Informationen zum Audit-Logging in Google Security Operations

Unterstützt in:

Google Cloud-Dienste schreiben Audit-Logs, aus denen in Bezug auf Ihre Google Cloud-Ressourcen hervorgeht, wer was wo und wann getan hat. Auf dieser Seite werden die Audit-Logs beschrieben, die von Google Security Operations erstellt und als Cloud-Audit-Logs aufgezeichnet werden.

Eine allgemeine Übersicht über Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logs. Detaillierte Informationen zum Format von Audit-Logs finden Sie unter Audit-Logs verstehen.

Verfügbare Audit-Logs

Der Name des Audit-Log-Diensts und die geprüften Vorgänge unterscheiden sich je nachdem, an welchem Vorab-Programm Sie teilnehmen. Audit-Logs für Google Security Operations verwenden einen der folgenden Dienstnamen:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Bei Audit-Vorgängen wird unabhängig vom Vorabprogramm der Ressourcentyp audited_resource für alle geschriebenen Audit-Logs verwendet. Es gibt keinen Unterschied, je nachdem, an welchem Vorschauprogramm Sie teilnehmen.

Protokolle mit dem Dienstnamen chronicle.googleapis.com

Für Google Security Operations-Audit-Logs mit dem Dienstnamen chronicle.googleapis.com sind die folgenden Protokolltypen verfügbar.

Weitere Informationen finden Sie unter Google SecOps-Berechtigungen in IAM.

Audit-Logtyp Beschreibung
Audit-Logs zur Administratoraktivität Umfasst admin write-Vorgänge, die Metadaten oder Konfigurationsinformationen schreiben. Zu den Aktionen in Google Security Operations, die diese Art von Protokoll generieren, gehören das Aktualisieren von Feeds und das Erstellen von Regeln.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Audit-Logs zum Datenzugriff Umfasst Lesevorgänge durch Administratoren, bei denen Metadaten oder Konfigurationsinformationen gelesen werden. Umfasst auch Datenlese- und Datenschreibvorgänge, die von Nutzern bereitgestellte Daten lesen oder schreiben. Zu den Aktionen in Google Security Operations, die diese Art von Protokoll generieren, gehören das Abrufen von Feeds und Listenregeln.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Protokolle mit dem Dienstnamen chronicleservicemanager.googleapis.com

Audit-Logs von Google Security Operations, die mit dem Dienstnamen chronicleservicemanager.googleapis.com erstellt wurden, sind nur auf Organisationsebene und nicht auf Projektebene verfügbar.

Für Google Security Operations-Audit-Logs, die mit dem Dienstnamen chronicleservicemanager.googleapis.com erstellt wurden, sind die folgenden Protokolltypen verfügbar.

Audit-Logtyp Beschreibung
Audit-Logs zur Administratoraktivität Umfasst admin write-Vorgänge, die Metadaten oder Konfigurationsinformationen schreiben. Zu den Aktionen in Google Security Operations, die diese Art von Protokoll generieren, gehören das Erstellen einer Google Cloud-Verknüpfung und das Aktualisieren von Google Cloud-Protokollfiltern.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Audit-Logs zum Datenzugriff Umfasst Lesevorgänge durch Administratoren, bei denen Metadaten oder Konfigurationsinformationen gelesen werden. Umfasst auch Datenlese- und Datenschreibvorgänge, die von Nutzern bereitgestellte Daten lesen oder schreiben. Zu den Aktionen in Google Security Operations, die diese Art von Protokoll generieren, gehören Listeninstanz und Kundenmetadaten.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Protokolle mit dem Dienstnamen malachitefrontend-pa.googleapis.com

Für Google Security Operations-Audit-Logs mit dem Dienstnamen malachitefrontend-pa.googleapis.com sind die folgenden Protokolltypen verfügbar.

Die Google Security Operations Frontend API-Vorgänge stellen Daten von und an die Google Security Operations-Benutzeroberfläche bereit. Die Google Security Operations Frontend API besteht im Wesentlichen aus Datenzugriffsaktionen.

Audit-Logtyp Google Security Operations-Vorgänge
Audit-Logs zur Administratoraktivität Umfasst updatebezogene Aktivitäten wie UpdateRole und UpdateSubject.
Audit-Logs zum Datenzugriff Umfasst ansichtenbezogene Aktivitäten wie ListRoles und ListSubjects.

Audit-Logformat

Audit-Logeinträge umfassen folgende Komponenten:

  • Den Logeintrag selbst, ein Objekt vom Typ LogEntry. Interessante Felder sind unter anderem:

    • logName enthält die Ressourcen-ID und den Audit-Logtyp.
    • resource enthält das Ziel zum geprüften Vorgang.
    • timeStamp enthält die Uhrzeit des geprüften Vorgangs.
    • protoPayload enthält die geprüften Informationen.

  • Audit-Logdaten, bei denen es sich um ein AuditLog-Objekt handelt, das sich im Feld protoPayload des Logeintrags befindet.

  • Optionale dienstspezifische Auditinformationen. Das Objekt ist dienstspezifisch. Bei älteren Integrationen befindet sich dieses Objekt im Feld serviceData des AuditLog-Objekts. Neuere Integrationen verwenden das Feld metadata.

  • Das Feld protoPayload.authenticationInfo.principalSubject enthält die Nutzerprincipal. Hier sehen Sie, wer die Aktion ausgeführt hat.

  • Das Feld protoPayload.methodName enthält den Namen der API-Methode, die von der Benutzeroberfläche im Namen des Nutzers aufgerufen wird.

  • Das Feld protoPayload.status enthält den Status des API-Aufrufs. Ein leerer Wert für status weist auf einen Erfolg hin. Ein nicht leerer status-Wert weist auf einen Fehler hin und enthält eine Fehlerbeschreibung. Der Statuscode 7 gibt an, dass die Berechtigung abgelehnt wurde.

  • Der chronicle.googleapis.com-Dienst enthält das Feld protoPayload.authorizationInfo. Dieser enthält den Namen der angeforderten Ressource, den Namen der geprüften Berechtigung und ob der Zugriff gewährt oder abgelehnt wurde.

Informationen zu anderen Feldern in diesen Objekten sowie zu deren Interpretation finden Sie unter Audit-Logs verstehen.

Im folgenden Beispiel sind Lognamen für Audit-Logs zur Administratoraktivität und für Audit-Logs zum Datenzugriff auf Projektebene enthalten. Die Variablen bezeichnen Google Cloud-Projekt-IDs.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Audit-Logging aktivieren

Informationen zum Aktivieren von Audit-Logs für den chronicle.googleapis.com-Dienst finden Sie unter Audit-Logs zum Datenzugriff aktivieren. Wenn Sie Audit-Logs für andere Dienste aktivieren möchten, wenden Sie sich an den Google SecOps-Support.

Speicherung von Audit-Logs

  • Google SecOps-Audit-Logs: Werden in einem Google Cloud-Projekt gespeichert, dessen Inhaber Sie sind, nachdem Sie die Google SecOps API aktiviert haben.
  • Alte Audit-Logs (einschließlich malachitefrontend-pa.googleapis.com): In einem Google Cloud-Projekt gespeichert.
  • Audit-Logs zur Administratoraktivität: Diese sind immer aktiviert und können nicht deaktiviert werden. Wenn Sie sie aufrufen möchten, müssen Sie zuerst Ihre Google SecOps-Instanz zur Zugriffssteuerung zu IAM migrieren.
  • Audit-Logs für den Datenzugriff: Standardmäßig aktiviert. Wenn Sie die Funktion in Ihrem kundeneigenen Projekt deaktivieren möchten, wenden Sie sich an Ihren Google SecOps-Ansprechpartner. Google SecOps schreibt Audit-Logs zum Datenzugriff und zu Administratoraktivitäten in das Projekt.

Audit-Logs für den Datenzugriff so konfigurieren, dass sie die Suchdaten enthalten

Wenn Sie UDM-Suchanfragen und Suchanfragen in Rohlogs in den Google Security Operations-Audit-Logs einfügen möchten, aktualisieren Sie die Konfiguration der Audit-Logs zum Datenzugriff mit den erforderlichen Berechtigungen.

  1. Wählen Sie im Navigationsbereich der Google Cloud Console IAM und Verwaltung > Audit-Logs aus.
  2. Wählen Sie ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.
  3. Wählen Sie unter Konfiguration von Audit-Logs zum Datenzugriff die Option Chronicle API aus.
  4. Wählen Sie auf dem Tab Berechtigungstypen alle aufgeführten Berechtigungen aus (Lesen durch Administrator, Daten lesen, Daten schreiben).
  5. Klicken Sie auf Speichern.
  6. Wiederholen Sie die Schritte 3 bis 5 für die Chronicle Service Manager API.

Logs ansehen

Verwenden Sie die Google Cloud-Projekt-ID, um Audit-Logs zu suchen und aufzurufen. Für die bisherige Prüfungsprotokollierung von malachitefrontend-pa.googleapis.com, die mit einem Google Cloud-eigenen Projekt konfiguriert wurde, hat Ihnen der Google Security Operations-Support diese Informationen zur Verfügung gestellt. Sie können weitere indexierte LogEntry-Felder angeben, z. B. resource.type. Weitere Informationen finden Sie unter Logeinträge schnell finden.

Rufen Sie in der Google Cloud Console mit dem Log-Explorer die Audit-Logeinträge für das Google Cloud-Projekt ab:

  1. Rufen Sie in der Google Cloud Console die Seite Logging > Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie auf der Seite Log-Explorer ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.

  3. Führen Sie im Bereich Query Builder folgende Schritte aus:

    • Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:

    • Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.

    • Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.

    Wenn diese Optionen nicht angezeigt werden, sind im Google Cloud-Projekt, im Ordner oder in der Organisation keine Audit-Logs dieses Typs verfügbar.

    Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Logabfragen erstellen.

Ein Beispiel für einen Audit-Logeintrag und wie Sie die wichtigsten Informationen darin finden, sehen Sie unter Beispiel für einen Audit-Logeintrag.

Beispiele: chronicle.googleapis.com-Dienstname-Logs

In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs beschrieben, bei denen der Dienstname chronicle.googleapis.com verwendet wird.

Von einem bestimmten Nutzer ausgeführte Aktionen auflisten

Wenn Sie die von einem bestimmten Nutzer ausgeführten Aktionen ermitteln möchten, führen Sie im Log-Explorer die folgende Abfrage aus:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Nutzer ermitteln, die eine bestimmte Aktion ausgeführt haben

Wenn Sie die Nutzer ermitteln möchten, die eine Erkennungsregel aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Beispiel: cloudresourcemanager.googleapis.com-Dienstname-Log

Wenn Sie die Nutzer ermitteln möchten, die eine Zugriffssteuerungsrolle oder ein Zugriffssteuerungssubjekt aktualisiert haben, führen Sie im Log-Explorer die folgende Abfrage aus:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Beispiele: malachitefrontend-pa.googleapis.com-Dienstname-Logs

In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs beschrieben, bei denen der Dienstname malachitefrontend-pa.googleapis.com verwendet wird.

Von einem bestimmten Nutzer ausgeführte Aktionen auflisten

Wenn Sie die von einem bestimmten Nutzer ausgeführten Aktionen ermitteln möchten, führen Sie im Log-Explorer die folgende Abfrage aus:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Nutzer ermitteln, die eine bestimmte Aktion ausgeführt haben

Wenn Sie die Nutzer ermitteln möchten, die ein Zugriffskontrollobjekt aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Wenn Sie die Nutzer ermitteln möchten, die eine Zugriffskontrollrolle aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Wenn Sie die Nutzer ermitteln möchten, die eine Erkennungsregel aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

Nächste Schritte