Registros de auditoría de Google SecOps

Compatible con:

Google Cloud Los servicios deescriben registros de auditoría que ayudan a responder preguntas relacionadas con tus recursos desobre las acciones que se realizaron y sobre quién, cuándo y dónde las realizó. Google Cloud En esta página, se describen los registros de auditoría que crea Google Security Operations y que se escriben como registros de auditoría de Cloud.

Consulta la descripción general de los Registros de auditoría de Cloud para conocer más al respecto. Para comprender mejor el formato del registro de auditoría, consulta Información sobre los registros de auditoría.

Registros de auditoría disponibles

El nombre del servicio de registro de auditoría y las operaciones auditadas son diferentes según el programa de versión preliminar en el que estés inscrito. Los registros de auditoría de Google SecOps usan uno de los siguientes nombres de servicio:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Las operaciones de auditoría usan el tipo de recurso audited_resource para todos los registros de auditoría escritos, independientemente del programa de versión preliminar. No hay ninguna diferencia según el programa de versión preliminar en el que estés inscrito.

Registros con el nombre de servicio chronicle.googleapis.com

Los siguientes tipos de registros están disponibles para los registros de auditoría de Google SecOps con el nombre de servicio chronicle.googleapis.com.

Para obtener más información, consulta Permisos de Google SecOps en IAM.

Tipo de registro de auditoría Descripción
Registros de auditoría de actividad del administrador Incluye operaciones de admin write que escriben metadatos o información de configuración. Las acciones en Google SecOps que generan este tipo de registro incluyen la actualización de feeds y la creación de reglas.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Registros de auditoría de acceso a los datos Incluye operaciones de admin read que leen metadatos o información de configuración. También incluye las operaciones de data read y data write que leen o escriben datos proporcionados por el usuario. Las acciones en Google SecOps que generan este tipo de registro incluyen la obtención de feeds y la enumeración de reglas. Habilita la configuración de data read para tu Google Cloud proyecto para registrar las consultas de búsqueda de SIEM que ejecutan los usuarios.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Registros con el nombre de servicio chronicleservicemanager.googleapis.com

Los registros de auditoría de Google SecOps escritos con el nombre de servicio chronicleservicemanager.googleapis.com solo están disponibles a nivel de la organización, no a nivel del proyecto.

Los siguientes tipos de registros están disponibles para los registros de auditoría de Google SecOps escritos con el nombre de servicio chronicleservicemanager.googleapis.com.

Tipo de registro de auditoría Descripción
Registros de auditoría de actividad del administrador Incluye operaciones de admin write que escriben metadatos o información de configuración. Las acciones en Google SecOps que generan este tipo de registro incluyen la creación de una Google Cloud asociación y la actualización de Google Cloud filtros de registro.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Registros de auditoría de acceso a los datos Incluye operaciones de admin read que leen metadatos o información de configuración. También incluye las operaciones de data read y data write que leen o escriben datos proporcionados por el usuario. Las acciones en Google SecOps que generan este tipo de registro incluyen la enumeración de instancias y metadatos del cliente.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Registros con el nombre de servicio malachitefrontend-pa.googleapis.com

Los siguientes tipos de registros están disponibles para los registros de auditoría de Google SecOps con el nombre de servicio malachitefrontend-pa.googleapis.com.

Las operaciones de la API de Chronicle Frontend proporcionan datos hacia y desde la IU de Google SecOps. La API de Chronicle Frontend consta, en términos generales, de operaciones de acceso a los datos.

Tipo de registro de auditoría Operaciones de Google SecOps
Registros de auditoría de actividad del administrador Incluye actividad relacionada con la actualización, como UpdateRole y UpdateSubject.
Registros de auditoría de acceso a los datos Incluye actividad relacionada con la vista, como ListRoles y ListSubjects.

Formato del registro de auditoría

Las entradas del registro de auditoría incluyen los siguientes objetos:

  • La entrada de registro en sí, que es un objeto de tipo LogEntry. Los campos útiles incluyen los siguientes:

    • logName contiene el ID del recurso y el tipo de registro de auditoría.
    • resource contiene el destino de la operación auditada.
    • timeStamp contiene la hora de la operación auditada.
    • protoPayload contiene la información auditada.

  • Los datos de registro de auditoría, que son un AuditLog objeto alojado en el campo protoPayload de la entrada de registro.

  • La información opcional de auditoría específica del servicio, que es un objeto específico del servicio. En las integraciones más antiguas, este objeto se guarda en el campo serviceData del objeto AuditLog. Las integraciones más recientes usan el campo metadata.

  • El campo protoPayload.authenticationInfo.principalSubject contiene el principal del usuario. Esto indica quién realizó la acción.

  • El campo protoPayload.methodName contiene el nombre del método de la API que invoca la IU en nombre del usuario.

  • El campo protoPayload.status contiene el estado de la llamada a la API. Un valor status vacío indica que la operación se realizó correctamente. Un valor status no vacío indica una falla y contiene una descripción del error. El código de estado 7 indica que se denegó el permiso.

  • El servicio chronicle.googleapis.com incluye el campo protoPayload.authorizationInfo. Este contiene el nombre del recurso solicitado, el nombre del permiso que se verificó y si se otorgó o denegó el acceso.

Para obtener información acerca de otros campos en estos objetos, además de cómo interpretarlos, consulta Información de los registros de auditoría.

En el siguiente ejemplo, se muestran los nombres de registro para los registros de auditoría de actividad del administrador y de acceso a los datos a nivel del proyecto. Las variables denotan Google Cloud identificadores del proyecto.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Habilita el registro de auditoría

Para habilitar el registro de auditoría del servicio chronicle.googleapis.com, consulta Habilita los registros de auditoría de acceso a los datos. Para habilitar el registro de auditoría de otros servicios, comunícate con el equipo de asistencia de Google SecOps.

Almacenamiento de registros de auditoría

  • Registros de auditoría de Google SecOps: Se almacenan en un Google Cloud proyecto de tu propiedad después de habilitar la API de Google SecOps.
  • Registros de auditoría heredados (incluido malachitefrontend-pa.googleapis.com): Se almacenan en un Google Cloud proyecto.
  • Registros de auditoría de actividad del administrador: Siempre están habilitados y no se pueden inhabilitar. Para verlos, primero migra tu instancia de Google SecOps a IAM para el control de acceso.
  • Registros de auditoría de acceso a los datos: Están habilitados de forma predeterminada. Para inhabilitarlos en tu proyecto, comunícate con tu representante de Google SecOps. Google SecOps escribe registros de auditoría de acceso a los datos y de actividad del administrador en el proyecto.

Configura los registros de auditoría de acceso a los datos para incluir los datos de búsqueda

Para propagar las consultas de búsqueda de UDM y de registro sin procesar en los registros de auditoría de Google SecOps, actualiza la configuración de los registros de auditoría de acceso a los datos con los permisos necesarios.

  1. En el panel de navegación de la Google Cloud consola, selecciona IAM y administración > Registros de auditoría.
  2. Elige una organización, un proyecto o una carpeta deexistentes Google Cloud .
  3. En Configuración de los registros de auditoría de acceso a los datos, selecciona API de Chronicle.
  4. En la pestaña Tipos de permisos , selecciona todos los permisos enumerados (Lectura del administrador, Lectura de datos y Escritura de datos).
  5. Haz clic en Guardar.
  6. Repite los pasos del 3 al 5 para la API de Chronicle Service Manager.

Ver registros

Para encontrar y ver registros de auditoría, usa el Google Cloud ID del proyecto. Para el registro de auditoría heredado de malachitefrontend-pa.googleapis.com configurado con un Google Cloudproyecto de, el equipo de asistencia de Google SecOps te proporcionó esta información. Puedes especificar aún más otros campos indexados LogEntry, como resource.type. Para obtener más información, consulta Busca entradas de registro con rapidez.

En la Google Cloud consola, usa el Explorador de registros para recuperar tus entradas de registro de auditoría del Google Cloud proyecto:

  1. En la Google Cloud consola de, ve a la página Logging > Explorador de registros.

    Ir al Explorador de registros

  2. En la página Explorador de registros, selecciona una organización, una carpeta o un proyecto existentes Google Cloud .

  3. En el panel Compilador de consultas, sigue estos pasos:

    • En Tipo de recurso, elige el Google Cloud recurso decuyos registros de auditoría quieres consultar.

    • En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:

    • En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.

    • En los registros de auditoría de acceso a los datos, selecciona data_access.

    Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en the Google Cloud el proyecto, la carpeta o la organización de.

    Para obtener más información sobre cómo hacer consultas con el Explorador de registros, visita Crea consultas de registros.

Para ver un ejemplo de una entrada de registro de auditoría y cómo encontrar la información más importante en ella, consulta Ejemplo de entrada de registro de auditoría entry.

Ejemplos: Registros de nombres de servicio chronicle.googleapis.com

En las siguientes secciones, se describen casos prácticos comunes para los registros de auditoría de Cloud que usan el nombre de servicio chronicle.googleapis.com.

Cómo enumerar las acciones que realizó un usuario específico

Para encontrar las acciones que realizó un usuario determinado, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Cómo identificar a los usuarios que realizaron una acción específica

Para encontrar los usuarios que actualizaron una regla de detección, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Ejemplo: Registro de nombre de servicio cloudresourcemanager.googleapis.com

Para encontrar los usuarios que actualizaron un rol o un asunto de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Ejemplos: Registros de nombres de servicio malachitefrontend-pa.googleapis.com

En las siguientes secciones, se describen casos prácticos comunes para los registros de auditoría de Cloud que usan el nombre de servicio malachitefrontend-pa.googleapis.com.

Cómo enumerar las acciones que realizó un usuario específico

Para encontrar las acciones que realizó un usuario determinado, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Cómo identificar a los usuarios que realizaron una acción específica

Para encontrar los usuarios que actualizaron un asunto de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Para encontrar los usuarios que actualizaron un rol de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Para encontrar los usuarios que actualizaron una regla de detección, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

¿Qué sigue?

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.