Informationen zum Audit-Logging von Google SecOps
Google Cloud -Dienste schreiben Audit-Logs, damit Sie für Ihre Google Cloud -Ressourcen herausfinden können, wer was wo und wann getan hat. Auf dieser Seite werden die Audit-Logs beschrieben, die von Google Security Operations erstellt und als Cloud-Audit-Logs geschrieben werden.
Eine allgemeine Übersicht über Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logs. Detaillierte Informationen zum Format von Audit-Logs finden Sie unter Audit-Logs verstehen.
Verfügbare Audit-Logs
Der Name des Audit-Log-Dienstes und die geprüften Vorgänge hängen davon ab, für welches Vorabprogramm Sie sich registriert haben. Für Google SecOps-Audit-Logs wird einer der folgenden Dienstnamen verwendet:
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
Für Audit-Vorgänge wird der Ressourcentyp audited_resource für alle geschriebenen Audit-Logs verwendet, unabhängig vom Preview-Programm. Es gibt keinen Unterschied, je nachdem, für welches Vorschauprogramm Sie sich registriert haben.
Logs mit dem Dienstnamen chronicle.googleapis.com
Die folgenden Logtypen sind für Google SecOps-Audit-Logs mit dem Dienstnamen chronicle.googleapis.com verfügbar.
Weitere Informationen finden Sie unter Google SecOps-Berechtigungen in IAM.
| Audit-Logtyp | Beschreibung |
|---|---|
| Audit-Logs zur Administratoraktivität | Umfasst Admin Write-Vorgänge, die Metadaten oder Konfigurationsinformationen schreiben. Aktionen in Google SecOps, die diese Art von Log generieren, sind unter anderem das Aktualisieren von Feeds und das Erstellen von Regeln.chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| Audit-Logs zum Datenzugriff | Umfasst Admin Read-Vorgänge, die Metadaten oder Konfigurationsinformationen lesen. Umfasst auch Datenlese- und Datenschreibvorgänge, die von Nutzern bereitgestellte Daten lesen oder schreiben. Aktionen in Google SecOps, die diese Art von Log generieren, sind unter anderem das Abrufen von Feeds und das Auflisten von Regeln.chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
Logs mit dem Dienstnamen chronicleservicemanager.googleapis.com
Google SecOps-Audit-Logs, die mit dem Dienstnamen chronicleservicemanager.googleapis.com geschrieben wurden, sind nur auf Organisationsebene und nicht auf Projektebene verfügbar.
Die folgenden Logtypen sind für Google SecOps-Audit-Logs verfügbar, die mit dem Dienstnamen chronicleservicemanager.googleapis.com geschrieben werden.
| Audit-Logtyp | Beschreibung |
|---|---|
| Audit-Logs zur Administratoraktivität | Umfasst Admin Write-Vorgänge, die Metadaten oder Konfigurationsinformationen schreiben. Aktionen in Google SecOps, die diesen Logtyp generieren, sind das Erstellen einer Google Cloud Association und das Aktualisieren von Google Cloud Logfiltern.chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| Audit-Logs zum Datenzugriff | Umfasst Admin Read-Vorgänge, die Metadaten oder Konfigurationsinformationen lesen. Umfasst auch Datenlese- und Datenschreibvorgänge, die von Nutzern bereitgestellte Daten lesen oder schreiben. Aktionen in Google SecOps, die diese Art von Log generieren, umfassen das Auflisten von Instanzen und Kundenmetadaten.chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
Logs mit dem Dienstnamen malachitefrontend-pa.googleapis.com
Die folgenden Logtypen sind für Google SecOps-Audit-Logs mit dem Dienstnamen malachitefrontend-pa.googleapis.com verfügbar.
Chronicle Frontend API-Vorgänge stellen Daten für die Google SecOps-Benutzeroberfläche bereit und rufen Daten von ihr ab. Die Chronicle Frontend API besteht im Wesentlichen aus Datenzugriffsvorgängen.
| Audit-Logtyp | Google SecOps-Vorgänge |
|---|---|
| Audit-Logs zur Administratoraktivität | Umfasst Update-bezogene Aktivitäten wie UpdateRole und UpdateSubject. |
| Audit-Logs zum Datenzugriff | Dazu gehören aufrufrelevante Aktivitäten wie ListRoles und ListSubjects. |
Audit-Logformat
Audit-Logeinträge umfassen folgende Komponenten:
Den Logeintrag selbst, ein Objekt vom Typ
LogEntry. Nützliche Felder sind unter anderem:logNameenthält die Ressourcen-ID und den Audit-Logtyp.resourceenthält das Ziel zum geprüften Vorgang.timeStampenthält die Uhrzeit des geprüften Vorgangs.protoPayloadenthält die geprüften Informationen.
Die Audit-Logdaten, bei denen es sich um ein
AuditLog-Objekt handelt, das sich im FeldprotoPayloaddes Logeintrags befindet.Optionale dienstspezifische Auditinformationen. Das Objekt ist dienstspezifisch. Bei älteren Integrationen befindet sich dieses Objekt im Feld
serviceDatadesAuditLog-Objekts. Neuere Integrationen verwenden das Feldmetadata.Das Feld
protoPayload.authenticationInfo.principalSubjectenthält den Nutzer-Principal. Hier wird angegeben, wer die Aktion ausgeführt hat.Das Feld
protoPayload.methodNameenthält den Namen der API-Methode, die von der Benutzeroberfläche im Namen des Nutzers aufgerufen wird.Das Feld
protoPayload.statusenthält den Status des API-Aufrufs. Ein leererstatus-Wert weist auf einen Erfolg hin. Ein nicht leererstatus-Wert weist auf einen Fehler hin und enthält eine Beschreibung des Fehlers. Der Statuscode 7 gibt an, dass die Berechtigung verweigert wurde.Der
chronicle.googleapis.com-Dienst enthält das FeldprotoPayload.authorizationInfo. Dieses Feld enthält den Namen der angeforderten Ressource, den Namen der Berechtigung, die geprüft wurde, und ob der Zugriff gewährt oder verweigert wurde.
Informationen zu anderen Feldern in diesen Objekten sowie zu deren Interpretation finden Sie unter Audit-Logs verstehen.
Im folgenden Beispiel sind Lognamen für Audit-Logs zur Administratoraktivität auf Projektebene und für Audit-Logs zum Datenzugriff enthalten. Die Variablen bezeichnen Google Cloud Projekt-IDs.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Audit-Logging aktivieren
Informationen zum Aktivieren von Audit-Logging für den Dienst chronicle.googleapis.com finden Sie unter Audit-Logs zum Datenzugriff aktivieren.
Wenn Sie das Audit-Logging für andere Dienste aktivieren möchten, wenden Sie sich an den Google SecOps-Support.
Speicherung von Audit-Logs
- Google SecOps-Audit-Logs: Werden in einem Google Cloud -Projekt gespeichert, das Ihnen gehört, nachdem Sie die Google SecOps API aktiviert haben.
- Legacy-Audit-Logs (einschließlich
malachitefrontend-pa.googleapis.com): Werden in einemGoogle Cloud -Projekt gespeichert. - Audit-Logs zu Administratoraktivitäten: Immer aktiviert und können nicht deaktiviert werden. Dazu müssen Sie zuerst Ihre Google SecOps-Instanz zur Zugriffssteuerung zu IAM migrieren.
- Audit-Logs zum Datenzugriff: Standardmäßig aktiviert. Wenn Sie die Funktion in Ihrem eigenen Projekt deaktivieren möchten, wenden Sie sich an Ihren Google SecOps-Ansprechpartner. Google SecOps schreibt Audit-Logs zum Datenzugriff und zur Administratoraktivität in das Projekt.
Audit-Logs zum Datenzugriff so konfigurieren, dass die Suchdaten enthalten sind
Wenn Sie UDM-Suchanfragen und Rohlog-Suchanfragen in den Google SecOps-Audit-Logs erfassen möchten, aktualisieren Sie die Konfiguration der Audit-Logs zum Datenzugriff mit den erforderlichen Berechtigungen.
- Wählen Sie im Navigationsbereich der Google Cloud Console IAM und Verwaltung > Audit-Logs aus.
- Wählen Sie ein vorhandenes Google Cloud Projekt, einen Ordner oder eine Organisation aus.
- Wählen Sie unter Konfiguration von Audit-Logs zum Datenzugriff die Option Chronicle API aus.
- Wählen Sie auf dem Tab Berechtigungstypen alle aufgeführten Berechtigungen aus („Lesen durch Administrator“, „Daten lesen“, „Daten schreiben“).
- Klicken Sie auf Speichern.
- Wiederholen Sie die Schritte 3 bis 5 für die Chronicle Service Manager API.
Logs ansehen
Wenn Sie Audit-Logs suchen und ansehen möchten, verwenden Sie die Google Cloud Projekt-ID. Für die alte Audit-Protokollierung von malachitefrontend-pa.googleapis.com, die mit einem Projekt konfiguriert wurde, dasGoogle Cloudgehört, hat der Google SecOps-Support Ihnen diese Informationen zur Verfügung gestellt. Sie können weitere indexierte LogEntry-Felder angeben, z. B. resource.type. Weitere Informationen finden Sie unter Logeinträge schnell finden.
Rufen Sie in der Google Cloud Console mit dem Log-Explorer die Audit-Logeinträge für das Google Cloud -Projekt ab:
Rufen Sie in der Google Cloud Console die Seite Logging > Log-Explorer auf.
Wählen Sie auf der Seite Log-Explorer ein vorhandenesGoogle Cloud -Projekt, einen Ordner oder eine Organisation aus.
Führen Sie im Bereich Query Builder folgende Schritte aus:
Wählen Sie unter Ressourcentyp die Google Cloud Ressource aus, deren Audit-Logs angezeigt werden sollen.
Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:
Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
Wenn diese Optionen nicht angezeigt werden, sind im Google Cloud Projekt, im Ordner oder in der Organisation keine Audit-Logs dieses Typs verfügbar.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Logabfragen erstellen.
Ein Beispiel für einen Audit-Logeintrag und wie Sie die wichtigsten Informationen darin finden, sehen Sie unter Beispiel für einen Audit-Logeintrag.
Beispiele: chronicle.googleapis.com-Dienstnamenslogs
In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs mit dem Dienstnamen chronicle.googleapis.com beschrieben.
Von einem bestimmten Nutzer ausgeführte Aktionen auflisten
Wenn Sie die Aktionen eines bestimmten Nutzers ermitteln möchten, führen Sie die folgende Abfrage im Log-Explorer aus:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Nutzer identifizieren, die eine bestimmte Aktion ausgeführt haben
Wenn Sie die Nutzer ermitteln möchten, die eine Erkennungsregel aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
Beispiel: cloudresourcemanager.googleapis.com-Dienstnamenslog
Wenn Sie die Nutzer ermitteln möchten, die eine Zugriffssteuerungsrolle oder ein Subjekt aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
Beispiele: malachitefrontend-pa.googleapis.com-Dienstnamenslogs
In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs mit dem Dienstnamen malachitefrontend-pa.googleapis.com beschrieben.
Von einem bestimmten Nutzer ausgeführte Aktionen auflisten
Wenn Sie die Aktionen eines bestimmten Nutzers ermitteln möchten, führen Sie die folgende Abfrage im Log-Explorer aus:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Nutzer identifizieren, die eine bestimmte Aktion ausgeführt haben
Wenn Sie die Nutzer ermitteln möchten, die ein Zugriffssteuerungssubjekt aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
Wenn Sie die Nutzer ermitteln möchten, die eine Zugriffssteuerungsrolle aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
Wenn Sie die Nutzer ermitteln möchten, die eine Erkennungsregel aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
Nächste Schritte
- Cloud-Audit-Logs – Übersicht
- Audit-Logs
- Verfügbare Audit-Logs
- Google Cloud Observability-Preise: Cloud Logging
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten