Raccogliere Cloud Audit Logs

Questo documento descrive come esportare Cloud Audit Logs attivando l'importazione della telemetria in Google Security Operations e come i campi di Cloud Audit Logs vengono mappati ai campi del modello di dati unificato (UDM) di Google Security Operations. Google Cloud

Per saperne di più, consulta la Panoramica sull'importazione dei dati in Google Security Operations.

Un deployment tipico è costituito da Cloud Audit Logs abilitato per l'importazione in Google Security Operations. Ogni implementazione del cliente potrebbe differire da questa rappresentazione e potrebbe essere più complessa.

Il deployment contiene i seguenti componenti:

• Google Cloud: i Google Cloud servizi e prodotti da cui raccogli i log

• Audit log di Cloud: gli audit log di Cloud abilitati per l'importazione in Google Security Operations

• Audit log di Google Workspace: gli audit log di Google Workspace abilitati per l'importazione in Google Security Operations

• Google Security Operations: conserva e analizza Cloud Audit Logs e i log di controllo di Google Workspace

Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione GCP_CLOUDAUDIT.

Prima di iniziare

• Assicurati di aver configurato un Google Cloud.

• Assicurati di aver configurato controllo dell'accesso per la tua organizzazione e le tue risorse utilizzando Identity and Access Management (IAM). Per saperne di più sul controllo dell'accesso dell'accesso, consulta Controllo dell'accesso per le organizzazioni con IAM.

• Configura gli audit log di accesso ai dati per le tue risorse e i tuoi servizi Google Cloud .

• Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.

• Verifica i tipi di log supportati dal parser Cloud Audit Logs. La seguente tabella elenca le origini e i tipi di log supportati dal parser Cloud Audit Logs:

Origini log	Tipo di origine log
Cloud DNS	N/D
syslog	N/D
Audit log di Google Workspace	Controllo accessi
Audit log di Google Workspace	Controllo amministratori
Cloud Audit Logs	Attività di amministrazione
Cloud Audit Logs	Audit dei controlli di servizio VPC
Cloud Audit Logs	Accesso ai dati di Google Kubernetes Engine
Cloud Audit Logs	Accesso ai dati di Resource Manager
Cloud Audit Logs	Accesso ai dati dei metadati di controllo BigQuery
Cloud Audit Logs	Accesso ai dati MySQL, attività di amministrazione
Cloud Audit Logs	Accesso ai dati PostgreSQL, attività di amministrazione
Cloud Audit Logs	Accesso ai dati di SQL Server, attività amministrativa
Cloud Load Balancing	Bilanciatore del carico HTTP Cloud
Cloud DNS	Attività di amministrazione
Flusso Virtual Private Cloud	Flusso Virtual Private Cloud
Regole firewall	Regole firewall
Cloud NAT	Cloud NAT

Configura l'importazione di Cloud Audit Logs

Per importare Cloud Audit Logs in Google Security Operations, segui i passaggi descritti nella pagina Importa Google Cloud i log in Google Security Operations.

Se riscontri problemi durante l'importazione di Cloud Audit Logs, contatta l'assistenza Google Security Operations.

Formati dei log di Cloud Audit Logs supportati

Il parser Cloud Audit Logs supporta i log in formato JSON.

Log di esempio di Cloud Audit Logs supportati

• JSON:

  {
    "protoPayload": {
      "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
      "authenticationInfo": {
        "principalEmail": "dummyuser@mail.com"
      },
      "requestMetadata": {
        "callerIp": "198.51.10.0",
        "callerSuppliedUserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36,gzip(gfe),gzip(gfe)",
        "requestAttributes": {
          "time": "2025-02-26T16:35:37.410328Z",
          "auth": {}
        },
        "destinationAttributes": {}
      },
      "serviceName": "compute.googleapis.com",
      "methodName": "beta.compute.securityPolicies.patchRule",
      "authorizationInfo": [
        {
          "resource": "projects/icd-gcp-prod-net-landing-0/global/securityPolicies/hashtag-ext",
          "permission": "compute.securityPolicies.update",
          "granted": true,
          "resourceAttributes": {
            "service": "compute",
            "name": "projects/icd-gcp-prod-net-landing-0/global/securityPolicies/hashtag-ext",
            "type": "compute.securityPolicies"
          },
          "permissionType": "ADMIN_WRITE"
        }
      ],
      "resourceName": "projects/icd-gcp-prod-net-landing-0/global/securityPolicies/hashtag-ext",
      "request": {
        "description": "SQL injection",
        "priority": "10100",
        "match": {
          "expr": {
            "expression": "evaluatePreconfiguredExpr(\\u0027sqli-v33-stable\\u0027)"
          }
        },
        "action": "deny(403)",
        "preview": false,
        "validateOnly": true,
        "@type": "type.googleapis.com/compute.securityPolicies.patchRule"
      },
      "response": {
        "id": "4332115325946625078",
        "name": "operation-1740587736928-62f0e29c291e2-b0056719-3023c13f",
        "operationType": "PatchRule",
        "targetLink": "https://www.googleapis.com/compute/beta/projects/icd-gcp-prod-net-landing-0/global/securityPolicies/hashtag-ext",
        "targetId": "6935975992577010740",
        "status": "DONE",
        "user": "dummyuser@domain.com",
        "progress": "100",
        "insertTime": "2025-02-26T08:35:37.278-08:00",
        "startTime": "2025-02-26T08:35:37.279-08:00",
        "endTime": "2025-02-26T08:35:37.279-08:00",
        "selfLink": "https://www.googleapis.com/compute/beta/projects/icd-gcp-prod-net-landing-0/global/operations/operation-1740587736928-62f0e29c291e2-b0056719-3023c13f",
        "selfLinkWithId": "https://www.googleapis.com/compute/beta/projects/icd-gcp-prod-net-landing-0/global/operations/4332115325946625078",
        "@type": "type.googleapis.com/operation"
      },
      "resourceLocation": {
        "currentLocations": [
          "global"
        ]
      }
    },
    "insertId": "-5srtt8e1oe7o",
    "resource": {
      "type": "network_security_policy",
      "labels": {
        "policy_name": "hashtag-ext",
        "project_id": "icd-gcp-prod-net-landing-0",
        "location": "global"
      }
    },
    "timestamp": "2025-02-26T16:35:36.961863Z",
    "severity": "NOTICE",
    "labels": {
      "compute.googleapis.com/root_trigger_id": "f0fe0460-63df-4978-8256-e70ce093effa"
    },
    "logName": "projects/icd-gcp-prod-net-landing-0/logs/cloudaudit.googleapis.com%2Factivity",
    "operation": {
      "id": "operation-1740587736928-62f0e29c291e2-b0056719-3023c13f",
      "producer": "compute.googleapis.com",
      "first": true,
      "last": true
    },
    "receiveTimestamp": "2025-02-26T16:35:38.342438110Z"
  }
  

Riferimento alla mappatura dei campi

Questa sezione spiega come il parser di Google Security Operations mappa i campi di Cloud Audit Logs ai campi del modello UDM (Unified Data Model) di Google Security Operations.

Tipi di log GCP_CLOUDAUDIT al tipo di evento UDM

La tabella seguente elenca gli identificatori di eventi GCP_CLOUDAUDIT e i relativi tipi di eventi.

Riferimento della mappatura dei campi: GCP_CLOUDAUDIT

La tabella seguente elenca i campi di log del tipo di log GCP_CLOUDAUDIT e i relativi campi UDM corrispondenti.

Passaggi successivi

• Importazione dei dati in Google Security Operations

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.