שיטות מומלצות לשימוש ביומני ביקורת של Cloud

במסמך הזה מומלצת רצף של משימות של יומני ביקורת שיעזרו לארגון שלכם לשמור על האבטחה ולצמצם את הסיכון.

הרשימה הזו היא חלקית בלבד. המטרה היא לעזור לכם להבין את היקף הפעילויות של רישום הביקורת ולתכנן בהתאם.

כל קטע מציג פעולות חשובות וכולל קישורים לקריאה נוספת.

הסבר על יומני ביקורת ב-Cloud

יומני ביקורת זמינים לרוב שירותי Google Cloud . ב-Cloud Audit Logs יש את סוגי יומני הביקורת הבאים לכלGoogle Cloud פרויקט, חשבון לחיוב, תיקייה וארגון:

סוג יומן הביקורת ניתן להגדרה לחיוב
יומני הביקורת Admin Activity לא, תמיד נכתב לא
יומני ביקורת של גישה לנתונים כן כן
יומני ביקורת של Policy Denied כן, אפשר להחריג את היומנים האלה כך שלא ייכתבו לקטגוריות יומנים כן
יומני הביקורת System Event לא, תמיד נכתב לא

יומני הביקורת Data Access מושבתים כברירת מחדל, למעט יומני הביקורת של BigQuery. אם רוצים שיומני הביקורת Data Access ייכתבו עבור שירותי Google Cloud, צריך להפעיל אותם באופן מפורש. פרטים מופיעים במאמר הגדרת יומני ביקורת Data Access בדף הזה.

למידע על התמונה הכוללת של יומני ביקורת ב-Google Cloud, אפשר לעיין במאמר סקירה כללית על יומני ביקורת של Cloud.

שליטה בגישה ליומנים

נתוני יומני הביקורת הם רגישים, ולכן חשוב במיוחד להגדיר את אמצעי בקרת הגישה המתאימים למשתמשים בארגון.

בהתאם לדרישות התאימות והשימוש שלכם, מגדירים את אמצעי בקרת הגישה האלה באופן הבא:

הגדרת הרשאות IAM

ההרשאות והתפקידים ב-IAM קובעים את אפשרויות הגישה של המשתמשים לנתוני יומני הביקורת ב-Logging API, ב-Logs Explorer וב-Google Cloud CLI. אפשר להשתמש ב-IAM כדי להעניק גישה מפורטת לקטגוריות ספציפיות ב-Google Cloud ולמנוע גישה לא רצויה למשאבים אחרים.

התפקידים שמבוססים על הרשאות שאתם מקצים למשתמשים תלויים בפונקציות שקשורות לביקורת בארגון שלכם. לדוגמה, יכול להיות שתעניקו למנהל הטכנולוגיות הראשי (CTO) שלכם הרשאות אדמין רחבות, בעוד שחברי צוות הפיתוח שלכם יזדקקו להרשאות לצפייה ביומנים. לקבלת הנחיות לגבי התפקידים שכדאי להקצות למשתמשים בארגון, אפשר לעיין במאמר בנושא הגדרת תפקידים לרישום ביומן ביקורת.

כשמגדירים הרשאות IAM, חשוב להחיל את עקרון האבטחה של הרשאות מינימליות, כדי לתת למשתמשים רק את רמת הגישה שהם צריכים למשאבים:

  • הסרת כל המשתמשים שלא חיוניים.
  • נותנים למשתמשים חיוניים את ההרשאות הנכונות והמינימליות.

הוראות להגדרת הרשאות IAM מופיעות במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.

הגדרת תצוגות ביומן

כל היומנים, כולל יומני ביקורת, שמתקבלים ב-Logging נכתבים במאגרי אחסון שנקראים קטגוריות יומנים. הגדרות הגישה ליומנים מאפשרות לכם לקבוע למי תהיה גישה ליומנים בדלי היומנים.

מאחר שמאגרי יומנים יכולים להכיל יומנים מכמה Google Cloud פרויקטים, יכול להיות שתצטרכו לקבוע אילו Google Cloud פרויקטים משתמשים שונים יכולים לראות יומנים מהם. Google Cloud ליצור תצוגות מותאמות אישית של יומנים, שמאפשרות בקרת גישה פרטנית יותר לדליים האלה.

אפשר לשלוח שאילתות לתצוגות יומנים באמצעות Logs Explorer או באמצעות Observability Analytics. מידע נוסף מופיע במאמר סקירה כללית על שאילתות וצפייה ביומנים.

הוראות ליצירה ולניהול של תצוגות יומנים מפורטות במאמר הגדרת תצוגות יומנים מפורטות בקטגוריית יומנים.

הגדרת אמצעי בקרה לגישה ברמת השדה ביומן

אמצעי בקרה לגישה ברמת השדה מאפשרים לכם להסתיר שדות ספציפיים LogEntry ממשתמשים Google Cloud בפרויקט, וכך לקבל דרך פרטנית יותר לשלוט בנתוני היומנים שהמשתמש יכול לגשת אליהם. בהשוואה לתצוגות יומנים, שבהן מוסתרת כל LogEntry, אמצעי בקרה על גישה ברמת השדה מסתירים שדות ספציפיים של LogEntry. לדוגמה, יכול להיות שתרצו להסתיר את הפרטים האישיים המזהים של משתמשים חיצוניים, כמו כתובת אימייל שמופיעה במטען הייעודי (payload) של רשומת היומן, מרוב המשתמשים בארגון.

אם אתם מתכננים להשתמש ב-Observability Analytics כדי לנתח את יומני הביקורת, אל תגדירו אמצעי בקרת גישה ברמת השדה בקטגוריה ביומן שבה היומנים האלה מאוחסנים. אי אפשר להשתמש ב-Observability Analytics בקטגוריות של יומנים שמוגדרים בהן אמצעי בקרה לגישה ברמת השדה.

הוראות להגדרת בקרת גישה ברמת השדה מופיעות במאמר הגדרת גישה ברמת השדה.

הגדרת יומני ביקורת של גישה לנתונים

כשמפעילים שירותים חדשים של Google Cloud , כדאי לבדוק אם כדאי להפעיל יומני ביקורת של גישה לנתונים.

יומני בקרת הרשאות הגישה לנתונים עוזרים לתמיכה של Google לפתור בעיות בחשבון שלכם. לכן, מומלץ להפעיל את יומני הביקורת Data Access כשזה אפשרי.

כדי להפעיל את כל יומני הביקורת לכל השירותים, פועלים לפי ההוראות לעדכון המדיניות בנושא ניהול זהויות והרשאות גישה (IAM) עם ההגדרה שמפורטת במדיניות הביקורת.

אחרי שמגדירים את מדיניות הגישה לנתונים ברמת הארגון ומפעילים את יומני הביקורת של הגישה לנתונים, כדאי להשתמש בפרויקט בדיקה כדי לאמת את ההגדרה של איסוף יומני הביקורת לפני שיוצרים פרויקטים של פיתוח וייצור בארגון. Google Cloud Google Cloud

הוראות להפעלת יומני ביקורת של גישה לנתונים מופיעות במאמר הפעלת יומני ביקורת של גישה לנתונים.

איך שולטים באופן האחסון של היומנים

אתם יכולים להגדיר היבטים של מאגרי המידע (buckets) של הארגון, וגם ליצור מאגרי מידע מוגדרים על ידי המשתמש כדי לרכז את אחסון היומנים או לחלק אותו. בהתאם לדרישות התאימות והשימוש שלכם, יכול להיות שתרצו להתאים אישית את אחסון היומנים באופן הבא:

  • בוחרים את המיקום שבו רוצים לאחסן את היומנים.
  • הגדרת תקופת השמירה של הנתונים.
  • הגנה על היומנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK).

בחירת המיקום לאחסון היומנים

מאגרי יומנים הם משאבים אזוריים: התשתית שמאחסנת את היומנים, יוצרת אינדקסים שלהם ומחפשת בהם נמצאת במיקום גיאוגרפי ספציפי.

יכול להיות שהארגון שלכם נדרש לאחסן את נתוני היומנים באזורים ספציפיים. הגורמים העיקריים לבחירת האזור שבו יאוחסנו היומנים הם עמידה בדרישות של הארגון בנוגע לזמן אחזור, זמינות או תאימות.

כדי להחיל באופן אוטומטי אזור אחסון מסוים על דלי _Default ודלי _Required חדשים שנוצרו בארגון, אפשר להגדיר מיקום ברירת מחדל למשאבים.

הוראות להגדרת מיקומי ברירת מחדל למשאבים מופיעות במאמר הגדרת הגדרות ברירת מחדל לארגונים.

הגדרת תקופות של שמירת נתונים

‫Cloud Logging שומר יומנים בהתאם לכללי שמירת הנתונים שחלים על סוג קטגוריית היומנים שבהם היומנים נשמרים.

כדי לעמוד בדרישות התאימות, צריך להגדיר את Cloud Logging כך שיומנים יישמרו למשך יום אחד עד3650 days. כללי שמירה מותאמים אישית חלים על כל היומנים בקטגוריה, בלי קשר לסוג היומן או לשאלה אם היומן הועתק ממיקום אחר.

הוראות להגדרת כללי שמירה של קטגוריה ביומן מופיעות במאמר הגדרת שמירה בהתאמה אישית.

הגנה על יומני הביקורת באמצעות מפתחות הצפנה בניהול הלקוח

כברירת מחדל, Cloud Logging מצפין תוכן של לקוחות שמאוחסן במצב מנוחה. יכול להיות שיש בארגון שלכם דרישות הצפנה מתקדמות שלא מסופקות על ידי ברירת המחדל של הצפנה במנוחה. כדי לעמוד בדרישות של הארגון, במקום ש-Google תנהל את מפתחות ההצפנה שמגנים על הנתונים, אתם יכולים להגדיר מפתחות הצפנה בניהול הלקוח (CMEK) כדי לשלוט בהצפנה ולנהל אותה בעצמכם.

הוראות להגדרת CMEK מופיעות במאמר הגדרת CMEK לאחסון יומנים.

תמחור

למידע על מחירים, אפשר לעיין בדף תמחור של Google Cloud Observability. אם אתם מעבירים נתוני יומן לשירותים אחרים, כדאי לעיין במסמכים הבאים: Google Cloud

במהלך ההגדרה והשימוש ביומני הביקורת, מומלץ לפעול לפי השיטות המומלצות הבאות שקשורות לתמחור:

  • להעריך את החיובים על ידי צפייה בנתוני השימוש והגדרת מדיניות התראות.

  • חשוב לדעת שיומני ביקורת של Data Access יכולים להיות גדולים, וייתכן שתחויבו בעלויות נוספות על אחסון.

  • כדי לנהל את העלויות, אפשר להחריג יומני ביקורת שלא מועילים. לדוגמה, כנראה שתוכלו להחריג את יומני הביקורת Data Access בפרויקטים של פיתוח.

שאילתה וצפייה ביומני ביקורת

אם אתם צריכים לפתור בעיות, אתם חייבים להיות מסוגלים לעיין ביומנים במהירות. ב Google Cloud מסוף, משתמשים ב-Logs Explorer כדי לאחזר את הרשומות ביומן הביקורת של הארגון:

  1. במסוף Google Cloud , נכנסים לדף Logs Explorer:

    כניסה אל Logs Explorer

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בוחרים את הארגון.

  3. בחלונית Query:

    • בקטע Resource Type, בוחרים את המשאב שרוצים לראות את יומני הביקורת שלו. Google Cloud

    • בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:

      • ליומני הביקורת Admin Activity בוחרים באפשרות activity.
      • ליומני הביקורת Data Access בוחרים באפשרות data_access.
      • ליומני הביקורת System Event בוחרים באפשרות system_event.
      • ליומני הביקורת Policy Denied בוחרים באפשרות policy.

      אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג בארגון.

    • בעורך השאילתות, מציינים עוד את הרשומות ביומן הביקורת שרוצים לראות. דוגמאות לשאילתות נפוצות מופיעות במאמר דוגמאות לשאילתות באמצעות Logs Explorer.

  4. לוחצים על Run query.

מידע נוסף על שליחת שאילתות באמצעות Logs Explorer מופיע במאמר יצירת שאילתות ב-Logs Explorer.

מעקב אחרי יומני הביקורת

אתם יכולים להשתמש ב-Cloud Monitoring כדי לקבל התראה כשמתרחשים תנאים שאתם מגדירים. כדי לספק ל-Cloud Monitoring נתונים מהיומנים, אפשר ליצור ב-Logging מדיניות התראות שמבוססת על יומנים. כך תקבלו התראה בכל פעם שאירוע ספציפי מופיע ביומן.

הגדרת מדיניות התראות כדי להבדיל בין אירועים שנדרשת לגביהם בדיקה מיידית לבין אירועים בעדיפות נמוכה. לדוגמה, אם רוצים לדעת מתי יומן ביקורת מתעד הודעה מסוימת לגבי גישה לנתונים, אפשר ליצור מדיניות התראות שמבוססת על יומן, שתתאים להודעה ותשלח לכם התראה כשההודעה תופיע.

הוראות להגדרת מדיניות התראות שמבוססת על יומנים מופיעות במאמר ניהול מדיניות התראות שמבוססת על יומנים.

ניתוב יומנים ליעדים נתמכים

יכול להיות שהארגון שלכם יצטרך ליצור ולשמור יומני ביקורת. באמצעות מאגרי יומנים, אתם יכולים לנתב חלק מהיומנים או את כולם ליעדים הנתמכים הבאים:

  • קטגוריה נוספת של Cloud Logging

קובעים אם צריך sinks ברמת התיקייה או ברמת הארגון, ומנתבים יומנים מכל הפרויקטים בארגון או בתיקייה באמצעות aggregated sinks. Google Cloud לדוגמה, אפשר להשתמש בתרחישי הניתוב הבאים:

  • מאגר ברמת הארגון: אם הארגון שלכם משתמש ב-SIEM כדי לנהל כמה יומני ביקורת, יכול להיות שתרצו לנתב את כל יומני הביקורת של הארגון. לכן, כדאי להשתמש במאגר ברמת הארגון.

  • מאגר ברמת התיקייה: לפעמים רוצים לנתב רק יומני ביקורת של מחלקות. לדוגמה, אם יש לכם תיקייה בשם 'כספים' ותיקייה בשם 'IT', יכול להיות שתרצו להגדיר ניתוב רק ליומני הביקורת ששייכים לתיקייה 'כספים', או רק לתיקייה 'IT'.

    מידע נוסף על תיקיות וארגונים מופיע במאמר היררכיית משאבים.

מחילים את אותן מדיניות גישה על Google Cloud היעד שבו משתמשים כדי לנתב יומנים, כמו שמחילים על הכלי Logs Explorer.

הוראות ליצירה ולניהול של אובייקטים מסוג sink מצטבר מופיעות במאמר איסוף וניתוב של יומנים ברמת הארגון ליעדים נתמכים.

הסבר על פורמט הנתונים ביעדי יצוא

כשמעבירים יומני ביקורת ליעדים מחוץ ל-Cloud Logging, חשוב להבין את פורמט הנתונים שנשלחו.

לדוגמה, אם מנתבים יומנים ל-BigQuery, ‏ Cloud Logging מחיל כללים כדי לקצר את שמות השדות בסכימה של BigQuery עבור יומני ביקורת ועבור שדות מסוימים של מטען ייעודי מובנה.

כדי להבין ולמצוא רשומות ביומן שניתבתם מ-Cloud Logging ליעדים נתמכים, אפשר לעיין במאמר צפייה ביומנים ביעדי ניקוז.

העתקת רשומות ביומן

בהתאם לצורכי התאימות של הארגון, יכול להיות שתצטרכו לשתף רשומות ביומן ביקורת עם מבקרים מחוץ ליומן. אם אתם צריכים לשתף רשומות ביומן שכבר מאוחסנות בקטגוריות של Cloud Logging, אתם יכולים להעתיק אותן ידנית לקטגוריות של Cloud Storage.

כשמעתיקים רשומות ביומן ל-Cloud Storage, הרשומות נשארות גם בקטגוריית היומן שממנה הן הועתקו.

שימו לב שפעולות העתקה לא מחליפות את יעד השמירה, ששולח באופן אוטומטי את כל רשומות היומן הנכנסות ליעד אחסון נתמך שנבחר מראש, כולל Cloud Storage.

הוראות לניתוב יומנים ל-Cloud Storage באופן רטרואקטיבי מופיעות במאמר העתקת רשומות ביומן.