GCPAuditLogs
Les journaux d’audit de Google Cloud Platform (GCP), ingérés à partir du connecteur Sentinel, vous permettent de capturer trois types de journaux d’audit : journaux d’activité d’administrateur, journaux d’accès aux données et journaux de transparence d’accès. Les journaux d’audit cloud Google enregistrent une piste que les praticiens peuvent utiliser pour surveiller l’accès et détecter les menaces potentielles dans les ressources Google Cloud Platform (GCP).
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AuthenticationInfo | dynamique | Informations d'authentification. |
| AuthorizationInfo | dynamique | Informations d’autorisation. Si plusieurs ressources ou autorisations sont impliquées, il existe un élément AuthorizationInfo pour chaque tuple {resource, permission}. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| GCPResourceName | string | Ressource ou collection qui est la cible de l’opération. Le nom est un URI sans schéma, qui n’inclut pas le nom du service API. |
| GCPResourceType | string | Identificateur du type associé à cette ressource, tel que « pubsub_subscription ». |
| InsertId | string | facultatif. La fourniture d’un identificateur unique pour l’entrée de journal permet à Journalisation de supprimer les entrées en double avec le même horodatage et insertId dans un résultat de requête unique. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable l’ingestion n’est false pas facturée à votre compte Azure |
| LogName | string | Informations, notamment un suffixe identifiant le sous-type de journal (par exemple, activité de l’administrateur, accès système, accès aux données) et l’emplacement dans la hiérarchie où la demande a été effectuée. |
| Métadonnées | dynamique | Autres données spécifiques au service sur la demande, la réponse et d’autres informations associées à l’événement audité actuel. |
| MethodName | string | Nom de la méthode ou de l’opération de service. Pour les appels d’API, il doit s’agir du nom de la méthode API. |
| NumResponseItems | string | Nombre d’éléments retournés à partir d’une méthode d’API de liste ou de requête, le cas échéant. |
| PrincipalEmail | string | Adresse e-mail de l’utilisateur authentifié (ou du compte de service pour le compte du principal tiers) qui effectue la demande. Pour les appelants d’identité tiers, le champ principalSubject est renseigné à la place de ce champ. Pour des raisons de confidentialité, l’adresse e-mail principale est parfois expurgée. |
| ProjectId | string | Identificateur du projet Google Cloud Platform (GCP) associé à cette ressource, par exemple « my-project ». |
| Requête | dynamique | Demande d’opération. Cela peut ne pas inclure tous les paramètres de requête, tels que ceux qui sont trop volumineux, respectant la confidentialité ou dupliqués ailleurs dans l’enregistrement du journal. Il ne doit jamais inclure de données générées par l’utilisateur, telles que le contenu du fichier. Lorsque l’objet JSON représenté ici a un équivalent proto, le nom proto est indiqué dans la @type propriété . |
| RequestMetadata | dynamique | Métadonnées relatives à l’opération. |
| ResourceLocation | dynamique | Informations d’emplacement des ressources. |
| ResourceOriginalState | dynamique | État d’origine de la ressource avant la mutation. Présente uniquement pour les opérations qui ont correctement modifié la ou les ressources ciblées. En général, ce champ doit contenir tous les champs modifiés, à l’exception de ceux qui sont déjà inclus dans les champs request, response, metadata ou serviceData. Lorsque l’objet JSON représenté ici a un équivalent proto, le nom proto est indiqué dans la @type propriété . |
| response | dynamique | Réponse de l’opération. Cela peut ne pas inclure tous les éléments de réponse, tels que ceux qui sont trop volumineux, respectant la confidentialité ou dupliqués ailleurs dans l’enregistrement du journal. Il ne doit jamais inclure de données générées par l’utilisateur, telles que le contenu du fichier. Lorsque l’objet JSON représenté ici a un équivalent proto, le nom proto est indiqué dans la @type propriété . |
| ServiceData | dynamique | Objet contenant des champs d’un type arbitraire. Un champ supplémentaire « @type » contient un URI identifiant le type. Exemple : { « id » : 1234, « @type » : « types.example.com/standard/id » }. |
| NomService | string | Nom du service d’API qui effectue l’opération. Par exemple, « compute.googleapis.com ». |
| Gravité | string | facultatif. Gravité de l’entrée de journal. Par exemple, l’expression de filtre suivante correspond aux entrées de journal avec les gravités INFO, NOTICE et WARNING. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| Statut | dynamique | Status de l’opération globale. |
| StatusMessage | string | Message status de l’opération globale. |
| Abonnement | string | Ressource nommée représentant le flux de messages d’une seule rubrique spécifique, à remettre à l’application abonnée. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Heure à laquelle l’entrée du journal a été reçue par journalisation. |
| Timestamp | DATETIME | Heure à laquelle l’événement décrit par l’entrée de journal s’est produit. |
| Type | string | Le nom de la table |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour