Journaux d'audit Google SecOps

Compatible avec :

Google Cloud Les services génèrent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand dans vos Google Cloud ressources. Cette page décrit les journaux d'audit créés par Google Security Operations et écrits en tant que journaux d'audit Cloud.

Pour découvrir Cloud Audit Logs, consultez Présentation de Cloud Audit Logs. Pour en savoir plus sur le format des journaux d'audit, consultez la section Comprendre les journaux d'audit.

Journaux d'audit disponibles

Le nom du service de journalisation d'audit et les opérations auditées varient en fonction du programme Preview auquel vous êtes inscrit. Les journaux d'audit Google SecOps utilisent l'un des noms de service suivants :

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Les opérations d'audit utilisent le type de ressource audited_resource pour tous les journaux d'audit écrits, quel que soit le programme Preview. Il n'y a aucune différence en fonction du programme Preview auquel vous êtes inscrit.

Journaux avec le nom de service chronicle.googleapis.com

Les types de journaux suivants sont disponibles pour les journaux d'audit Google SecOps avec le nom de service chronicle.googleapis.com.

Pour en savoir plus, consultez la section Autorisations Google SecOps dans IAM.

Type de journal d'audit Description
Journaux d'audit pour les activités d'administration Incluent les opérations admin write qui écrivent des métadonnées ou des informations de configuration. Les actions dans Google SecOps qui génèrent ce type de journal incluent la mise à jour des flux et la création de règles.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Journaux d'audit pour l'accès aux données Incluent les opérations admin read qui lisent les métadonnées ou les informations de configuration. Incluent également les opérations data read et data write qui lisent ou écrivent des données fournies par l'utilisateur. Les actions dans Google SecOps qui génèrent ce type de journal incluent l'obtention de flux et la liste des règles. Activez le paramètre data read pour votre Google Cloud projet afin d'enregistrer les requêtes de recherche SIEM exécutées par les utilisateurs.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Journaux avec le nom de service chronicleservicemanager.googleapis.com

Les journaux d'audit Google SecOps écrits à l'aide du nom de service chronicleservicemanager.googleapis.com ne sont disponibles qu'au niveau de l'organisation, et non au niveau du projet.

Les types de journaux suivants sont disponibles pour les journaux d'audit Google SecOps écrits à l'aide du nom de service chronicleservicemanager.googleapis.com.

Type de journal d'audit Description
Journaux d'audit pour les activités d'administration Incluent les opérations admin write qui écrivent des métadonnées ou des informations de configuration. Les actions dans Google SecOps qui génèrent ce type de journal incluent la création d'une Google Cloud association et la mise à jour des Google Cloud filtres de journaux.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Journaux d'audit pour l'accès aux données Incluent les opérations admin read qui lisent les métadonnées ou les informations de configuration. Incluent également les opérations data read et data write qui lisent ou écrivent des données fournies par l'utilisateur. Les actions dans Google SecOps qui génèrent ce type de journal incluent la liste des instances et des métadonnées client.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Journaux avec le nom de service malachitefrontend-pa.googleapis.com

Les types de journaux suivants sont disponibles pour les journaux d'audit Google SecOps avec le nom de service malachitefrontend-pa.googleapis.com.

Les opérations de l'API Chronicle Frontend fournissent des données à l'interface utilisateur Google SecOps et inversement. L'API Chronicle Frontend se compose principalement d'opérations d'accès aux données.

Type de journal d'audit Opérations Google SecOps
Journaux d'audit pour les activités d'administration Incluent les activités liées aux mises à jour, telles que UpdateRole et UpdateSubject.
Journaux d'audit pour l'accès aux données Incluent les activités liées à l'affichage, telles que ListRoles et ListSubjects.

Format des journaux d'audit

Les entrées des journaux d'audit comprennent les objets suivants :

  • L'entrée de journal elle-même, qui est un objet de type LogEntry. Les champs utiles incluent les suivants :

    • logName, qui contient l'ID de ressource et le type de journal d'audit.
    • resource, qui contient la cible de l'opération faisant l'objet d'un audit.
    • timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée.
    • protoPayload, qui contient les informations auditées.

  • Les données de journalisation d'audit, qui correspondent à un AuditLog objet inclus dans le champ protoPayload de l'entrée de journal.

  • Un objet (facultatif) de type "informations d'audit propres au service". Pour les intégrations plus anciennes, cet objet est conservé dans le champ serviceData de l'objet AuditLog. Les intégrations plus récentes utilisent le champ metadata.

  • Le champ protoPayload.authenticationInfo.principalSubject contient le principal de l'utilisateur. Il indique qui a effectué l'action.

  • Le champ protoPayload.methodName contient le nom de la méthode API appelée par l'interface utilisateur au nom de l'utilisateur.

  • Le champ protoPayload.status contient l'état de l'appel d'API. Une valeur status vide indique que l'opération a réussi. Une valeur status non vide indique un échec et contient une description de l'erreur. Le code d'état 7 indique que l'autorisation a été refusée.

  • Le service chronicle.googleapis.com inclut le champ protoPayload.authorizationInfo. Il contient le nom de la ressource demandée, le nom de l'autorisation qui a été vérifiée et indique si l'accès a été accordé ou refusé.

Pour en savoir plus sur les autres champs de ces objets, ainsi que sur leur interprétation, consultez la section Comprendre les journaux d'audit.

L'exemple suivant présente les noms des journaux d'audit pour les activités d'administration au niveau du projet et pour l'accès aux données. Les variables désignent les identifiants de projet. Google Cloud 

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Activer la journalisation d'audit

Pour activer la journalisation d'audit pour le service chronicle.googleapis.com, consultez la section Activer les journaux d'audit pour l'accès aux données. Pour activer la journalisation d'audit pour d'autres services, contactez l'assistance Google SecOps.

Stockage des journaux d'audit

  • Journaux d'audit Google SecOps : stockés dans un Google Cloud projet dont vous êtes propriétaire après avoir activé l'API Google SecOps.
  • Anciens journaux d'audit (y compris malachitefrontend-pa.googleapis.com) : stockés dans un Google Cloud projet.
  • Journaux d'audit pour les activités d'administration : toujours activés et ne peuvent pas être désactivés. Pour les afficher, migrez d'abord votre instance Google SecOps vers IAM pour le contrôle des accès.
  • Journaux d'audit pour l'accès aux données : activés par défaut. Pour les désactiver dans votre projet appartenant au client, contactez votre représentant Google SecOps. Google SecOps écrit les journaux d'audit pour l'accès aux données et pour les activités d'administration dans le projet.

Configurer les journaux d'audit pour l'accès aux données afin d'inclure les données de recherche

Pour remplir les requêtes de recherche UDM et de recherche de journaux bruts dans les journaux d'audit Google SecOps, mettez à jour la configuration des journaux d'audit pour l'accès aux données avec les autorisations nécessaires.

  1. Dans le panneau de navigation de la Google Cloud console, sélectionnez IAM et administration > Journaux d'audit.
  2. Sélectionnez un projet, un dossier ou une organisation existants Google Cloud .
  3. Dans Configuration des journaux d'audit pour l'accès aux données, sélectionnez API Chronicle.
  4. Dans l'onglet Types d'autorisations, sélectionnez toutes les autorisations listées (Lecture administrateur, Lecture de données, Écriture de données).
  5. Cliquez sur Enregistrer.
  6. Répétez les étapes 3 à 5 pour l'API Chronicle Service Manager.

Afficher les journaux

Pour rechercher et afficher les journaux d'audit, utilisez l'ID de projet Google Cloud . Pour l'ancienne journalisation d'audit de malachitefrontend-pa.googleapis.com configurée à l'aide d'un Google Cloudprojet appartenant à, l'assistance Google SecOps vous a fourni ces informations. Vous pouvez également spécifier d'autres champs indexés LogEntry, comme resource.type. Pour en savoir plus, consultez la section Trouver des entrées de journal rapidement.

Dans la Google Cloud console, utilisez l'explorateur de journaux pour récupérer vos entrées du journal d'audit du Google Cloud projet :

  1. Dans la Google Cloud console, accédez à la page Journaux > Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Sur la page Explorateur de journaux , sélectionnez un Google Cloud projet, un dossier ou une organisation existants.

  3. Dans le volet Générateur de requêtes, procédez comme suit :

    • Dans Type de ressource, sélectionnez la Google Cloud ressource dont vous souhaitez afficher les journaux d'audit.

    • Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :

    • Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.

    • Pour les journaux d'audit des accès aux données, sélectionnez data_access.

    Si ces options ne sont pas visibles, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le Google Cloud projet, le dossier ou l'organisation.

    Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes de journal.

Pour obtenir un exemple d'entrée de journal d'audit et savoir comment y trouver les informations les plus importantes informations, consultez la page Exemple d'entrée de journal d'audit.

Exemples : journaux avec le nom de service chronicle.googleapis.com

Les sections suivantes décrivent des cas d'utilisation courants pour Cloud Audit Logs qui utilisent le nom de service chronicle.googleapis.com.

Lister les actions effectuées par un utilisateur spécifique

Pour rechercher les actions effectuées par un utilisateur donné, exécutez la requête suivante dans l'explorateur de journaux :

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identifier les utilisateurs qui ont effectué une action spécifique

Pour rechercher les utilisateurs qui ont mis à jour une règle de détection, exécutez la requête suivante dans l' explorateur de journaux :

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Exemple : journal avec le nom de service cloudresourcemanager.googleapis.com

Pour rechercher les utilisateurs qui ont mis à jour un rôle ou un sujet de contrôle des accès, exécutez la requête suivante dans l'explorateur de journaux :

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Exemples : journaux avec le nom de service malachitefrontend-pa.googleapis.com

Les sections suivantes décrivent des cas d'utilisation courants pour Cloud Audit Logs qui utilisent le nom de service malachitefrontend-pa.googleapis.com.

Lister les actions effectuées par un utilisateur spécifique

Pour rechercher les actions effectuées par un utilisateur donné, exécutez la requête suivante dans l'explorateur de journaux :

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identifier les utilisateurs qui ont effectué une action spécifique

Pour rechercher les utilisateurs qui ont mis à jour un sujet de contrôle des accès, exécutez la requête suivante dans l'explorateur de journaux :

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Pour rechercher les utilisateurs qui ont mis à jour un rôle de contrôle des accès, exécutez la requête suivante dans l'explorateur de journaux :

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Pour rechercher les utilisateurs qui ont mis à jour une règle de détection, exécutez la requête suivante dans l' explorateur de journaux :

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

Étape suivante

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.