GCPAuditLogs
Los registros de auditoría de Google Cloud Platform (GCP), ingeridos desde el conector de Sentinel, le permiten capturar tres tipos de registros de auditoría: registros de actividad de administración, registros de acceso a datos y registros de transparencia de acceso. Los registros de auditoría en la nube de Google registran un rastro que los profesionales pueden usar para supervisar el acceso y detectar posibles amenazas en los recursos de Google Cloud Platform (GCP).
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | SecurityInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | Sí |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| AuthenticationInfo | dinámico | Información de autenticación. |
| AuthorizationInfo | dinámico | Información de autorización. Si hay varios recursos o permisos implicados, hay un elemento AuthorizationInfo para cada tupla {resource, permission}. |
| _BilledSize | real | Tamaño del registro en bytes |
| GCPResourceName | string | Recurso o colección que es el destino de la operación. El nombre es un URI sin esquema, no incluido el nombre del servicio de API. |
| GCPResourceType | string | Identificador del tipo asociado a este recurso, como "pubsub_subscription". |
| InsertId | string | Opcional. Proporcionar un identificador único para la entrada de registro permite al registro quitar entradas duplicadas con la misma marca de tiempo e insertId en un único resultado de consulta. |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
| LogName | string | Información que incluye un sufijo que identifica el subtipo de registro (por ejemplo, actividad de administración, acceso al sistema, acceso a datos) y dónde se realizó la solicitud en la jerarquía. |
| Metadatos | dinámico | Otros datos específicos del servicio sobre la solicitud, la respuesta y otra información asociada al evento auditado actual. |
| MethodName | string | Nombre del método o la operación del servicio. En el caso de las llamadas API, debe ser el nombre del método de API. |
| NumResponseItems | string | Número de elementos devueltos desde un método de API de lista o consulta, si procede. |
| PrincipalEmail | string | Dirección de correo electrónico del usuario autenticado (o cuenta de servicio en nombre de la entidad de seguridad de terceros) que realiza la solicitud. En el caso de los autores de llamadas de identidad de terceros, el campo principalSubject se rellena en lugar de este campo. Por motivos de privacidad, la dirección de correo electrónico principal a veces se redacta. |
| ProjectId | string | Identificador del proyecto de Google Cloud Platform (GCP) asociado a este recurso, como "my-project". |
| Solicitud | dinámico | Solicitud de operación. Esto puede no incluir todos los parámetros de solicitud, como aquellos que son demasiado grandes, confidenciales a la privacidad o duplicados en otro lugar del registro. Nunca debe incluir datos generados por el usuario, como el contenido del archivo. Cuando el objeto JSON representado aquí tiene un proto equivalente, el nombre del prototipo se indicará en la @type propiedad . |
| RequestMetadata | dinámico | Metadatos sobre la operación. |
| ResourceLocation | dinámico | Información de ubicación del recurso. |
| ResourceOriginalState | dinámico | Estado original del recurso antes de la mutación. Presente solo para las operaciones que han modificado correctamente los recursos de destino. En general, este campo debe contener todos los campos modificados, excepto los que ya se han incluido en los campos request, response, metadata o serviceData. Cuando el objeto JSON representado aquí tiene un proto equivalente, el nombre del prototipo se indicará en la @type propiedad . |
| Response | dinámico | Respuesta de la operación. Esto puede no incluir todos los elementos de respuesta, como aquellos que son demasiado grandes, sensibles a la privacidad o duplicados en otro lugar del registro. Nunca debe incluir datos generados por el usuario, como el contenido del archivo. Cuando el objeto JSON representado aquí tiene un proto equivalente, el nombre del prototipo se indicará en la @type propiedad . |
| ServiceData | dinámico | Objeto que contiene campos de un tipo arbitrario. Un campo adicional "@type" contiene un URI que identifica el tipo. Ejemplo: { "id": 1234, "@type": "types.example.com/standard/id" }. |
| ServiceName | string | Nombre del servicio de API que realiza la operación. Por ejemplo, "compute.googleapis.com". |
| severity | string | Opcional. Gravedad de la entrada del registro. Por ejemplo, la siguiente expresión de filtro coincidirá con las entradas de registro con gravedades INFO, NOTICE y WARNING. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| Estado | dinámico | Estado de la operación general. |
| StatusMessage | string | Estado del mensaje de la operación general. |
| Subscription | string | Un recurso con nombre que representa la secuencia de mensajes de un solo tema específico, que se va a entregar a la aplicación de suscripción. |
| TenantId | string | Identificador del área de trabajo de Log Analytics |
| TimeGenerated | datetime | La hora en que se recibió la entrada del registro. |
| Timestamp | datetime | Hora en que se produjo el evento descrito por la entrada de registro. |
| Tipo | string | Nombre de la tabla. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de