Google SecOps 审核日志
Google Cloud 服务会写入审核日志,便于您了解在您的 Google Cloud 资源中“谁在何时何地执行了什么操作”。本页面介绍了 Google Security Operations 创建并作为 Cloud Audit Logs写入的审核 日志。
如需大致了解 Cloud Audit Logs,请参阅 Cloud Audit Logs 概览。如需深入了解审核日志 格式,请参阅了解审核 日志。
可用的审核日志
审核日志服务名称和受审核的操作因您加入的预览计划而异。Google SecOps 审核日志使用以下服务名称之一:
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
无论您加入哪个预览计划,审核操作都会对写入的所有审核日志使用资源类型 audited_resource。这与您加入的预览计划无关。
服务名称为 chronicle.googleapis.com 的日志
以下日志类型适用于服务名称为 chronicle.googleapis.com 的 Google SecOps 审核日志。
如需了解详情,请参阅 IAM 中的 Google SecOps 权限 。
| 审核日志类型 | 说明 |
|---|---|
| 管理员活动审核日志 | 包括写入元数据或配置信息的 admin write 操作。在 Google SecOps 中,生成此类日志的操作包括更新 Feed 和创建规则。chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| 数据访问审核日志 | 包括读取元数据或配置信息的 admin read 操作。此外,还包括读取或写入用户提供的数据的 data read 和 data write 操作。在 Google SecOps 中,生成此类日志的操作包括获取 Feed 和列出规则。为您的 Google Cloud 项目启用 data read 设置,以记录用户运行的 SIEM 搜索查询。chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
服务名称为 chronicleservicemanager.googleapis.com 的日志
使用 chronicleservicemanager.googleapis.com 服务名称写入的 Google SecOps 审核日志仅在组织级层可用,而不在项目级层可用。
以下日志类型适用于使用 chronicleservicemanager.googleapis.com 服务名称写入的 Google SecOps 审核日志。
| 审核日志类型 | 说明 |
|---|---|
| 管理员活动审核日志 | 包括写入元数据或配置信息的 管理员写入操作。在 Google SecOps 中,生成此类日志的操作包括创建关联和更新日志过滤条件。 Google Cloud Google Cloud chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| 数据访问审核日志 | 包括读取元数据或配置信息的 管理员读取操作。此外,还包括读取或写入用户提供的数据的 数据读取和 数据写入操作。在 Google SecOps 中,生成此类日志的操作包括列出实例和客户元数据。chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
服务名称为 malachitefrontend-pa.googleapis.com 的日志
以下日志类型适用于服务名称为 malachitefrontend-pa.googleapis.com 的 Google SecOps 审核日志。
Chronicle Frontend API 操作提供与 Google SecOps 界面之间的数据。Chronicle Frontend API 主要由数据访问操作组成。
| 审核日志类型 | Google SecOps 操作 |
|---|---|
| 管理员活动审核日志 | 包括与更新相关的活动,例如 UpdateRole 和 UpdateSubject。 |
| 数据访问审核日志 | 包括与查看相关的活动,例如 ListRoles 和 ListSubjects。 |
审核日志格式
审核日志条目包含以下对象:
日志条目本身,即
LogEntry类型的对象。实用字段包括:logName包含资源 ID 和审核日志类型。resource包含所审核操作的目标。timeStamp包含所审核操作的时间。protoPayload包含所审核的信息。
审核日志记录数据,即保存在日志条目的
protoPayload字段中的AuditLog对象。(可选)服务专属的审核信息,即服务专属对象。对于早期集成,此对象保存在
AuditLog对象的serviceData字段中;较新的集成使用metadata字段。protoPayload.authenticationInfo.principalSubject字段包含用户正文。这表示执行操作的用户。protoPayload.methodName字段包含界面代表用户调用的 API 方法名称。protoPayload.status字段包含 API 调用的状态。空status值表示成功。非空status值表示失败,并包含错误说明。状态代码 7 表示权限被拒绝。chronicle.googleapis.com服务包含protoPayload.authorizationInfo字段。其中包含所请求资源的名称、已检查的权限名称,以及访问权限是获得授权还是被拒绝。
如需了解上述对象中的其他字段以及如何解读这些字段,请参阅了解 审核日志。
以下示例显示了项目级管理员活动审核日志和数据访问审核日志的日志名称。变量表示 Google Cloud 项目 标识符。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
启用审核日志记录
如需为 chronicle.googleapis.com 服务启用审核日志记录,请参阅
启用数据访问审核日志。
如需为其他服务启用审核日志记录,请与
Google SecOps 支持团队联系。
审核日志存储
- Google SecOps 审核日志:启用 Google SecOps API 后,存储在您拥有的 Google Cloud 项目中 。
- 旧版审核日志(包括
malachitefrontend-pa.googleapis.com):存储在 Google Cloud 项目中。 - 管理员活动审核日志:始终处于启用状态,无法停用。如需查看这些日志,请先将 Google SecOps 实例迁移到 IAM 以进行访问权限控制。
- 数据访问审核日志:默认处于启用状态。如需在客户拥有的项目中停用这些日志,请与您的 Google SecOps 代表联系。Google SecOps 会将数据访问和管理员活动审核日志写入项目。
配置数据访问审核日志以包含搜索数据
如需在 Google SecOps 审核日志中填充 UDM 搜索和原始日志搜索查询,请使用必要的权限更新数据访问审核日志配置。
- 在 Google Cloud 控制台的导航面板中,依次选择 IAM 和管理 > 审核日志。
- 选择现有的 Google Cloud 项目、文件夹或组织。
- 在数据访问审核日志配置 中,选择 Chronicle API 。
- 在权限类型 标签页上,选择列出的所有权限(管理员读取、数据读取、数据写入)。
- 点击保存 。
- 对 Chronicle Service Manager API 重复第 3 步到第 5 步。
查看日志
如需查找和查看审核日志,请使用 Google Cloud 项目 ID。对于使用
客户拥有的Google Cloud项目配置的 malachitefrontend-pa.googleapis.com 的旧版
审核日志记录,Google SecOps 支持团队会向您提供此
信息。您可以进一步指定其他已编入索引的
LogEntry字段,例如
resource.type。如需了解详情,请参阅快速查找日志条目
。
在 Google Cloud 控制台中,使用 Logs Explorer 检索您的 审核日志条目,以获取 Google Cloud 项目:
在 Google Cloud 控制台中,前往 Logging > Logs Explorer 页面。
在 Logs Explorer 页面上,选择一个现有 Google Cloud 项目、文件夹或组织。
在查询构建器 窗格中,执行以下操作:
在资源类型 中,选择要查看其审核 日志的 Google Cloud 资源。
在日志名称中,选择要查看的审核日志类型:
对于管理员活动审核日志,选择 activity。
对于数据访问审核日志,选择 data_access 。
如果您没有看到这些选项,则表示 项目、文件夹或组织中没有该类型的任何审核日志 Google Cloud 。
如需详细了解如何使用 Logs Explorer 进行查询,请参阅 构建日志查询。
如需查看审核日志条目示例并了解如何在其中找到最重要的 信息,请参阅审核日志 条目。
示例:chronicle.googleapis.com 服务名称日志
以下部分介绍了使用 chronicle.googleapis.com 服务名称的 Cloud Audit Logs 的常见用例。
列出特定用户执行的操作
如需查找给定用户执行的操作,请在 Logs Explorer 中运行以下查询:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行特定操作的用户
如需查找更新检测规则的用户,请在 Logs Explorer中运行以下查询:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
示例:cloudresourcemanager.googleapis.com 服务名称日志
如需查找更新访问权限控制角色或正文的用户,请运行以下查询: 在 Logs Explorer 中
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
示例:malachitefrontend-pa.googleapis.com 服务名称日志
以下部分介绍了使用 malachitefrontend-pa.googleapis.com 服务名称的 Cloud Audit Logs 的常见用例。
列出特定用户执行的操作
如需查找给定用户执行的操作,请在 Logs Explorer 中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行特定操作的用户
如需查找更新访问权限控制正文的用户,请运行以下查询 ,在 Logs Explorer 中:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
如需查找更新访问权限控制角色的用户,请在 Logs Explorer中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
如需查找更新检测规则的用户,请在 Logs Explorer中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
后续步骤
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。