Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

SQL-Abfragen für Sicherheitsinformationen

In diesem Dokument wird beschrieben, wie Sie Cloud Logging-Audit-Logs mit BigQuery-Standard-SQL-Abfragen auf der Observability Analytics-Seite analysieren. Mit SQL-Abfragen können Sie Ihre Audit-Logs aggregieren und analysieren. Diese enthalten Informationen zu Verwaltungsaktivitäten und Zugriffen in Ihren Google Cloud Ressourcen.

Audit-Logs

Es gibt vier Arten von Audit-Logs, die von Google Cloud Diensten geschrieben werden können:

Audit-Logs zu Administratoraktivitäten: In Audit-Logs zu Administratoraktivitäten werden API-Aufrufe oder andere Aktionen aufgezeichnet, mit denen die Konfiguration oder Metadaten von Ressourcen geändert werden. Diese Logs werden immer geschrieben. Sie können sie nicht konfigurieren, ausschließen oder deaktivieren.
Audit-Logs zum Datenzugriff: In Audit-Logs zum Datenzugriff werden API-Aufrufe aufgezeichnet, mit denen die Konfiguration oder Metadaten von Ressourcen gelesen werden, sowie nutzergesteuerte API-Aufrufe, mit denen von Nutzern bereitgestellte Ressourcendaten erstellt, geändert oder gelesen werden. Da der Zugriff auf Daten ein häufiger API-Vorgang ist, sind diese Logs standardmäßig deaktiviert (außer bei BigQuery).
Audit-Logs zu Systemereignissen: Audit-Logs zu Systemereignissen enthalten Logeinträge für Google Cloud Aktionen, mit denen die Konfiguration von Ressourcen geändert wird. Diese Logs werden von Google-Systemen generiert und nicht durch Nutzeraktionen. Sie können Audit-Logs zu Systemereignissen nicht konfigurieren, ausschließen oder deaktivieren.
Audit-Logs zu Richtlinienverstößen: Audit-Logs zu Richtlinienverstößen werden aufgezeichnet, wenn ein Google Cloud Dienst den Zugriff auf einen Nutzer oder ein Dienstkonto aufgrund eines Verstoßes gegen eine Sicherheitsrichtlinie verweigert. Diese Logs können nicht deaktiviert werden. Sie können jedoch Ausschlussfilter verwenden, um zu verhindern, dass diese Logs in Logging gespeichert werden.

Weitere Informationen zu Audit-Logs finden Sie unter Übersicht über Audit-Logs. Eine Liste der Dienste, die in Audit-Logs integriert sind, finden Sie unter Google Cloud Dienste mit Audit-Logs.

Audit-Logs verwenden, um Richtlinienverstöße oder verdächtige Aktivitäten zu erkennen

Sie können Audit-Logs verwenden, um Richtlinienverstöße oder verdächtige Aktivitäten zu erkennen:

Verwenden Sie Audit-Logs zu Administratoraktivitäten, um eine potenzielle Rechteausweitung mit Identity and Access Management (IAM) oder eine Umgehung der Verteidigung durch Deaktivieren von Logging zu erkennen. Eine Beispielabfrage , mit der dieses Szenario erkannt wird, finden Sie unter Änderungen an den Logging-Einstellungen.
Verwenden Sie Audit-Logs zum Datenzugriff, um potenziellen Missbrauch von APIs oder Daten zu erkennen, die in Diensten wie Cloud Storage oder BigQuery gehostet werden. Eine Beispielabfrage, mit der dieses Szenario erkannt wird, finden Sie unter Hohe API-Nutzung durch einen Hauptnutzer erkennen.
Wenn Sie ermitteln möchten, wie oft und von welchen Nutzern auf Daten zugegriffen wird, fragen Sie alle Audit-Logs ab. Eine Beispielabfrage, mit der dieses Szenario erkannt wird, finden Sie unter Häufigste Aktionen im letzten Monat ermitteln.

Hinweis

Sie benötigen ein Google Cloud Projekt, einen Ordner oder eine Organisation, die Audit-Logs generiert.
Sie benötigen Zugriff auf eine Ansicht des Log-Buckets, an den die Audit-Logs weitergeleitet werden. Der Log-Bucket muss aktualisiert werden, um Observability Analytics zu verwenden. Informationen zum Erstellen eines Log-Buckets, der für die Verwendung von Observability Analytics aktualisiert wurde, finden Sie unter Log-Buckets konfigurieren.
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Senken und zum Aufrufen von Logs benötigen:
- Autor von Log-Konfigurationen (roles/logging.configWriter) für Ihr Projekt
- Logbetrachter (roles/logging.viewer) für Ihr Projekt
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Je nachdem, welche Audit-Logs Sie aufrufen möchten, benötigen Sie möglicherweise separate Rollen oder Berechtigungen. Informationen zum Festlegen von IAM-Rollen, finden Sie in der Dokumentation zur Zugriffssteuerung für Logging mit IAM.
So verwenden Sie die Abfragen in diesem Dokument auf der Seite Observability Analytics:
1. Rufen Sie in der Google Cloud Console die Observability Analytics Seite auf:
  Observability Analytics aufrufen
  
  Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.
2. Ermitteln Sie den Tabellennamen für die Logansicht, die Sie abfragen möchten.
  
  Rufen Sie dazu die Liste Logansichten auf, suchen Sie die Logansicht und wählen Sie Abfrage aus. Der Bereich Abfrage wird mit einer Standardabfrage gefüllt, die den Tabellennamen der abgefragten Logansicht enthält. Der Tabellenname hat das Format project_ID.region.bucket_ID.view_ID.
  
  Weitere Informationen zum Zugriff auf die Standardabfrage finden Sie unter Logansicht abfragen.
3. Ersetzen Sie VIEW durch den Tabellennamen für die Logansicht , die Sie abfragen möchten, und kopieren Sie dann die Abfrage.
4. Fügen Sie die Abfrage in den Bereich Abfrage ein und klicken Sie dann auf Abfrage ausführen.

Beispielabfragen

In diesem Abschnitt finden Sie Beispiel-SQL-Abfragen zum Abfragen von Audit-Logs.

Änderungen an den Logging-Einstellungen

Wenn Sie ermitteln möchten, wann Audit-Logs deaktiviert wurden oder wann Änderungen an den Standardeinstellungen für Logging vorgenommen wurden, fragen Sie die Audit-Logs zu Administratoraktivitäten ab:

SELECT
  receive_timestamp, timestamp AS eventTimestamp,
  proto_payload.audit_log.request_metadata.caller_ip,
  proto_payload.audit_log.authentication_info.principal_email,
  proto_payload.audit_log.resource_name,
  proto_payload.audit_log.method_name
FROM
  `VIEW`
WHERE
  proto_payload.audit_log.service_name = "logging.googleapis.com"
  AND log_id = "cloudaudit.googleapis.com/activity"

Häufigste Aktionen im letzten Monat ermitteln

Wenn Sie ermitteln möchten, welche Aktionen in den letzten 30 Tagen am häufigsten ausgeführt wurden, fragen Sie alle Audit-Logs ab:

SELECT
  proto_payload.audit_log.method_name,
  proto_payload.audit_log.service_name,
  resource.type,
  COUNT(*) AS counter
FROM
  `VIEW`
WHERE
  timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 30 DAY)
  AND log_id="cloudaudit.googleapis.com/data_access"
GROUP BY
  proto_payload.audit_log.method_name,
  proto_payload.audit_log.service_name,
  resource.type
ORDER BY
  counter DESC
LIMIT 100

Bei der vorherigen Abfrage werden alle Audit-Logs der letzten 30 Tage durchsucht und die 100 am häufigsten ausgeführten Aktionen mit Informationen zu method_name, service_name, Ressourcentyp und einem Zähler der ausgeführten Aktionen zurückgegeben.

Rollen erkennen, die einem Dienstkonto zugewiesen wurden

Wenn Sie die Identitätswechsel von Dienstkonten oder Rollen erkennen möchten, die Dienstkonten zugewiesen wurden, fragen Sie die Audit-Logs zu Administratoraktivitäten ab:

SELECT
  timestamp,
  proto_payload.audit_log.authentication_info.principal_email as grantor,
  JSON_VALUE(bindingDelta.member) as grantee,
  JSON_VALUE(bindingDelta.role) as role,
  proto_payload.audit_log.resource_name,
  proto_payload.audit_log.method_name
FROM
  `VIEW`,
  UNNEST(JSON_QUERY_ARRAY(proto_payload.audit_log.service_data.policyDelta.bindingDeltas)) AS bindingDelta
WHERE
  timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 7 DAY)
  AND log_id = "cloudaudit.googleapis.com/activity"
  AND (
    (resource.type = "service_account"
    AND proto_payload.audit_log.method_name LIKE "google.iam.admin.%.SetIAMPolicy")
    OR
    (resource.type IN ("project", "folder", "organization")
    AND proto_payload.audit_log.method_name = "SetIamPolicy"
    AND JSON_VALUE(bindingDelta.role) LIKE "roles/iam.serviceAccount%")
  )
  AND JSON_VALUE(bindingDelta.action) = "ADD"
  -- Principal (grantee) exclusions
  AND JSON_VALUE(bindingDelta.member) NOT LIKE "%@example.com"
ORDER BY
  timestamp DESC

Bei der vorherigen Abfrage werden Audit-Logs gesucht, in denen Rollen aufgezeichnet werden, die einem Hauptnutzer für ein Dienstkonto zugewiesen wurden. Mit der Rolle „Ersteller von Dienstkonto-Tokens“ kann der Hauptnutzer das Dienstkonto imitieren. Die Abfrage gibt auch einen Zeitraum von sieben Tagen an und schließt genehmigte Empfänger aus (%@example.com).

Hohe API-Nutzung durch einen Hauptnutzer erkennen

Wenn Sie eine ungewöhnlich hohe API-Nutzung durch einen Hauptnutzer erkennen möchten, fragen Sie alle Audit-Logs ab:

SELECT
  *
FROM (
  SELECT
    *,
    AVG(counter) OVER (
      PARTITION BY principal_email
      ORDER BY day
      ROWS BETWEEN UNBOUNDED PRECEDING AND 1 PRECEDING) AS avg,
    STDDEV(counter) OVER (
      PARTITION BY principal_email
      ORDER BY day
      ROWS BETWEEN UNBOUNDED PRECEDING AND 1 PRECEDING) AS stddev,
    COUNT(*) OVER (
      PARTITION BY principal_email
      RANGE BETWEEN UNBOUNDED PRECEDING AND UNBOUNDED FOLLOWING) AS numSamples
  FROM (
    SELECT
      proto_payload.audit_log.authentication_info.principal_email,
      EXTRACT(DATE FROM timestamp) AS day,
      ARRAY_AGG(DISTINCT proto_payload.audit_log.method_name IGNORE NULLS) AS actions,
      COUNT(*) AS counter
    FROM `VIEW`
    WHERE
      timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 60 DAY)
      AND proto_payload.audit_log.authentication_info.principal_email IS NOT NULL
      AND proto_payload.audit_log.method_name NOT LIKE "storage.%.get"
      AND proto_payload.audit_log.method_name NOT LIKE "v1.compute.%.list"
      AND proto_payload.audit_log.method_name NOT LIKE "beta.compute.%.list"
    GROUP BY
      proto_payload.audit_log.authentication_info.principal_email,
      day
  )
)
WHERE
  counter > avg + 3 * stddev
  AND day >= DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY)
ORDER BY
  counter DESC

Für den angegebenen Hauptnutzer principal_email berechnet die Abfrage die durchschnittliche Anzahl der API-Aufrufe pro Tag und die Standardabweichung dieser API-Aufrufe. Wenn die durchschnittliche Anzahl der API-Aufrufe größer ist als der gleitende Durchschnitt plus das Dreifache der Standardabweichung, werden in der Abfrage die folgenden Informationen angezeigt:

Ein Zähler der ausgeführten Aktionen.
Die berechnete durchschnittliche Anzahl der Aktionen pro Tag.
Die spezifischen Aktionen, die ausgeführt wurden.

Nächste Schritte

Eine Übersicht über Observability Analytics finden Sie unter Observability Analytics.
Weitere Beispielabfragen finden Sie unter Beispiel-SQL-Abfragen.
Weitere Beispielabfragen, mit denen Sicherheitsinformationen aus Ihren Logs generiert werden, finden Sie im Repository Community Security Analytics.
Informationen zum Aktivieren, Aggregieren und Analysieren von Logs mit Observability Analytics finden Sie unter Sicherheitsloganalysen in Google Cloud.

SQL-Abfragen für Sicherheitsinformationen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.