In diesem Dokument wird eine Reihe von Audit-Logging-Aufgaben empfohlen, die Unternehmen aufrechtzuerhalten und Risiken zu minimieren.
Bei diesem Dokument handelt es sich nicht um eine vollständige Liste von Empfehlungen. Stattdessen ist es das Ziel, um den Umfang der Audit-Logging-Aktivitäten zu verstehen und entsprechend anpassen.
In jedem Abschnitt werden wichtige Aktionen und weiterführende Links aufgeführt.
Informationen zu Cloud-Audit-Logs
Audit-Logs sind für die meisten Google Cloud-Dienste verfügbar. Cloud-Audit-Logs bieten die folgenden Arten von Audit-Logs für jede Google Cloud-Projekt, -Ordner und -Organisation:
| Audit-Logtyp | Konfigurierbar | Kann in Rechnung gestellt werden |
|---|---|---|
| Audit-Logs zur Administratoraktivität | Nein; immer geschrieben | Nein |
| Audit-Logs zum Datenzugriff | Ja | Ja |
| Audit-Logs zu Richtlinienverstößen | Ja; können Sie verhindern, dass diese Logs in Log-Buckets geschrieben werden, | Ja |
| Audit-Logs zu Systemereignissen | Nein; immer geschrieben | Nein |
Audit-Logs zum Datenzugriff sind – außer für BigQuery – standardmäßig deaktiviert. Wenn Audit-Logs zum Datenzugriff für Google Cloud geschrieben werden sollen müssen Sie sie explizit aktivieren. finden Sie unter Konfigurieren Sie Audit-Logs zum Datenzugriff dazu. Seite.
Informationen zur Gesamtlandschaft für Audit-Logging mit Google Cloud finden Sie unter Cloud-Audit-Logs.
Zugriff auf Logs steuern
Aufgrund der Vertraulichkeit von Audit-Logging-Daten ist es besonders wichtig, geeignete Zugriffssteuerungen für die Nutzer in Ihrer Organisation konfigurieren
Legen Sie je nach Compliance- und Nutzungsanforderungen die folgenden Zugriffssteuerungen fest: wie folgt:
- IAM-Berechtigungen festlegen
- Logansichten konfigurieren
- Zugriffssteuerungen auf Feldebene für Logeinträge festlegen
IAM-Berechtigungen festlegen
IAM-Berechtigungen und Rollen bestimmen, Zugriff auf Audit-Logs in der Logging API verwendet, Log-Explorer und die Google Cloud CLI Verwenden Sie IAM detaillierte Zugriffsrechte auf bestimmte Google Cloud-Buckets verhindern und unerwünschten Zugriff auf andere Ressourcen verhindern.
Welche berechtigungsbasierten Rollen Sie Ihren Nutzern gewähren, hängt von ihren für das Auditing in Ihrem Unternehmen. Zum Beispiel könnten Sie Ihrem CTO umfassende administrative Berechtigungen erteilen, während Ihr Entwicklerteam Mitglieder benötigen möglicherweise Berechtigungen zum Ansehen von Logs. Informationen dazu, welche Rollen die Sie den Nutzern Ihrer Organisation gewähren, finden Sie unter Rollen für das Audit-Logging konfigurieren
Wenden Sie beim Festlegen von IAM-Berechtigungen das Sicherheitsprinzip der Berechtigung haben, sodass Sie Nutzern nur den notwendigen Zugriff auf Ihre Ressourcen gewähren:
- Entfernen Sie alle nicht erforderlichen Nutzer.
- Gewähren Sie wichtigen Nutzern die richtigen und minimalen Berechtigungen.
Eine Anleitung zum Festlegen von IAM-Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten
Logansichten konfigurieren
Alle von Logging empfangenen Logs, einschließlich Audit-Logs, werden geschrieben in Speichercontainer namens Log-Buckets In den Logansichten können Sie festlegen, wer Zugriff auf die Logs in Ihren Log-Buckets.
Da Log-Buckets Logs aus mehreren Google Cloud-Projekten enthalten können, müssen Sie möglicherweise steuern, auf welche Google Cloud-Projekte verschiedene Nutzer Logs ansehen aus. Benutzerdefinierte Logansichten für einen detaillierteren Zugriff erstellen für diese Gruppen.
Eine Anleitung zum Erstellen und Verwalten von Logansichten finden Sie unter Logansichten für einen Log-Bucket konfigurieren
Zugriffssteuerungen auf Logfeldebene festlegen
Mit Zugriffssteuerungen auf Feldebene können Sie einzelne LogEntry-Felder für Nutzer ausblenden
eines Google Cloud-Projekts, mit dem Sie die Logs detaillierter kontrollieren können
Daten, auf die ein Nutzer zugreifen kann. Im Vergleich zu den Logansichten, in denen das
insgesamt LogEntry, werden auf Feldebene die einzelnen Felder der
LogEntry Beispielsweise können Sie personenbezogene Daten von externen Nutzern entfernen, z. B.
E-Mail-Adresse, die in der Nutzlast des Protokolleintrags enthalten ist,
die Nutzer des Unternehmens.
Eine Anleitung zum Konfigurieren der Zugriffssteuerung auf Feldebene finden Sie unter Zugriff auf Feldebene konfigurieren
Audit-Logs für den Datenzugriff konfigurieren
Prüfen Sie beim Aktivieren neuer Google Cloud-Dienste, ob sie aktiviert werden sollten. Audit-Logs zum Datenzugriff
Audit-Logs zum Datenzugriff helfen dem Google-Support beim Beheben von Problemen mit Ihrem Konto. Daher empfehlen wir, nach Möglichkeit Audit-Logs zum Datenzugriff zu aktivieren.
Um alle Audit-Logs für alle Dienste zu aktivieren, folgen Sie den Anleitung zum Aktualisieren der IAM-Richtlinie (Identity and Access Management) mit der Konfiguration, die im Audit-Richtlinie.
Nachdem Sie Ihre Datenzugriffsrichtlinie auf Organisationsebene definiert und Daten aktiviert haben Auf Audit-Logs zugreifen, mit einem Google Cloud-Testprojekt validieren die Konfiguration Ihrer Audit-Log-Sammlung, bevor Sie Entwickler- und Google Cloud-Produktionsprojekte in der Organisation.
Eine Anleitung zum Aktivieren von Audit-Logs zum Datenzugriff finden Sie unter Audit-Logs zum Datenzugriff aktivieren
Festlegen, wie Logs gespeichert werden
Sie können Aspekte der Buckets Ihrer Organisation konfigurieren und benutzerdefinierten Buckets, um Ihren Logspeicher zu zentralisieren oder zu unterteilen. Je nach Compliance- und Nutzungsanforderungen erfüllen, können Sie Ihre Logs wie folgt speichern:
- Wählen Sie aus, wo Ihre Logs gespeichert werden sollen.
- Definieren Sie die Aufbewahrungsdauer für Daten.
- Schützen Sie Ihre Logs mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs).
Speicherort der Logs auswählen
Logging-Buckets sind regionale Ressourcen: die Infrastruktur zum Speichern, Indexieren und Suchen Ihrer Logs an einem geografischer Standort.
Ihre Organisation muss Logdaten möglicherweise in bestimmten Regionen speichern. Einer der primären Hauptfaktoren bei der Auswahl der Region, in der Logs gespeichert werden, ist die Erfüllung der Anforderungen Ihres Unternehmens in Bezug auf Latenz, Verfügbarkeit oder Compliance.
Um eine bestimmte Speicherregion automatisch auf die neue
_Default und _Required Buckets, die in Ihrer Organisation erstellt wurden, können Sie
Standardressourcenstandort konfigurieren.
Anweisungen zum Konfigurieren von Standardressourcenstandorten finden Sie unter Standardeinstellungen für Organisationen konfigurieren
Aufbewahrungsdauer für Daten festlegen
Cloud Logging speichert Logs gemäß den Aufbewahrungsregeln für den Log-Bucket-Typ, in dem die Logs gespeichert sind.
Konfigurieren Sie Cloud Logging so, dass Logs zwischen folgenden Ereignissen aufbewahrt werden, um Ihre Complianceanforderungen zu erfüllen. 1 Tag und 3.650 Tage. Benutzerdefinierte Aufbewahrungsregeln gelten für alle Logs in einem Bucket, unabhängig vom Logtyp oder davon, ob dieses Log von einem anderen Speicherort kopiert wurde.
Eine Anleitung zum Festlegen von Aufbewahrungsregeln für einen Log-Bucket finden Sie unter Benutzerdefinierte Aufbewahrung konfigurieren
Audit-Logs mit vom Kunden verwalteten Verschlüsselungsschlüsseln schützen
Cloud Logging verschlüsselt inaktive Kundendaten standardmäßig. Ihr haben möglicherweise erweiterte Verschlüsselungsanforderungen, die standardmäßig die Verschlüsselung ruhender Daten nicht bietet. Um die Anforderungen Ihrer Organisation zu erfüllen, anstatt dass Google die Schlüsselverschlüsselungsschlüssel verwaltet, die Ihre Daten schützen. Kundenverwaltete Verschlüsselungsschlüssel (CMEKs) konfigurieren, um Ihre eigenen zu steuern und zu verwalten Verschlüsselung.
Eine Anleitung zum Konfigurieren eines CMEK finden Sie unter CMEK für den Logspeicher konfigurieren
Preise
In Cloud Logging fallen keine Kosten für das Weiterleiten von Logs an einen
unterstütztes Ziel; Am Ziel fallen jedoch möglicherweise Gebühren an.
Mit Ausnahme des Log-Buckets _Required
Cloud Logging berechnet Gebühren für das Streamen von Logs in Log-Buckets und
die länger als die standardmäßige Aufbewahrungsdauer des Log-Buckets ist.
Cloud Logging ist kostenlos für das Kopieren von Logs oder für Abfragen, die über die Log-Explorer oder über die Seite Loganalysen aufrufen.
Weitere Informationen finden Sie in folgenden Dokumenten:
- Übersicht der Cloud Logging-Preise
Zielkosten:
- Gebühren für die Erzeugung von VPC-Flusslogs werden angewendet, wenn Sie Ihre Virtual Private Cloud-Flusslogs senden und dann von Cloud Logging ausschließen.
Für die Konfiguration und Verwendung Ihrer Audit-Logs empfehlen wir Folgendes: Best Practices hinsichtlich der Preisgestaltung:
Sehen Sie sich Ihre Nutzung an und berechnen Sie Ihre Rechnungen und konfigurieren Benachrichtigungsrichtlinien.
Beachten Sie, dass Audit-Logs zum Datenzugriff umfangreich sein können zusätzliche Speicherkosten.
Verwalten Sie Ihre Kosten, indem Sie nicht nützliche Audit-Logs ausschließen. Sie können beispielsweise Audit-Logs zum Datenzugriff in von Entwicklungsprojekten.
Audit-Logs abfragen und ansehen
Wenn Sie Fehler beheben müssen, ist ein schnelles Aufrufen von Logs erforderlich. Log-Explorer in der Google Cloud Console verwenden So rufen Sie die Audit-Logeinträge für Ihre Organisation ab:
-
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Wählen Sie Ihre Organisation aus.
Führen Sie im Bereich Abfrage die folgenden Schritte aus:
Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.
Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:
- Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
- Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
- Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.
- Wählen Sie für Audit-Logs zu Richtlinienverstößen die Option policy aus.
Wenn Sie diese Optionen nicht sehen, gibt es dafür keine Audit-Logs der in der Organisation verfügbar ist.
Geben Sie im Abfrageeditor die gewünschten Audit-Logeinträge an zu sehen. Beispiele für häufige Abfragen finden Sie unter Beispielabfragen mit dem Log-Explorer
Klicken Sie auf Abfrage ausführen.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.
Audit-Logs überwachen
Sie können sich mit Cloud Monitoring benachrichtigen lassen, wenn von Ihnen beschriebene Bedingungen auftreten. So stellen Sie Cloud Monitoring Daten aus Ihren Logs bereit: Mit Logging können Sie logbasierte Benachrichtigungsrichtlinien, Dadurch werden Sie immer informiert, wenn ein bestimmtes Ereignis in einem Protokoll erscheint.
Konfigurieren Sie Benachrichtigungsrichtlinien, um zwischen Ereignissen zu unterscheiden, die sofortige und Ereignisse mit niedriger Priorität. Wenn Sie zum Beispiel wissen möchten, in einem Audit-Log eine bestimmte Datenzugriffsnachricht aufzeichnet, logbasierte Benachrichtigungsrichtlinie zu erstellen, die der Nachricht entspricht und Sie benachrichtigt, angezeigt.
Eine Anleitung zum Konfigurieren logbasierter Benachrichtigungsrichtlinien finden Sie unter Logbasierte Benachrichtigungsrichtlinien verwalten
Logs an unterstützte Ziele weiterleiten
Ihre Organisation muss möglicherweise bestimmte Anforderungen erfüllen, um eine Prüfung zu erstellen und beizubehalten Logs. Mithilfe von Senken können Sie einige oder alle Logs an diese unterstützten Ziele senden:
- Cloud Storage
- Pub/Sub einschließlich Dritten wie Splunk
- BigQuery
- Einen weiteren Cloud Logging-Bucket
Ermitteln Sie, ob Sie Senken auf Ordner- oder Organisationsebene benötigen. Logs von allen Google Cloud-Projekten innerhalb der Organisation weiterleiten oder mithilfe von aggregierten Senken erstellen. Für können Sie sich beispielsweise die folgenden Anwendungsfälle für das Routing ansehen:
Senke auf Organisationsebene: Wenn Ihre Organisation ein SIEM zur Verwaltung mehrere Audit-Logs vorhanden sind, sollten Sie alle Audit-Logs. Daher ist eine Senke auf Organisationsebene sinnvoll.
Senke auf Ordnerebene: Manchmal soll nur eine Abteilung an eine bestimmte Abteilung weitergeleitet werden. Audit-Logs. Wenn Sie z. B. die Kategorie „Finanzen“ haben, Ordner und ein „IT“ ist es möglicherweise sinnvoll, nur die Audit-Logs weiterzuleiten. zum Bereich „Finanzen“ oder umgekehrt.
Weitere Informationen zu Ordnern und Organisationen finden Sie unter Ressourcenhierarchie:
Wenden Sie dieselben Zugriffsrichtlinien auf das Google Cloud-Ziel an, zum Weiterleiten von Logs, die Sie auf den Log-Explorer angewendet haben.
Eine Anleitung zum Erstellen und Verwalten aggregierter Senken finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten
Datenformat in Senkenzielen verstehen
Wenn Sie Audit-Logs an Ziele außerhalb von Cloud Logging weiterleiten, das Format der gesendeten Daten zu verstehen.
Wenn Sie z. B. Logs an BigQuery weiterleiten, wendet Regeln zum Kürzen von BigQuery-Schemafeldnamen für Audit-Logs und für bestimmte Felder für strukturierte Nutzlasten.
Damit Sie Logeinträge verstehen und finden, von denen Sie weitergeleitet haben Cloud Logging zu unterstützten Zielen finden Sie unter Logs in Senkenzielen ansehen
Logeinträge kopieren
Je nach den Compliance-Anforderungen Ihrer Organisation müssen Sie Audit-Logeinträge mit Auditoren außerhalb von Logging Bei Bedarf zum Freigeben von Logeinträgen, die bereits in Cloud Logging-Buckets gespeichert sind, Sie können sie manuell in Cloud Storage-Buckets kopieren.
Wenn Sie Logeinträge nach Cloud Storage kopieren, bleiben die Logeinträge auch in dem Log-Bucket erhalten, aus dem sie kopiert wurden
Durch Kopiervorgänge werden keine die alle eingehenden Logeinträge automatisch an eine vorab ausgewählte unterstütztes Speicherziel, einschließlich Cloud Storage
Eine Anleitung zum rückwirkenden Routing von Logs an Cloud Storage finden Sie hier: Siehe Logeinträge kopieren.