Google SecOps 監査ログ
Google Cloud サービスは、リソース内で誰がいつどこで何をしたかを確認できるように、監査ログを書き込みます。 Google Cloud このページでは、Google Security Operations によって作成され、Cloud Audit Logs として書き込まれる監査ログについて説明します。
Cloud Audit Logs の概要については、Cloud Audit Logs の概要をご覧ください。監査ログ形式の詳細については、監査ログについてをご覧ください。
利用可能な監査ログ
監査ログのサービス名と監査対象のオペレーションは、登録しているプレビュー プログラムによって異なります。Google SecOps 監査ログでは、次のいずれかのサービス名が使用されます。
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
監査オペレーションでは、書き込まれたすべての監査ログにリソースタイプ audited_resource が使用されます。プレビュー プログラムは関係ありません。登録しているプレビュー プログラムによる違いはありません。
サービス名が chronicle.googleapis.com のログ
chronicle.googleapis.com サービス名を使用する Google SecOps 監査ログでは、次のログタイプを使用できます。
詳細については、IAM の Google SecOps 権限をご覧ください。
| 監査ログのタイプ | 説明 |
|---|---|
| 管理アクティビティ監査ログ | メタデータまたは構成情報を書き込む admin write オペレーションが含まれます。このタイプのログを生成する Google SecOps のアクションには、フィードの更新とルールの作成が含まれます。chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| データアクセス監査ログ | メタデータまたは構成情報を読み取る admin read オペレーションが含まれます。ユーザー提供データ の読み取りまたは書き込みを行う data read オペレーションと data write オペレーションも記録されます。このタイプのログを生成する Google SecOps のアクションには、フィードの取得とルールのリスト表示が含まれます。ユーザーが実行した SIEM 検索クエリを記録するには、 プロジェクトの Google Cloud data read 設定を有効にします。chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
サービス名が chronicleservicemanager.googleapis.com のログ
chronicleservicemanager.googleapis.com サービス名を使用して書き込まれた Google SecOps 監査ログは、プロジェクト レベルではなく組織レベルでのみ使用できます。
chronicleservicemanager.googleapis.com サービス名を使用して書き込まれた Google SecOps 監査ログでは、次のログタイプを使用できます。
| 監査ログのタイプ | 説明 |
|---|---|
| 管理アクティビティ監査ログ | メタデータまたは構成情報を書き込む admin write オペレーションが含まれます。このタイプのログを生成する Google SecOps のアクションには、 関連付けの作成と ログフィルタの更新が含まれます。 Google Cloud Google Cloud chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| データアクセス監査ログ | メタデータまたは構成情報を読み取る管理読み取りオペレーションが含まれます。ユーザー提供データ の読み取りまたは書き込みを行う data read オペレーションと data write オペレーションが記録されます。このタイプのログを生成する Google SecOps のアクションには、インスタンスと顧客メタデータのリスト表示が含まれます。chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
サービス名が malachitefrontend-pa.googleapis.com のログ
malachitefrontend-pa.googleapis.com サービス名を使用する Google SecOps 監査ログでは、次のログタイプを使用できます。
Chronicle Frontend API オペレーションは、Google SecOps UI との間でデータを提供します。Chronicle Frontend API は、データアクセス オペレーションで構成されています。
| 監査ログのタイプ | Google SecOps オペレーション |
|---|---|
| 管理アクティビティ監査ログ | UpdateRole や UpdateSubject など、更新関連のアクティビティが含まれます。 |
| データアクセス監査ログ | ListRoles や ListSubjects など、ビュー関連のアクティビティが含まれます。 |
監査ログ形式
監査ログエントリには、次のオブジェクトが含まれます。
ログエントリ自体。
LogEntryタイプのオブジェクトです。よく使用されるフィールドは次のとおりです。logNameには、リソース ID と監査ログの種類が含まれます。resource: 監査対象オペレーションのターゲットが格納されます。timeStamp: 監査対象オペレーションの時間が格納されます。protoPayload: 監査情報が格納されます。
監査ロギングデータ。ログエントリの
protoPayloadフィールドに保持されるAuditLogオブジェクトです。任意のサービス固有の監査情報。サービス固有のオブジェクトです。古い統合では、このオブジェクトは
AuditLogオブジェクトのserviceDataフィールドに保持されます。新しい統合では、metadataフィールドを使用します。protoPayload.authenticationInfo.principalSubjectフィールドには、ユーザー プリンシパルが含まれます。これは、アクションを実行したユーザーを示します。protoPayload.methodNameフィールドには、ユーザーに代わって UI によって呼び出された API メソッド名が含まれます。protoPayload.statusフィールドには、API 呼び出しのステータスが含まれます。status値が空の場合は成功を示します。status値が空でない場合は失敗を示し、エラーの説明が含まれます。ステータス コード 7 は権限拒否を示します。chronicle.googleapis.comサービスにはprotoPayload.authorizationInfoフィールドが含まれます。これには、リクエストされたリソースの名前、チェックされた権限名、アクセスが許可されたか拒否されたかが含まれます。
これらのオブジェクトのその他のフィールドと、その解釈方法については、監査ログについてをご覧ください。
次の例は、プロジェクト レベルの管理アクティビティ監査ログとデータアクセス監査ログのログ名を示しています。変数は、 Google Cloud プロジェクト の識別子を表します。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
監査ロギングの有効化
chronicle.googleapis.com サービスの監査ロギングを有効にするには、
データアクセス監査ログを有効にするをご覧ください。
他のサービスの監査ロギングを有効にするには、
Google SecOps サポートにお問い合わせください。
監査ログ ストレージ
- Google SecOps 監査ログ: Google SecOps API を有効にした後、 Google Cloud ユーザーが所有するプロジェクトに保存されます。
- 以前の監査ログ(
malachitefrontend-pa.googleapis.comなど):Google Cloud プロジェクトに保存されます。 - 管理アクティビティ監査ログ: 常に有効になっており、無効にすることはできません。表示するには、まず Google SecOps インスタンスを IAM に移行してアクセス制御を行います。
- データアクセス監査ログ: デフォルトで有効になっています。お客様所有のプロジェクトで無効にするには、Google SecOps の担当者にお問い合わせください。Google SecOps は、データアクセス監査ログと管理アクティビティ監査ログを プロジェクトに書き込みます。
検索データを含めるようにデータアクセス監査ログを構成する
Google SecOps 監査ログに UDM 検索クエリと未加工ログ検索クエリを入力するには、必要な権限を使用してデータアクセス監査ログの構成を更新します。
- コンソールのナビゲーション パネルで、[IAM と管理] > [監査ログ] を選択します。 Google Cloud
- 既存の Google Cloud プロジェクト、フォルダ、または組織を選択します。
- [データアクセス監査ログの構成] で、[Chronicle API] を選択します。
- [**権限タイプ**] タブで、リストされているすべての権限([**管理読み取り**]、[**データ読み取り**]、[**データ書き込み**])を選択します。
- [保存] をクリックします。
- Chronicle Service Manager API について手順 3 ~ 5 を繰り返します。
ログを表示
監査ログを検索して表示するには、 Google Cloud プロジェクト ID を使用します。所有のプロジェクトを使用して構成された malachitefrontend-pa.googleapis.com の以前の
監査ロギングについては、Google SecOps サポートからこの
情報が提供されます。Google Cloudさらに、他のインデックス付き
LogEntry フィールドも指定できます。resource.type詳しくは、ログエントリの迅速な検索
をご覧ください。
コンソールで Google Cloud ログ エクスプローラ を使用して、 プロジェクトの 監査ログエントリを取得します Google Cloud 。
コンソールで、 [ロギング] > [ログ エクスプローラ] ページに移動します。 Google Cloud
[**ログ エクスプローラ**] ページで、既存の Google Cloud プロジェクト、フォルダ、または組織を選択します。
[クエリビルダー] ペインで、次の操作を行います。
[リソースタイプ] で、表示する監査ログを含む Google Cloud リソースを選択します。
[ログ名] で、表示する監査ログタイプを選択します。
管理アクティビティ監査ログの場合は、[activity] を選択します。
データアクセス監査ログの場合は、[data_access] を選択します。
これらのオプションが表示されない場合、 プロジェクト、フォルダ、または組織 Google Cloud で利用可能なその種類の監査ログは存在しないことを意味します。
ログ エクスプローラ を使用したクエリの詳細については、 ログクエリのビルドをご覧ください。
監査ログエントリの例と、その中に記録されている最も重要な情報を見つける方法については、監査ログエントリの例をご覧ください。
例: chronicle.googleapis.com サービス名のログ
以降のセクションでは、chronicle.googleapis.com サービス名を使用する Cloud Audit Logs の一般的なユースケースについて説明します。
特定のユーザーが実行したアクションのリスト表示
特定のユーザーが実行したアクションを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
特定のアクションを行ったユーザーを特定する
検出ルールを更新したユーザーを確認するには、 ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
例: cloudresourcemanager.googleapis.com サービス名のログ
アクセス制御ロールまたはサブジェクトを更新したユーザーを確認するには、 **ログ エクスプローラ**で次のクエリを実行します。
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
例: malachitefrontend-pa.googleapis.com サービス名のログ
以降のセクションでは、malachitefrontend-pa.googleapis.com サービス名を使用する Cloud Audit Logs の一般的なユースケースについて説明します。
特定のユーザーが実行したアクションのリスト表示
特定のユーザーが実行したアクションを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
特定のアクションを行ったユーザーを特定する
アクセス制御サブジェクトを更新したユーザーを確認するには、次のクエリ をログ エクスプローラで実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
アクセス制御ロールを更新したユーザーを確認するには、 ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
検出ルールを更新したユーザーを確認するには、 ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
次のステップ
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。