Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Praktik terbaik untuk Cloud Audit Logs

Dokumen ini merekomendasikan urutan tugas pencatatan audit untuk membantu organisasi Anda menjaga keamanan dan meminimalkan risiko.

Dokumen ini bukan daftar rekomendasi yang lengkap. Sebaliknya, tujuannya adalah untuk membantu Anda memahami cakupan aktivitas pencatatan audit dan merencanakan sesuai dengan itu.

Setiap bagian memberikan tindakan utama dan menyertakan link untuk bacaan lebih lanjut.

Memahami Cloud Audit Logs

Log audit tersedia untuk sebagian besar layanan Cloud de Confiance . Cloud Audit Logs menyediakan jenis log audit berikut untuk setiapCloud de Confiance project, akun penagihan, folder, dan organisasi:

Jenis log audit	Dapat Dikonfigurasi	Dapat dikenakan biaya
Log audit Aktivitas Admin	Tidak; selalu ditulis	Tidak
Log audit Akses Data	Ya	Ya
Log audit Kebijakan Ditolak	Ya; Anda dapat mengecualikan log ini agar tidak ditulis ke bucket log	Ya
Log audit Peristiwa Sistem	Tidak; selalu ditulis	Tidak

Log audit Akses Data—kecuali untuk BigQuery—dinonaktifkan secara default. Jika Anda ingin log audit Akses Data ditulis untuk layanan Cloud de Confiance, Anda harus mengaktifkannya secara eksplisit; untuk mengetahui detailnya, lihat Mengonfigurasi log audit Akses Data di halaman ini.

Untuk mengetahui informasi tentang lanskap keseluruhan untuk pencatatan log audit dengan Cloud de Confiance, lihat Ringkasan Cloud Audit Logs.

Mengontrol akses ke log

Karena sensitivitas data pencatatan audit, sangat penting untuk mengonfigurasi kontrol akses yang sesuai bagi pengguna organisasi Anda.

Bergantung pada persyaratan kepatuhan dan penggunaan Anda, tetapkan kontrol akses ini sebagai berikut:

Tetapkan izin IAM
Mengonfigurasi tampilan log
Menetapkan kontrol akses tingkat kolom entri log

Menetapkan izin IAM

Izin dan peran IAM menentukan kemampuan pengguna untuk mengakses data log audit di Logging API, Logs Explorer, dan Google Cloud CLI. Gunakan IAM untuk memberikan akses terperinci ke bucketCloud de Confiance tertentu dan mencegah akses yang tidak diinginkan ke resource lain.

Peran berbasis izin yang Anda berikan kepada pengguna bergantung pada fungsi terkait audit mereka dalam organisasi Anda. Misalnya, Anda dapat memberikan izin administratif yang luas kepada CTO, sedangkan anggota tim developer mungkin memerlukan izin untuk melihat log. Untuk mendapatkan panduan tentang peran yang harus diberikan kepada pengguna organisasi Anda, lihat mengonfigurasi peran untuk pencatatan audit.

Saat menyetel izin IAM, terapkan prinsip keamanan dengan hak istimewa terendah, sehingga Anda hanya memberikan akses yang diperlukan kepada pengguna ke resource Anda:

Hapus semua pengguna yang tidak penting.
Berikan izin yang benar dan minimal kepada pengguna penting.

Untuk mengetahui petunjuk tentang cara menetapkan izin IAM, lihat Mengelola akses ke project, folder, dan organisasi.

Mengonfigurasi tampilan log

Semua log, termasuk log audit, yang diterima oleh Logging ditulis ke dalam container penyimpanan yang disebut bucket log. Tampilan log memungkinkan Anda mengontrol siapa yang memiliki akses ke log dalam bucket log Anda.

Karena bucket log dapat berisi log dari beberapa Cloud de Confiance project, Anda mungkin perlu mengontrol project mana yang dapat digunakan oleh pengguna yang berbeda untuk melihat log. Cloud de Confiance Buat tampilan log kustom, yang memberi Anda kontrol akses yang lebih terperinci untuk bucket tersebut.

Untuk mengetahui petunjuk tentang cara membuat dan mengelola tampilan log, lihat Mengonfigurasi tampilan log di bucket log.

Menetapkan kontrol akses tingkat kolom log

Kontrol akses tingkat kolom memungkinkan Anda menyembunyikan kolom LogEntry individual dari pengguna project Cloud de Confiance , sehingga memberi Anda cara yang lebih terperinci untuk mengontrol data log yang dapat diakses pengguna. Dibandingkan dengan tampilan log, yang menyembunyikan seluruh LogEntry, kontrol akses tingkat kolom menyembunyikan kolom individual dari LogEntry. Misalnya, Anda mungkin ingin menyamarkan PII pengguna eksternal, seperti alamat email yang ada dalam payload entri log, dari sebagian besar pengguna organisasi Anda.

Untuk mengetahui petunjuk tentang cara mengonfigurasi kontrol akses tingkat kolom, lihat Mengonfigurasi akses tingkat kolom.

Mengonfigurasi log audit Akses Data

Saat mengaktifkan layanan Cloud de Confiance baru, evaluasi apakah akan mengaktifkan log audit Akses Data atau tidak.

Log audit Akses Data membantu Dukungan Google memecahkan masalah pada akun Anda. Oleh karena itu, sebaiknya aktifkan log audit Akses Data jika memungkinkan.

Untuk mengaktifkan semua log audit untuk semua layanan, ikuti petunjuk untuk memperbarui kebijakan Identity and Access Management (IAM) dengan konfigurasi yang tercantum dalam kebijakan audit.

Setelah menentukan kebijakan akses data tingkat organisasi dan mengaktifkan log audit Akses Data, gunakan project Cloud de Confiance pengujian untuk memvalidasi konfigurasi pengumpulan log audit sebelum membuat project Cloud de Confiance developer dan produksi di organisasi.

Untuk melihat petunjuk cara mengaktifkan log audit Akses Data, lihat Mengaktifkan log audit Akses Data.

Mengontrol cara log Anda disimpan

Anda dapat mengonfigurasi aspek bucket organisasi dan juga membuat bucket yang ditentukan pengguna untuk memusatkan atau membagi penyimpanan log. Bergantung pada persyaratan kepatuhan dan penggunaan, Anda dapat menyesuaikan penyimpanan log sebagai berikut:

Pilih tempat penyimpanan log Anda.

Lindungi log Anda dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Pilih lokasi penyimpanan log Anda

Bucket Logging adalah resource regional: infrastruktur yang menyimpan, mengindeks, dan menelusuri log Anda berada di lokasi geografis tertentu.

Organisasi Anda mungkin diwajibkan untuk menyimpan data log-nya di region tertentu. Faktor utama dalam memilih region tempat log Anda disimpan mencakup memenuhi persyaratan latensi, ketersediaan, atau kepatuhan organisasi Anda.

Untuk menerapkan region penyimpanan tertentu secara otomatis ke bucket _Default dan _Required baru yang dibuat di organisasi Anda, Anda dapat mengonfigurasi lokasi resource default.

Untuk mengetahui petunjuk tentang cara mengonfigurasi lokasi resource default, lihat Mengonfigurasi setelan default untuk organisasi.

Melindungi log audit Anda dengan kunci enkripsi yang dikelola pelanggan

Secara default, Cloud Logging mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Organisasi Anda mungkin memiliki persyaratan enkripsi tingkat lanjut yang tidak disediakan oleh enkripsi dalam penyimpanan default. Untuk memenuhi persyaratan organisasi Anda, alih-alih Google yang mengelola kunci enkripsi kunci yang melindungi data Anda, konfigurasi kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengontrol dan mengelola enkripsi Anda sendiri.

Untuk mengetahui petunjuk tentang cara mengonfigurasi CMEK, lihat Mengonfigurasi CMEK untuk penyimpanan log.

Membuat kueri dan melihat log audit

Jika Anda perlu memecahkan masalah, kemampuan untuk melihat log dengan cepat adalah persyaratan. Di konsol Cloud de Confiance , gunakan Logs Explorer untuk mengambil entri log audit untuk organisasi Anda:

Di konsol Cloud de Confiance , buka halaman Logs Explorer:
Buka Logs Explorer

Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.
Pilih organisasi Anda.
Di panel Query, lakukan hal berikut:
- Di Jenis resource, pilih resource Cloud de Confiance yang log auditnya ingin Anda lihat.
- Di Log name, pilih jenis log audit yang ingin dilihat:
  - Untuk log audit Aktivitas Admin, pilih activity.
  - Untuk log audit Akses Data, pilih data_access.
  - Untuk log audit Peristiwa Sistem, pilih system_event.
  - Untuk log audit Kebijakan Ditolak, pilih policy.
  Jika Anda tidak melihat opsi ini, berarti tidak ada log audit dengan jenis tersebut yang tersedia di organisasi.
- Di editor kueri, tentukan lebih lanjut entri log audit yang ingin Anda lihat. Untuk contoh kueri umum, lihat Contoh kueri menggunakan Logs Explorer.
Klik Run query.

Untuk mengetahui informasi selengkapnya tentang pembuatan kueri menggunakan Logs Explorer, lihat Membangun kueri di Logs Explorer.

Merutekan log ke tujuan yang didukung

Organisasi Anda mungkin menghadapi persyaratan untuk membuat dan menyimpan log audit. Dengan menggunakan sink, Anda dapat merutekan beberapa atau semua log ke tujuan yang didukung berikut:

Pub/Sub

Bucket Cloud Logging lain

Tentukan apakah Anda memerlukan sink tingkat folder atau tingkat organisasi, dan arahkan log dari semua project Cloud de Confiance di dalam organisasi atau folder menggunakan sink gabungan. Misalnya, Anda dapat mempertimbangkan kasus penggunaan pemilihan rute berikut:

Sink level organisasi: Jika organisasi Anda menggunakan SIEM untuk mengelola beberapa log audit, Anda mungkin ingin merutekan semua log audit organisasi Anda. Oleh karena itu, sink tingkat organisasi sangat berguna.
Sink tingkat folder: Terkadang, Anda mungkin hanya ingin merutekan log audit departemen. Misalnya, jika Anda memiliki folder "Finance" dan folder "IT", Anda mungkin hanya ingin merutekan log audit yang termasuk dalam folder "Finance", atau sebaliknya.

Untuk mengetahui informasi selengkapnya tentang folder dan organisasi, lihat Hierarki resource.

Terapkan kebijakan akses yang sama ke Cloud de Confiance tujuan yang Anda gunakan untuk merutekan log seperti yang Anda terapkan ke Logs Explorer.

Untuk mengetahui petunjuk tentang cara membuat dan mengelola sink gabungan, lihat Menggabungkan dan merutekan log tingkat organisasi ke tujuan yang didukung.

Memahami format data di tujuan sink

Saat merutekan log audit ke tujuan di luar Cloud Logging, pahami format data yang telah dikirim.

Untuk memahami dan menemukan entri log yang Anda rutekan dari Cloud Logging ke tujuan yang didukung, lihat Melihat log di tujuan sink.