יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שיטות מומלצות לשימוש ביומני ביקורת של Cloud

במסמך הזה מומלצת רצף של משימות של יומני ביקורת שיעזרו לארגון שלכם לשמור על האבטחה ולצמצם את הסיכון.

הרשימה הזו היא חלקית בלבד. המטרה היא לעזור לכם להבין את היקף הפעילויות של רישום הביקורת ולתכנן בהתאם.

כל קטע מציג פעולות חשובות וכולל קישורים לקריאה נוספת.

הסבר על יומני ביקורת ב-Cloud

יומני ביקורת זמינים לרוב שירותי Cloud de Confiance . ב-Cloud Audit Logs יש את סוגי יומני הביקורת הבאים לכלCloud de Confiance פרויקט, חשבון לחיוב, תיקייה וארגון:

סוג יומן הביקורת	ניתן להגדרה	לחיוב
יומני הביקורת Admin Activity	לא, תמיד נכתב	לא
יומני ביקורת של גישה לנתונים	כן	כן
יומני ביקורת של Policy Denied	כן, אפשר להחריג את היומנים האלה כך שלא ייכתבו לקטגוריות יומנים	כן
יומני הביקורת System Event	לא, תמיד נכתב	לא

יומני הביקורת Data Access מושבתים כברירת מחדל, למעט יומני הביקורת של BigQuery. אם רוצים שיומני הביקורת Data Access ייכתבו עבור שירותי Cloud de Confiance, צריך להפעיל אותם באופן מפורש. פרטים מופיעים במאמר הגדרת יומני ביקורת Data Access בדף הזה.

למידע על התמונה הכוללת של יומני ביקורת ב-Cloud de Confiance, אפשר לעיין במאמר סקירה כללית על יומני ביקורת של Cloud.

שליטה בגישה ליומנים

נתוני יומני הביקורת הם רגישים, ולכן חשוב במיוחד להגדיר את אמצעי בקרת הגישה המתאימים למשתמשים בארגון.

בהתאם לדרישות התאימות והשימוש שלכם, מגדירים את אמצעי בקרת הגישה האלה באופן הבא:

הגדרת הרשאות IAM
הגדרה של תצוגות יומן
הגדרת אמצעי בקרת גישה ברמת השדה ברשומות ביומן

הגדרת הרשאות IAM

ההרשאות והתפקידים ב-IAM קובעים את אפשרויות הגישה של המשתמשים לנתוני יומני הביקורת ב-Logging API, ב-Logs Explorer וב-Google Cloud CLI. אפשר להשתמש ב-IAM כדי להעניק גישה מפורטת לקטגוריות ספציפיות ב-Cloud de Confiance ולמנוע גישה לא רצויה למשאבים אחרים.

התפקידים שמבוססים על הרשאות שאתם מקצים למשתמשים תלויים בפונקציות שקשורות לביקורת בארגון שלכם. לדוגמה, יכול להיות שתעניקו למנהל הטכנולוגיות הראשי (CTO) שלכם הרשאות אדמין רחבות, בעוד שחברי צוות הפיתוח שלכם יזדקקו להרשאות לצפייה ביומנים. לקבלת הנחיות לגבי התפקידים שכדאי להקצות למשתמשים בארגון, אפשר לעיין במאמר בנושא הגדרת תפקידים לרישום ביומן ביקורת.

כשמגדירים הרשאות IAM, חשוב להחיל את עקרון האבטחה של הרשאות מינימליות, כדי לתת למשתמשים רק את רמת הגישה שהם צריכים למשאבים:

הסרת כל המשתמשים שלא חיוניים.
נותנים למשתמשים חיוניים את ההרשאות הנכונות והמינימליות.

הוראות להגדרת הרשאות IAM מופיעות במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.

הגדרת תצוגות ביומן

כל היומנים, כולל יומני ביקורת, שמתקבלים ב-Logging נכתבים במאגרי אחסון שנקראים קטגוריות יומנים. הגדרות הגישה ליומנים מאפשרות לכם לקבוע למי תהיה גישה ליומנים בדלי היומנים.

מאחר שמאגרי יומנים יכולים להכיל יומנים מכמה Cloud de Confiance פרויקטים, יכול להיות שתצטרכו לקבוע אילו Cloud de Confiance פרויקטים משתמשים שונים יכולים לראות יומנים מהם. Cloud de Confiance ליצור תצוגות מותאמות אישית של יומנים, שמאפשרות בקרת גישה פרטנית יותר לדליים האלה.

הוראות ליצירה ולניהול של תצוגות יומנים מפורטות במאמר הגדרת תצוגות יומנים מפורטות בקטגוריית יומנים.

הגדרת אמצעי בקרה לגישה ברמת השדה ביומן

אמצעי בקרה לגישה ברמת השדה מאפשרים לכם להסתיר שדות ספציפיים LogEntry ממשתמשים Cloud de Confiance בפרויקט, וכך לקבל דרך פרטנית יותר לשלוט בנתוני היומנים שהמשתמש יכול לגשת אליהם. בהשוואה לתצוגות יומנים, שבהן מוסתרת כל LogEntry, אמצעי בקרה על גישה ברמת השדה מסתירים שדות ספציפיים של LogEntry. לדוגמה, יכול להיות שתרצו להסתיר את הפרטים האישיים המזהים של משתמשים חיצוניים, כמו כתובת אימייל שמופיעה במטען הייעודי (payload) של רשומת היומן, מרוב המשתמשים בארגון.

הוראות להגדרת בקרת גישה ברמת השדה מופיעות במאמר הגדרת גישה ברמת השדה.

הגדרת יומני ביקורת של גישה לנתונים

כשמפעילים שירותים חדשים של Cloud de Confiance , כדאי לבדוק אם כדאי להפעיל יומני ביקורת של גישה לנתונים.

יומני בקרת הרשאות הגישה לנתונים עוזרים לתמיכה של Google לפתור בעיות בחשבון שלכם. לכן, מומלץ להפעיל את יומני הביקורת Data Access כשזה אפשרי.

הערה: יומני ביקורת של Data Access יכולים להיות גדולים, ויכול להיות שתחויבו בעלויות נוספות על אחסון.

כדי להפעיל את כל יומני הביקורת לכל השירותים, פועלים לפי ההוראות לעדכון המדיניות בנושא ניהול זהויות והרשאות גישה (IAM) עם ההגדרה שמפורטת במדיניות הביקורת.

אחרי שמגדירים את מדיניות הגישה לנתונים ברמת הארגון ומפעילים את יומני הביקורת של הגישה לנתונים, כדאי להשתמש בפרויקט בדיקה כדי לאמת את ההגדרה של איסוף יומני הביקורת לפני שיוצרים פרויקטים של פיתוח וייצור בארגון. Cloud de Confiance Cloud de Confiance

הוראות להפעלת יומני ביקורת של גישה לנתונים מופיעות במאמר הפעלת יומני ביקורת של גישה לנתונים.

איך שולטים באופן האחסון של היומנים

אתם יכולים להגדיר היבטים של מאגרי המידע (buckets) של הארגון, וגם ליצור מאגרי מידע מוגדרים על ידי המשתמש כדי לרכז את אחסון היומנים או לחלק אותו. בהתאם לדרישות התאימות והשימוש שלכם, יכול להיות שתרצו להתאים אישית את אחסון היומנים באופן הבא:

בוחרים את המיקום שבו רוצים לאחסן את היומנים.
הגדרת תקופת השמירה של הנתונים.
הגנה על היומנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK).

בחירת המיקום לאחסון היומנים

מאגרי יומנים הם משאבים אזוריים: התשתית שמאחסנת את היומנים, יוצרת אינדקסים שלהם ומחפשת בהם נמצאת במיקום גיאוגרפי ספציפי.

יכול להיות שהארגון שלכם נדרש לאחסן את נתוני היומנים באזורים ספציפיים. הגורמים העיקריים לבחירת האזור שבו יאוחסנו היומנים הם עמידה בדרישות של הארגון בנוגע לזמן אחזור, זמינות או תאימות.

כדי להחיל באופן אוטומטי אזור אחסון מסוים על דלי _Default ודלי _Required חדשים שנוצרו בארגון, אפשר להגדיר מיקום ברירת מחדל למשאבים.

הוראות להגדרת מיקומי ברירת מחדל למשאבים מופיעות במאמר הגדרת הגדרות ברירת מחדל לארגונים.

הגדרת תקופות של שמירת נתונים

‫Cloud Logging שומר יומנים בהתאם לכללי שמירת הנתונים שחלים על סוג קטגוריית היומנים שבהם היומנים נשמרים.

כדי לעמוד בדרישות התאימות, צריך להגדיר את Cloud Logging כך שיומנים יישמרו למשך יום אחד עד400 days. כללי שמירה מותאמים אישית חלים על כל היומנים בקטגוריה, בלי קשר לסוג היומן או לשאלה אם היומן הועתק ממיקום אחר.

הוראות להגדרת כללי שמירה של קטגוריה ביומן מופיעות במאמר הגדרת שמירה בהתאמה אישית.

הגנה על יומני הביקורת באמצעות מפתחות הצפנה בניהול הלקוח

כברירת מחדל, Cloud Logging מצפין תוכן של לקוחות שמאוחסן במצב מנוחה. יכול להיות שיש בארגון שלכם דרישות הצפנה מתקדמות שלא מסופקות על ידי ברירת המחדל של הצפנה במנוחה. כדי לעמוד בדרישות של הארגון, במקום ש-Google תנהל את מפתחות ההצפנה שמגנים על הנתונים, אתם יכולים להגדיר מפתחות הצפנה בניהול הלקוח (CMEK) כדי לשלוט בהצפנה ולנהל אותה בעצמכם.

הוראות להגדרת CMEK מופיעות במאמר הגדרת CMEK לאחסון יומנים.

שאילתה וצפייה ביומני ביקורת

אם אתם צריכים לפתור בעיות, אתם חייבים להיות מסוגלים לעיין ביומנים במהירות. ב Cloud de Confiance מסוף, משתמשים ב-Logs Explorer כדי לאחזר את הרשומות ביומן הביקורת של הארגון:

במסוף Cloud de Confiance , נכנסים לדף Logs Explorer:
כניסה אל Logs Explorer

אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.
בוחרים את הארגון.
בחלונית Query:
- בקטע Resource Type, בוחרים את המשאב שרוצים לראות את יומני הביקורת שלו. Cloud de Confiance
- בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:
  - ליומני הביקורת Admin Activity בוחרים באפשרות activity.
  - ליומני הביקורת Data Access בוחרים באפשרות data_access.
  - ליומני הביקורת System Event בוחרים באפשרות system_event.
  - ליומני הביקורת Policy Denied בוחרים באפשרות policy.
  אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג בארגון.
- בעורך השאילתות, מציינים עוד את הרשומות ביומן הביקורת שרוצים לראות. דוגמאות לשאילתות נפוצות מופיעות במאמר דוגמאות לשאילתות באמצעות Logs Explorer.
לוחצים על Run query.

מידע נוסף על שליחת שאילתות באמצעות Logs Explorer מופיע במאמר יצירת שאילתות ב-Logs Explorer.

ניתוב יומנים ליעדים נתמכים

יכול להיות שהארגון שלכם יצטרך ליצור ולשמור יומני ביקורת. באמצעות מאגרי יומנים, אתם יכולים לנתב חלק מהיומנים או את כולם ליעדים הנתמכים הבאים:

Pub/Sub

קטגוריה נוספת של Cloud Logging

קובעים אם צריך sinks ברמת התיקייה או ברמת הארגון, ומנתבים יומנים מכל הפרויקטים בארגון או בתיקייה באמצעות aggregated sinks. Cloud de Confiance לדוגמה, אפשר להשתמש בתרחישי הניתוב הבאים:

מאגר ברמת הארגון: אם הארגון שלכם משתמש ב-SIEM כדי לנהל כמה יומני ביקורת, יכול להיות שתרצו לנתב את כל יומני הביקורת של הארגון. לכן, כדאי להשתמש במאגר ברמת הארגון.
מאגר ברמת התיקייה: לפעמים רוצים לנתב רק יומני ביקורת של מחלקות. לדוגמה, אם יש לכם תיקייה בשם 'כספים' ותיקייה בשם 'IT', יכול להיות שתרצו להגדיר ניתוב רק ליומני הביקורת ששייכים לתיקייה 'כספים', או רק לתיקייה 'IT'.

מידע נוסף על תיקיות וארגונים מופיע במאמר היררכיית משאבים.

מחילים את אותן מדיניות גישה על Cloud de Confiance היעד שבו משתמשים כדי לנתב יומנים, כמו שמחילים על הכלי Logs Explorer.

הוראות ליצירה ולניהול של אובייקטים מסוג sink מצטבר מופיעות במאמר איסוף וניתוב של יומנים ברמת הארגון ליעדים נתמכים.

הסבר על פורמט הנתונים ביעדי יצוא

כשמעבירים יומני ביקורת ליעדים מחוץ ל-Cloud Logging, חשוב להבין את פורמט הנתונים שנשלחו.

כדי להבין ולמצוא רשומות ביומן שניתבתם מ-Cloud Logging ליעדים נתמכים, אפשר לעיין במאמר צפייה ביומנים ביעדי ניקוז.