GCPAuditLogs
Sentinel의 커넥터에서 수집된 GCP(Google Cloud Platform) 감사 로그를 사용하면 관리자 활동 로그, 데이터 액세스 로그 및 액세스 투명성 로그의 세 가지 유형의 감사 로그를 캡처할 수 있습니다. Google 클라우드 감사 로그는 GCP(Google Cloud Platform) 리소스에서 액세스를 모니터링하고 잠재적 위협을 감지하는 데 실무자가 사용할 수 있는 내역을 기록합니다.
테이블 특성
| attribute | 값 |
|---|---|
| 리소스 종류 | - |
| 범주 | 보안 |
| 솔루션 | SecurityInsights |
| 기본 로그 | No |
| 수집 시간 변환 | Yes |
| 샘플 쿼리 | 예 |
열
| 열 | 형식 | Description |
|---|---|---|
| AuthenticationInfo | 동적 | 인증 정보입니다. |
| AuthorizationInfo | 동적 | 권한 부여 정보. 관련된 여러 리소스 또는 권한이 있는 경우 각 {resource, permission} 튜플에 대해 하나의 AuthorizationInfo 요소가 있습니다. |
| _BilledSize | real | 레코드 크기(바이트) |
| GCPResourceName | string | 작업의 대상인 리소스 또는 컬렉션입니다. 이름은 API 서비스 이름을 포함하지 않는 체계 없는 URI입니다. |
| GCPResourceType | 문자열 | 'pubsub_subscription'과 같이 이 리소스와 연결된 형식의 식별자입니다. |
| InsertId | 문자열 | (선택 사항) 로그 항목에 대한 고유 식별자를 제공하면 로깅이 단일 쿼리 결과에서 동일한 타임스탬프 및 insertId가 있는 중복 항목을 제거할 수 있습니다. |
| _IsBillable | string | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 청구되지 않음 |
| LogName | 문자열 | 로그 하위 형식(예: 관리자 활동, 시스템 액세스, 데이터 액세스)을 식별하는 접미사 및 계층 구조에서 요청이 이루어진 위치를 포함한 정보입니다. |
| 메타데이터 | 동적 | 요청, 응답 및 현재 감사 이벤트와 관련된 기타 정보에 대한 기타 서비스별 데이터입니다. |
| MethodName | string | 서비스 메서드 또는 작업의 이름입니다. API 호출의 경우 API 메서드의 이름이어야 합니다. |
| NumResponseItems | 문자열 | 해당하는 경우 목록 또는 쿼리 API 메서드에서 반환된 항목 수입니다. |
| PrincipalEmail | 문자열 | 요청을 만드는 인증된 사용자(또는 타사 보안 주체를 대신하여 서비스 계정)의 이메일 주소입니다. 타사 ID 호출자의 경우 principalSubject 필드가 이 필드 대신 채워집니다. 개인 정보 보호를 위해 보안 주체 전자 메일 주소가 수정되는 경우가 있습니다. |
| ProjectId | 문자열 | "my-project"와 같이 이 리소스와 연결된 GCP(Google Cloud Platform) 프로젝트의 식별자입니다. |
| 요청 | 동적 | 작업 요청입니다. 여기에는 너무 크거나, 개인 정보에 민감하거나, 로그 레코드의 다른 곳에서 중복된 것과 같은 모든 요청 매개 변수가 포함되지 않을 수 있습니다. 파일 콘텐츠와 같은 사용자 생성 데이터를 포함해서는 안 됩니다. 여기에 표시된 JSON 개체에 프로토에 해당하는 프로토 이름이 있으면 속성에 @type proto 이름이 표시됩니다. |
| RequestMetadata | 동적 | 작업에 대한 메타데이터입니다. |
| ResourceLocation | 동적 | 리소스 위치 정보입니다. |
| ResourceOriginalState | 동적 | 변형 전의 리소스 원래 상태입니다. 대상 리소스를 성공적으로 수정한 작업에 대해서만 표시됩니다. 일반적으로 이 필드에는 요청, 응답, 메타데이터 또는 serviceData 필드에 이미 포함된 필드를 제외한 모든 변경된 필드가 포함되어야 합니다. 여기에 표시된 JSON 개체에 프로토에 해당하는 프로토 이름이 있으면 속성에 @type proto 이름이 표시됩니다. |
| 응답 | 동적 | 작업 응답입니다. 여기에는 너무 크거나, 개인 정보에 민감하거나, 로그 레코드의 다른 곳에서 중복된 응답 요소와 같은 모든 응답 요소가 포함되지 않을 수 있습니다. 파일 콘텐츠와 같은 사용자 생성 데이터를 포함해서는 안 됩니다. 여기에 표시된 JSON 개체에 프로토에 해당하는 프로토 이름이 있으면 속성에 @type proto 이름이 표시됩니다. |
| ServiceData | 동적 | 임의 형식의 필드를 포함하는 개체입니다. 추가 필드 "@type"에는 형식을 식별하는 URI가 포함되어 있습니다. 예: { "id": 1234, "@type": "types.example.com/standard/id" }. |
| ServiceName | string | 작업을 수행하는 API 서비스의 이름입니다. 예를 들어 'compute.googleapis.com'입니다. |
| 심각도 | 문자열 | (선택 사항) 로그 항목의 심각도입니다. 예를 들어 다음 필터 식은 로그 항목을 심각도 INFO, NOTICE 및 WARNING과 일치합니다. |
| SourceSystem | 문자열 | 이벤트가 수집된 에이전트 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
| 상태 | 동적 | 전체 작업의 상태. |
| StatusMessage | 문자열 | 전체 작업의 메시지 상태. |
| 구독 | string | 구독 애플리케이션에 배달할 단일 특정 토픽의 메시지 스트림을 나타내는 명명된 리소스입니다. |
| TenantId | 문자열 | Log Analytics 작업 영역 ID |
| TimeGenerated | Datetime | 로깅을 통해 로그 항목을 받은 시간입니다. |
| 타임스탬프 | Datetime | 로그 항목에서 설명한 이벤트가 발생한 시간입니다. |
| Type | 문자열 | 테이블의 이름입니다. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기