In diesem Dokument wird eine Abfolge von Audit-Logging-Aufgaben empfohlen, mit denen Sie in Ihrer Organisation für Sicherheit sorgen und Risiken minimieren können.
Dieses Dokument ist nicht als abschließende Liste von Empfehlungen zu betrachten. Er soll Ihnen einen Überblick über den Umfang der Audit-Logging-Aktivitäten bieten, damit Sie entsprechend planen können.
In jedem Abschnitt werden wichtige Aktionen und weiterführende Links aufgeführt.
Cloud-Audit-Logs
Audit-Logs sind für die meisten Trusted Cloud -Dienste verfügbar. Cloud-Audit-Logs bietet für jedesTrusted Cloud -Projekt, ‑Rechnungskonto, ‑Ordner und ‑Organisation die folgenden Arten von Audit-Logs:
| Audit-Logtyp | Konfigurierbar | Kann in Rechnung gestellt werden |
|---|---|---|
| Audit-Logs zur Administratoraktivität | Nein, immer schriftlich | Nein |
| Audit-Logs zum Datenzugriff | Ja | Ja |
| Audit-Logs zu Richtlinienverstößen | Ja, Sie können verhindern, dass diese Logs in Log-Buckets geschrieben werden. | Ja |
| Audit-Logs zu Systemereignissen | Nein, immer schriftlich | Nein |
Audit-Logs zum Datenzugriff sind – außer für BigQuery – standardmäßig deaktiviert. Wenn Audit-Logs zum Datenzugriff für Trusted Cloud-Dienste geschrieben werden sollen, müssen Sie sie explizit aktivieren. Weitere Informationen finden Sie auf dieser Seite unter Audit-Logs zum Datenzugriff konfigurieren.
Informationen zum allgemeinen Audit-Logging mitTrusted Cloudfinden Sie unter Cloud-Audit-Logs – Übersicht.
Zugriff auf Logs steuern
Da Audit-Log-Daten vertraulich sind, ist es besonders wichtig, die entsprechenden Zugriffssteuerungen für die Nutzer Ihrer Organisation zu konfigurieren.
Je nach Ihren Compliance- und Nutzungsanforderungen können Sie diese Zugriffssteuerungen so festlegen:
- IAM-Berechtigungen festlegen
- Logansichten konfigurieren
- Zugriffssteuerung auf Feldebene für Logeinträge festlegen
IAM-Berechtigungen festlegen
IAM-Berechtigungen und Rollen bestimmen, ob Nutzer auf Audit-Logdaten in der Logging API, dem Log-Explorer und der Google Cloud CLI zugreifen können. Mit IAM können Sie detaillierte Zugriffsberechtigungen auf bestimmteTrusted Cloud -Buckets gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern.
Die berechtigungsbasierten Rollen, die Sie Ihren Nutzern zuweisen, hängen von ihren prüfungsbezogenen Funktionen in Ihrer Organisation ab. So können Sie beispielsweise Ihrem CTO umfassende Administratorberechtigungen erteilen, während Ihre Entwicklerteammitglieder möglicherweise Berechtigungen zum Aufrufen von Logs benötigen. Informationen dazu, welche Rollen Sie den Nutzern Ihrer Organisation zuweisen sollten, finden Sie unter Rollen für das Audit-Logging konfigurieren.
Wenden Sie beim Festlegen von IAM-Berechtigungen das Sicherheitsprinzip der geringsten Berechtigung an, damit Sie Nutzern nur den erforderlichen Zugriff auf Ihre Ressourcen gewähren:
- Entfernen Sie alle nicht erforderlichen Nutzer.
- Wichtigen Nutzern die richtigen und minimalen Berechtigungen gewähren
Eine Anleitung zum Festlegen von IAM-Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Logansichten konfigurieren
Alle von Logging empfangenen Logs, einschließlich Audit-Logs, werden in Speichercontainern namens Log-Buckets gespeichert. Mit Logansichten können Sie steuern, wer Zugriff auf die Logs in Ihren Log-Buckets hat.
Da Log-Buckets Logs von mehreren Trusted Cloud Projekten enthalten können, müssen Sie möglicherweise steuern, aus welchen Trusted Cloud Projekten unterschiedliche Nutzer Logs aufrufen können. Sie können benutzerdefinierte Logansichten erstellen, die eine genauere Zugriffssteuerung für diese Buckets ermöglichen.
Eine Anleitung zum Erstellen und Verwalten von Logansichten finden Sie unter Logansichten in einem Logbucket konfigurieren.
Zugriffssteuerung auf Feldebene für Logs festlegen
Mit den Zugriffssteuerungen auf Feldebene können Sie einzelne LogEntry-Felder für Nutzer eines Trusted Cloud -Projekts ausblenden, sodass Sie eine detailliertere Möglichkeit zum Festlegen der Logdaten haben, auf die ein Nutzer zugreifen kann. Im Vergleich zu Logansichten, in denen der gesamte LogEntry ausgeblendet wird, sind bei Zugriffssteuerungen auf Feldebene einzelne Felder des LogEntry ausgeblendet. So möchten Sie beispielsweise möglicherweise personenbezogene Daten externer Nutzer, z. B. eine E-Mail-Adresse, die in der Nutzlast des Logeintrags enthalten ist, für die meisten Nutzer Ihrer Organisation unkenntlich machen.
Eine Anleitung zum Konfigurieren der Zugriffssteuerung auf Feldebene finden Sie unter Zugriff auf Feldebene konfigurieren.
Audit-Logs für den Datenzugriff konfigurieren
Wenn Sie neue Trusted Cloud Dienste aktivieren, sollten Sie prüfen, ob Audit-Logs zum Datenzugriff aktiviert werden sollen.
Audit-Logs zum Datenzugriff helfen dem Google-Support beim Beheben von Problemen mit Ihrem Konto. Daher empfehlen wir, Audit-Logs zum Datenzugriff nach Möglichkeit zu aktivieren.
Wenn Sie alle Audit-Logs für alle Dienste aktivieren möchten, folgen Sie der Anleitung zum Aktualisieren der IAM-Richtlinie mit der in der Audit-Richtlinie aufgeführten Konfiguration.
Nachdem Sie Ihre Datenzugriffsrichtlinie auf Organisationsebene definiert und Audit-Logs für den Datenzugriff aktiviert haben, sollten Sie ein Trusted Cloud Testprojekt verwenden, um die Konfiguration Ihrer Audit-Log-Sammlung zu validieren, bevor Sie Entwickler- und Produktionsprojekte Trusted Cloud in der Organisation erstellen.
Eine Anleitung zum Aktivieren von Audit-Logs zum Datenzugriff finden Sie unter Audit-Logs zum Datenzugriff aktivieren.
Festlegen, wie Ihre Logs gespeichert werden
Sie können Aspekte der Buckets Ihrer Organisation konfigurieren und auch benutzerdefinierte Buckets erstellen, um Ihren Logspeicher zu zentralisieren oder zu unterteilen. Je nach Ihren Compliance- und Nutzungsanforderungen können Sie die Speicherung Ihrer Logs folgendermaßen anpassen:
- Wählen Sie aus, wo Ihre Logs gespeichert werden sollen.
- Schützen Sie Ihre Logs mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK).
Speicherort für Logs auswählen
In Logging sind Buckets regionale Ressourcen: Die Infrastruktur, in der Ihre Logs gespeichert, indexiert und durchsucht werden, befindet sich an einem bestimmten geografischen Standort.
Ihre Organisation muss Logdaten möglicherweise in bestimmten Regionen speichern. Einer der primären Hauptfaktoren bei der Auswahl der Region, in der Logs gespeichert werden, ist die Erfüllung der Anforderungen Ihres Unternehmens in Bezug auf Latenz, Verfügbarkeit oder Compliance.
Wenn Sie automatisch eine bestimmte Speicherregion auf die neuen _Default- und _Required-Buckets anwenden möchten, die in Ihrer Organisation erstellt werden, können Sie einen Standardressourcenstandort konfigurieren.
Eine Anleitung zum Konfigurieren von Standardressourcenstandorten finden Sie unter Standardeinstellungen für Organisationen konfigurieren.
Audit-Logs mit vom Kunden verwalteten Verschlüsselungsschlüsseln schützen
Cloud Logging verschlüsselt inaktive Kundendaten standardmäßig. Ihre Organisation hat möglicherweise erweiterte Verschlüsselungsanforderungen, die bei der Standardverschlüsselung inaktiver Daten nicht vorgesehen sind. Anstatt die Schlüsselverschlüsselungsschlüssel, die Ihre Daten schützen, von Google verwalten zu lassen, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) zur angepassten Steuerung und Verwaltung Ihrer Verschlüsselung konfigurieren.
Eine Anleitung zum Konfigurieren von CMEK finden Sie unter CMEK für die Logspeicherung konfigurieren.
Audit-Logs abfragen und ansehen
Wenn Sie Fehler beheben müssen, ist die Möglichkeit, Logs schnell aufrufen zu können, sehr hilfreich. Rufen Sie in der Trusted Cloud Console mit dem Log-Explorer die Audit-Logeinträge für Ihre Organisation ab:
-
Rufen Sie in der Trusted Cloud Console die Seite Log-Explorer auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
Wählen Sie Ihre Organisation aus.
Führen Sie im Bereich Abfrage folgende Schritte aus:
Wählen Sie unter Ressourcentyp die Trusted Cloud Ressource aus, deren Audit-Logs angezeigt werden sollen.
Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:
- Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
- Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
- Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.
- Wählen Sie für Audit-Logs zu Richtlinienverstößen die Option policy aus.
Wenn diese Optionen nicht angezeigt werden, sind in der Organisation keine Audit-Logs dieses Typs verfügbar.
Geben Sie im Abfrageeditor genauer an, welche Audit-Logeinträge Sie sehen möchten. Beispiele für häufig verwendete Abfragen finden Sie unter Beispielabfragen mit dem Log-Explorer.
Klicken Sie auf Abfrage ausführen.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.
Logs an unterstützte Ziele weiterleiten
Ihre Organisation muss möglicherweise Anforderungen beim Erstellen und Speichern von Audit-Logs erfüllen. Mithilfe von Senken können Sie einige oder alle Logs an die folgenden unterstützten Ziele weiterleiten:
- Ein weiterer Cloud Logging-Bucket
Ermitteln Sie, ob Sie Senken auf Ordner- oder Organisationsebene benötigen, und leiten Sie Logs aus allen Trusted Cloud Projekten innerhalb der Organisation oder des Ordners mithilfe von aggregierten Senken weiter. Beispiele für Anwendungsfälle für das Routing:
Senke auf Organisationsebene: Wenn Ihre Organisation mehrere Audit-Logs mit einem SIEM verwaltet, sollten Sie alle Audit-Logs Ihrer Organisation weiterleiten. In diesem Fall ist eine Senke auf Organisationsebene sinnvoll.
Senke auf Ordnerebene: Manchmal möchten Sie möglicherweise nur Audit-Logs bestimmter Abteilungen weiterleiten. Wenn Sie beispielsweise einen Ordner „Finanzen“ und einen Ordner „IT“ haben, ist es eventuell sinnvoll, nur die Audit-Logs weiterzuleiten, die zum Ordner „Finanzen“ gehören, und umgekehrt.
Weitere Informationen zu Ordnern und Organisationen finden Sie unter Ressourcenhierarchie.
Wenden Sie auf das Trusted Cloud -Ziel dieselben Zugriffsrichtlinien an, die Sie auch für das Routing von Logs aus dem Log-Explorer verwenden.
Eine Anleitung zum Erstellen und Verwalten aggregierter Senken finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.
Datenformat in Senkenzielen
Wenn Sie Audit-Logs an Ziele außerhalb von Cloud Logging weiterleiten, müssen Sie sich mit dem Format der gesendeten Daten vertraut machen.
Informationen zum Ansehen und Interpretieren von Logeinträgen, die Sie von Cloud Logging an unterstützte Ziele weitergeleitet haben, finden Sie unter Logs an Senkenzielen ansehen.