Registros de auditoria do Google SecOps

Compatível com:

Google Cloud Os serviços do gravam registros de auditoria para informar quem fez o quê, onde e quando nos Google Cloud recursos do. Esta página descreve os registros de auditoria criados pelo Google Security Operations e gravados como registros de auditoria do Cloud.

Consulte Visão geral dos registros de auditoria do Cloud overview. Para entender melhor o formato do registro de auditoria, consulte Noções básicas sobre registros de auditoria.

Registros de auditoria disponíveis

O nome do serviço de registro de auditoria e as operações auditadas são diferentes dependendo do programa de visualização em que você está inscrito. Os registros de auditoria do Google SecOps usam um dos seguintes nomes de serviço:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

As operações de auditoria usam o tipo de recurso audited_resource para todos os registros de auditoria gravados, independentemente do programa de visualização. Não há diferença com base no programa de visualização em que você está inscrito.

Registros com o nome de serviço chronicle.googleapis.com

Os seguintes tipos de registro estão disponíveis para registros de auditoria do Google SecOps com o nome de serviço chronicle.googleapis.com.

Para mais informações, consulte Permissões do Google SecOps no IAM.

Tipo de registro de auditoria Descrição
Registros de auditoria de atividade do administrador Inclui operações de admin write que gravam metadados ou informações de configuração. As ações no Google SecOps que geram esse tipo de registro incluem a atualização de feeds e a criação de regras.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Registros de auditoria de acesso a dados Inclui operações de admin read que leem metadados ou informações de configuração. Também inclui operações de data read e data write que leem ou gravam dados fornecidos pelo usuário. As ações no Google SecOps que geram esse tipo de registro incluem a obtenção de feeds e a listagem de regras. Ative a configuração data read para o Google Cloud projeto para gravar consultas de pesquisa do SIEM executadas pelos usuários.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Registros com o nome de serviço chronicleservicemanager.googleapis.com

Os registros de auditoria do Google SecOps gravados usando o nome de serviço chronicleservicemanager.googleapis.com só estão disponíveis no nível da organização, não no nível do projeto.

Os seguintes tipos de registro estão disponíveis para registros de auditoria do Google SecOps gravados usando o nome de serviço chronicleservicemanager.googleapis.com.

Tipo de registro de auditoria Descrição
Registros de auditoria de atividade do administrador Inclui operações de gravação de administrador que gravam metadados ou informações de configuração. As ações no Google SecOps que geram esse tipo de registro incluem a criação de uma Google Cloud associação e a atualização de Google Cloud filtros de registro.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Registros de auditoria de acesso a dados Inclui operações de leitura do administrador que leem metadados ou informações de configuração. Também inclui operações de leitura de dados e gravação de dados que leem ou gravam dados fornecidos pelo usuário. As ações no Google SecOps que geram esse tipo de registro incluem a listagem de instâncias e metadados do cliente.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Registros com o nome de serviço malachitefrontend-pa.googleapis.com

Os seguintes tipos de registro estão disponíveis para registros de auditoria do Google SecOps com o nome de serviço malachitefrontend-pa.googleapis.com.

As operações da API Chronicle Frontend fornecem dados para e da interface do Google SecOps. A API Chronicle Frontend consiste em operações de acesso aos dados.

Tipo de registro de auditoria Operações do Google SecOps
Registros de auditoria de atividade do administrador Inclui atividades relacionadas à atualização, como UpdateRole e UpdateSubject.
Registros de auditoria de acesso a dados Inclui atividades relacionadas à visualização, como ListRoles e ListSubjects.

Formato do registro de auditoria

As entradas de registro de auditoria incluem os seguintes objetos:

  • A própria entrada de registro, que é um objeto do tipo LogEntry. Os campos úteis incluem o seguinte:

    • logName contém o ID do recurso e o tipo de registro de auditoria.
    • resource contém o destino da operação auditada.
    • timeStamp contém o horário da operação auditada.
    • protoPayload contém as informações auditadas.

  • Os dados de registro de auditoria, que são um AuditLog objeto localizado no campo protoPayload da entrada de registro.

  • Informações de auditoria opcionais e específicas do serviço, que são um objeto específico do serviço. Para integrações mais antigas, esse objeto é mantido no campo serviceData do objeto AuditLog. As integrações mais recentes usam o campo metadata.

  • O campo protoPayload.authenticationInfo.principalSubject contém o principal do usuário. Isso indica quem realizou a ação.

  • O campo protoPayload.methodName contém o nome do método da API invocado pela UI em nome do usuário.

  • O campo protoPayload.status contém o status da chamada de API. Um valor status vazio indica sucesso. Um valor status não vazio indica falha e contém uma descrição do erro. O código de status 7 indica permissão negada.

  • O serviço chronicle.googleapis.com inclui o campo protoPayload.authorizationInfo. Ele contém o nome do recurso solicitado, o nome da permissão verificada e se o acesso foi concedido ou negado.

Veja outros campos nesses objetos e como interpretá-los em Noções básicas sobre registros de auditoria.

O exemplo a seguir mostra os nomes dos registros de auditoria de atividade do administrador e de acesso a dados para envolvidos no projeto. As variáveis indicam Google Cloud projeto identificadores.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ativar registros de auditoria

Para ativar os registros de auditoria do serviço chronicle.googleapis.com, consulte Ativar registros de auditoria de acesso a dados. Para ativar os registros de auditoria de outros serviços, entre em contato com o suporte do Google SecOps.

Armazenamento de registros de auditoria

  • Registros de auditoria do Google SecOps: armazenados em um Google Cloud projeto de propriedade de você depois de ativar a API Google SecOps.
  • Registros de auditoria legados (incluindo malachitefrontend-pa.googleapis.com): armazenados em um Google Cloud projeto.
  • Registros de auditoria de atividade do administrador: sempre ativados e não podem ser desativados. Para visualizá-los, primeiro migre sua instância do Google SecOps para o IAM para controle de acesso.
  • Registros de auditoria de acesso a dados: ativados por padrão. Para desativar no projeto de propriedade do cliente, entre em contato com o representante do Google SecOps. O Google SecOps grava registros de auditoria de acesso a dados e de atividade do administrador no projeto.

Configurar os registros de auditoria de acesso a dados para incluir os dados de pesquisa

Para preencher consultas de pesquisa de UDM e de registro bruto nos registros de auditoria do Google SecOps, atualize a configuração dos registros de auditoria de acesso a dados com as permissões necessárias.

  1. No painel de navegação do Google Cloud console, selecione IAM e administrador > Registros de auditoria.
  2. Selecione um Google Cloud projeto, uma pasta ou uma organização do.
  3. Em Configuração dos registros de auditoria de acesso a dados, selecione API Chronicle.
  4. Na guia Tipos de permissão, selecione todas as permissões listadas (Leitura do administrador, Leitura de dados, Gravação de dados).
  5. Clique em Salvar.
  6. Repita as etapas 3 a 5 para a API Chronicle Service Manager.

Ver registros

Para encontrar e visualizar registros de auditoria, use o Google Cloud ID do projeto. Para o registro de auditoria legado de malachitefrontend-pa.googleapis.com configurado usando um Google Cloudprojeto de propriedade do, o suporte do Google SecOps forneceu estas informações. É possível especificar outros campos indexados LogEntry, como resource.type. Para mais informações, consulte Encontrar entradas de registro rapidamente.

No Google Cloud console do, use o Análise de registros para recuperar as entradas registro de auditoria do projeto: Google Cloud

  1. No Google Cloud console do, acesse a página Logging > Explorador de registros.

    Acessar a Análise de registros

  2. Na página Análise de registros , selecione umGoogle Cloud projeto, uma pasta ou uma organização.

  3. No painel Criador de consultas, faça o seguinte:

    • Em Tipo de recurso, selecione o Google Cloud recurso do com os registros de auditoria que você quer acessar.

    • Em Nome do registro, selecione o tipo de registro de auditoria que você quer ver:

    • Para os registros de auditoria da atividade do administrador, selecione Atividade.

    • Para os registros de auditoria de acesso a dados, selecione data_access.

    Se você não encontrar essas opções, isso significa que não há registros de auditoria desse tipo disponíveis em o Google Cloud projeto, na pasta ou na organização.

    Para mais informações sobre como consultar usando o Análise de registros, consulte Criar consultas de registros.

Para um exemplo de entrada de registro de auditoria e como encontrar as informações mais importantes informações, consulte Exemplo de registro de auditoria entrada.

Exemplos: registros de nome de serviço chronicle.googleapis.com

As seções a seguir descrevem casos de uso comuns para registros de auditoria do Cloud que usam o nome de serviço chronicle.googleapis.com.

Listar ações realizadas por um usuário específico

Para encontrar as ações realizadas por um determinado usuário, execute a seguinte consulta no Análise de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar usuários que realizaram uma ação específica

Para encontrar os usuários que atualizaram uma regra de detecção, execute a seguinte consulta no Análise de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Exemplo: registro de nome de serviço cloudresourcemanager.googleapis.com

Para encontrar os usuários que atualizaram uma função ou um assunto de controle de acesso, execute a seguinte consulta no Análise de registros:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Exemplos: registros de nome de serviço malachitefrontend-pa.googleapis.com

As seções a seguir descrevem casos de uso comuns para registros de auditoria do Cloud que usam o nome de serviço malachitefrontend-pa.googleapis.com.

Listar ações realizadas por um usuário específico

Para encontrar as ações realizadas por um determinado usuário, execute a seguinte consulta no Análise de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar usuários que realizaram uma ação específica

Para encontrar os usuários que atualizaram um assunto de controle de acesso, execute a seguinte consulta no Análise de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Para encontrar os usuários que atualizaram uma função de controle de acesso, execute a seguinte consulta em Análise de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Para encontrar os usuários que atualizaram uma regra de detecção, execute a seguinte consulta no Análise de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

A seguir

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.