherweise erweiterte Verschlüsselungsanforderungen, die standardmäßig die Verschlüsselung ruhender Daten nicht bietet. Um die Anforderungen Ihrer Organisation zu erfüllen, anstatt dass Google die Schlüsselverschlüsselungsschlüssel verwaltet, die Ihre Daten schützen. Kundenverwaltete Verschlüsselungsschlüssel (CMEKs) konfigurieren, um Ihre eigenen zu steuern und zu verwalten Verschlüsselung.
Eine Anleitung zum Konfigurieren von CMEK finden Sie unter CMEK für die Protokollspeicherung konfigurieren.
Preise
In Cloud Logging fallen keine Kosten für das Weiterleiten von Logs an einen
unterstütztes Ziel; Am Ziel fallen jedoch möglicherweise Gebühren an.
Mit Ausnahme des Log-Buckets _Required
Cloud Logging berechnet Gebühren für das Streamen von Logs in Log-Buckets und
die länger als die standardmäßige Aufbewahrungsdauer des Log-Buckets ist.
Cloud Logging ist für das Kopieren von Logs kostenlos. zum Definieren von Logbereichen verwendet oder für Suchanfragen, die über das Seiten Log-Explorer oder Loganalysen
Weitere Informationen finden Sie in folgenden Dokumenten:
- Preisübersicht für Cloud Logging
Zielkosten:
- Gebühren für die Erzeugung von VPC-Flusslogs werden berechnet, wenn Sie Ihre Virtual Private Cloud-Flusslogs senden und dann von Cloud Logging ausschließen.
Für die Konfiguration und Verwendung Ihrer Audit-Logs empfehlen wir Folgendes: Best Practices hinsichtlich der Preisgestaltung:
Rechnungen schätzen, indem Sie Ihre Nutzungsdaten aufrufen und Benachrichtigungsrichtlinien konfigurieren.
Beachten Sie, dass Audit-Logs zum Datenzugriff umfangreich sein können zusätzliche Speicherkosten.
Sie können Ihre Kosten senken, indem Sie nicht benötigte Prüfprotokolle ausschließen. Beispielsweise können Sie Audit-Logs zum Datenzugriff in Entwicklungsprojekten ausschließen.
Audit-Logs abfragen und aufrufen
Wenn Sie Fehler beheben müssen, ist ein schnelles Aufrufen von Logs erforderlich. Rufen Sie in der Google Cloud Console mit dem Log-Explorer die Audit-Logeinträge für Ihre Organisation ab:
-
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Wählen Sie Ihre Organisation aus.
Führen Sie im Bereich Abfrage die folgenden Schritte aus:
Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.
Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:
- Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
- Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
- Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.
- Wählen Sie für Audit-Logs zu Richtlinienverstößen die Option policy aus.
Wenn diese Optionen nicht angezeigt werden, sind in der Organisation keine Audit-Logs dieses Typs verfügbar.
Geben Sie im Abfrageeditor die gewünschten Audit-Logeinträge an zu sehen. Beispiele für häufige Abfragen finden Sie unter Beispielabfragen mit dem Log-Explorer
Klicken Sie auf Abfrage ausführen.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.
Audit-Logs überwachen
Sie können sich mit Cloud Monitoring benachrichtigen lassen, wenn von Ihnen beschriebene Bedingungen auftreten. Um Cloud Monitoring Daten aus Ihren Logs bereitzustellen, können Sie mit Logging logbasierte Benachrichtigungsrichtlinien erstellen, die Sie benachrichtigen, sobald ein bestimmtes Ereignis in einem Log auftaucht.
Konfigurieren Sie Benachrichtigungsrichtlinien, um zwischen Ereignissen zu unterscheiden, die sofortige und Ereignisse mit niedriger Priorität. Wenn Sie beispielsweise wissen möchten, wann in einem Audit-Log eine bestimmte Nachricht zum Datenzugriff aufgezeichnet wird, können Sie eine logbasierte Benachrichtigungsrichtlinie erstellen, die mit der Nachricht übereinstimmt und Sie benachrichtigt, wenn die Nachricht angezeigt wird.
Eine Anleitung zum Konfigurieren von logbasierten Benachrichtigungsrichtlinien finden Sie unter Logbasierte Benachrichtigungsrichtlinien verwalten.
Logs an unterstützte Ziele weiterleiten
Ihre Organisation muss möglicherweise Anforderungen zum Erstellen und Speichern von Prüfprotokollen erfüllen. Mithilfe von Senken können Sie einige oder alle Logs an diese unterstützten Ziele weiterleiten:
- Cloud Storage
- Pub/Sub, einschließlich Drittanbietern wie Splunk
- BigQuery
- Ein weiterer Cloud Logging-Bucket
Ermitteln Sie, ob Sie Senken auf Ordner- oder Organisationsebene benötigen. Logs von allen Google Cloud-Projekten innerhalb der Organisation weiterleiten oder mithilfe von aggregierten Senken erstellen. Für können Sie sich folgende Anwendungsfälle für das Routing ansehen:
Senke auf Organisationsebene: Wenn Ihre Organisation mehrere Audit-Logs mit einem SIEM verwaltet, sollten Sie alle Audit-Logs Ihrer Organisation weiterleiten. Daher ist eine Senke auf Organisationsebene sinnvoll.
Auf Ordnerebene: Manchmal möchten Sie nur Audit-Logs für Abteilungen weiterleiten. Wenn Sie beispielsweise einen Ordner „Finanzen“ und einen Ordner „IT“ haben, ist es eventuell sinnvoll, nur die Audit-Logs zu leiten, die zum Ordner „Finanzen“ gehören, und umgekehrt.
Weitere Informationen zu Ordnern und Organisationen finden Sie unter Ressourcenhierarchie:
Wenden Sie dieselben Zugriffsrichtlinien auf das Google Cloud-Ziel an, zum Weiterleiten von Logs, die Sie auf den Log-Explorer angewendet haben.
Eine Anleitung zum Erstellen und Verwalten aggregierter Senken finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.
Datenformat in Senkenzielen verstehen
Wenn Sie Audit-Logs an Ziele außerhalb von Cloud Logging weiterleiten, das Format der gesendeten Daten zu verstehen.
Wenn Sie Logs z. B. an BigQuery weiterleiten, wendet Regeln zum Kürzen von BigQuery-Schemafeldnamen für Audit-Logs und für bestimmte Felder für strukturierte Nutzlasten.
Informationen zu Logeinträgen, die Sie von Cloud Logging an unterstützte Ziele weitergeleitet haben, finden Sie unter Logs an Senkenzielen ansehen.
Logeinträge kopieren
Je nach den Complianceanforderungen Ihrer Organisation müssen Sie möglicherweise Prüfprotokolleinträge für Prüfer außerhalb von Logging freigeben. Wenn Sie Logeinträge freigeben möchten, die bereits in Cloud Logging-Buckets gespeichert sind, können Sie sie manuell in Cloud Storage-Buckets kopieren.
Wenn Sie Logeinträge nach Cloud Storage kopieren, bleiben die Logeinträge auch in dem Log-Bucket erhalten, aus dem sie kopiert wurden
Beachten Sie, dass Kopiervorgänge keine Senken ersetzen, die automatisch alle eingehenden Logeinträge an ein vorab ausgewähltes Speicherziel senden, einschließlich Cloud Storage.
Eine Anleitung zum rückwirkenden Routing von Logs an Cloud Storage finden Sie hier: Siehe Logeinträge kopieren.