Audit-Logs von Google SecOps

Unterstützt in:

Google Cloud Dienste erstellen Audit-Logs, um Ihnen Antworten auf Fragen wie „Wer hat was wo und wann getan?“ für Ihre Google Cloud Ressourcen zu liefern. Auf dieser Seite werden die Audit Logs beschrieben, die von Google Security Operations erstellt und als Cloud-Audit-Logs geschrieben werden.

Einen allgemeinen Überblick über Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logs Übersicht. Detaillierte Informationen zum Format von Audit-Logs finden Sie unter Audit-Logs verstehen.

Verfügbare Audit-Logs

Der Name des Audit-Logdienstes und die geprüften Vorgänge unterscheiden sich je nach Vorschauprogramm, für das Sie registriert sind. Für Audit-Logs von Google SecOps wird einer der folgenden Dienstnamen verwendet:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Bei Audit-Vorgängen wird für alle geschriebenen Audit-Logs der Ressourcentyp audited_resource verwendet, unabhängig vom Vorschauprogramm. Es gibt keine Unterschiede je nach Vorschauprogramm, für das Sie registriert sind.

Logs mit dem Dienstnamen chronicle.googleapis.com

Für Audit-Logs von Google SecOps mit dem Dienstnamen chronicle.googleapis.com sind die folgenden Logtypen verfügbar.

Weitere Informationen finden Sie unter Google SecOps-Berechtigungen in IAM.

Audit-Logtyp Beschreibung
Audit-Logs zur Administratoraktivität Umfasst admin write-Vorgänge, die Metadaten oder Konfigurationsinformationen schreiben. Aktionen in Google SecOps, die diesen Logtyp generieren, sind beispielsweise das Aktualisieren von Feeds und das Erstellen von Regeln.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Audit-Logs zum Datenzugriff Umfasst admin read-Vorgänge, die Metadaten oder Konfigurationsinformationen lesen. Umfasst auch data read- und data write-Vorgänge, die von Nutzern bereitgestellte Daten lesen oder schreiben. Aktionen in Google SecOps, die diesen Logtyp generieren, sind beispielsweise das Abrufen von Feeds und das Auflisten von Regeln. Aktivieren Sie die Einstellung data read für Ihr Google Cloud Projekt, um SIEM-Suchanfragen aufzuzeichnen, die von Nutzern ausgeführt werden.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Logs mit dem Dienstnamen chronicleservicemanager.googleapis.com

Audit-Logs von Google SecOps, die mit dem Dienstnamen chronicleservicemanager.googleapis.com geschrieben wurden, sind nur auf Organisationsebene und nicht auf Projektebene verfügbar.

Für Audit-Logs von Google SecOps, die mit dem Dienstnamen chronicleservicemanager.googleapis.com geschrieben wurden, sind die folgenden Logtypen verfügbar.

Audit-Logtyp Beschreibung
Audit-Logs zur Administratoraktivität Umfasst admin write-Vorgänge, die Metadaten oder Konfigurationsinformationen schreiben. Aktionen in Google SecOps, die diesen Logtyp generieren, sind beispielsweise das Erstellen einer Google Cloud Zuordnung und das Aktualisieren von Google Cloud Logfiltern.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Audit-Logs zum Datenzugriff Umfasst admin read-Vorgänge, die Metadaten oder Konfigurationsinformationen lesen. Umfasst auch data read- und data write-Vorgänge, die von Nutzern bereitgestellte Daten lesen oder schreiben. Aktionen in Google SecOps, die diesen Logtyp generieren, sind beispielsweise das Auflisten von Instanzen und Kundenmetadaten.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Logs mit dem Dienstnamen malachitefrontend-pa.googleapis.com

Für Audit-Logs von Google SecOps mit dem Dienstnamen malachitefrontend-pa.googleapis.com sind die folgenden Logtypen verfügbar.

Chronicle Frontend API-Vorgänge stellen Daten für die Google SecOps-UI bereit und rufen Daten daraus ab. Die Chronicle Frontend API besteht im Wesentlichen aus Datenzugriffsvorgängen.

Audit-Logtyp Google SecOps-Vorgänge
Audit-Logs zur Administratoraktivität Umfasst Aktualisierungsaktivitäten wie UpdateRole und UpdateSubject.
Audit-Logs zum Datenzugriff Umfasst Aktivitäten im Zusammenhang mit der Ansicht, z. B. ListRoles und ListSubjects.

Audit-Logformat

Audit-Logeinträge umfassen folgende Komponenten:

  • Der Logeintrag selbst, ein Objekt vom Typ LogEntry. Nützliche Felder sind unter anderem:

    • logName enthält die Ressourcen-ID und den Audit-Logtyp.
    • resource enthält das Ziel zum geprüften Vorgang.
    • timeStamp enthält die Uhrzeit des geprüften Vorgangs.
    • protoPayload enthält die geprüften Informationen.

  • Die Audit-Logdaten, bei denen es sich um ein AuditLog Objekt handelt, das sich im Feld protoPayload des Logeintrags befindet.

  • Optionale dienstspezifische Auditinformationen. Das Objekt ist dienstspezifisch. Bei älteren Integrationen befindet sich dieses Objekt im Feld serviceData des AuditLog-Objekts. Neuere Integrationen verwenden das Feld metadata.

  • Das Feld protoPayload.authenticationInfo.principalSubject enthält den Nutzer-Principal. Dadurch wird angegeben, wer die Aktion ausgeführt hat.

  • Das Feld protoPayload.methodName enthält den Namen der API-Methode, die von der UI im Namen des Nutzers aufgerufen wurde.

  • Das Feld protoPayload.status enthält den Status des API-Aufrufs. Ein leerer status-Wert gibt an, dass der Aufruf erfolgreich war. Ein nicht leerer status-Wert gibt an, dass der Aufruf fehlgeschlagen ist, und enthält eine Beschreibung des Fehlers. Der Statuscode 7 gibt an, dass die Berechtigung verweigert wurde.

  • Der Dienst chronicle.googleapis.com enthält das Feld protoPayload.authorizationInfo. Dieses Feld enthält den Namen der angeforderten Ressource, den Namen der geprüften Berechtigung und gibt an, ob der Zugriff gewährt oder verweigert wurde.

Informationen zu anderen Feldern in diesen Objekten sowie zu deren Interpretation finden Sie unter Audit-Logs verstehen.

Im folgenden Beispiel sind Lognamen für Audit-Logs zur Administratoraktivität auf Projektebene und für Audit-Logs zum Datenzugriff enthalten. Die Variablen bezeichnen Google Cloud Projekt IDs.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Audit-Logging aktivieren

Informationen zum Aktivieren des Audit-Loggings für den Dienst chronicle.googleapis.com finden Sie unter Audit-Logs zum Datenzugriff aktivieren. Wenn Sie das Audit-Logging für andere Dienste aktivieren möchten, wenden Sie sich an den Google SecOps-Support.

Audit-Logspeicher

  • Audit-Logs von Google SecOps: Werden in einem Google Cloud Projekt gespeichert, das Ihnen gehört , nachdem Sie die Google SecOps API aktiviert haben.
  • Alte Audit-Logs (einschließlich malachitefrontend-pa.googleapis.com): Werden in einem Google Cloud Projekt gespeichert.
  • Audit-Logs zur Administratoraktivität: Sind immer aktiviert und können nicht deaktiviert werden. Wenn Sie sie ansehen möchten, migrieren Sie zuerst Ihre Google SecOps-Instanz zu IAM für die Zugriffssteuerung.
  • Audit-Logs zum Datenzugriff: Sind standardmäßig aktiviert. Wenn Sie sie in Ihrem Projekt deaktivieren möchten, wenden Sie sich an Ihren Google SecOps-Ansprechpartner. Google SecOps schreibt Audit-Logs zum Datenzugriff und zur Administratoraktivität in das Projekt.

Audit-Logs zum Datenzugriff so konfigurieren, dass sie die Suchdaten enthalten

Wenn Sie UDM-Suchanfragen und Rohlog-Suchanfragen in die Audit-Logs von Google SecOps aufnehmen möchten, aktualisieren Sie die Konfiguration der Audit-Logs zum Datenzugriff mit den erforderlichen Berechtigungen.

  1. Wählen Sie im Navigationsbereich der Google Cloud Console IAM und Verwaltung > Audit-Logs aus.
  2. Wählen Sie ein vorhandenes Google Cloud Projekt, einen Ordner oder eine Organisation aus.
  3. Wählen Sie unter Konfiguration der Audit-Logs zum Datenzugriff die Option Chronicle API aus.
  4. Wählen Sie auf dem Tab Berechtigungstypen alle aufgeführten Berechtigungen aus (Administrator lesen, Daten lesen, Daten schreiben).
  5. Klicken Sie auf Speichern.
  6. Wiederholen Sie die Schritte 3 bis 5 für die Chronicle Service Manager API.

Logs ansehen

Verwenden Sie die Google Cloud Projekt-ID, um Audit-Logs zu finden und anzusehen. Für das alte Audit-Logging von malachitefrontend-pa.googleapis.com, das mit einem Google CloudProjekt konfiguriert wurde, das Ihnen gehört, hat Ihnen der Google SecOps-Support diese Informationen zur Verfügung gestellt. Sie können weitere indexierte LogEntry Felder angeben, z. B. resource.type. Weitere Informationen finden Sie unter Logeinträge schnell finden.

Verwenden Sie in der Google Cloud Console den Log-Explorer, um die Audit-Logeinträge für das Google Cloud Projekt abzurufen:

  1. Rufen Sie in der Google Cloud Console die Logging > Log-Explorer Seite auf.

    Zum Log-Explorer

  2. Wählen Sie auf der Seite Log-Explorer ein vorhandenes Google Cloud Projekt, einen Ordner oder eine Organisation aus.

  3. Führen Sie im Bereich Query Builder folgende Schritte aus:

    • Wählen Sie unter Ressourcentyp die Google Cloud Ressource aus, deren Audit Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:

    • Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.

    • Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.

    Wenn diese Optionen nicht angezeigt werden, sind im Projekt, im Ordner oder in der Organisation keine Audit-Logs dieses Typs verfügbar. Google Cloud

    Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Logabfragen erstellen.

Ein Beispiel für einen Audit-Logeintrag und wie Sie die wichtigsten Informationen darin finden, sehen Sie unter Beispiel für einen Audit-Log eintrag.

Beispiele: Logs mit dem Dienstnamen chronicle.googleapis.com

In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs beschrieben, die den Dienstnamen chronicle.googleapis.com verwenden.

Aktionen eines bestimmten Nutzers auflisten

Wenn Sie die Aktionen eines bestimmten Nutzers finden möchten, führen Sie die folgende Abfrage im Log-Explorer aus:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Nutzer identifizieren, die eine bestimmte Aktion ausgeführt haben

Wenn Sie die Nutzer finden möchten, die eine Erkennungsregel aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Beispiel: Log mit dem Dienstnamen cloudresourcemanager.googleapis.com

Wenn Sie die Nutzer finden möchten, die eine Zugriffssteuerungsrolle oder ein Zugriffssteuerungssubjekt aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Beispiele: Logs mit dem Dienstnamen malachitefrontend-pa.googleapis.com

In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs beschrieben, die den Dienstnamen malachitefrontend-pa.googleapis.com verwenden.

Aktionen eines bestimmten Nutzers auflisten

Wenn Sie die Aktionen eines bestimmten Nutzers finden möchten, führen Sie die folgende Abfrage im Log-Explorer aus:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Nutzer identifizieren, die eine bestimmte Aktion ausgeführt haben

Wenn Sie die Nutzer finden möchten, die ein Zugriffssteuerungssubjekt aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Wenn Sie die Nutzer finden möchten, die eine Zugriffssteuerungsrolle aktualisiert haben, führen Sie die folgende Abfrage in dem Log-Explorer aus:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Wenn Sie die Nutzer finden möchten, die eine Erkennungsregel aktualisiert haben, führen Sie die folgende Abfrage im Log-Explorer aus:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

Nächste Schritte

Benötigen Sie weitere Hilfe? Erhalten Sie Antworten von Community-Mitgliedern und Google SecOps-Experten.