Log audit Google SecOps

Didukung di:

Google Cloud Layananmenulis log audit untuk membantu Anda mengetahui siapa yang melakukan apa, di mana, dan kapan dalam resource Google Cloud Anda. Halaman ini menjelaskan log audit yang dibuat oleh Google Security Operations dan ditulis sebagai Cloud Audit Logs.

Untuk membaca ringkasan umum tentang Cloud Audit Logs, lihat Ringkasan Cloud Audit Logs. Untuk mendapatkan pemahaman yang lebih mendalam tentang format log audit, lihat Memahami log audit.

Log audit yang tersedia

Nama layanan log audit dan operasi yang diaudit berbeda-beda, bergantung pada program pratinjau yang Anda ikuti. Log audit Google SecOps menggunakan salah satu nama layanan berikut:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Operasi audit menggunakan jenis resource audited_resource untuk semua log audit yang ditulis, terlepas dari program pratinjau. Tidak ada perbedaan berdasarkan program pratinjau yang Anda ikuti.

Log dengan nama layanan chronicle.googleapis.com

Jenis log berikut tersedia untuk log audit Google SecOps dengan nama layanan chronicle.googleapis.com.

Untuk mengetahui informasi selengkapnya, lihat izin Google SecOps di IAM.

Jenis log audit Deskripsi
Log audit Aktivitas Admin Mencakup operasi admin write yang menulis metadata atau informasi konfigurasi. Tindakan di Google SecOps yang menghasilkan jenis log ini mencakup memperbarui feed dan membuat aturan.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Log audit Akses Data Mencakup operasi admin read yang membaca metadata atau informasi konfigurasi. Juga mencakup operasi data read dan data write yang membaca atau menulis data yang disediakan pengguna. Tindakan di Google SecOps yang menghasilkan jenis log ini mencakup mendapatkan feed dan membuat daftar aturan. Aktifkan setelan data read untuk Google Cloud project Anda guna merekam kueri penelusuran SIEM yang dijalankan oleh pengguna.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Log dengan nama layanan chronicleservicemanager.googleapis.com

Log audit Google SecOps yang ditulis menggunakan nama layanan chronicleservicemanager.googleapis.com hanya tersedia di tingkat organisasi, bukan di tingkat project.

Jenis log berikut tersedia untuk log audit Google SecOps yang ditulis menggunakan nama layanan chronicleservicemanager.googleapis.com.

Jenis log audit Deskripsi
Log audit Aktivitas Admin Mencakup operasi admin write yang menulis metadata atau informasi konfigurasi. Tindakan di Google SecOps yang menghasilkan jenis log ini mencakup membuat Google Cloud Association dan memperbarui Google Cloud filter log.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Log audit Akses Data Mencakup operasi admin read yang membaca metadata atau informasi konfigurasi. Juga mencakup operasi data read dan data write yang membaca atau menulis data yang disediakan pengguna. Tindakan di Google SecOps yang menghasilkan jenis log ini mencakup membuat daftar instance dan metadata pelanggan.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Log dengan nama layanan malachitefrontend-pa.googleapis.com

Jenis log berikut tersedia untuk log audit Google SecOps dengan nama layanan malachitefrontend-pa.googleapis.com.

Operasi Chronicle Frontend API menyediakan data ke dan dari UI Google SecOps. Chronicle Frontend API secara luas terdiri dari operasi akses data.

Jenis log audit Operasi Google SecOps
Log audit Aktivitas Admin Mencakup aktivitas terkait pembaruan, seperti UpdateRole dan UpdateSubject.
Log audit Akses Data Mencakup aktivitas terkait tampilan, seperti ListRoles dan ListSubjects.

Format log audit

Entri log audit mencakup objek berikut:

  • Entri log itu sendiri, yang merupakan objek berjenis LogEntry. Kolom yang berguna mencakup hal berikut:

    • logName berisi ID resource dan jenis log audit.
    • resource berisi target operasi yang diaudit.
    • timeStamp berisi waktu operasi yang diaudit.
    • protoPayload berisi informasi yang diaudit.

  • Data logging audit, yang merupakan AuditLog objek yang disimpan di kolom protoPayload entri log.

  • Informasi audit khusus layanan opsional, yang merupakan objek khusus layanan. Untuk integrasi yang lebih lama, objek ini disimpan di kolom serviceData pada objek AuditLog; integrasi yang lebih baru menggunakan kolom metadata.

  • Kolom protoPayload.authenticationInfo.principalSubject berisi pokok pengguna. Hal ini menunjukkan siapa yang melakukan tindakan.

  • Kolom protoPayload.methodName berisi nama metode API yang dipanggil oleh UI atas nama pengguna.

  • Kolom protoPayload.status berisi status panggilan API. Nilai status kosong menunjukkan keberhasilan. Nilai status yang tidak kosong menunjukkan kegagalan dan berisi deskripsi error. Kode status 7 menunjukkan izin ditolak.

  • Layanan chronicle.googleapis.com mencakup kolom protoPayload.authorizationInfo. Kolom ini berisi nama resource yang diminta, nama izin yang diperiksa, dan apakah akses diberikan atau ditolak.

Untuk kolom lain dalam objek ini, dan cara menafsirkannya, tinjau Memahami log audit.

Contoh berikut menunjukkan nama log untuk log audit Aktivitas Admin level project dan log audit Akses Data. Variabel menunjukkan Google Cloud project pengenal.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Mengaktifkan logging audit

Untuk mengaktifkan logging audit untuk layanan chronicle.googleapis.com, lihat Mengaktifkan log audit Akses Data. Untuk mengaktifkan logging audit untuk layanan lain, hubungi Dukungan Google SecOps.

Penyimpanan log audit

  • Log audit Google SecOps: Disimpan di Google Cloud project yang Anda miliki setelah mengaktifkan Google SecOps API.
  • Log audit lama (termasuk malachitefrontend-pa.googleapis.com): Disimpan di Google Cloud project.
  • Log audit Aktivitas Admin: Selalu diaktifkan dan tidak dapat dinonaktifkan. Untuk melihatnya, migrasikan terlebih dahulu instance Google SecOps Anda ke IAM untuk kontrol akses.
  • Log audit Akses Data: Diaktifkan secara default. Untuk menonaktifkan di project milik pelanggan, hubungi perwakilan Google SecOps Anda. Google SecOps menulis log audit Akses Data dan Aktivitas Admin ke project.

Mengonfigurasi log audit Akses Data untuk menyertakan data penelusuran

Untuk mengisi kueri penelusuran UDM dan penelusuran log mentah di log audit Google SecOps, perbarui konfigurasi log audit Akses Data dengan izin yang diperlukan.

  1. Di panel navigasi Google Cloud konsol, pilih IAM & Admin > Log Audit.
  2. Pilih organisasi, folder, atau project Google Cloud yang sudah ada.
  3. Di Konfigurasi log audit Akses Data, pilih Chronicle API.
  4. Di tab Jenis Izin, pilih semua izin yang tercantum (Pembacaan Admin, Pembacaan Data, Penulisan Data).
  5. Klik Simpan.
  6. Ulangi langkah 3 hingga 5 untuk Chronicle Service Manager API.

Melihat log

Untuk menemukan dan melihat log audit, gunakan Google Cloud project ID. Untuk legacy logging audit malachitefrontend-pa.googleapis.com yang dikonfigurasi menggunakan project milik Google Cloud, Dukungan Google SecOps telah memberi Anda informasi ini. Anda dapat menentukan lebih lanjut kolom terindeks lainnya LogEntry, seperti resource.type. Untuk mengetahui informasi selengkapnya, lihat Menemukan entri log dengan cepat.

Di Google Cloud konsol, gunakan Logs Explorer untuk mengambil entri log audit untuk Google Cloud project:

  1. Di Google Cloud konsol, buka halaman Logging > Logs Explorer.

    Buka Logs Explorer

  2. Di halaman Logs Explorer, pilih project, folder, atau organisasi yang sudah ada Google Cloud .

  3. Di panel Builder kueri, lakukan hal berikut:

    • Di Jenis resource, pilih Google Cloud resource yang log auditnya ingin Anda lihat.

    • Di Nama log, pilih jenis log audit yang ingin dilihat:

    • Untuk log audit Aktivitas Admin, pilih activity.

    • Untuk log audit Akses Data, pilih data_access.

    Jika Anda tidak melihat opsi ini, berarti tidak ada log audit dengan jenis tersebut yang tersedia di the Google Cloud project, folder, atau organisasi.

    Untuk mengetahui informasi selengkapnya tentang pembuatan kueri menggunakan Logs Explorer, lihat Membuat kueri log.

Untuk melihat contoh entri log audit dan cara menemukan informasi yang paling penting di dalamnya, lihat Contoh entri log audit.

Contoh: Log nama layanan chronicle.googleapis.com

Bagian berikut menjelaskan kasus penggunaan umum untuk Cloud Audit Logs yang menggunakan nama layanan chronicle.googleapis.com.

Membuat daftar tindakan yang dilakukan oleh pengguna tertentu

Untuk menemukan tindakan yang dilakukan oleh pengguna tertentu, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Mengidentifikasi pengguna yang melakukan tindakan tertentu

Untuk menemukan pengguna yang memperbarui aturan deteksi, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Contoh: Log nama layanan cloudresourcemanager.googleapis.com

Untuk menemukan pengguna yang memperbarui peran atau subjek kontrol akses, jalankan kueri berikut di Logs Explorer:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Contoh: Log nama layanan malachitefrontend-pa.googleapis.com

Bagian berikut menjelaskan kasus penggunaan umum untuk Cloud Audit Logs yang menggunakan nama layanan malachitefrontend-pa.googleapis.com.

Membuat daftar tindakan yang dilakukan oleh pengguna tertentu

Untuk menemukan tindakan yang dilakukan oleh pengguna tertentu, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Mengidentifikasi pengguna yang melakukan tindakan tertentu

Untuk menemukan pengguna yang memperbarui subjek kontrol akses, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Untuk menemukan pengguna yang memperbarui peran kontrol akses, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Untuk menemukan pengguna yang memperbarui aturan deteksi, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

Langkah berikutnya

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.