Google SecOps 稽核記錄資訊
Google Cloud 服務會寫入稽核記錄,協助您瞭解 Google Cloud 資源中「從事活動的人員、內容、地點及時間」。本頁說明 Google Security Operations 建立的稽核記錄,該記錄會寫入 Cloud 稽核記錄。
如需 Cloud 稽核記錄的概要總覽,請參閱 Cloud 稽核記錄總覽。如要深入瞭解稽核記錄格式,請參閱「瞭解稽核記錄」。
可用的稽核記錄
稽核記錄服務名稱和稽核作業會因您加入的搶先版計畫而異。Google SecOps 稽核記錄會使用下列其中一個服務名稱:
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
無論預先發布計畫為何,稽核作業一律使用 audited_resource 資源類型,將所有稽核記錄寫入稽核記錄。無論加入哪個搶先體驗計畫,都不會有任何差異。
服務名稱為「chronicle.googleapis.com」的記錄
Google SecOps 稽核記錄可使用下列記錄類型,服務名稱為 chronicle.googleapis.com。
詳情請參閱「IAM 中的 Google SecOps 權限」。
| 稽核記錄類型 | 說明 |
|---|---|
| 管理員活動稽核記錄 | 包括寫入中繼資料或設定資訊的管理員寫入作業。在 Google SecOps 中,更新動態饋給和建立規則等動作都會產生這類記錄。chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| 資料存取稽核記錄 | 包括讀取中繼資料或設定資訊的管理員讀取作業。也包括讀取或寫入使用者提供資料的「資料讀取」和「資料寫入」作業。在 Google SecOps 中,產生這類記錄的動作包括取得動態饋給和列出規則。chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
服務名稱為「chronicleservicemanager.googleapis.com」的記錄
使用 chronicleservicemanager.googleapis.com 服務名稱寫入的 Google SecOps 稽核記錄僅適用於機構層級,不適用於專案層級。
使用 chronicleservicemanager.googleapis.com 服務名稱寫入的 Google SecOps 稽核記錄,可使用下列記錄類型。
| 稽核記錄類型 | 說明 |
|---|---|
| 管理員活動稽核記錄 | 包括寫入中繼資料或設定資訊的管理員寫入作業。在 Google SecOps 中,建立 Google Cloud 關聯 Google Cloud 和更新記錄篩選器等動作,都會產生這類記錄。chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| 資料存取稽核記錄 | 包括讀取中繼資料或設定資訊的管理員讀取作業。也包括讀取或寫入使用者提供資料的「資料讀取」和「資料寫入」作業。在 Google SecOps 中,列出執行個體和客戶中繼資料等動作會產生這類記錄。chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
服務名稱為「malachitefrontend-pa.googleapis.com」的記錄
Google SecOps 稽核記錄可使用下列記錄類型,服務名稱為 malachitefrontend-pa.googleapis.com。
Chronicle Frontend API 作業會提供 Google SecOps 使用者介面所需的資料。Chronicle Frontend API 主要包含資料存取作業。
| 稽核記錄類型 | Google SecOps 作業 |
|---|---|
| 管理員活動稽核記錄 | 包括更新相關活動,例如 UpdateRole 和 UpdateSubject。 |
| 資料存取稽核記錄 | 包括與觀看相關的活動,例如 ListRoles 和 ListSubjects。 |
稽核記錄格式
稽核記錄項目包含下列物件:
記錄項目本身,屬於
LogEntry類型的物件。實用的欄位包括:logName,包含資源 ID 和稽核記錄類型。resource,包含稽核作業的目標。timeStamp,包含稽核作業的時間。protoPayload,包含稽核的資訊。
稽核記錄資料,這是儲存在記錄項目
protoPayload欄位中的AuditLog物件。選用的服務專屬稽核資訊,這是服務專屬物件。如果是較舊的整合,這個物件會保留在
AuditLog物件的serviceData欄位中;較新的整合則會使用metadata欄位。protoPayload.authenticationInfo.principalSubject欄位包含使用者主體。這表示執行動作的人員。protoPayload.methodName欄位包含 UI 代表使用者呼叫的 API 方法名稱。protoPayload.status欄位包含 API 呼叫的狀態。如果status值為空,表示成功。如果status值不是空白,表示失敗,且包含錯誤說明。狀態碼 7 表示權限遭拒。chronicle.googleapis.com服務包含protoPayload.authorizationInfo欄位。其中包含所要求資源的名稱、檢查的權限名稱,以及是否授予或拒絕存取權。
如要瞭解這些物件中的其他欄位,以及如何解讀這些資料,請參閱「瞭解稽核記錄」一文。
以下範例顯示專案層級管理員活動稽核記錄和資料存取稽核記錄的記錄名稱。變數表示 Google Cloud 專案 ID。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
啟用稽核記錄
如要為 chronicle.googleapis.com 服務啟用稽核記錄,請參閱「啟用資料存取稽核記錄」。如要啟用其他服務的稽核記錄,請與 Google SecOps 支援團隊聯絡。
稽核記錄儲存空間
- Google SecOps 稽核記錄:啟用 Google SecOps API 後,會儲存在您擁有的專案中。 Google Cloud
- 舊版稽核記錄 (包括
malachitefrontend-pa.googleapis.com):儲存在Google Cloud 專案中。 - 管理員活動稽核記錄:一律啟用,且無法停用。如要查看這些記錄,請先將 Google SecOps 執行個體遷移至 IAM,以控管存取權。
- 資料存取稽核記錄:預設為啟用。如要在客戶擁有的專案中停用這項功能,請與 Google SecOps 代表聯絡。Google SecOps 會將資料存取和管理員活動稽核記錄寫入專案。
設定資料存取稽核記錄,納入搜尋資料
如要在 Google SecOps 稽核記錄中填入 UDM 搜尋和原始記錄搜尋查詢,請更新資料存取稽核記錄設定,並授予必要權限。
- 在 Google Cloud 控制台的導覽面板中,依序選取「IAM 與管理」>「稽核記錄」。
- 選取現有的 Google Cloud 專案、資料夾或機構。
- 在「資料存取稽核記錄設定」中,選取「Chronicle API」。
- 在「權限類型」分頁中,選取所有列出的權限 (管理員讀取、資料讀取、資料寫入)。
- 按一下 [儲存]。
- 針對 Chronicle Service Manager API 重複步驟 3 至 5。
查看記錄
如要尋找及查看稽核記錄,請使用 Google Cloud 專案 ID。如要瞭解如何使用Google Cloud擁有的專案設定 malachitefrontend-pa.googleapis.com 的舊版稽核記錄,請參閱 Google SecOps 支援團隊提供的資訊。您可以進一步指定其他編入索引的LogEntry欄位,例如 resource.type。詳情請參閱「快速尋找記錄項目」一文。
在 Google Cloud 控制台中,使用 Logs Explorer 擷取 Google Cloud 專案的稽核記錄項目:
前往 Google Cloud 控制台的「記錄」>「記錄檔探索工具」頁面。
在「記錄檢視器」頁面中,選取現有的Google Cloud 專案、資料夾或機構。
在「查詢建立工具」窗格中,執行下列操作:
在「資源類型」中,選取要查看稽核記錄的資源 Google Cloud 。
在「記錄名稱」中,選取要查看的稽核記錄類型:
如要查看管理員活動稽核記錄,請選取「activity」。
如要查看資料存取稽核記錄,請選取「data_access」data_access。
如果沒有看到這些選項,表示 Google Cloud 專案、資料夾或機構中沒有這類型的稽核記錄。
如要進一步瞭解如何使用記錄檔探索工具查詢,請參閱「建構記錄查詢」。
如需稽核記錄項目範例,並瞭解如何找出其中最重要的資訊,請參閱稽核記錄項目範例。
範例:chronicle.googleapis.com服務名稱記錄
以下各節說明使用 chronicle.googleapis.com 服務名稱的 Cloud 稽核記錄常見用途。
列出特定使用者採取的動作
如要找出特定使用者執行的動作,請在記錄檔探索工具中執行下列查詢:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
找出採取特定動作的使用者
如要找出更新偵測規則的使用者,請在「記錄檔探索工具」中執行下列查詢:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
範例:cloudresourcemanager.googleapis.com 服務名稱記錄
如要找出更新存取控制角色或主體的使用者,請在記錄檔探索工具中執行下列查詢:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
範例:malachitefrontend-pa.googleapis.com服務名稱記錄
以下各節說明使用 malachitefrontend-pa.googleapis.com 服務名稱的 Cloud 稽核記錄常見用途。
列出特定使用者採取的動作
如要找出特定使用者執行的動作,請在記錄檔探索工具中執行下列查詢:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
找出採取特定動作的使用者
如要找出更新存取控制主體的使用者,請在記錄檔探索工具中執行下列查詢:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
如要找出更新存取控制角色的使用者,請在記錄檔探索工具中執行下列查詢:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
如要找出更新偵測規則的使用者,請在「記錄檔探索工具」中執行下列查詢:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
後續步驟
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。