קריאה וניהול של יומני ביקורת ב-Google Workspace

במאמר הזה מוסבר איך להגדיר, להציג ולנתב יומני ביקורת של Google Workspace אל Google Cloud. העברת יומני ביקורת אל Google Cloudמאפשרת לאבחן ולפתור בעיות נפוצות שקשורות לאבטחת נתונים ולעמידה בדרישות.

לדיון תיאורטי על יומני ביקורת של Google Workspace, אפשר לעיין במאמר יומני ביקורת של Google Workspace.

סקירה כללית

אתם יכולים לשתף יומני ביקורת עם Google Cloud הארגון שלכם באמצעות חשבון Google Workspace,‏ Cloud Identity או Google Drive Enterprise. אפשר לגשת ליומני הביקורת המשותפים דרך Cloud Logging ב-Google Cloud.

אתם יכולים לגשת ליומני הביקורת של Google Workspace,‏ Cloud Identity ו-Google Drive Enterprise של השירותים הבאים ב- Google Cloud:

  • יומני ביקורת של אדמינים
  • יומני ביקורת של קבוצות Enterprise
  • יומני ביקורת לגבי התחברות
  • יומני ביקורת של טוקנים של OAuth
  • יומני ביקורת של SAML

מידע נוסף על יומני הביקורת של השירותים האלה זמין במאמר מידע ספציפי לשירות.

לפני שמתחילים

כדי להציג את יומני הביקורת של Google Workspace ב- Google Cloud, צריך לוודא שיש לכם את ההרשאות הנכונות להצגת יומני הביקורת של Google Workspace.

ההרשאות והתפקידים ב-IAM קובעים את אפשרויות הגישה שלכם לנתוני יומני הביקורת ב-Logging API, בLogs Explorer וב-Google Cloud CLI.

במאמר בקרת גישה באמצעות IAM בנושא Cloud Logging מוסבר בהרחבה על ההרשאות והתפקידים ב-IAM ברמת הארגון שאולי תצטרכו.

צפייה ביומני ביקורת במסוף Google Admin

אפשר לראות את יומני הביקורת של Google Workspace ישירות במסוף Google Admin. כדי ללמוד איך לצפות ביומני הביקורת האלה, כדאי לעיין בנושאים הבאים:

שיתוף יומני ביקורת עם Google Cloud

כדי להפעיל שיתוף של נתונים מ-Google Workspace עם Google Cloud חשבון Google Workspace,‏ Cloud Identity או Google Drive Enterprise, פועלים לפי ההוראות במאמר שיתוף נתונים עם Google Cloud שירותים.

אחרי שמפעילים את השיתוף של נתוני Google Workspace עם Google Cloud,Google Cloud מקבל את כל יומני הביקורת של Google Workspace. כדי להחריג יומני ביקורת מסוימים מ- Google Cloud, צריך להגדיר אובייקטים מסוג sink עם מסנני החרגה. אי אפשר להשתמש בדף IAM במסוף Google Cloud כדי להשבית באופן סלקטיבי את שיתוף הנתונים.

צפייה ביומני ביקורת של Google Workspace ב- Google Cloud

כדי לראות יומני ביקורת של Google Workspace ב-Logging, צריך להשתמש בשפת השאילתות של Logging כדי לבחור נתונים. לפחות צריך לדעת את המזהה שלGoogle Cloud הארגון. תוכלו להוסיף לשאילתה עוד שדות מסוג LogEntry שנוספו לאינדקס, כמו resource.type, ולסנן לפי סוגי אירועים.

אלה השמות של יומני הביקורת שרלוונטיים ל-Google Workspace:

בשמות היומנים שלמעלה, ORGANIZATION_ID מתייחס לGoogle Cloud הארגון שרוצים להציג את יומני הביקורת שלו.

יש כמה אפשרויות לצפייה ברשומות ביומן הביקורת:

המסוף

כדי לקבל את הרשומות ביומן הביקורת של הארגון Google Cloud באמצעות Logs Explorer במסוף Google Cloud , מבצעים את הפעולות הבאות:

  1. במסוף Google Cloud , נכנסים לדף Logs Explorer:

    כניסה אל Logs Explorer

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בתפריט Project selector, בוחרים ארגון.

  3. בתפריט הנפתח Resource, בוחרים את סוג המשאב שרוצים לראות את יומני הביקורת שלו.

  4. בתפריט הנפתח Log name, בוחרים באפשרות data_access ליומני ביקורת של גישה לנתונים או באפשרות activity ליומני ביקורת של פעילות אדמין.

    אם האפשרויות האלה לא מוצגות, המשמעות היא שיומני הביקורת האלה לא זמינים כרגע בארגון.

  5. אופציונלי: אפשר ליצור מסנן בחלונית הכלי ליצירת שאילתות כדי לציין בצורה מדויקת יותר את היומנים שרוצים לראות. מידע נוסף על שליחת שאילתות ביומנים זמין במאמר יצירת שאילתות.

API

כדי לקרוא את הרשומות ביומן הביקורת באמצעות Logging API:

  1. עוברים לקטע Try this API במאמרי העזרה של ה-method entries.list.

  2. מזינים את הפרטים הבאים בקטע Request body בטופס Try this API. אם לוחצים על הטופס למילוי פרטים אוטומטי, גוף הבקשה יאוכלס בפרטים באופן אוטומטי אבל תצטרכו לציין ORGANIZATION_ID תקין בכל אחד משמות יומני הביקורת.

          {
        "resourceNames": [
          "organizations/ORGANIZATION_ID"
        ],
        "pageSize": 5,
        "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
      }

  3. לוחצים על Execute.

מידע נוסף על שימוש ב-Logging API כדי לקרוא יומנים מופיע במאמר שפת השאילתות של Logging.

gcloud

הכלי Google Cloud CLI מספק גישה ל-Cloud Logging API באמצעות ממשק שורת הפקודה (CLI). כדי לקרוא את הרשומות ביומן הביקורת, מריצים את הפקודה הבאה:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

מחליפים את ORGANIZATION_ID בכל אחד משמות היומנים במזהה של Google Cloud הארגון שרוצים לקרוא את יומני הביקורת שלו.

מידע נוסף על הפקודה הזו זמין במאמר gcloud logging read.

כל שירות של Google Workspace שמספק יומני ביקורת מתעד אירועים ספציפיים לשירות. אם רוצים לקרוא יומנים של אירוע מסוים שעבר ביקורת, כמו כניסה מוצלחת או ביטול גישה, מוסיפים את המסנן הבא ומזינים ערך תקין של EVENT_NAME:

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

רשימה של שמות אירועים תקינים והפרמטרים שלהם מופיעה במאמרי העזרה של ה-API של Reports. אפשר לבחור מתוך השירותים שמופיעים ברשימה.

לדוגמה, אם רוצים לקרוא רישומים בכל פעם ששירות הכניסה מדווח על שינוי בסיסמה לחשבון, המסנן ייראה כך:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

ניתוב של יומני ביקורת מ Google Cloud

אחרי שיומני הביקורת של Google Workspace יגיעו Google Cloud, תוכלו לנתב את היומנים ליעדים נתמכים. לדוגמה, אפשר ליצור יעד להעברת יומנים ל-Splunk או ל-BigQuery. סקירה כללית של אופן הניתוב של יומנים מ-Cloud Logging מופיעה במאמר סקירה כללית על ניתוב ואחסון.

יומני הביקורת של Google Workspace הם יומנים ברמת הארגון, ולכן צריך להפנות אותם ליעדים הבאים באמצעות מאגרי נתונים משולבים ברמת הארגון:

הוראות להגדרת אובייקטים מסוג sink לניתוב יומנים מופיעות במאמר איסוף וניתוב של יומנים ברמת הארגון ליעדים נתמכים.

התאמה אישית של תקופת שמירת הנתונים

תקופות השמירה של Cloud Logging חלות על יומני הביקורת שאתם מאחסנים בקטגוריות של יומנים.

כדי לשמור יומני ביקורת למשך זמן ארוך יותר מתקופות השמירה שמוגדרות כברירת מחדל, אפשר להגדיר שמירה מותאמת אישית.

המאמרים הבאים