במאמר הזה מוסבר איך להפעיל יומני ביקורת של שירות מנוהל ל-Microsoft AD ולצפות בהם בדומיין. מידע על יומני ביקורת של Cloud עבור שירות מנוהל ל-Microsoft AD זמין במאמר רישום ביומן ביקורת של שירות מנוהל ל-Microsoft AD.
הפעלה של יומני ביקורת של שירות מנוהל ל-Microsoft AD
אפשר להפעיל יומני ביקורת של שירות מנוהל ל-Microsoft AD במהלך יצירת הדומיין או על ידי עדכון דומיין קיים.
בזמן יצירת הדומיין
כדי להפעיל יומני ביקורת של שירות מנוהל ל-Microsoft AD במהלך יצירת הדומיין, מריצים את הפקודה הבאה ב-CLI של gcloud.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
עדכון דומיין קיים
כדי לעדכן דומיין כדי להפעיל יומני ביקורת של שירות מנוהל ל-Microsoft AD, צריך לבצע את השלבים הבאים.
המסוף
- נכנסים לדף שירות מנוהל ל-Microsoft AD במסוף Google Cloud .
מעבר לדף 'שירות מנוהל ל-Microsoft AD' - בדף שירות מנוהל ל-Microsoft AD, ברשימת המופעים, בוחרים את הדומיין שבו רוצים להפעיל את יומני הביקורת.
- בדף פרטי הדומיין, לוחצים על View audit logs (הצגת יומני ביקורת) ואז על Configure logs (הגדרת יומנים) בתפריט הנפתח.
- בחלונית הגדרת יומני ביקורת, בקטע הפעלה או השבתה של יומנים, מעבירים את היומנים למצב מופעל.
gcloud
מריצים את הפקודה הבאה ב-CLI של gcloud.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
כדי להגביל את מה שמתועד ביומן, אפשר להשתמש בהחרגות של יומנים.
חשוב לזכור שיומנים שמאוחסנים בפרויקט כרוכים בתשלום. מידע נוסף על התמחור של Cloud Logging
השבתה של יומני ביקורת של שירות מנוהל ל-Microsoft AD
כדי להשבית את יומני הביקורת של שירות מנוהל ל-Microsoft AD, פועלים לפי השלבים הבאים.
המסוף
- נכנסים לדף שירות מנוהל ל-Microsoft AD במסוף Google Cloud .
מעבר לדף 'שירות מנוהל ל-Microsoft AD' - בדף שירות מנוהל ל-Microsoft AD, ברשימת המכונות, בוחרים את הדומיין שבו רוצים להשבית את יומני הביקורת.
- בדף פרטי הדומיין, לוחצים על View audit logs (הצגת יומני ביקורת) ואז על Configure logs (הגדרת יומנים) בתפריט הנפתח.
- בחלונית הגדרת יומני ביקורת, בקטע הפעלה או השבתה של יומנים, מעבירים את המתג של היומנים למצב מושבת.
gcloud
מריצים את הפקודה הבאה ב-CLI של gcloud.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
אימות סטטוס הרישום ביומן
כדי לוודא שהרישום ביומן מופעל או מושבת, מבצעים את השלבים הבאים ומריצים את הפקודה הבאה ב-CLI של gcloud.
gcloud active-directory domains describe DOMAIN_NAME
בתגובה, מאמתים את הערך של השדה auditLogsEnabled.
צפייה ביומנים
יומני ביקורת של שירות מנוהל ל-Microsoft AD זמינים רק לדומיינים שמופעלת בהם האפשרות לאיסוף יומנים.
כדי לראות את יומני הביקורת של שירות מנוהל ל-Microsoft AD, צריך הרשאה לניהול זהויות והרשאות גישה (IAM) roles/logging.viewer. מידע נוסף על מתן הרשאות
כדי לראות את יומני הביקורת של שירות מנוהל ל-Microsoft AD בדומיין שלכם, פועלים לפי השלבים הבאים.
Logs Explorer
- נכנסים לדף Logs Explorer במסוף Google Cloud .
כניסה לדף Logs Explorer בבונה השאילתות, מזינים את הערכים הבאים.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
כדי לסנן לפי מזהי אירועים, מוסיפים את השורה הבאה למסנן המתקדם.
jsonPayload.ID=EVENT_ID
בוחרים באפשרות הפעלת המסנן.
מידע נוסף על Logs Explorer
Logs Explorer
- נכנסים לדף Logs Explorer במסוף Google Cloud .
כניסה לדף Logs Explorer - בתיבת הטקסט של המסנן, לוחצים על ואז בוחרים באפשרות המרת המסנן למסנן מתקדם.
בתיבת הטקסט של המסנן המתקדם, מזינים את הערכים הבאים.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
כדי לסנן לפי מזהי אירועים, מוסיפים את השורה הבאה למסנן המתקדם.
jsonPayload.ID=EVENT_ID
לוחצים על שליחת המסנן.
מידע נוסף על Logs Explorer
gcloud
מריצים את הפקודה הבאה ב-CLI של gcloud.
gcloud logging read FILTER
FILTER הוא ביטוי שמזהה קבוצה של רשומות ביומן.
כדי לקרוא רשומות ביומן בתיקיות, בחשבונות לחיוב או בארגונים, מוסיפים את הדגלים --folder, --billing-account או --organization.
כדי לקרוא את כל היומנים של הדומיין, אפשר להריץ את הפקודה הבאה.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
קריאת רשומות ביומן באמצעות ה-CLI של gcloud והפקודה gcloud logging read
פירוש יומנים
כל log_entry מכיל את השדות הבאים.
-
log_nameהוא יומן האירועים שבו האירוע הזה נרשם. -
provider_nameהוא ספק האירועים שפרסם את האירוע הזה. -
versionהוא מספר הגרסה של האירוע. -
event_idהוא המזהה של האירוע. machine_nameהוא המחשב שבו האירוע הזה נרשם ביומן.-
xmlהוא ייצוג ה-XML של האירוע. הוא תואם לסכימת האירועים. -
messageהוא ייצוג של האירוע שקריא לבני אדם.
מזהי אירועים שיוצאו
בטבלה הבאה מוצגים מזהי האירועים שמיוצאים.
| קטגוריית ביקורת | מזהי אירועים |
|---|---|
| אבטחה בכניסה לחשבון | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| אבטחה של ניהול החשבון | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| אבטחת גישה ב-DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| אבטחה של כניסה ויציאה | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| אבטחת גישה לאובייקטים | 4661, 5145 |
| אבטחה של שינויים במדיניות | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| אבטחת השימוש בהרשאות | 4985 |
| אבטחת המערכת | 4612, 4621 |
| אימות NTLM | 8004 |
אם אתם מגלים שמזהי אירועים חסרים ולא מופיעים בטבלה של מזהי אירועים שיוצאו, אתם יכולים להשתמש בIssue Tracker כדי לדווח על באג. משתמשים ברכיב Public Trackers > Cloud Platform > Identity & Security > Managed Service for Microsoft AD.
ייצוא היומנים
אפשר לייצא יומני ביקורת של שירות מנוהל ל-Microsoft AD אל Pub/Sub, BigQuery או Cloud Storage. איך מייצאים יומנים לשירותים אחרים Google Cloud
אפשר גם לייצא יומנים לצורך עמידה בדרישות התאימות, ניתוח אבטחה וגישה ולמקורות חיצוניים
מערכות SIEM כמו Splunk ו-Datadog.