Audit log di Google SecOps

Supportato in:

Google Cloud I serviziscrivono gli audit log per aiutarti a sapere chi ha fatto cosa, dove e quando all'interno delle tue Google Cloud risorse. In questa pagina sono descritti gli audit log creati da Google Security Operations e scritti come audit log di Cloud.

Per una panoramica generale di Cloud Audit Logs, consulta Cloud Audit Logs overview. Per informazioni più approfondite sul formato degli audit log, consulta Informazioni sugli audit log.

Audit log disponibili

Il nome del servizio di audit log e le operazioni sottoposte ad audit variano a seconda del programma di anteprima a cui hai eseguito la registrazione. Gli audit log di Google SecOps utilizzano uno dei seguenti nomi di servizio:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Le operazioni di audit utilizzano il tipo di risorsa audited_resource per tutti gli audit log scritti, indipendentemente dal programma di anteprima. Non ci sono differenze in base al programma di anteprima a cui hai eseguito la registrazione.

Log con il nome del servizio chronicle.googleapis.com

Per gli audit log di Google SecOps con il nome del servizio chronicle.googleapis.com sono disponibili i seguenti tipi di log.

Per ulteriori informazioni, consulta Autorizzazioni di Google SecOps in IAM.

Tipo di audit log Descrizione
Audit log delle attività di amministrazione Include le operazioni admin write che scrivono i metadati o le informazioni di configurazione. Le azioni in Google SecOps che generano questo tipo di log includono l'aggiornamento dei feed e la creazione di regole.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Audit log degli accessi ai dati Include le operazioni admin read che leggono i metadati o le informazioni di configurazione. Include anche le operazioni data read e data write che leggono o scrivono i dati forniti dall'utente. Le azioni in Google SecOps che generano questo tipo di log includono l'ottenimento dei feed e l'elenco delle regole. Attiva l'impostazione data read per il tuo Google Cloud progetto per registrare le query di ricerca SIEM eseguite dagli utenti.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Log con il nome del servizio chronicleservicemanager.googleapis.com

Gli audit log di Google SecOps scritti utilizzando il nome del servizio chronicleservicemanager.googleapis.com sono disponibili solo a livello di organizzazione, non a livello di progetto.

Per gli audit log di Google SecOps scritti utilizzando il nome del servizio chronicleservicemanager.googleapis.com sono disponibili i seguenti tipi di log.

Tipo di audit log Descrizione
Audit log delle attività di amministrazione Include le operazioni admin write che scrivono i metadati o le informazioni di configurazione. Le azioni in Google SecOps che generano questo tipo di log includono la creazione di un' Google Cloud associazione e l'aggiornamento dei Google Cloud filtri dei log.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Audit log degli accessi ai dati Include le operazioni admin read che leggono i metadati o le informazioni di configurazione. Include anche le operazioni data read e data write che leggono o scrivono i dati forniti dall'utente. Le azioni in Google SecOps che generano questo tipo di log includono l'elenco delle istanze e dei metadati dei clienti.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Log con il nome del servizio malachitefrontend-pa.googleapis.com

Per gli audit log di Google SecOps con il nome del servizio malachitefrontend-pa.googleapis.com sono disponibili i seguenti tipi di log.

Le operazioni dell'API Chronicle Frontend forniscono dati da e verso l'interfaccia utente di Google SecOps. L'API Chronicle Frontend è costituita principalmente da operazioni di accesso ai dati.

Tipo di audit log Operazioni di Google SecOps
Audit log delle attività di amministrazione Include le attività correlate all'aggiornamento, come UpdateRole e UpdateSubject.
Audit log degli accessi ai dati Include le attività correlate alla visualizzazione, come ListRoles e ListSubjects.

Formato degli audit log

Le voci degli audit log includono i seguenti oggetti:

  • La voce di log stessa, che è un oggetto di tipo LogEntry. I campi utili includono i seguenti:

    • logName contiene l'ID risorsa e il tipo di audit log.
    • resource contiene il target dell'operazione sottoposta ad audit.
    • timeStamp contiene l'ora dell'operazione sottoposta ad audit.
    • protoPayload contiene le informazioni sottoposte ad audit.

  • I dati di audit logging, che sono un AuditLog oggetto contenuto nel campo protoPayload della voce di log.

  • Informazioni di audit facoltative e specifiche del servizio, che sono un oggetto specifico del servizio. Per le integrazioni precedenti, questo oggetto è contenuto nel campo serviceData dell'oggetto AuditLog; le integrazioni più recenti utilizzano il campo metadata.

  • Il campo protoPayload.authenticationInfo.principalSubject contiene il principale dell'utente. Indica chi ha eseguito l'azione.

  • Il campo protoPayload.methodName contiene il nome del metodo API richiamato dall'interfaccia utente per conto dell'utente.

  • Il campo protoPayload.status contiene lo stato della chiamata API. Un valore status vuoto indica che l'operazione è riuscita. Un valore status non vuoto indica che l'operazione non è riuscita e contiene una descrizione dell'errore. Il codice di stato 7 indica che l'autorizzazione è stata negata.

  • Il servizio chronicle.googleapis.com include il campo protoPayload.authorizationInfo. Contiene il nome della risorsa richiesta, il nome dell'autorizzazione verificata e se l'accesso è stato concesso o negato.

Per informazioni sugli altri campi in questi oggetti e su come interpretarli, consulta Informazioni sugli audit log.

L'esempio seguente mostra i nomi dei log per gli audit log delle attività di amministrazione e gli audit log degli accessi ai dati a livello di progetto. Le variabili indicano gli identificatori del progetto. Google Cloud 

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Attivazione degli audit log

Per attivare gli audit log per il servizio chronicle.googleapis.com, consulta Attivare gli audit log degli accessi ai dati. Per attivare gli audit log per altri servizi, contatta l'assistenza Google SecOps.

Archiviazione degli audit log

  • Audit log di Google SecOps: archiviati in un Google Cloud progetto di proprietà di tua dopo aver attivato l'API Google SecOps.
  • Audit log legacy (incluso malachitefrontend-pa.googleapis.com): archiviati in un Google Cloud progetto.
  • Audit log delle attività di amministrazione: sempre attivati e non possono essere disattivati. Per visualizzarli, esegui prima la migrazione dell'istanza di Google SecOps a IAM per il controllo dell'accesso.
  • Audit log degli accessi ai dati: attivati per impostazione predefinita. Per disattivarli nel progetto di proprietà del cliente, contatta il tuo rappresentante Google SecOps. Google SecOps scrive gli audit log degli accessi ai dati e delle attività di amministrazione nel progetto.

Configurare gli audit log degli accessi ai dati in modo da includere i dati di ricerca

Per popolare le query di ricerca UDM e di ricerca dei log non elaborati negli audit log di Google SecOps, aggiorna la configurazione degli audit log degli accessi ai dati con le autorizzazioni necessarie.

  1. Nel pannello di navigazione della Google Cloud console, seleziona IAM e amministrazione > Log di controllo.
  2. Seleziona un progetto, una cartella o un'organizzazioneesistente Google Cloud .
  3. In Configurazione degli audit log degli accessi ai dati, seleziona API Chronicle.
  4. Nella scheda Tipi di autorizzazione, seleziona tutte le autorizzazioni elencate (Lettura amministratore, Lettura dati, Scrittura dati).
  5. Fai clic su Salva.
  6. Ripeti i passaggi da 3 a 5 per l'API Chronicle Service Manager.

Visualizza i log

Per trovare e visualizzare gli audit log, utilizza l' Google Cloud ID progetto. Per l'audit logging legacy di malachitefrontend-pa.googleapis.com configurato utilizzando un progetto di proprietà diGoogle Cloud, l'assistenza Google SecOps ti ha fornito queste informazioni. Puoi specificare ulteriormente altri campi indicizzati LogEntry, come resource.type. Per ulteriori informazioni, consulta Trovare rapidamente le voci di log.

Nella Google Cloud console, utilizza Esplora log per recuperare le voci di audit log per il Google Cloud progetto:

  1. Nella Google Cloud console, vai alla pagina Logging > Esplora log.

    Vai a Esplora log

  2. Nella pagina Esplora log , seleziona un Google Cloud progetto, una cartella o un'organizzazione esistente.

  3. Nel riquadro Query Builder, procedi nel seguente modo:

    • In Tipo di risorsa seleziona la Google Cloud risorsa di cui vuoi visualizzare gli audit log.

    • In Nome log seleziona il tipo di audit log che vuoi visualizzare:

    • Per gli audit log Attività di amministrazione, seleziona activity.

    • Per gli audit log Accesso ai dati, seleziona data_access.

    Se non vedi queste opzioni, significa che non sono disponibili audit log di questo tipo in the Google Cloud progetto, nella cartella o nell'organizzazione.

    Per saperne di più sull'esecuzione di query utilizzando Esplora log, consulta Creare query di log.

Per un esempio di voce di log di controllo e su come trovare le informazioni più importanti, consulta Esempio di voce di log di controllo.

Esempi: log del nome del servizio chronicle.googleapis.com

Le sezioni seguenti descrivono i casi d'uso comuni per Cloud Audit Logs che utilizzano il nome del servizio chronicle.googleapis.com.

Elenco delle azioni intraprese da un utente specifico

Per trovare le azioni intraprese da un determinato utente, esegui la seguente query in Esplora log:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificazione degli utenti che hanno intrapreso un'azione specifica

Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui la seguente query in Esplora log:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Esempio: log del nome del servizio cloudresourcemanager.googleapis.com

Per trovare gli utenti che hanno aggiornato un ruolo o un soggetto di controllo dell'accesso, esegui la seguente query in Esplora log:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Esempi: log del nome del servizio malachitefrontend-pa.googleapis.com

Le sezioni seguenti descrivono i casi d'uso comuni per Cloud Audit Logs che utilizzano il nome del servizio malachitefrontend-pa.googleapis.com.

Elenco delle azioni intraprese da un utente specifico

Per trovare le azioni intraprese da un determinato utente, esegui la seguente query in Esplora log:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificazione degli utenti che hanno intrapreso un'azione specifica

Per trovare gli utenti che hanno aggiornato un soggetto di controllo dell'accesso, esegui la seguente query in Esplora log:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Per trovare gli utenti che hanno aggiornato un ruolo di controllo dell'accesso, esegui la seguente query in Esplora log:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui la seguente query in Esplora log:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

Passaggi successivi

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.