GCPAuditLogs
Met de GCP-auditlogboeken (Google Cloud Platform), opgenomen vanuit de Sentinel-connector, kunt u drie soorten auditlogboeken vastleggen: activiteitenlogboeken voor beheerders, logboeken voor gegevenstoegang en toegang tot transparantielogboeken. Google-cloudcontrolelogboeken leggen een spoor vast dat gebruikers kunnen gebruiken om de toegang te bewaken en mogelijke bedreigingen te detecteren in Google Cloud Platform-resources (GCP).
Tabelkenmerken
| Kenmerk | Waarde |
|---|---|
| Resourcetypen | - |
| Categorieën | Beveiliging |
| Oplossingen | SecurityInsights |
| Basic-logboek | No |
| Opnametijdtransformatie | Yes |
| Voorbeeldquery's | Ja |
Kolommen
| Kolom | Type | Description |
|---|---|---|
| AuthenticationInfo | dynamisch | Verificatiegegevens. |
| AuthorizationInfo | dynamisch | Autorisatiegegevens. Als er meerdere resources of machtigingen bij betrokken zijn, is er één AuthorizationInfo-element voor elke tuple {resource, permission}. |
| _BilledSize | werkelijk | De recordgrootte in bytes |
| GCPResourceName | tekenreeks | De resource of verzameling die het doel van de bewerking is. De naam is een URI zonder schema, exclusief de naam van de API-service. |
| GCPResourceType | tekenreeks | De id van het type dat is gekoppeld aan deze resource, zoals 'pubsub_subscription'. |
| InsertId | tekenreeks | Optioneel. Door een unieke id voor de logboekvermelding op te geven, kan logboekregistratie dubbele vermeldingen met hetzelfde tijdstempel en insertId verwijderen in één queryresultaat. |
| _IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable is false opgenomen, wordt er geen rekening gehouden met uw Azure-account |
| LogName | tekenreeks | Informatie met inbegrip van een achtervoegsel dat het subtype van het logboek identificeert (bijvoorbeeld beheerdersactiviteit, systeemtoegang, gegevenstoegang) en waar in de hiërarchie de aanvraag is gedaan. |
| Metagegevens | dynamisch | Andere servicespecifieke gegevens over de aanvraag, het antwoord en andere informatie die is gekoppeld aan de huidige gecontroleerde gebeurtenis. |
| MethodName | tekenreeks | De naam van de servicemethode of -bewerking. Voor API-aanroepen moet dit de naam zijn van de API-methode. |
| NumResponseItems | tekenreeks | Het aantal items dat wordt geretourneerd vanuit een lijst- of query-API-methode, indien van toepassing. |
| PrincipalEmail | tekenreeks | Het e-mailadres van de geverifieerde gebruiker (of het serviceaccount namens de externe principal) die de aanvraag indient. Voor identiteitsoproepers van derden wordt het veld principalSubject ingevuld in plaats van dit veld. Om privacyredenen wordt het hoofd-e-mailadres soms bewerkt. |
| ProjectId | tekenreeks | De id van het GCP-project (Google Cloud Platform) dat is gekoppeld aan deze resource, zoals 'mijn-project'. |
| Aanvraag | dynamisch | De bewerkingsaanvraag. Dit omvat mogelijk niet alle aanvraagparameters, zoals de parameters die te groot, privacygevoelig of elders in de logboekrecord zijn gedupliceerd. Het mag nooit door gebruikers gegenereerde gegevens bevatten, zoals bestandsinhoud. Wanneer het hier weergegeven JSON-object een proto-equivalent heeft, wordt de protonaam aangegeven in de @type eigenschap. |
| RequestMetadata | dynamisch | Metagegevens over de bewerking. |
| ResourceLocation | dynamisch | De resourcelocatiegegevens. |
| ResourceOriginalState | dynamisch | De oorspronkelijke status van de resource vóór de mutatie. Alleen aanwezig voor bewerkingen die de beoogde resource(s) hebben gewijzigd. Over het algemeen moet dit veld alle gewijzigde velden bevatten, met uitzondering van de velden die al zijn opgenomen in de velden aanvraag, antwoord, metagegevens of serviceGegevens. Wanneer het hier weergegeven JSON-object een proto-equivalent heeft, wordt de protonaam aangegeven in de @type eigenschap. |
| Antwoord | dynamisch | Het bewerkingsantwoord. Dit omvat mogelijk niet alle antwoordelementen, zoals de elementen die te groot, privacygevoelig of elders in de logboekrecord zijn gedupliceerd. Het mag nooit door gebruikers gegenereerde gegevens bevatten, zoals bestandsinhoud. Wanneer het hier weergegeven JSON-object een proto-equivalent heeft, wordt de protonaam aangegeven in de @type eigenschap. |
| ServiceData | dynamisch | Een object met velden van een willekeurig type. Een extra veld '@type' bevat een URI die het type identificeert. Voorbeeld: { "id": 1234, "@type": "types.example.com/standard/id" }. |
| ServiceName | tekenreeks | De naam van de API-service die de bewerking uitvoert. Bijvoorbeeld 'compute.googleapis.com'. |
| Ernst | tekenreeks | Optioneel. De ernst van de logboekvermelding. De volgende filterexpressie komt bijvoorbeeld overeen met logboekvermeldingen met ernst info, kennisgeving en waarschuwing. |
| SourceSystem | tekenreeks | Het type agent waarvan de gebeurtenis is verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
| Status | dynamisch | De status van de algehele bewerking. |
| StatusMessage | tekenreeks | De berichtstatus van de algehele bewerking. |
| Abonnement | tekenreeks | Een benoemde resource die de stroom berichten vertegenwoordigt van één specifiek onderwerp, die moet worden geleverd aan de abonnementstoepassing. |
| TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
| TimeGenerated | datum/tijd | Het tijdstip waarop de logboekvermelding is ontvangen door logboekregistratie. |
| Tijdstempel | datum/tijd | Het tijdstip waarop de gebeurtenis die wordt beschreven door de logboekvermelding heeft plaatsgevonden. |
| Type | tekenreeks | De naam van de tabel |
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor