Google SecOps の監査ロギング情報
Google Cloud サービスは、 Google Cloud リソース内で誰がいつどこで何をしたかを確認できるように、監査ログを書き込みます。このページでは、Google Security Operations によって作成され、Cloud Audit Logs として書き込まれる監査ログについて説明します。
Cloud Audit Logs の概要については、Cloud Audit Logs の概要をご覧ください。監査ログ形式の詳細については、監査ログについてをご覧ください。
利用可能な監査ログ
監査ログのサービス名と監査対象のオペレーションは、登録しているプレビュー プログラムによって異なります。Google SecOps 監査ログでは、次のいずれかのサービス名が使用されます。
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
監査オペレーションでは、プレビュー プログラムに関係なく、書き込まれたすべての監査ログにリソースタイプ audited_resource が使用されます。登録しているプレビュー プログラムによる違いはありません。
サービス名 chronicle.googleapis.com のログ
chronicle.googleapis.com サービス名を使用する Google SecOps 監査ログでは、次のログタイプを使用できます。
詳細については、IAM の Google SecOps 権限をご覧ください。
| 監査ログのタイプ | 説明 |
|---|---|
| 管理アクティビティ監査ログ | メタデータまたは構成情報を書き込む「管理書き込み」オペレーションなどを含みます。このタイプのログを生成する Google SecOps のアクションには、フィードの更新とルールの作成が含まれます。chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| データアクセス監査ログ | メタデータまたは構成情報を読み取る管理読み取りオペレーションが含まれます。ユーザー提供データの読み取りまたは書き込みを行う「データ読み取り」オペレーションと「データ書き込み」オペレーションも含まれます。このタイプのログを生成する Google SecOps のアクションには、フィードの取得とルールのリスト表示が含まれます。chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
サービス名 chronicleservicemanager.googleapis.com のログ
chronicleservicemanager.googleapis.com サービス名を使用して書き込まれた Google SecOps 監査ログは、プロジェクト レベルではなく、組織レベルでのみ使用できます。
chronicleservicemanager.googleapis.com サービス名を使用して書き込まれた Google SecOps 監査ログでは、次のログタイプを使用できます。
| 監査ログのタイプ | 説明 |
|---|---|
| 管理アクティビティ監査ログ | メタデータまたは構成情報を書き込む「管理書き込み」オペレーションなどを含みます。このタイプのログを生成する Google SecOps のアクションには、 Google Cloud 関連付けの作成と Google Cloud ログフィルタの更新が含まれます。chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| データアクセス監査ログ | メタデータまたは構成情報を読み取る管理読み取りオペレーションが含まれます。ユーザー提供データの読み取りまたは書き込みを行う「データ読み取り」オペレーションと「データ書き込み」オペレーションも含まれます。このタイプのログを生成する Google SecOps のアクションには、インスタンスと顧客メタデータのリスト表示が含まれます。chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
サービス名 malachitefrontend-pa.googleapis.com のログ
malachitefrontend-pa.googleapis.com サービス名を使用する Google SecOps 監査ログでは、次のログタイプを使用できます。
Chronicle Frontend API オペレーションは、Google SecOps UI との間でデータを送受信します。Chronicle Frontend API は、主にデータアクセス オペレーションで構成されています。
| 監査ログのタイプ | Google SecOps の運用 |
|---|---|
| 管理アクティビティ監査ログ | UpdateRole や UpdateSubject など、更新関連のアクティビティが含まれます。 |
| データアクセス監査ログ | ListRoles や ListSubjects など、ビュー関連のアクティビティが含まれます。 |
監査ログ形式
監査ログエントリには、次のオブジェクトが含まれます。
ログエントリ自体。
LogEntry型のオブジェクトです。よく使用されるフィールドは次のとおりです。logNameには、リソース ID と監査ログの種類が含まれます。resource: 監査対象オペレーションのターゲットが格納されます。timeStamp: 監査対象オペレーションの時間が格納されます。protoPayload: 監査情報が格納されます。
監査ロギングデータ。ログエントリの
protoPayloadフィールドに保持されるAuditLogオブジェクトです。任意のサービス固有の監査情報。サービス固有のオブジェクトです。古い統合では、このオブジェクトは
AuditLogオブジェクトのserviceDataフィールドに保持されます。新しい統合では、metadataフィールドを使用します。protoPayload.authenticationInfo.principalSubjectフィールドにはユーザー プリンシパルが含まれます。これは、アクションを実行したユーザーを示します。protoPayload.methodNameフィールドには、ユーザーに代わって UI が呼び出した API メソッド名が含まれます。protoPayload.statusフィールドには、API 呼び出しのステータスが含まれます。status値が空の場合は、成功を示します。空でないstatus値は失敗を示し、エラーの説明が含まれます。ステータス コード 7 は権限拒否を示します。chronicle.googleapis.comサービスにはprotoPayload.authorizationInfoフィールドが含まれます。これには、リクエストされたリソースの名前、チェックされた権限名、アクセスが許可されたか拒否されたかが含まれます。
これらのオブジェクトのその他のフィールドと、その解釈方法については、監査ログについてをご覧ください。
次の例は、プロジェクト レベルの管理アクティビティ監査ログとデータアクセス監査ログのログ名を示しています。変数は、プロジェクト ID を表します。 Google Cloud
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
監査ロギングの有効化
chronicle.googleapis.com サービスの監査ロギングを有効にするには、データアクセス監査ログを有効にするをご覧ください。他のサービスの監査ロギングを有効にするには、Google SecOps サポートにお問い合わせください。
監査ログ ストレージ
- Google SecOps 監査ログ: Google SecOps API を有効にした後、 Google Cloud ユーザーが所有するプロジェクトに保存されます。
- 以前の監査ログ(
malachitefrontend-pa.googleapis.comなど):Google Cloud プロジェクトに保存されます。 - 管理アクティビティ監査ログ: 常に有効になっており、無効にすることはできません。これらを表示するには、まず Google SecOps インスタンスを IAM に移行してアクセス制御を行います。
- データアクセス監査ログ: デフォルトで有効になっています。お客様所有のプロジェクトで無効にするには、Google SecOps の担当者にお問い合わせください。Google SecOps は、データアクセス監査ログと管理アクティビティ監査ログをプロジェクトに書き込みます。
検索データを含むようにデータアクセス監査ログを構成する
Google SecOps 監査ログに UDM 検索クエリと未加工ログ検索クエリを入力するには、必要な権限を使用してデータアクセス監査ログの構成を更新します。
- Google Cloud コンソールのナビゲーション パネルで、[IAM と管理] > [監査ログ] を選択します。
- 既存の Google Cloud プロジェクト、フォルダ、または組織を選択します。
- [データアクセス監査ログの構成] で、[Chronicle API] を選択します。
- [権限タイプ] タブで、リストされているすべての権限(管理読み取り、データ読み取り、データ書き込み)を選択します。
- [保存] をクリックします。
- Chronicle Service Manager API について手順 3 ~ 5 を繰り返します。
ログを表示
監査ログを検索して表示するには、 Google Cloud プロジェクト ID を使用します。Google Cloud所有のプロジェクトを使用して構成された malachitefrontend-pa.googleapis.com の以前の監査ロギングについては、Google SecOps サポートからこの情報が提供されます。さらに、resource.type などの他のインデックス付き LogEntry フィールドも指定できます。詳細については、ログエントリの迅速な検索をご覧ください。
Google Cloud コンソールで、ログ エクスプローラを使用して、 Google Cloud プロジェクトの監査ログエントリを取得します。
Google Cloud コンソールで、[ロギング] > [ログ エクスプローラ] ページに移動します。
[ログ エクスプローラ] ページで、既存のGoogle Cloud プロジェクト、フォルダ、または組織を選択します。
[クエリビルダー] ペインで、次の操作を行います。
[リソースタイプ] で、表示する監査ログを含む Google Cloud リソースを選択します。
[ログ名] で、表示する監査ログタイプを選択します。
管理アクティビティ監査ログの場合は、[activity] を選択します。
データアクセス監査ログの場合は、[data_access] を選択します。
これらのオプションが表示されない場合、 Google Cloud プロジェクト、フォルダ、または組織で利用可能なその種類の監査ログは存在しないことを意味します。
ログ エクスプローラを使用したクエリの詳細については、ログクエリのビルドをご覧ください。
監査ログエントリの例と、その中に記録されている最も重要な情報を見つける方法については、監査ログエントリの例をご覧ください。
例: chronicle.googleapis.com サービス名のログ
以降のセクションでは、chronicle.googleapis.com サービス名を使用する Cloud Audit Logs の一般的なユースケースについて説明します。
特定のユーザーが実行したアクションを一覧表示する
特定のユーザーが実行したアクションを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
特定のアクションを行ったユーザーを特定する
検出ルールを更新したユーザーを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
例: cloudresourcemanager.googleapis.com サービス名のログ
アクセス制御ロールまたはサブジェクトを更新したユーザーを検索するには、ログ エクスプローラで次のクエリを実行します。
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
例: malachitefrontend-pa.googleapis.com サービス名のログ
以降のセクションでは、malachitefrontend-pa.googleapis.com サービス名を使用する Cloud Audit Logs の一般的なユースケースについて説明します。
特定のユーザーが実行したアクションを一覧表示する
特定のユーザーが実行したアクションを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
特定のアクションを行ったユーザーを特定する
アクセス制御サブジェクトを更新したユーザーを検索するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
アクセス制御ロールを更新したユーザーを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
検出ルールを更新したユーザーを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
次のステップ
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。