GCPAuditLogs
Sentinel のコネクタから取り込まれた Google Cloud Platform (GCP) 監査ログを使用すると、管理者アクティビティ ログ、データ アクセス ログ、アクセス透過性ログの 3 種類の監査ログをキャプチャできます。 Google クラウド監査ログには、専門家がアクセスを監視し、Google Cloud Platform (GCP) リソース全体の潜在的な脅威を検出するために使用できる証跡が記録されています。
テーブル属性
| 属性 | 値 |
|---|---|
| リソースの種類 | - |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | SecurityInsights |
| 基本的なログ | いいえ |
| インジェスト時間変換 | Yes |
| サンプル クエリ | はい |
列
| Column | Type | 説明 |
|---|---|---|
| AuthenticationInfo | 動的 | 認証情報です。 |
| AuthorizationInfo | 動的 | 承認情報。 複数のリソースまたはアクセス許可が関係している場合は、{resource, permission} タプルごとに 1 つの AuthorizationInfo 要素があります。 |
| _BilledSize | real | レコード サイズ (バイト単位) |
| GCPResourceName | string | 操作のターゲットであるリソースまたはコレクション。 名前はスキームのない URI であり、API サービス名は含まれません。 |
| GCPResourceType | string | "pubsub_subscription" など、このリソースに関連付けられている型の識別子。 |
| InsertId | string | 省略可能。 ログ エントリに一意の識別子を指定すると、1 つのクエリ結果で同じタイムスタンプと insertId を持つ重複するエントリをログに記録して削除できます。 |
| _IsBillable | string | データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
| LogName | string | ログのサブタイプ (管理者アクティビティ、システム アクセス、データ アクセスなど) と、要求が行われた階層内の場所を識別するサフィックスを含む情報。 |
| メタデータ | 動的 | 現在の監査イベントに関連付けられている要求、応答、およびその他の情報に関するその他のサービス固有のデータ。 |
| MethodName | string | サービス メソッドまたは操作の名前。 API 呼び出しの場合、これは API メソッドの名前である必要があります。 |
| NumResponseItems | string | リストまたはクエリ API メソッドから返される項目の数 (該当する場合)。 |
| PrincipalEmail | string | 要求を行う認証されたユーザー (またはサード パーティ プリンシパルに代わってサービス アカウント) の電子メール アドレス。 サード パーティの ID 呼び出し元の場合、このフィールドの代わりに principalSubject フィールドが設定されます。 プライバシー上の理由から、プリンシパルのメール アドレスが編集されることがあります。 |
| ProjectId | string | このリソースに関連付けられている Google Cloud Platform (GCP) プロジェクトの識別子 ("my-project" など)。 |
| 要求 | 動的 | 操作要求。 これには、ログ レコード内の他の場所で大きすぎる、プライバシーに依存する、重複する要求パラメーターなど、すべての要求パラメーターが含まれていない場合があります。 ファイルの内容など、ユーザーが生成したデータを含めてはいけません。 ここで表される JSON オブジェクトにプロトと同等のがある場合、proto 名が プロパティに @type 示されます。 |
| RequestMetadata | 動的 | 操作に関するメタデータ。 |
| ResourceLocation | 動的 | リソースの場所の情報。 |
| ResourceOriginalState | 動的 | 変更前のリソースの元の状態。 対象のリソースが正常に変更された操作にのみ表示されます。 一般に、このフィールドには、要求、応答、メタデータ、または serviceData フィールドに既に含まれているフィールドを除き、変更されたすべてのフィールドが含まれている必要があります。 ここで表される JSON オブジェクトにプロトと同等のがある場合、proto 名が プロパティに @type 示されます。 |
| Response | 動的 | 操作の応答。 これには、ログ レコード内の他の場所で大きすぎる、プライバシーに依存する、重複する応答要素など、すべての応答要素が含まれていない場合があります。 ファイルの内容など、ユーザーが生成したデータを含めてはいけません。 ここで表される JSON オブジェクトにプロトと同等のがある場合、proto 名が プロパティに @type 示されます。 |
| ServiceData | 動的 | 任意の型のフィールドを含む オブジェクト。 追加のフィールド "@type" には、型を識別する URI が含まれています。 例: { "id": 1234、"@type": "types.example.com/standard/id" }。 |
| ServiceName | string | 操作を実行する API サービスの名前。 たとえば、'compute.googleapis.com' です。 |
| 重大度 | string | 省略可能。 ログ エントリの重大度。 たとえば、次のフィルター式は、ログ エントリと重大度 INFO、NOTICE、および WARNING と一致します。 |
| SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics |
| Status | 動的 | 操作全体の状態。 |
| StatusMessage | string | 操作全体のメッセージの状態。 |
| サブスクリプション | string | サブスクライブしているアプリケーションに配信される 1 つの特定のトピックからのメッセージのストリームを表す名前付きリソース。 |
| TenantId | string | Log Analytics ワークスペース ID |
| TimeGenerated | DATETIME | ログ記録によってログ エントリが受信された時刻。 |
| Timestamp | DATETIME | ログ エントリによって記述されたイベントが発生した時刻。 |
| Type | string | テーブルの名前 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示