Informações de registro de auditoria do Google SecOps

Compatível com:

Os serviços doGoogle Cloud gravam registros de auditoria para informar quem fez o quê, onde e quando nos recursos do Google Cloud . Nesta página, descrevemos os registros de auditoria criados pelo Google Security Operations e gravados como registros de auditoria do Cloud.

Para uma visão geral dos registros de auditoria do Cloud, consulte este link. Para entender melhor o formato do registro de auditoria, consulte Noções básicas dos registros de auditoria.

Registros de auditoria disponíveis

O nome do serviço de registro de auditoria e as operações auditadas variam de acordo com o programa de prévia a que você está inscrito. Os registros de auditoria do Google SecOps usam um dos seguintes nomes de serviço:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

As operações de auditoria usam o tipo de recurso audited_resource para todos os registros de auditoria gravados, independente do programa de prévia. Não há diferença com base no Programa de testes em que você está inscrito.

Registros com o nome do serviço chronicle.googleapis.com

Os seguintes tipos de registros estão disponíveis para registros de auditoria do Google SecOps com o nome do serviço chronicle.googleapis.com.

Para mais informações, consulte Permissões do Google SecOps no IAM.

Tipo de registro de auditoria Descrição
Registros de auditoria de atividade do administrador Inclui operações de gravação de administrador que gravam metadados ou informações de configuração. As ações no Google SecOps que geram esse tipo de registro incluem a atualização de feeds e a criação de regras.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Registros de auditoria de acesso a dados Inclui operações de leitura do administrador que leem metadados ou informações de configuração. Também inclui operações de leitura de dados e gravação de dados que leem ou gravam dados fornecidos pelo usuário. As ações no Google SecOps que geram esse tipo de registro incluem receber feeds e listar regras.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Registros com o nome do serviço chronicleservicemanager.googleapis.com

Os registros de auditoria do Google SecOps gravados usando o nome de serviço chronicleservicemanager.googleapis.com estão disponíveis apenas no nível da organização, não no nível do projeto.

Os seguintes tipos de registros estão disponíveis para registros de auditoria do Google SecOps gravados usando o nome do serviço chronicleservicemanager.googleapis.com.

Tipo de registro de auditoria Descrição
Registros de auditoria de atividade do administrador Inclui operações de gravação de administrador que gravam metadados ou informações de configuração. As ações no Google SecOps que geram esse tipo de registro incluem a criação de uma associação Google Cloud e a atualização de filtros de registro Google Cloud .

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Registros de auditoria de acesso a dados Inclui operações de leitura do administrador que leem metadados ou informações de configuração. Também inclui operações de leitura de dados e gravação de dados que leem ou gravam dados fornecidos pelo usuário. As ações no Google SecOps que geram esse tipo de registro incluem listar instâncias e metadados do cliente.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Registros com o nome do serviço malachitefrontend-pa.googleapis.com

Os seguintes tipos de registros estão disponíveis para registros de auditoria do Google SecOps com o nome do serviço malachitefrontend-pa.googleapis.com.

As operações da API de front-end do Chronicle fornecem dados para e da interface do Google SecOps. A API de front-end do Chronicle consiste basicamente em operações de acesso a dados.

Tipo de registro de auditoria Operações do Google SecOps
Registros de auditoria de atividade do administrador Inclui atividades relacionadas a atualizações, como UpdateRole e UpdateSubject.
Registros de auditoria de acesso a dados Inclui atividades relacionadas a visualizações, como ListRoles e ListSubjects.

Formato do registro de auditoria

As entradas de registro de auditoria incluem os seguintes objetos:

  • A própria entrada de registro, que é um objeto do tipo LogEntry. Os campos úteis incluem:

    • logName contém o ID do recurso e o tipo de registro de auditoria.
    • resource contém o destino da operação auditada.
    • timeStamp contém o horário da operação auditada.
    • protoPayload contém as informações auditadas.

  • Os dados de registro de auditoria, que são um objeto AuditLog localizado no campo protoPayload da entrada de registro.

  • Informações de auditoria opcionais e específicas do serviço, que são um objeto específico do serviço. Para integrações mais antigas, esse objeto é mantido no campo serviceData do objeto AuditLog. As integrações mais recentes usam o campo metadata.

  • O campo protoPayload.authenticationInfo.principalSubject contém o principal do usuário. Isso indica quem realizou a ação.

  • O campo protoPayload.methodName contém o nome do método de API invocado pela UI em nome do usuário.

  • O campo protoPayload.status contém o status da chamada de API. Um valor status vazio indica sucesso. Um valor status não vazio indica falha e contém uma descrição do erro. O código de status 7 indica permissão negada.

  • O serviço chronicle.googleapis.com inclui o campo protoPayload.authorizationInfo. Ele contém o nome do recurso solicitado, o nome da permissão verificada e se o acesso foi concedido ou negado.

Para ver outros campos nesses objetos e saber como interpretá-los, consulte Noções básicas sobre registros de auditoria.

O exemplo a seguir mostra os nomes dos registros de auditoria de atividade do administrador e de acesso a dados no nível do projeto. As variáveis indicam identificadores de projeto Google Cloud .

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ativar registros de auditoria

Para ativar o registro de auditoria do serviço chronicle.googleapis.com, consulte Ativar registros de auditoria de acesso a dados. Para ativar a geração de registros de auditoria para outros serviços, entre em contato com o suporte do Google SecOps.

Armazenamento de registros de auditoria

  • Registros de auditoria do Google SecOps: armazenados em um projeto Google Cloud de sua propriedade depois que você ativa a API Google SecOps.
  • Registros de auditoria legados (incluindo malachitefrontend-pa.googleapis.com): armazenados em um projetoGoogle Cloud .
  • Registros de auditoria de atividade do administrador: sempre ativados e não podem ser desativados. Para conferir, primeiro migre sua instância do Google SecOps para o IAM para controle de acesso.
  • Registros de auditoria de acesso a dados: ativados por padrão. Para desativar no projeto de propriedade do cliente, entre em contato com seu representante do Google SecOps. O Google SecOps grava registros de auditoria de acesso a dados e atividade do administrador no projeto.

Configure os registros de auditoria de acesso a dados para incluir os dados de pesquisa

Para preencher as consultas de pesquisa de UDM e de registros brutos nos registros de auditoria do Google SecOps, atualize a configuração dos registros de auditoria de acesso a dados com as permissões necessárias.

  1. No painel de navegação do console Google Cloud , selecione IAM e administrador > Registros de auditoria.
  2. Selecione um projeto, uma pasta ou uma organização Google Cloud .
  3. Em Configuração dos registros de auditoria de acesso a dados, selecione API Chronicle.
  4. Na guia Tipos de permissão, selecione todas as permissões listadas (Leitura de administrador, Leitura de dados, Gravação de dados).
  5. Clique em Salvar.
  6. Repita as etapas 3 a 5 para a API Chronicle Service Manager.

Ver registros

Para encontrar e ver os registros de auditoria, use o ID do projeto Google Cloud . Para o registro de auditoria legado de malachitefrontend-pa.googleapis.com configurado usando um projeto de propriedade deGoogle Cloud, o suporte do Google SecOps forneceu essas informações. É possível especificar outros campos LogEntry indexados, como resource.type. Para mais informações, consulte Encontrar entradas de registro rapidamente.

No console Google Cloud , use a Análise de registros para recuperar as entradas de registro de auditoria do projeto Google Cloud :

  1. No console do Google Cloud , acesse a página Logging > Explorador de registros.

    Acessar o Explorador de registros

  2. Na página Explorador de registros, selecione um Google Cloud projeto, pasta ou organização.

  3. No painel Criador de consultas, faça o seguinte:

    • Em Tipo de recurso, selecione o recurso do Google Cloud com os registros de auditoria que você quer ver.

    • Em Nome do registro, selecione o tipo de registro de auditoria que você quer ver:

    • Para os registros de auditoria da atividade do administrador, selecione Atividade.

    • Para os registros de auditoria de acesso a dados, selecione data_access.

    Se você não encontrar essas opções, isso significa que não há registros de auditoria desse tipo disponíveis no Google Cloud projeto, na pasta ou na organização.

    Para mais informações sobre como consultar usando o Explorador de registros, consulte Criar consultas de registros.

Para um exemplo de entrada de registro de auditoria e como encontrar as informações mais importantes, consulte Exemplo de entrada de registro de auditoria.

Exemplos: registros do nome do serviço chronicle.googleapis.com

As seções a seguir descrevem casos de uso comuns dos registros de auditoria do Cloud que usam o nome do serviço chronicle.googleapis.com.

Como listar ações realizadas por um usuário específico

Para encontrar as ações realizadas por um determinado usuário, execute a seguinte consulta no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar usuários que realizaram uma ação específica

Para encontrar os usuários que atualizaram uma regra de detecção, execute a seguinte consulta no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Exemplo: registro do nome do serviço cloudresourcemanager.googleapis.com

Para encontrar os usuários que atualizaram uma função ou um assunto de controle de acesso, execute a consulta a seguir na Análise de registros:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Exemplos: registros do nome do serviço malachitefrontend-pa.googleapis.com

As seções a seguir descrevem casos de uso comuns dos registros de auditoria do Cloud que usam o nome do serviço malachitefrontend-pa.googleapis.com.

Como listar ações realizadas por um usuário específico

Para encontrar as ações realizadas por um determinado usuário, execute a seguinte consulta no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar usuários que realizaram uma ação específica

Para encontrar os usuários que atualizaram um assunto de controle de acesso, execute a seguinte consulta no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Para encontrar os usuários que atualizaram uma função de controle de acesso, execute a seguinte consulta no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Para encontrar os usuários que atualizaram uma regra de detecção, execute a seguinte consulta no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

A seguir

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.