In diesem Dokument wird eine Abfolge von Audit-Logging-Aufgaben empfohlen, mit denen Sie in Ihrer Organisation für Sicherheit sorgen und Risiken minimieren können.
Dieses Dokument ist keine vollständige Liste von Empfehlungen. Es soll Ihnen stattdessen helfen, den Umfang der Audit-Logging-Aktivitäten zu verstehen und entsprechend zu planen.
In jedem Abschnitt werden wichtige Aktionen und weiterführende Links aufgeführt.
Informationen zu Cloud-Audit-Logs
Audit-Logs sind für die meisten Cloud de Confiance Dienste verfügbar. Cloud-Audit-Logs erstellt für jedes Cloud de Confiance Projekt, jedes Abrechnungskonto, jeden Ordner und jede Organisation die folgenden Arten von Audit-Logs:
| Audit-Logtyp | Konfigurierbar | Kann in Rechnung gestellt werden |
|---|---|---|
| Audit-Logs zur Administratoraktivität | Nein, werden immer geschrieben | Nein |
| Audit-Logs zum Datenzugriff | Ja | Ja |
| Audit-Logs zu Richtlinienverstößen | Ja, Sie können diese Logs vom Schreiben in Log-Buckets ausschließen | Ja |
| Audit-Logs zu Systemereignissen | Nein, werden immer geschrieben | Nein |
Audit-Logs zum Datenzugriff sind – außer für BigQuery – standardmäßig deaktiviert. Wenn Audit-Logs zum Datenzugriff für Cloud de Confiance Dienste geschrieben werden sollen, müssen Sie sie explizit aktivieren. Weitere Informationen finden Sie auf dieser Seite unter Audit-Logs für den Datenzugriff konfigurieren.
Informationen zur allgemeinen Landschaft für das Audit-Logging mit Cloud de Confiancefinden Sie unter Cloud-Audit-Logs – Übersicht.
Zugriff auf Logs steuern
Aufgrund der Sensibilität von Audit-Logging-Daten ist es besonders wichtig, die entsprechenden Zugriffssteuerungen für die Nutzer Ihrer Organisation zu konfigurieren.
Je nach Compliance- und Nutzungsanforderungen legen Sie diese Zugriffssteuerungen so fest:
- IAM-Berechtigungen festlegen
- Logansichten konfigurieren
- Zugriffssteuerung auf Feldebene für Logeinträge festlegen
IAM-Berechtigungen festlegen
IAM Berechtigungen und Rollen bestimmen, ob Nutzer auf Audit-Logdaten in der Logging API, dem Log-Explorer und der Google Cloud CLI zugreifen können. Mit IAM können Sie detaillierte Zugriffsberechtigungen auf bestimmte Cloud de Confiance Buckets gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern.
Die berechtigungsbasierten Rollen, die Sie Ihren Nutzern zuweisen, hängen von ihren Audit-bezogenen Funktionen in Ihrer Organisation ab. Sie können Ihrem CTO beispielsweise umfassende Administratorberechtigungen gewähren, während die Mitglieder Ihres Entwicklerteams möglicherweise Berechtigungen zum Anzeigen von Logs benötigen. Eine Anleitung dazu, welche Rollen Sie den Nutzern Ihrer Organisation zuweisen sollten, finden Sie unter Rollen für das Audit-Logging konfigurieren.
Wenn Sie IAM-Berechtigungen festlegen, wenden Sie das Sicherheitsprinzip der geringsten Berechtigung an und gewähren Sie Nutzern nur den erforderlichen Zugriff auf Ihre Ressourcen:
- Entfernen Sie alle nicht erforderlichen Nutzer.
- Gewähren Sie erforderlichen Nutzern die richtigen und minimalen Berechtigungen.
Eine Anleitung zum Festlegen von IAM-Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Logansichten konfigurieren
Alle von Logging empfangenen Logs, einschließlich Audit-Logs, werden in Speichercontainern namens Log-Buckets geschrieben. Logansichten ermöglichen Ihnen die Steuerung des Zugriffs auf die Logs in Ihren Log-Buckets.
Da Log-Buckets Logs von mehreren Cloud de Confiance Projekten enthalten können, müssen Sie möglicherweise steuern, aus welchen Cloud de Confiance Projekten unterschiedliche Nutzer Logs aufrufen können. Erstellen Sie benutzerdefinierte Logansichten, die eine genauere Zugriffssteuerung für diese Buckets ermöglichen.
Eine Anleitung zum Erstellen und Verwalten von Logansichten finden Sie unter Logansichten für einen Log-Bucket konfigurieren.
Zugriffssteuerung auf Feldebene für Logs festlegen
Mit der Zugriffssteuerung auf Feldebene können Sie einzelne LogEntry-Felder für Nutzer
eines Cloud de Confiance Projekts ausblenden, sodass Sie eine detailliertere Möglichkeit zum Festlegen der Logdaten
haben, auf die ein Nutzer zugreifen kann. Im Vergleich zu Logansichten, in denen der
gesamte LogEntry ausgeblendet wird, sind bei der Zugriffssteuerung auf Feldebene einzelne Felder des
LogEntry ausgeblendet. Sie können beispielsweise personenbezogene Daten externer Nutzer wie eine E-Mail-Adresse, die in der Nutzlast des Logeintrags enthalten ist, für die meisten Nutzer Ihrer Organisation ausblenden.
Eine Anleitung zum Konfigurieren der Zugriffssteuerung auf Feldebene finden Sie unter Zugriff auf Feldebene konfigurieren.
Audit-Logs für den Datenzugriff konfigurieren
Wenn Sie neue Cloud de Confiance Dienste aktivieren, sollten Sie prüfen, ob Audit-Logs für den Datenzugriffaktiviert werden sollen.
Audit-Logs zum Datenzugriff helfen dem Google-Support beim Beheben von Problemen mit Ihrem Konto. Daher empfehlen wir, Audit-Logs zum Datenzugriff nach Möglichkeit zu aktivieren.
Wenn Sie alle Audit-Logs für alle Dienste aktivieren möchten, folgen Sie der Anleitung zum Aktualisieren der Richtlinie der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) mit der in der Audit-Richtlinieaufgeführten Konfiguration.
Nachdem Sie die Richtlinie für den Datenzugriff auf Organisationsebene definiert und Audit-Logs zum Daten zugriff aktiviert haben, prüfen Sie mit einem Test Cloud de Confiance projekt die Konfiguration Ihrer Audit-Log-Sammlung, bevor Sie Entwickler- und Produktions Cloud de Confiance projekte in der Organisation erstellen.
Eine Anleitung zum Aktivieren von Audit-Logs zum Datenzugriff finden Sie unter Audit-Logs zum Datenzugriff aktivieren.
Speicherung von Logs steuern
Sie können Aspekte der Buckets Ihrer Organisation konfigurieren und auch benutzerdefinierte Buckets erstellen, um Ihren Logspeicher zu zentralisieren oder zu unterteilen. Je nach Compliance- und Nutzungsanforderungen können Sie die Speicherung von Logs wie folgt anpassen:
- Speicherort für Logs auswählen
- Logs mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) schützen
Speicherort für Logs auswählen
In Logging sind Buckets regionale Ressourcen. Die Infrastruktur, in der Ihre Logs gespeichert, indexiert und durchsucht werden, befindet sich an einem bestimmten geografischen Standort.
Ihre Organisation muss Logdaten möglicherweise in bestimmten Regionen speichern. Einer der Hauptfaktoren bei der Auswahl der Region, in der Logs gespeichert werden, ist die Erfüllung der Anforderungen Ihres Unternehmens in Bezug auf Latenz, Verfügbarkeit oder Compliance.
Wenn Sie automatisch eine bestimmte Speicherregion auf die neuen _Default- und _Required-Buckets anwenden möchten, die in Ihrer Organisation erstellt werden, können Sie einen Standardressourcenspeicherort konfigurieren.
Eine Anleitung zum Konfigurieren von Standardressourcenspeicherorten finden Sie unter Standardeinstellungen für Organisationen konfigurieren.
Audit-Logs mit vom Kunden verwalteten Verschlüsselungsschlüsseln schützen
Cloud Logging verschlüsselt inaktive Kundendaten standardmäßig. Ihre Organisation hat möglicherweise erweiterte Verschlüsselungsanforderungen, die bei der Standardverschlüsselung inaktiver Daten nicht vorgesehen sind. Anstatt die Schlüsselverschlüsselungsschlüssel, die Ihre Daten schützen, von Google verwalten zu lassen, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) zur angepassten Steuerung und Verwaltung Ihrer Verschlüsselung konfigurieren.
Eine Anleitung zum Konfigurieren von CMEK finden Sie unter CMEK für die Logspeicherung konfigurieren.
Audit-Logs abfragen und ansehen
Wenn Sie Fehler beheben müssen, ist die Möglichkeit, Logs schnell aufrufen zu können, sehr hilfreich. In der Cloud de Confiance Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihre Organisation abrufen:
-
Rufen Sie in der Cloud de Confiance Console das Segment und die Seite Log-Explorer auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.
Wählen Sie Ihre Organisation aus.
Führen Sie im Bereich Abfrage folgende Schritte aus:
Wählen Sie unter Ressourcentyp die Cloud de Confiance Ressource aus, deren Audit-Logs angezeigt werden sollen.
Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:
- Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
- Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
- Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.
- Wählen Sie für Audit-Logs zu Richtlinienverstößen die Option policy aus.
Wenn diese Optionen nicht angezeigt werden, sind in der Organisation keine Audit-Logs dieses Typs verfügbar.
Geben Sie im Abfrageeditor die Audit-Logeinträge an, die Sie sehen möchten. Beispiele für häufig verwendete Abfragen finden Sie unter Beispielabfragen mit dem Log-Explorer.
Klicken Sie auf Abfrage ausführen.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.
Logs an unterstützte Ziele weiterleiten
Ihre Organisation muss möglicherweise Anforderungen beim Erstellen und Speichern von Audit-Logs erfüllen. Mithilfe von Senken können Sie einige oder alle Logs an diese unterstützten Ziele weiterleiten:
- Ein weiterer Cloud Logging-Bucket
Ermitteln Sie, ob Sie Senken auf Ordner- oder Organisationsebene benötigen, und leiten Sie Logs aus allen Cloud de Confiance Projekten innerhalb der Organisation oder des Ordners mithilfe aggregierter Senken weiter. Beispiele für Routing-Anwendungsfälle:
Senke auf Organisationsebene: Wenn Ihre Organisation mehrere Audit-Logs mit einem SIEM verwaltet, sollten Sie alle Audit-Logs Ihrer Organisation weiterleiten. In diesem Fall ist eine Senke auf Organisationsebene sinnvoll.
Senke auf Ordnerebene: Manchmal müssen nur Audit-Logs bestimmter Abteilungen weitergeleitet werden. Wenn Sie beispielsweise einen Ordner „Finanzen“ und einen Ordner „IT“ haben, ist es eventuell sinnvoll, nur die Audit-Logs weiterzuleiten, die zum Ordner „Finanzen“ gehören, und umgekehrt.
Weitere Informationen zu Ordnern und Organisationen finden Sie unter Ressourcenhierarchie.
Wenden Sie auf das Cloud de Confiance Ziel dieselben Zugriffsrichtlinien an, die Sie auch für das Routing von Logs aus dem Log-Explorer verwenden.
Eine Anleitung zum Erstellen und Verwalten aggregierter Senken finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleien.
Datenformat an Senkenzielen
Wenn Sie Audit-Logs an Ziele außerhalb von Cloud Logging weiterleiten, sollten Sie das Format der gesendeten Daten kennen.
Informationen zum Aufrufen von Logeinträgen, die Sie von Cloud Logging an unterstützte Ziele weitergeleitet haben, finden Sie unter Logs an Senkenzielen ansehen.