GCPAuditLogs
Журналы аудита Google Cloud Platform (GCP), полученные из соединителя Sentinel, позволяют собирать журналы аудита трех типов: журналы действий администратора, журналы доступа к данным и журналы прозрачности доступа. Журналы аудита облака Google записывают журналы, которые специалисты-практики могут использовать для мониторинга доступа и обнаружения потенциальных угроз в ресурсах Google Cloud Platform (GCP).
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AuthenticationInfo | Динамический | Сведения о проверке подлинности. |
| AuthorizationInfo | Динамический | Сведения об авторизации. Если задействовано несколько ресурсов или разрешений, для каждого кортежа {resource, permission} имеется один элемент AuthorizationInfo. |
| _BilledSize | real | Размер записи в байтах |
| GCPResourceName | строка | Ресурс или коллекция, которые являются целевым объектом операции. Имя является URI без схемы, не включая имя службы API. |
| GCPResourceType | строка | Идентификатор типа, связанного с этим ресурсом, например "pubsub_subscription". |
| InsertId | строка | Необязательный параметр. Предоставление уникального идентификатора для записи журнала позволяет ведению журнала удалять повторяющиеся записи с одной и той же меткой времени и insertId в одном результате запроса. |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| LogName | строка | Сведения, включая суффикс, определяющий подтип журнала (например, действия администратора, доступ к системе, доступ к данным) и место в иерархии запроса. |
| Метаданные | Динамический | Другие зависящие от службы данные о запросе, ответе и другие сведения, связанные с текущим событием аудита. |
| MethodName | строка | Имя метода или операции службы. Для вызовов API это должно быть имя метода API. |
| NumResponseItems | строка | Количество элементов, возвращаемых из списка или метода API запроса, если применимо. |
| PrincipalEmail | строка | Адрес электронной почты пользователя, прошедшего проверку подлинности (или учетной записи службы от имени стороннего субъекта), выполняющего запрос. Для сторонних вызывающих удостоверений вместо этого поля заполняется поле principalSubject. В целях конфиденциальности основной адрес электронной почты иногда отредактируется. |
| ProjectId | строка | Идентификатор проекта Google Cloud Platform (GCP), связанного с этим ресурсом, например my-project. |
| Запрос | Динамический | Запрос операции. Это может быть не все параметры запроса, например слишком большие, чувствительные к конфиденциальности или дублирующиеся в других местах записи журнала. Он никогда не должен включать данные, созданные пользователем, например содержимое файла. Если объект JSON, представленный здесь, имеет эквивалент proto, имя proto будет указано в свойстве @type . |
| RequestMetadata | Динамический | Метаданные об операции. |
| ResourceLocation | Динамический | Сведения о расположении ресурса. |
| ResourceOriginalState | Динамический | Исходное состояние ресурса перед изменением. Присутствует только для операций, которые успешно изменили целевые ресурсы. Как правило, это поле должно содержать все измененные поля, кроме тех, которые уже включены в поля запроса, ответа, метаданных или serviceData. Если объект JSON, представленный здесь, имеет эквивалент proto, имя proto будет указано в свойстве @type . |
| Ответ | Динамический | Ответ операции. Это может быть не все элементы ответа, например слишком большие, чувствительные к конфиденциальности или дублирующиеся в других местах записи журнала. Он никогда не должен включать данные, созданные пользователем, например содержимое файла. Если объект JSON, представленный здесь, имеет эквивалент proto, имя proto будет указано в свойстве @type . |
| ServiceData | Динамический | Объект , содержащий поля произвольного типа. Дополнительное поле "@type" содержит универсальный код ресурса (URI), определяющий тип . Пример: { "id": 1234, "@type": "types.example.com/standard/id" }. |
| ServiceName | строка | Имя службы API, выполняющей операцию. Например, "compute.googleapis.com". |
| Статус | строка | Необязательный параметр. Серьезность записи журнала. Например, следующее выражение фильтра будет сопоставлять записи журнала с серьезностью INFO, NOTICE и WARNING. |
| SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| Состояние | Динамический | Состояние общей операции. |
| StatusMessage | строка | Состояние сообщения общей операции. |
| Подписка | строка | Именованный ресурс, представляющий поток сообщений из одного определенного раздела, который будет доставлен в приложение подписки. |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | DATETIME | Время получения записи журнала при ведении журнала. |
| Отметка времени | DATETIME | Время возникновения события, описанного в записи журнала. |
| Тип | строка | Имя таблицы. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по