יומני ביקורת של Google SecOps

נתמך ב:

שירותיGoogle Cloud כותבים יומני ביקורת כדי לעזור לכם להבין מי עשה מה, איפה ומתי במשאבי Google Cloud . בדף הזה מתוארים יומני הביקורת שנוצרים על ידי Google Security Operations ונכתבים כיומני ביקורת של Cloud.

לפרטים נוספים, ראו סקירה כללית על יומני הביקורת של Cloud. להבנה עמוקה יותר של הפורמט של יומני הביקורת, קראו את המאמר הסבר על יומני הביקורת.

יומני הביקורת הזמינים

שם השירות של יומן הביקורת והפעולות שנבדקות שונים בהתאם לתוכנית התכונות החדשות שבה אתם רשומים. יומני הביקורת של Google SecOps משתמשים באחד משמות השירותים הבאים:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

פעולות הביקורת משתמשות בסוג המשאב audited_resource בכל יומני הביקורת שנכתבים, ללא קשר לתוכנית התצוגה המקדימה. אין הבדל בין התוכניות השונות לקבלת תצוגות מקדימות.

יומנים עם שם השירות chronicle.googleapis.com

אלה סוגי היומנים שזמינים ליומני ביקורת של Google SecOps עם שם השירות chronicle.googleapis.com.

למידע נוסף, אפשר לעיין במאמר בנושא הרשאות Google SecOps ב-IAM.

סוג יומן הביקורת תיאור
יומני הביקורת Admin Activity כוללים רישום של פעולות במסגרת ההרשאה admin write, שבהן נכתב מידע במטא-נתונים או בהגדרות. פעולות ב-Google SecOps שמייצרות יומן מהסוג הזה כוללות עדכון פידים ויצירת כללים.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
יומני הביקורת Data Access כוללים פעולות admin read שקוראות מטא-נתונים או מידע על ההגדרות. כוללים גם פעולות data read ו-data write שקוראות או כותבות נתונים שהמשתמשים סיפקו. פעולות ב-Google SecOps שמייצרות את סוג היומן הזה כוללות קבלת פידים ורישום כללים. כדי לתעד שאילתות חיפוש ב-SIEM שהמשתמשים מריצים, צריך להפעיל את ההגדרה data read בפרויקט Google Cloud .

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

יומנים עם שם השירות chronicleservicemanager.googleapis.com

יומני הביקורת של Google SecOps שנכתבים באמצעות שם השירות chronicleservicemanager.googleapis.com זמינים רק ברמת הארגון, ולא ברמת הפרויקט.

אלה סוגי היומנים שזמינים ביומני הביקורת של Google SecOps שנכתבים באמצעות שם השירות chronicleservicemanager.googleapis.com.

סוג יומן הביקורת תיאור
יומני הביקורת Admin Activity כוללים רישום של פעולות במסגרת הרשאת admin write, שבהן נכתב מידע במטא-נתונים או בהגדרות. פעולות ב-Google SecOps שמייצרות יומן מהסוג הזה כוללות יצירה של Google Cloud Association ועדכון של Google Cloud מסנני יומן.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
יומני הביקורת Data Access כוללים רישום של פעולות במסגרת הרשאת admin read, שבהן נקרא מידע ממטא-נתונים או מהגדרות. היומנים כוללים גם פעולות במסגרת ההרשאות data read ו-data write, שבהן נקראים או נכתבים נתונים שהמשתמשים סיפקו. פעולות ב-Google SecOps שמייצרות יומן מהסוג הזה כוללות רישום של מופעים ומטא-נתונים של לקוחות.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

יומנים עם שם השירות malachitefrontend-pa.googleapis.com

אלה סוגי היומנים שזמינים ליומני ביקורת של Google SecOps עם שם השירות malachitefrontend-pa.googleapis.com.

פעולות של Chronicle Frontend API מספקות נתונים לממשק המשתמש של Google SecOps וממנו. באופן כללי, Chronicle Frontend API מורכב מפעולות של גישה לנתונים.

סוג יומן הביקורת פעולות של Google SecOps
יומני הביקורת Admin Activity כולל פעילות שקשורה לעדכונים, כמו UpdateRole ו-UpdateSubject.
יומני הביקורת Data Access כולל פעילות שקשורה לצפייה, כמו ListRoles וListSubjects.

הפורמט של יומן הביקורת

הרשומות ביומן הביקורת כוללות את האובייקטים הבאים:

  • הרשומה עצמה ביומן, שהיא אובייקט מסוג LogEntry. אלה כמה מהשדות השימושיים ברשומה:

    • השדה logName מכיל את מזהה המשאב ואת סוג יומן הביקורת.
    • השדה resource מכיל את היעד של הפעולה המבוקרת.
    • השדה timeStamp מכיל את השעה של הפעולה המבוקרת.
    • השדה protoPayload מכיל את המידע המבוקר.

  • אובייקט מסוג AuditLog ששמור בשדה protoPayload של הרשומה ביומן, ומכיל את הנתונים של יומני הביקורת.

  • אובייקט ספציפי לשירות שמכיל מידע אופציונלי על ביקורת ספציפית לשירות. בשילובים ישנים יותר, האובייקט הזה נשמר בשדה serviceData של האובייקט AuditLog. בשילובים חדשים יותר נעשה שימוש בשדה metadata.

  • השדה protoPayload.authenticationInfo.principalSubject מכיל את שם המשתמש. העמודה הזו מציינת מי ביצע את הפעולה.

  • השדה protoPayload.methodName מכיל את שם ה-method של ה-API שהופעל על ידי ממשק המשתמש בשם המשתמש.

  • השדה protoPayload.status מכיל את הסטטוס של הקריאה ל-API. ערך ריק של status מציין שהפעולה בוצעה בהצלחה. ערך לא ריק של status מציין כשל ומכיל תיאור של השגיאה. קוד סטטוס 7 מציין שההרשאה נדחתה.

  • השירות chronicle.googleapis.com כולל את השדה protoPayload.authorizationInfo. השדה הזה מכיל את שם המשאב המבוקש, את שם ההרשאה שנבדקה ואת התשובה לשאלה אם הגישה אושרה או נדחתה.

למידע על שדות אחרים באובייקטים האלה ואיך לפרש אותם, קראו את המאמר הסבר על יומני הביקורת.

בדוגמה הבאה מוצגים שמות של יומנים של יומני ביקורת של פעילות אדמין ויומני ביקורת של גישה לנתונים ברמת הפרויקט. המשתנים מציינים את מזהי הפרויקט. Google Cloud 

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

הפעלת הרישום ביומן הביקורת

כדי להפעיל יומני ביקורת בשירות chronicle.googleapis.com, קראו את המאמר בנושא הפעלת יומני ביקורת לגבי גישה לנתונים. כדי להפעיל יומני ביקורת בשירותים אחרים, צריך לפנות אל צוות התמיכה של Google SecOps.

אחסון של יומני ביקורת

  • יומני ביקורת של Google SecOps: מאוחסנים ב Google Cloud פרויקט שבבעלותכם אחרי הפעלת Google SecOps API.
  • יומני ביקורת מדור קודם (כולל malachitefrontend-pa.googleapis.com): מאוחסנים בפרויקט malachitefrontend-pa.googleapis.com.Google Cloud
  • יומני הביקורת Admin Activity: תמיד מופעלים ואי אפשר להשבית אותם. כדי לראות אותם, צריך קודם להעביר את מופע Google SecOps ל-IAM לצורך בקרת גישה.
  • יומני ביקורת של גישה לנתונים: מופעלים כברירת מחדל. כדי להשבית את התכונה בפרויקט בבעלות הלקוח, צריך לפנות לנציג Google SecOps. ‫Google SecOps כותב את יומני הביקורת של גישה לנתונים ופעילות אדמין לפרויקט.

הגדרת יומני הביקורת Data Access כך שיכללו את נתוני החיפוש

כדי לאכלס את שאילתות החיפוש ב-UDM ואת שאילתות החיפוש ביומן הגולמי ביומני הביקורת של Google SecOps, צריך לעדכן את ההגדרות של יומני הביקורת של גישה לנתונים עם ההרשאות הנדרשות.

  1. בחלונית הניווט של מסוף Google Cloud , בוחרים באפשרות IAM & Admin (ניהול הרשאות גישה) > Audit Logs (יומני ביקורת).
  2. בוחרים פרויקט, תיקייה או ארגון קיימים ב- Google Cloud .
  3. בקטע Data Access audit logs configuration (הגדרת יומני ביקורת של גישה לנתונים), בוחרים באפשרות Chronicle API.
  4. בכרטיסייה Permission Types (סוגי הרשאות), בוחרים את כל ההרשאות שמופיעות ברשימה (Admin Read (קריאת נתוני ניהול), Data Read (קריאת נתונים), Data Write (כתיבת נתונים)).
  5. לוחצים על Save.
  6. חוזרים על שלבים 3 עד 5 עבור Chronicle Service Manager API.

צפייה ביומנים

כדי למצוא יומני ביקורת ולהציג אותם, משתמשים Google Cloud במזהה הפרויקט. אם הגדרתם רישום ביומן ביקורת מדור קודם של malachitefrontend-pa.googleapis.com באמצעות פרויקט בבעלותGoogle Cloud, צוות התמיכה של Google SecOps סיפק לכם את המידע הזה. תוכלו להוסיף לשאילתה עוד שדות מסוג LogEntry שנוספו לאינדקס, כמו resource.type. מידע נוסף זמין במאמר בנושא חיפוש מהיר של רשומות ביומן.

במסוף Google Cloud , משתמשים ב-Logs Explorer כדי לאחזר את הרשומות ביומן הביקורת של הפרויקט Google Cloud :

  1. במסוף Google Cloud , נכנסים לדף Logging > Logs Explorer.

    כניסה לדף Logs Explorer

  2. בדף Logs Explorer, בוחרים פרויקט, תיקייה או ארגון קיימים ב-Google Cloud .

  3. בחלונית Query builder:

    • בקטע Resource type, בוחרים את המשאב Google Cloud שרוצים לראות את יומני הביקורת שלו.

    • בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:

    • ליומני הביקורת Admin Activity בוחרים באפשרות activity.

    • ליומני הביקורת Data Access בוחרים באפשרות data_access.

    אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג ב Google Cloud פרויקט, בתיקייה או בארגון.

    מידע נוסף על שליחת שאילתות באמצעות Logs Explorer מופיע במאמר יצירת שאילתות ביומן.

דוגמה לרשומה ביומן הביקורת והסבר על איתור המידע החשוב ביותר שמופיע בה זמינים במאמר דוגמה לרשומה ביומן הביקורת.

דוגמאות: יומנים של שם השירות chronicle.googleapis.com

בקטעים הבאים מפורטים תרחישים נפוצים לדוגמה של Cloud Audit Logs שמשתמשים בשם השירות chronicle.googleapis.com.

הצגת הפעולות שבוצעו על ידי משתמש ספציפי

כדי למצוא את הפעולות שבוצעו על ידי משתמש מסוים, מריצים את השאילתה הבאה ב-Logs Explorer:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

זיהוי משתמשים שביצעו פעולה ספציפית

כדי למצוא את המשתמשים שעדכנו כלל זיהוי, מריצים את השאילתה הבאה ב-Logs Explorer:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

דוגמה: cloudresourcemanager.googleapis.com יומן של שם השירות

כדי למצוא את המשתמשים שעדכנו תפקיד או נושא של בקרת גישה, מריצים את השאילתה הבאה ב-Logs Explorer:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

דוגמאות: יומנים של שם השירות malachitefrontend-pa.googleapis.com

בקטעים הבאים מפורטים תרחישים נפוצים לדוגמה של Cloud Audit Logs שמשתמשים בשם השירות malachitefrontend-pa.googleapis.com.

הצגת הפעולות שבוצעו על ידי משתמש ספציפי

כדי למצוא את הפעולות שבוצעו על ידי משתמש מסוים, מריצים את השאילתה הבאה ב-Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

זיהוי משתמשים שביצעו פעולה ספציפית

כדי למצוא את המשתמשים שעדכנו נושא של בקרת גישה, מריצים את השאילתה הבאה ב-Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

כדי למצוא את המשתמשים שעדכנו תפקיד בבקרת הגישה, מריצים את השאילתה הבאה בLogs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

כדי למצוא את המשתמשים שעדכנו כלל זיהוי, מריצים את השאילתה הבאה ב-Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

המאמרים הבאים

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.