Informazioni sugli audit log di Google Security Operations
I servizi Google Cloud scrivono gli audit log per aiutarti a capire chi ha fatto cosa, dove e quando all'interno delle tue risorse Google Cloud. Questa pagina descrive gli audit log creati da Google Security Operations e scritti come Cloud Audit Logs.
Per una panoramica generale di Cloud Audit Logs, consulta la panoramica di Cloud Audit Logs. Per una comprensione più approfondita del formato del log di controllo, vedi Informazioni sui log di controllo.
Log di controllo disponibili
Il nome del servizio del log di controllo e le operazioni sottoposte a controllo sono diversi a seconda del programma di anteprima a cui hai aderito. Gli audit log di Google Security Operations utilizzano uno tra i seguenti nomi di servizio:
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
Le operazioni di controllo utilizzano il tipo di risorsa audited_resource per tutti
gli audit log scritti, indipendentemente dal programma di anteprima. Non c'è alcuna differenza in base al programma Anteprima a cui hai aderito.
Log con il nome del servizio chronicle.googleapis.com
Per i log di controllo di Google Security Operations con il nome del servizio chronicle.googleapis.com sono disponibili i seguenti tipi di log.
Per ulteriori informazioni, consulta Autorizzazioni Google SecOps in IAM.
| Tipo di log di controllo | Descrizione |
|---|---|
| Audit log delle attività di amministrazione | Sono incluse le operazioni di scrittura amministratore che scrivono metadati o informazioni di configurazione. Le azioni in Google Security Operations che generano questo tipo di log includono l'aggiornamento dei feed e la creazione di regole.chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| Audit log degli accessi ai dati | Sono incluse le operazioni di lettura amministratore che leggono i metadati o le informazioni di configurazione. Sono incluse anche le operazioni di lettura e scrittura dei dati che leggono o scrivono i dati forniti dall'utente. Le azioni in Google Security Operations che generano questo tipo di log includono l'ottenimento di feed e regole di elenco.chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
Log con il nome del servizio chronicleservicemanager.googleapis.com
Gli audit log di Google Security Operations scritti utilizzando il nome del servizio chronicleservicemanager.googleapis.com sono disponibili solo a livello di organizzazione, non a livello di progetto.
Per i log di controllo di Google Security Operations scritti
utilizzando il nome del servizio chronicleservicemanager.googleapis.com sono disponibili i seguenti tipi di log.
| Tipo di log di controllo | Descrizione |
|---|---|
| Audit log delle attività di amministrazione | Sono incluse le operazioni di scrittura amministratore che scrivono metadati o informazioni di configurazione. Le azioni in Google Security Operations che generano questo tipo di log includono la creazione di un'associazione Google Cloud e l'aggiornamento dei filtri dei log di Google Cloud.chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| Audit log degli accessi ai dati | Sono incluse le operazioni di lettura amministratore che leggono i metadati o le informazioni di configurazione. Sono incluse anche le operazioni di lettura e scrittura dei dati che leggono o scrivono i dati forniti dall'utente. Le azioni in Google Security Operations che generano questo tipo di log includono le istanze della scheda e i metadati dei clienti.chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
Log con il nome del servizio malachitefrontend-pa.googleapis.com
Per i log di controllo di Google Security Operations con il nome del servizio malachitefrontend-pa.googleapis.com sono disponibili i seguenti tipi di log.
Le operazioni dell'API frontend di Google Security Operations forniscono dati alla e dalla UI di Google Security Operations. L'API frontend di Google Security Operations è composta in generale da operazioni di accesso ai dati.
| Tipo di log di controllo | Operazioni di Google Security Operations |
|---|---|
| Audit log delle attività di amministrazione | Sono incluse le attività correlate agli aggiornamenti, come UpdateRole e UpdateSubject. |
| Audit log degli accessi ai dati | Sono incluse le attività correlate alle visualizzazioni, ad esempio ListRoles e ListSubjects. |
Formato degli audit log
Le voci dei log di controllo includono i seguenti oggetti:
La voce di log stessa, che è un oggetto di tipo
LogEntry. I campi utili includeno:logNamecontiene l'ID della risorsa e il tipo di log di controllo.resourcecontiene il target dell'operazione sottoposta ad audit.timeStampcontiene l'ora dell'operazione sottoposta ad audit.protoPayloadcontiene le informazioni sottoposte a controllo.
Dati dei log di controllo, che sono un oggetto
AuditLogtenuto nel campoprotoPayloaddella voce del log.Informazioni di audit facoltative e specifiche del servizio, che sono un oggetto specifico del servizio. Per le integrazioni precedenti, questo oggetto è contenuto nel campo
serviceDatadell'oggettoAuditLog; le integrazioni più recenti utilizzano il campometadata.Il campo
protoPayload.authenticationInfo.principalSubjectcontiene l'entità principale dell'utente. Indica chi ha eseguito l'azione.Il campo
protoPayload.methodNamecontiene il nome del metodo API invocato dall'UI per conto dell'utente.Il campo
protoPayload.statuscontiene lo stato della chiamata API. Un valorestatusvuoto indica il successo. Un valorestatusnon vuoto indica un errore e contiene una descrizione dell'errore. Il codice di stato 7 indica che l'autorizzazione è stata rifiutata.Il servizio
chronicle.googleapis.cominclude il campoprotoPayload.authorizationInfo. Contiene il nome della risorsa richiesta, il nome dell'autorizzazione controllata e se l'accesso è stato concesso o negato.
Per informazioni sugli altri campi in questi oggetti e su come interpretarli, consulta Informazioni sugli audit log.
L'esempio seguente mostra i nomi dei log per gli audit log dell'attività di amministrazione e per gli audit log dell'accesso ai dati a livello di progetto. Le variabili indicano gli identificatori dei progetti Google Cloud.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Abilitazione degli audit log
Per attivare l'audit logging per il servizio chronicle.googleapis.com, consulta
Attivare gli audit log di accesso ai dati.
Per attivare la registrazione degli audit per altri servizi, contatta l'assistenza SecOps di Google.
Archiviazione dei log di controllo
- Audit log di Google SecOps: archiviati in un progetto Google Cloud di tua proprietà dopo aver attivato l'API Google SecOps.
- Log di controllo legacy (incluso
malachitefrontend-pa.googleapis.com): archiviati in un progetto Google Cloud. - Audit log per le attività di amministrazione: sempre abilitati e non possono essere disabilitati. Per visualizzarli, esegui prima la migrazione dell'istanza Google SecOps a IAM per controllo dell'accesso dell'accesso.
- Audit log di accesso ai dati: abilitati per impostazione predefinita. Per disattivarlo nel progetto di proprietà del cliente, contatta il tuo rappresentante di Google SecOps. Google SecOps scrive nel progetto gli audit log di accesso ai dati e delle attività di amministrazione.
Configura gli audit log di accesso ai dati in modo da includere i dati di ricerca
Per compilare le query di ricerca UDM e di ricerca dei log non elaborati negli audit log di Google Security Operations, aggiorna la configurazione degli audit log di accesso ai dati con le autorizzazioni necessarie.
- Nel pannello di navigazione della console Google Cloud, seleziona IAM e amministrazione > Log di controllo.
- Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.
- In Configurazione degli audit log di accesso ai dati, seleziona API Chronicle.
- Nella scheda Tipi di autorizzazione, seleziona tutte le autorizzazioni elencate (Lettura amministratore, Lettura dati, Scrittura dati).
- Fai clic su Salva.
- Ripeti i passaggi da 3 a 5 per l'API Chronicle Service Manager.
Visualizza i log
Per trovare e visualizzare gli audit log, utilizza l'ID progetto Google Cloud. Per il logging di controllo precedente di malachitefrontend-pa.googleapis.com configurato utilizzando un progetto di proprietà di Google Cloud, l'assistenza per le operazioni di sicurezza di Google ti ha fornito queste informazioni. Puoi specificare ulteriormente altri campi LogEntry indicizzati, come resource.type. Per ulteriori informazioni, consulta Trovare rapidamente le voci del log.
Nella console Google Cloud, utilizza Esplora log per recuperare le voci dei log di controllo per il progetto Google Cloud:
Nella console Google Cloud, vai alla pagina Logging > Esplora log.
Nella pagina Esplora log, seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.
Nel riquadro Query Builder, segui questi passaggi:
In Tipo di risorsa, seleziona la risorsa Google Cloud di cui vuoi visualizzare gli audit log.
In Nome log, seleziona il tipo di log di controllo da visualizzare:
Per gli audit log delle attività di amministrazione, seleziona activity.
Per gli audit log di accesso ai dati, seleziona data_access.
Se non visualizzi queste opzioni, vuol dire che non sono disponibili audit log di questo tipo nel progetto, nella cartella o nell'organizzazione Google Cloud.
Per ulteriori informazioni sulle query utilizzando Esplora log, consulta Creare query sui log.
Per un esempio di voce del log di controllo e su come trovare le informazioni più importanti al suo interno, consulta Voce di log di controllo di esempio.
Esempi: log del nome del servizio chronicle.googleapis.com
Le sezioni seguenti descrivono casi d'uso comuni per Cloud Audit Logs che utilizzano il nome del servizio chronicle.googleapis.com.
Azioni eseguite da un utente specifico nella scheda
Per trovare le azioni intraprese da un determinato utente, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identificare gli utenti che hanno eseguito un'azione specifica
Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
Esempio: log del nome del servizio cloudresourcemanager.googleapis.com
Per trovare gli utenti che hanno aggiornato un ruolo o un soggetto di controllo dell'accesso#39;accesso, esegui la seguente query in Esplora log:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
Esempi: log del nome del servizio malachitefrontend-pa.googleapis.com
Le sezioni seguenti descrivono casi d'uso comuni per Cloud Audit Logs che utilizzano il nome del servizio malachitefrontend-pa.googleapis.com.
Azioni eseguite da un utente specifico nella scheda
Per trovare le azioni intraprese da un determinato utente, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identificare gli utenti che hanno eseguito un'azione specifica
Per trovare gli utenti che hanno aggiornato un soggetto di controllo dell'accesso#39;accesso, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
Per trovare gli utenti che hanno aggiornato un ruolo di controllo dell'accesso#39;accesso, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
Passaggi successivi
- Panoramica di Cloud Audit Logs
- Informazioni sui log di controllo
- Log di controllo disponibili
- Prezzi di Google Cloud Observability: Cloud Logging