Dokumen ini merekomendasikan urutan tugas pencatatan audit untuk membantu organisasi Anda menjaga keamanan dan meminimalkan risiko.
Dokumen ini bukan daftar rekomendasi yang lengkap. Sebaliknya, tujuannya adalah untuk membantu Anda memahami cakupan aktivitas pencatatan audit dan merencanakan sesuai dengan itu.
Setiap bagian memberikan tindakan utama dan menyertakan link untuk bacaan lebih lanjut.
Memahami Cloud Audit Logs
Log audit tersedia untuk sebagian besar layanan Trusted Cloud . Cloud Audit Logs menyediakan jenis log audit berikut untuk setiapTrusted Cloud project, akun penagihan, folder, dan organisasi:
| Jenis log audit | Dapat Dikonfigurasi | Dapat dikenakan biaya |
|---|---|---|
| Log audit Aktivitas Admin | Tidak; selalu ditulis | Tidak |
| Log audit Akses Data | Ya | Ya |
| Log audit Kebijakan Ditolak | Ya; Anda dapat mengecualikan log ini agar tidak ditulis ke bucket log | Ya |
| Log audit Peristiwa Sistem | Tidak; selalu ditulis | Tidak |
Log audit Akses Data—kecuali untuk BigQuery—dinonaktifkan secara default. Jika Anda ingin log audit Akses Data ditulis untuk layanan Trusted Cloud, Anda harus mengaktifkannya secara eksplisit; untuk mengetahui detailnya, lihat Mengonfigurasi log audit Akses Data di halaman ini.
Untuk mengetahui informasi tentang lanskap keseluruhan untuk pencatatan log audit dengan Trusted Cloud, lihat Ringkasan Cloud Audit Logs.
Mengontrol akses ke log
Karena sensitivitas data pencatatan audit, sangat penting untuk mengonfigurasi kontrol akses yang sesuai bagi pengguna organisasi Anda.
Bergantung pada persyaratan kepatuhan dan penggunaan Anda, tetapkan kontrol akses ini sebagai berikut:
- Tetapkan izin IAM
- Mengonfigurasi tampilan log
- Menetapkan kontrol akses tingkat kolom entri log
Menetapkan izin IAM
Izin dan peran IAM menentukan kemampuan pengguna untuk mengakses data log audit di Logging API, Logs Explorer, dan Google Cloud CLI. Gunakan IAM untuk memberikan akses terperinci ke bucketTrusted Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain.
Peran berbasis izin yang Anda berikan kepada pengguna bergantung pada fungsi terkait audit mereka dalam organisasi Anda. Misalnya, Anda dapat memberikan izin administratif yang luas kepada CTO, sedangkan anggota tim developer mungkin memerlukan izin untuk melihat log. Untuk mendapatkan panduan tentang peran yang harus diberikan kepada pengguna organisasi Anda, lihat mengonfigurasi peran untuk pencatatan audit.
Saat menyetel izin IAM, terapkan prinsip keamanan dengan hak istimewa terendah, sehingga Anda hanya memberikan akses yang diperlukan kepada pengguna ke resource Anda:
- Hapus semua pengguna yang tidak penting.
- Berikan izin yang benar dan minimal kepada pengguna penting.
Untuk mengetahui petunjuk tentang cara menetapkan izin IAM, lihat Mengelola akses ke project, folder, dan organisasi.
Mengonfigurasi tampilan log
Semua log, termasuk log audit, yang diterima oleh Logging ditulis ke dalam container penyimpanan yang disebut bucket log. Tampilan log memungkinkan Anda mengontrol siapa yang memiliki akses ke log dalam bucket log Anda.
Karena bucket log dapat berisi log dari beberapa Trusted Cloud project, Anda mungkin perlu mengontrol project mana yang dapat dilihat lognya oleh pengguna yang berbeda. Trusted Cloud Buat tampilan log kustom, yang memberi Anda kontrol akses yang lebih terperinci untuk bucket tersebut.
Untuk mengetahui petunjuk tentang cara membuat dan mengelola tampilan log, lihat Mengonfigurasi tampilan log di bucket log.
Menetapkan kontrol akses tingkat kolom log
Kontrol akses tingkat kolom memungkinkan Anda menyembunyikan kolom LogEntry individual dari pengguna
project Trusted Cloud , sehingga memberi Anda cara yang lebih terperinci untuk mengontrol data
log yang dapat diakses pengguna. Dibandingkan dengan tampilan log, yang menyembunyikan
seluruh LogEntry, kontrol akses tingkat kolom menyembunyikan kolom individual dari
LogEntry. Misalnya, Anda mungkin ingin menyamarkan PII pengguna eksternal, seperti
alamat email yang ada dalam payload entri log, dari sebagian besar pengguna
organisasi Anda.
Untuk mengetahui petunjuk tentang cara mengonfigurasi kontrol akses tingkat kolom, lihat Mengonfigurasi akses tingkat kolom.
Mengonfigurasi log audit Akses Data
Saat mengaktifkan layanan Trusted Cloud baru, evaluasi apakah akan mengaktifkan log audit Akses Data atau tidak.
Log audit Akses Data membantu Dukungan Google memecahkan masalah pada akun Anda. Oleh karena itu, sebaiknya aktifkan log audit Akses Data jika memungkinkan.
Untuk mengaktifkan semua log audit untuk semua layanan, ikuti petunjuk untuk memperbarui kebijakan Identity and Access Management (IAM) dengan konfigurasi yang tercantum dalam kebijakan audit.
Setelah menentukan kebijakan akses data tingkat organisasi dan mengaktifkan log audit Akses Data, gunakan project Trusted Cloud pengujian untuk memvalidasi konfigurasi pengumpulan log audit Anda sebelum membuat project Trusted Cloud developer dan produksi di organisasi.
Untuk melihat petunjuk cara mengaktifkan log audit Akses Data, lihat Mengaktifkan log audit Akses Data.
Mengontrol cara log Anda disimpan
Anda dapat mengonfigurasi aspek bucket organisasi Anda dan juga membuat bucket yang ditentukan pengguna untuk memusatkan atau membagi penyimpanan log Anda. Bergantung pada persyaratan kepatuhan dan penggunaan, Anda dapat menyesuaikan penyimpanan log sebagai berikut:
- Pilih tempat penyimpanan log Anda.
- Lindungi log Anda dengan kunci enkripsi yang dikelola pelanggan (CMEK).
Pilih lokasi penyimpanan log Anda
Bucket Logging adalah resource regional: infrastruktur yang menyimpan, mengindeks, dan menelusuri log Anda berada di lokasi geografis tertentu.
Organisasi Anda mungkin diwajibkan untuk menyimpan data log-nya di region tertentu. Faktor utama dalam memilih region tempat log Anda disimpan mencakup memenuhi persyaratan latensi, ketersediaan, atau kepatuhan organisasi Anda.
Untuk otomatis menerapkan region penyimpanan tertentu ke bucket _Default dan _Required baru yang dibuat di organisasi Anda, Anda dapat mengonfigurasi lokasi resource default.
Untuk mengetahui petunjuk tentang cara mengonfigurasi lokasi resource default, lihat Mengonfigurasi setelan default untuk organisasi.
Melindungi log audit Anda dengan kunci enkripsi yang dikelola pelanggan
Secara default, Cloud Logging mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Organisasi Anda mungkin memiliki persyaratan enkripsi tingkat lanjut yang tidak disediakan oleh enkripsi dalam penyimpanan default. Untuk memenuhi persyaratan organisasi Anda, alih-alih Google yang mengelola kunci enkripsi kunci yang melindungi data Anda, konfigurasi kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengontrol dan mengelola enkripsi Anda sendiri.
Untuk mengetahui petunjuk tentang cara mengonfigurasi CMEK, lihat Mengonfigurasi CMEK untuk penyimpanan log.
Membuat kueri dan melihat log audit
Jika Anda perlu memecahkan masalah, kemampuan untuk melihat log dengan cepat adalah persyaratan. Di konsol Trusted Cloud , gunakan Logs Explorer untuk mengambil entri log audit untuk organisasi Anda:
-
Di konsol Trusted Cloud , buka halaman Logs Explorer:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.
Pilih organisasi Anda.
Di panel Query, lakukan hal berikut:
Di Jenis resource, pilih resource Trusted Cloud yang log auditnya ingin Anda lihat.
Di Log name, pilih jenis log audit yang ingin dilihat:
- Untuk log audit Aktivitas Admin, pilih activity.
- Untuk log audit Akses Data, pilih data_access.
- Untuk log audit Peristiwa Sistem, pilih system_event.
- Untuk log audit Kebijakan Ditolak, pilih policy.
Jika Anda tidak melihat opsi ini, berarti tidak ada log audit dengan jenis tersebut yang tersedia di organisasi.
Di editor kueri, tentukan lebih lanjut entri log audit yang ingin Anda lihat. Untuk mengetahui contoh kueri umum, lihat Contoh kueri menggunakan Logs Explorer.
Klik Run query.
Untuk mengetahui informasi selengkapnya tentang pembuatan kueri menggunakan Logs Explorer, lihat Membangun kueri di Logs Explorer.
Merutekan log ke tujuan yang didukung
Organisasi Anda mungkin menghadapi persyaratan untuk membuat dan menyimpan log audit. Dengan menggunakan sink, Anda dapat merutekan beberapa atau semua log ke tujuan yang didukung berikut:
- Bucket Cloud Logging lain
Tentukan apakah Anda memerlukan sink tingkat folder atau tingkat organisasi, dan arahkan log dari semua project Trusted Cloud di dalam organisasi atau folder menggunakan sink gabungan. Misalnya, Anda dapat mempertimbangkan kasus penggunaan pemilihan rute berikut:
Sink level organisasi: Jika organisasi Anda menggunakan SIEM untuk mengelola beberapa log audit, Anda mungkin ingin merutekan semua log audit organisasi Anda. Oleh karena itu, sink tingkat organisasi sangat berguna.
Sink tingkat folder: Terkadang, Anda mungkin hanya ingin merutekan log audit departemen. Misalnya, jika Anda memiliki folder "Finance" dan folder "IT", Anda mungkin hanya ingin merutekan log audit yang termasuk dalam folder "Finance", atau sebaliknya.
Untuk mengetahui informasi selengkapnya tentang folder dan organisasi, lihat Hierarki resource.
Terapkan kebijakan akses yang sama ke Trusted Cloud tujuan yang Anda gunakan untuk merutekan log seperti yang Anda terapkan ke Logs Explorer.
Untuk mengetahui petunjuk tentang cara membuat dan mengelola sink gabungan, lihat Menggabungkan dan merutekan log tingkat organisasi ke tujuan yang didukung.
Memahami format data di tujuan sink
Saat merutekan log audit ke tujuan di luar Cloud Logging, pahami format data yang telah dikirim.
Untuk memahami dan menemukan entri log yang Anda rutekan dari Cloud Logging ke tujuan yang didukung, lihat Melihat log di tujuan sink.