שיטות מומלצות לשימוש ביומני ביקורת של Cloud

במסמך הזה מומלצת רצף של משימות לרישום ביומן ביקורת, כדי לעזור לארגון לשמור על האבטחה ולצמצם את הסיכון.

זו רשימה חלקית של המלצות. המטרה היא לעזור לכם להבין את היקף הפעילויות של רישום הביקורת ולתכנן בהתאם.

כל קטע מציג פעולות חשובות וכולל קישורים לקריאה נוספת.

הסבר על יומני ביקורת ב-Cloud

יומני ביקורת זמינים לרוב Google Cloud השירותים. ב-Cloud Audit Logs יש את סוגי יומני הביקורת הבאים לכלGoogle Cloud פרויקט, חשבון לחיוב, תיקייה וארגון:

סוג יומן הביקורת	ניתן להגדרה	לחיוב
יומני הביקורת Admin Activity	לא, תמיד נכתב	לא
יומני ביקורת של גישה לנתונים	כן	כן
יומני ביקורת של Policy Denied	כן, אפשר להחריג את היומנים האלה כך שלא ייכתבו לקטגוריות יומנים	כן
יומני הביקורת System Event	לא, תמיד נכתב	לא

יומני הביקורת Data Access מושבתים כברירת מחדל, למעט יומני הביקורת של BigQuery. אם רוצים שיומני הביקורת Data Access ייכתבו עבור שירותים של Google Cloud, צריך להפעיל אותם באופן מפורש. פרטים מופיעים במאמר הגדרת יומני ביקורת Data Access בדף הזה.

למידע על התמונה הכוללת של יומני ביקורת ב-Google Cloud, אפשר לעיין במאמר סקירה כללית על יומני ביקורת של Cloud.

שליטה בגישה ליומנים

הנתונים ביומני הביקורת הם רגישים, ולכן חשוב במיוחד להגדיר את אמצעי בקרת הגישה המתאימים למשתמשים בארגון.

בהתאם לדרישות התאימות והשימוש שלכם, מגדירים את אמצעי בקרת הגישה האלה באופן הבא:

• הגדרת הרשאות IAM
• הגדרת תצוגות יומן
• הגדרת אמצעי בקרה לגישה ברמת השדה ברשומות ביומן

הגדרת הרשאות IAM

ההרשאות והתפקידים ב-IAM קובעים את אפשרויות הגישה של המשתמשים לנתוני יומני הביקורת ב-Logging API, ב-Logs Explorer וב-Google Cloud CLI. אפשר להשתמש ב-IAM כדי להעניק גישה מפורטת למאגריGoogle Cloud ספציפיים ולמנוע גישה לא רצויה למשאבים אחרים.

התפקידים שמבוססים על הרשאות שאתם מקצים למשתמשים תלויים בפונקציות שקשורות לביקורת בארגון שלכם. לדוגמה, יכול להיות שתעניקו למנהל הטכנולוגיה הראשי (CTO) שלכם הרשאות אדמין רחבות, בעוד שחברי צוות הפיתוח שלכם יזדקקו להרשאות לצפייה ביומנים. לקבלת הנחיות לגבי התפקידים שכדאי להקצות למשתמשים בארגון, אפשר לעיין במאמר בנושא הגדרת תפקידים לרישום ביומן ביקורת.

כשמגדירים הרשאות IAM, חשוב להחיל את עקרון האבטחה של הרשאות מינימליות, כדי להעניק למשתמשים רק את הגישה הדרושה למשאבים:

• הסרת כל המשתמשים הלא חיוניים.
• נותנים למשתמשים חיוניים את ההרשאות הנכונות והמינימליות.

הוראות להגדרת הרשאות IAM מופיעות במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.

הגדרת תצוגות ביומן

כל היומנים, כולל יומני הביקורת, שמתקבלים ב-Logging נכתבים במאגרי אחסון שנקראים קטגוריות יומנים. הגדרת הרשאות גישה ליומנים מאפשרת לכם לקבוע למי תהיה גישה ליומנים בדלי היומנים.

מאחר שקטגוריות של יומנים יכולות להכיל יומנים מכמה Google Cloud פרויקטים, יכול להיות שתצטרכו לקבוע אילו Google Cloud פרויקטים משתמשים שונים יכולים לראות יומנים מהם. Google Cloud ליצור תצוגות מותאמות אישית של יומנים, שמאפשרות לכם שליטה פרטנית יותר בגישה לדליים האלה.

אפשר לשלוח שאילתות לתצוגות של יומנים באמצעות Logs Explorer או Log Analytics. מידע נוסף מופיע במאמר סקירה כללית על שאילתות וצפייה ביומנים.

הוראות ליצירה ולניהול של תצוגות יומנים מפורטות במאמר הגדרת תצוגות יומנים מפורטות בקטגוריית יומנים.

הגדרת אמצעי בקרה על הגישה ברמת השדה ביומן

אמצעי בקרה לגישה ברמת השדה מאפשרים לכם להסתיר שדות ספציפיים LogEntry ממשתמשים Google Cloud בפרויקט, וכך לקבל שליטה פרטנית יותר על נתוני היומנים שהמשתמש יכול לגשת אליהם. בניגוד לתצוגות של יומנים, שבהן מוסתרת כל LogEntry, אמצעי בקרה על גישה ברמת השדה מסתירים שדות ספציפיים של LogEntry. לדוגמה, יכול להיות שתרצו להסתיר את הפרטים האישיים המזהים של משתמשים חיצוניים, כמו כתובת אימייל שמופיעה במטען הייעודי (payload) של רשומת היומן, מרוב המשתמשים בארגון.

אם אתם מתכננים להשתמש ב-Log Analytics כדי לנתח את יומני הביקורת, אל תגדירו אמצעי בקרת גישה ברמת השדה בקטגוריה ביומן שבה היומנים האלה מאוחסנים. אי אפשר להשתמש בניתוח נתוני יומנים בדלי יומנים שהוגדרו בהם אמצעי בקרה לגישה ברמת השדה.

הוראות להגדרת בקרת גישה ברמת השדה מופיעות במאמר הגדרת גישה ברמת השדה.

הגדרת יומני ביקורת של גישה לנתונים

כשמפעילים שירותים חדשים של Google Cloud , כדאי להעריך אם להפעיל יומני ביקורת של גישה לנתונים.

יומני בקרת הרשאות הגישה לנתונים עוזרים לתמיכה של Google לפתור בעיות בחשבון שלכם. לכן, מומלץ להפעיל את יומני הביקורת Data Access כשזה אפשרי.

כדי להפעיל את כל יומני הביקורת לכל השירותים, פועלים לפי ההוראות לעדכון המדיניות בנושא ניהול זהויות והרשאות גישה (IAM) עם ההגדרה שמפורטת במדיניות הביקורת.

אחרי שמגדירים את מדיניות הגישה לנתונים ברמת הארגון ומפעילים את יומני הביקורת של הגישה לנתונים, כדאי להשתמש בפרויקט בדיקה כדי לאמת את ההגדרה של איסוף יומני הביקורת לפני שיוצרים פרויקטים של פיתוח וייצור בארגון. Google Cloud Google Cloud

הוראות להפעלת יומני ביקורת של גישה לנתונים מופיעות במאמר הפעלת יומני ביקורת של גישה לנתונים.

שליטה באופן האחסון של היומנים

אתם יכולים להגדיר היבטים של מאגרי המידע (buckets) של הארגון, וגם ליצור מאגרי מידע מוגדרים על ידי המשתמש כדי לרכז את אחסון היומנים או לחלק אותו. בהתאם לדרישות התאימות והשימוש שלכם, יכול להיות שתרצו להתאים אישית את האחסון של היומנים באופן הבא:

• בוחרים את המיקום שבו רוצים לאחסן את היומנים.

• מגדירים את תקופת השמירה של הנתונים.

• הגנה על היומנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK).

בחירת המיקום לאחסון היומנים

מאגרי יומנים הם משאבים אזוריים: התשתית שמאחסנת את היומנים, יוצרת להם אינדקס ומחפשת בהם נמצאת במיקום גיאוגרפי ספציפי.

יכול להיות שהארגון שלכם נדרש לאחסן את נתוני היומנים באזורים ספציפיים. הגורמים העיקריים לבחירת האזור שבו מאוחסנים היומנים כוללים עמידה בדרישות של הארגון בנוגע לזמן אחזור, זמינות או תאימות.

כדי להחיל באופן אוטומטי אזור אחסון מסוים על דלי _Default ודלי _Required חדשים שנוצרו בארגון, אפשר להגדיר מיקום ברירת מחדל למשאבים.

הוראות להגדרת מיקומי משאבים שמוגדרים כברירת מחדל מופיעות במאמר הגדרת הגדרות ברירת מחדל לארגונים.

הגדרת תקופות של שמירת נתונים

‫Cloud Logging שומר יומנים בהתאם לכללי השמירה שחלים על סוג קטגוריית היומנים שבהם היומנים נשמרים.

כדי לעמוד בדרישות התאימות, צריך להגדיר את Cloud Logging כך שיומנים יישמרו למשך יום אחד עד 3,650 ימים. כללי שמירה מותאמים אישית חלים על כל היומנים בקטגוריה, ללא קשר לסוג היומן או אם היומן הועתק ממיקום אחר.

הוראות להגדרת כללי שמירה של קטגוריות ביומן מופיעות במאמר הגדרת שמירה בהתאמה אישית.

הגנה על יומני הביקורת באמצעות מפתחות הצפנה בניהול הלקוח

כברירת מחדל, תוכן של לקוחות שמאוחסן במצב מנוחה מוצפן ב-Cloud Logging. יכול להיות שיש בארגון שלכם דרישות הצפנה מתקדמות שלא מסופקות על ידי הצפנה במנוחה כברירת מחדל. כדי לעמוד בדרישות של הארגון, במקום ש-Google תנהל את מפתחות ההצפנה שמגנים על הנתונים, אתם יכולים להגדיר מפתחות הצפנה בניהול הלקוח (CMEK) כדי לשלוט בהצפנה ולנהל אותה בעצמכם.

הוראות להגדרת CMEK מופיעות במאמר הגדרת CMEK לאחסון יומנים.

תמחור

למידע על מחירים, אפשר לעיין בדף תמחור של Google Cloud Observability. אם אתם מעבירים נתוני יומן לשירותים אחרים, כדאי לעיין במסמכים הבאים: Google Cloud

• תמחור של Cloud Storage
• תמחור ב-BigQuery
• תמחור של Pub/Sub

במהלך ההגדרה והשימוש ביומני הביקורת, מומלץ לפעול לפי השיטות המומלצות הבאות שקשורות לתמחור:

• להעריך את החשבונות על ידי צפייה בנתוני השימוש והגדרת מדיניות התראות.

• חשוב לזכור שיומני ביקורת של Data Access יכולים להיות גדולים, וייתכן שתחויבו בעלויות אחסון נוספות.

• כדי לנהל את העלויות, אפשר להחריג יומני ביקורת שלא מועילים. לדוגמה, כנראה שתוכלו להחריג את יומני הביקורת Data Access בפרויקטים של פיתוח.

שאילתה וצפייה ביומני ביקורת

אם אתם צריכים לפתור בעיות, אתם חייבים להיות מסוגלים לעיין ביומנים במהירות. במסוף Google Cloud , משתמשים ב-Logs Explorer כדי לאחזר את הרשומות ביומן הביקורת של הארגון:

1. במסוף Google Cloud , נכנסים לדף segment Logs Explorer:

   כניסה אל Logs Explorer

   אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

2. בוחרים את הארגון.

3. בחלונית Query:

   • בקטע Resource Type, בוחרים את המשאב שרוצים לראות את יומני הביקורת שלו. Google Cloud

   • בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:

     • ליומני הביקורת Admin Activity בוחרים באפשרות activity.
     • ליומני הביקורת Data Access בוחרים באפשרות data_access.
     • ליומני הביקורת System Event בוחרים באפשרות system_event.
     • ליומני הביקורת Policy Denied בוחרים באפשרות policy.

     אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג בארגון.

   • בעורך השאילתות, מציינים עוד את הרשומות ביומן הביקורת שרוצים לראות. דוגמאות לשאילתות נפוצות מופיעות במאמר דוגמאות לשאילתות באמצעות Logs Explorer.

4. לוחצים על Run query.

מידע נוסף על שליחת שאילתות באמצעות Logs Explorer מופיע במאמר יצירת שאילתות ב-Logs Explorer.

מעקב אחרי יומני הביקורת

אתם יכולים להשתמש ב-Cloud Monitoring כדי לקבל התראה כשמתרחשים תנאים שאתם מגדירים. כדי לספק ל-Cloud Monitoring נתונים מהיומנים, אפשר ליצור ב-Logging מדיניות התראות שמבוססת על יומנים. כך תקבלו התראה בכל פעם שאירוע ספציפי מופיע ביומן.

הגדרת מדיניות התראות כדי להבחין בין אירועים שנדרשת לגביהם בדיקה מיידית לבין אירועים בעדיפות נמוכה. לדוגמה, אם רוצים לדעת מתי יומן ביקורת מתעד הודעה מסוימת לגבי גישה לנתונים, אפשר ליצור מדיניות התראות מבוססת-יומן שתתאים להודעה ותשלח לכם התראה כשההודעה תופיע.

הוראות להגדרת מדיניות התראות שמבוססת על יומנים מופיעות במאמר ניהול מדיניות התראות שמבוססת על יומנים.

ניתוב יומנים ליעדים נתמכים

יכול להיות שהארגון שלכם יצטרך ליצור ולשמור יומני ביקורת. באמצעות מאגרי נתונים, אתם יכולים לנתב חלק מהיומנים או את כולם ליעדים הנתמכים הבאים:

• Cloud Storage

• ‫Pub/Sub, כולל צדדים שלישיים כמו Splunk

• BigQuery

• קטגוריה נוספת של Cloud Logging

קובעים אם צריך sinks ברמת התיקייה או ברמת הארגון, ומנתבים יומנים מכל הפרויקטים בארגון או בתיקייה באמצעות aggregated sinks. Google Cloud לדוגמה, אפשר להשתמש בניתוב במקרים הבאים:

• מאגר ברמת הארגון: אם הארגון שלכם משתמש ב-SIEM כדי לנהל כמה יומני ביקורת, יכול להיות שתרצו לנתב את כל יומני הביקורת של הארגון. לכן, כדאי להשתמש במאגר ברמת הארגון.

• מאגר ברמת התיקייה: לפעמים רוצים לנתב רק יומני ביקורת של מחלקות. לדוגמה, אם יש לכם תיקייה בשם 'כספים' ותיקייה בשם 'IT', יכול להיות שתרצו להגדיר שהניתוב של יומני הביקורת יתבצע רק לתיקייה 'כספים' או רק לתיקייה 'IT'.

  מידע נוסף על תיקיות וארגונים מופיע במאמר היררכיית המשאבים.

מחילים את אותן מדיניות גישה על היעד ב- Google Cloud שמשמש לניתוב יומנים, כמו אלה שהוחלו על הכלי Logs Explorer.

הוראות ליצירה ולניהול של אובייקטים מסוג sink מצטבר מופיעות במאמר איסוף וניתוב של יומנים ברמת הארגון ליעדים נתמכים.

הסבר על פורמט הנתונים ביעדי sink

כשמעבירים יומני ביקורת ליעדים מחוץ ל-Cloud Logging, חשוב להבין את פורמט הנתונים שנשלחו.

לדוגמה, אם מנתבים יומנים ל-BigQuery, ‏ Cloud Logging מחיל כללים כדי לקצר את שמות השדות בסכימת BigQuery עבור יומני ביקורת ועבור שדות מסוימים של מטען ייעודי מובנה.

כדי להבין ולמצוא רשומות ביומן שניתבתם מ-Cloud Logging ליעדים נתמכים, אפשר לעיין במאמר צפייה ביומנים ביעדי ניקוז.

העתקת רשומות ביומן

בהתאם לצורכי התאימות של הארגון, יכול להיות שתצטרכו לשתף רשומות ביומן ביקורת עם מבקרים מחוץ ליומן. אם אתם צריכים לשתף רשומות ביומן שכבר מאוחסנות בקטגוריות של Cloud Logging, אתם יכולים להעתיק אותן ידנית לקטגוריות של Cloud Storage.

כשמעתיקים רשומות ביומן ל-Cloud Storage, הרשומות נשארות גם בקטגוריית היומן שממנה הן הועתקו.

שימו לב שפעולות העתקה לא מחליפות את יעד השמירה, ששולח באופן אוטומטי את כל רשומות היומן הנכנסות ליעד אחסון נתמך שנבחר מראש, כולל Cloud Storage.

הוראות לניתוב יומנים ל-Cloud Storage באופן רטרואקטיבי מופיעות במאמר העתקת רשומות ביומן.