Поделиться через


GCPAuditLogs

Журналы аудита Google Cloud Platform (GCP), полученные из соединителя Sentinel, позволяют записывать три типа журналов аудита: журналы действий администратора, журналы доступа к данным и журналы прозрачности доступа. Журналы аудита облака Google записывают след, который практикующие специалисты могут использовать для мониторинга доступа и обнаружения потенциальных угроз в ресурсах Google Cloud Platform (GCP).

Атрибуты таблицы

Атрибут Значение
Типы ресурсов -
Категории Безопасность
Решения SecurityInsights
Базовый журнал No
Преобразование ingestion-time Да
Примеры запросов Да

Столбцы

Column Type Описание
AuthenticationInfo по строкам Сведения о проверке подлинности.
AuthorizationInfo по строкам Сведения о авторизации. Если задействовано несколько ресурсов или разрешений, для каждого кортежа {resource, permission} существует один элемент AuthorizationInfo.
_BilledSize real Размер записи в байтах
GCPResourceName строка Ресурс или коллекция, которая является целью операции. Имя — это URI без схемы, а не имя службы API.
GCPResourceType строка Идентификатор типа, связанного с этим ресурсом, например "pubsub_subscription".
InsertId строка Необязательно. Предоставление уникального идентификатора записи журнала позволяет журналу удалять повторяющиеся записи с одной меткой времени и insertId в одном результате запроса.
_IsBillable строка Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure.
LogName строка Сведения, включая суффикс, определяющий подтип журнала (например, действия администратора, доступ к системе, доступ к данным) и где в иерархии был выполнен запрос.
Метаданные по строкам Другие данные о запросе, ответе и других сведениях, связанных с текущим событием аудита.
MethodName строка Имя метода или операции службы. Для вызовов API это должно быть имя метода API.
NumResponseItems строка Количество элементов, возвращаемых из метода API списка или запроса, если применимо.
PrincipalEmail строка Адрес электронной почты прошедшего проверку подлинности пользователя (или учетной записи службы от имени стороннего участника), выполняющего запрос. Для абонентов сторонних удостоверений поле principalSubject заполняется вместо этого поля. По соображениям конфиденциальности основной адрес электронной почты иногда редактируется.
ProjectId строка Идентификатор проекта Google Cloud Platform (GCP), связанного с этим ресурсом, например my-project.
Запросить по строкам Запрос операции. Это может не включать все параметры запроса, такие как слишком большие, конфиденциальные для конфиденциальности или повторяющиеся в других местах записи журнала. Он никогда не должен включать данные, созданные пользователем, например содержимое файла. Если объект JSON, представленный здесь, имеет эквивалентный proto, имя proto будет указано в свойстве @type .
RequestMetadata по строкам Метаданные операции.
Расположение ресурса по строкам Сведения о расположении ресурса.
ResourceOriginalState по строкам Исходное состояние ресурса перед мутацией. Присутствует только для операций, которые успешно изменили целевые ресурсы. Как правило, это поле должно содержать все измененные поля, кроме тех, которые уже включены в поля request, response, metadata или serviceData. Если объект JSON, представленный здесь, имеет эквивалентный proto, имя proto будет указано в свойстве @type .
Response по строкам Ответ операции. Это может не включать все элементы ответа, такие как слишком большие, конфиденциальные для конфиденциальности или повторяющиеся в других местах записи журнала. Он никогда не должен включать данные, созданные пользователем, например содержимое файла. Если объект JSON, представленный здесь, имеет эквивалентный proto, имя proto будет указано в свойстве @type .
ServiceData по строкам Объект, содержащий поля произвольного типа. Дополнительное поле "@type" содержит универсальный код ресурса (URI), определяющий тип. Пример: { "id": 1234, "@type": "types.example.com/standard/id" }.
ServiceName строка Имя службы API, выполняющей операцию. Например, "compute.googleapis.com".
Важность строка Необязательно. Серьезность записи журнала. Например, следующее выражение фильтра будет соответствовать записям журнала с сведениями о серьезности, УВЕДОМЛЕНИЯ и ПРЕДУПРЕЖДЕНИЯ.
SourceSystem строка Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure
Состояние по строкам Состояние общей операции.
StatusMessage строка Состояние сообщения общей операции.
Отток подписок строка Именованный ресурс, представляющий поток сообщений из одного конкретного раздела, который будет доставлен в приложение подписки.
TenantId строка Идентификатор рабочей области Log Analytics
TimeGenerated datetime Время получения записи журнала путем ведения журнала.
Метка времени datetime Время возникновения события, описанного записью журнала.
Тип строка Имя таблицы.