Información de registro de auditoría de Google Security Operations

Compatible con:

Los servicios de Google Cloud escriben registros de auditoría para ayudarte a saber quién hizo qué, dónde y cuando están en tus recursos de Google Cloud. En esta página, se describe la auditoría registros creados por Google Security Operations y escritos como Registros de auditoría de Cloud.

Para obtener una descripción general de los Registros de auditoría de Cloud, consulta Registros de auditoría de Cloud. descripción general. Para comprender mejor el registro de auditoría consulta Comprensión de la auditoría registros.

Registros de auditoría disponibles

El nombre del servicio y las operaciones auditadas son diferentes según el programa de vista previa en el que te inscribiste. Los registros de auditoría de Google Security Operations usan uno de los siguientes nombres de servicios:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Las operaciones de auditoría usan el tipo de recurso audited_resource para todos registros de auditoría escritos, independientemente del programa de vista previa. No hay diferencia según el programa de versión preliminar en el que te inscribiste.

Registros con el nombre de servicio chronicle.googleapis.com

Los siguientes tipos de registros están disponibles para los registros de auditoría de Google Security Operations con el nombre de servicio chronicle.googleapis.com.

Para obtener más información, consulta Permisos de Google SecOps en IAM

Tipo de registro de auditoría Descripción
Registros de auditoría de actividad del administrador Incluye operaciones de escritura de administrador que escriben metadatos o información de configuración. Las acciones de Google Security Operations que generan este tipo de registro incluyen actualizar feeds y crear reglas.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Registros de auditoría de acceso a los datos Incluye operaciones de lectura de administrador que leen metadatos o información de configuración. También incluye las operaciones de lectura de datos y escritura de datos que leen o escriben datos proporcionados por el usuario. Entre las acciones de Google Security Operations que generan este tipo de registro, se incluyen la obtención de feeds y la creación de reglas de fichas.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Registros con el nombre de servicio chronicleservicemanager.googleapis.com

Registros de auditoría de Google Security Operations escritos con el El nombre del servicio chronicleservicemanager.googleapis.com solo está disponible en a nivel de organización, no a nivel de proyecto.

Los siguientes tipos de registros están disponibles para los registros de auditoría de Google Security Operations escritos con el nombre de servicio chronicleservicemanager.googleapis.com.

Tipo de registro de auditoría Descripción
Registros de auditoría de actividad del administrador Incluye operaciones de escritura de administrador que escriben metadatos o información de configuración. Las acciones en Operaciones de seguridad de Google que generan este tipo de registro incluyen la creación de una asociación de Google Cloud y la actualización de los filtros de registro de Google Cloud.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Registros de auditoría de acceso a los datos Incluye operaciones de lectura de administrador que leen metadatos o información de configuración. También incluye las operaciones de lectura de datos y escritura de datos que leen o escriben datos proporcionados por el usuario. Las acciones de Google Security Operations que generan este tipo de registro incluyen enumerar instancias y metadatos de clientes.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Registros con el nombre de servicio malachitefrontend-pa.googleapis.com

Los siguientes tipos de registros están disponibles para los registros de auditoría de Google Security Operations con el Nombre del servicio de malachitefrontend-pa.googleapis.com.

Las operaciones de la API del frontend de Google Security Operations proporcionan datos desde y hacia el IU de Google Security Operations. En general, la API de frontend de Google Security Operations consta de de acceso a los datos.

Tipo de registro de auditoría Operaciones de seguridad de Google
Registros de auditoría de actividad del administrador Incluye la actividad relacionada con la actualización, como UpdateRole y UpdateSubject.
Registros de auditoría de acceso a los datos Incluye la actividad relacionada con las vistas, como ListRoles y ListSubjects.

Formato del registro de auditoría

Las entradas del registro de auditoría incluyen los siguientes objetos:

  • La entrada de registro en sí, que es un tipo de objeto LogEntry Entre los campos útiles, se incluyen los siguientes:

    • logName contiene el ID del recurso y el tipo de registro de auditoría.
    • resource contiene el objetivo de la operación auditada.
    • timeStamp contiene la hora de la operación auditada.
    • protoPayload contiene la información auditada.
  • Datos de registro de auditoría, que son un objeto AuditLog alojado en el campo protoPayload de la entrada de registro.

  • La información opcional de auditoría específica del servicio, que es un objeto específico del servicio. En las integraciones más antiguas, este objeto se guarda en el campo serviceData del objeto AuditLog. Las integraciones más recientes usan el campo metadata.

  • El campo protoPayload.authenticationInfo.principalSubject contiene el usuario principal. Indica quién realizó la acción.

  • El campo protoPayload.methodName contiene el nombre del método de la API que invoca el IU en nombre del usuario.

  • El campo protoPayload.status contiene el estado de la llamada a la API. Un campo de El valor status indica que la operación se realizó correctamente. Un valor de status no vacío indica un error y contiene una descripción del error. El código de estado 7 indica permiso denegado.

  • El servicio chronicle.googleapis.com incluye lo siguiente: protoPayload.authorizationInfo. Contiene el nombre del recurso solicitado, el nombre del permiso que se verificó y si el se le otorgó o denegó el acceso.

Para obtener información sobre otros campos de estos objetos, y cómo interpretarlos, revisa la sección Comprender registros de auditoría.

En el siguiente ejemplo, se muestran los nombres de registro para la auditoría de actividad del administrador a nivel de proyecto de acceso a los datos y registros de auditoría de acceso a los datos. Las variables denotan el proyecto de Google Cloud identificadores.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Habilita el registro de auditoría

Para habilitar el registro de auditoría para el servicio chronicle.googleapis.com, consulta Habilita los registros de auditoría de acceso a los datos. Para habilitar el registro de auditoría para otros servicios, comunícate con el equipo de asistencia de SecOps de Google.

Almacenamiento de registros de auditoría

  • Registros de auditoría de Google SecOps: Almacenados en un proyecto de Google Cloud de después de habilitar la API de Google SecOps.
  • Registros de auditoría heredados (incluido malachitefrontend-pa.googleapis.com): se almacenan en un proyecto de Google Cloud.
  • Registros de auditoría de actividad del administrador: Siempre están habilitados y no se pueden inhabilitar. Para verlos, primero migra tu instancia de Google SecOps a IAM para el control de acceso.
  • Registros de auditoría de acceso a los datos: Habilitados de forma predeterminada. Para inhabilitarlo en las aplicaciones comunícate con tu representante de Google SecOps. SecOps de Google escribe registros de auditoría de acceso a los datos y de actividad del administrador en el proyecto.

Configura los registros de auditoría de acceso a los datos para incluir los datos de búsqueda

Para propagar las búsquedas de UDM y las búsquedas de registros sin procesar en los registros de auditoría de Google Security Operations, actualiza la configuración de los registros de auditoría de acceso a los datos con los permisos necesarios.

  1. En el panel de navegación de la consola de Google Cloud, selecciona IAM y Administrador > Registros de auditoría.
  2. Selecciona una organización, una carpeta o un proyecto existente de Google Cloud.
  3. En Configuración de registros de auditoría de acceso a los datos, selecciona API de Chronicle.
  4. En la pestaña Permission Types, selecciona todos los permisos enumerados (Admin Read, Data Read, Data Write).
  5. Haz clic en Guardar.
  6. Repite los pasos del 3 al 5 para la API de Chronicle Service Manager.

Ver registros

Para encontrar y ver los registros de auditoría, usa el ID del proyecto de Google Cloud. Para versiones heredadas registro de auditoría de malachitefrontend-pa.googleapis.com configurado con un Un proyecto que es propiedad de Google Cloud y el equipo de asistencia de Google Security Operations te lo proporcionó información. Además, puedes especificar otros registros Campos LogEntry, como resource.type Para obtener más información, consulta Cómo encontrar entradas de registro con rapidez.

En la consola de Google Cloud, usa el Explorador de registros para recuperar tus Entradas de registro de auditoría del proyecto de Google Cloud:

  1. En la consola de Google Cloud, ve a Registro > Explorador de registros.

    Ir al Explorador de registros

  2. En la página Explorador de registros, selecciona un proyecto, carpeta u organización de Google Cloud.

  3. En el panel Compilador de consultas, sigue estos pasos:

    • En Tipo de recurso, selecciona el recurso de Google Cloud cuya auditoría que quieres ver.

    • En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:

    • En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.

    • En los registros de auditoría de acceso a los datos, selecciona data_access.

    Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en el proyecto, la carpeta o la organización de Google Cloud.

    Para obtener más información sobre las consultas con el Explorador de registros, consulta Crea consultas de registro.

Veamos un ejemplo de una entrada de registro de auditoría y cómo encontrar la información información en ella, consulta Ejemplo de registro de auditoría entrada.

Ejemplos: registros de nombres de servicio de chronicle.googleapis.com

En las siguientes secciones, se describen casos de uso comunes para los Registros de auditoría de Cloud que usa el nombre de servicio chronicle.googleapis.com.

Enumera las acciones que realizó un usuario específico

Para encontrar las acciones que realizó un usuario determinado, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Cómo identificar a los usuarios que realizaron una acción específica

Para encontrar los usuarios que actualizaron una regla de detección, ejecuta la siguiente consulta en Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Ejemplo: Registro del nombre del servicio cloudresourcemanager.googleapis.com

Para buscar a los usuarios que actualizaron un tema o rol de control de acceso, ejecuta el siguiente consulta en el Explorador de registros:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Ejemplos: registros de nombres de servicio de malachitefrontend-pa.googleapis.com

En las siguientes secciones, se describen casos de uso comunes para los Registros de auditoría de Cloud que usa el nombre de servicio malachitefrontend-pa.googleapis.com.

Enumera las acciones que realizó un usuario específico

Para encontrar las acciones que realizó un usuario determinado, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Cómo identificar a los usuarios que realizaron una acción específica

Para encontrar los usuarios que actualizaron un sujeto de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Para encontrar los usuarios que actualizaron un rol de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Para encontrar los usuarios que actualizaron una regla de detección, ejecuta la siguiente consulta en Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

¿Qué sigue?