Sentinel のコネクタから取り込まれた Google Cloud Platform (GCP) 監査ログを使用すると、管理者アクティビティ ログ、データ アクセス ログ、アクセス透過性ログの 3 種類の監査ログをキャプチャできます。 Google クラウド監査ログには、実践者がアクセスを監視し、Google Cloud Platform (GCP) リソース全体の潜在的な脅威を検出するために使用できる証跡が記録されています。
テーブル属性
| 属性 |
値 |
| リソースの種類 |
- |
| Categories (カテゴリ) |
セキュリティ |
| ソリューション |
SecurityInsights |
| 基本的なログ |
いいえ |
| データ取り込み時間変換 |
はい |
| サンプル クエリ |
はい |
列
| 列 |
タイプ |
説明 |
| AuthenticationInfo |
ダイナミック |
認証情報です。 |
| 認証情報 |
ダイナミック |
承認情報。 複数のリソースまたはアクセス許可が関係する場合は、{resource, permission} タプルごとに 1 つの AuthorizationInfo 要素があります。 |
| _BilledSize |
real |
レコード サイズ (バイト単位) |
| GCPリソースネーム |
ひも |
操作のターゲットであるリソースまたはコレクション。 名前はスキームのない URI であり、API サービス名は含まれません。 |
| GCPResourceType (GCPリソースタイプ) |
ひも |
"pubsub_subscription" など、このリソースに関連付けられている型の識別子。 |
| InsertId |
ひも |
オプション。 ログ エントリに一意の識別子を指定すると、1 つのクエリ結果で同じタイムスタンプと insertId を持つ重複するエントリを削除できます。 |
| _IsBillable |
ひも |
データの取り込みが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| LogName |
ひも |
ログのサブタイプ (管理者アクティビティ、システム アクセス、データ アクセスなど) と、要求が行われた階層内の場所を識別するサフィックスを含む情報。 |
| メタデータ |
ダイナミック |
現在の監査イベントに関連付けられている要求、応答、およびその他の情報に関するサービス固有のその他のデータ。 |
| MethodName |
ひも |
サービス メソッドまたは操作の名前。 API 呼び出しの場合、これは API メソッドの名前である必要があります。 |
| NumResponseItems |
ひも |
リストまたはクエリ API メソッドから返される項目の数 (該当する場合)。 |
| 校長メール |
ひも |
要求を行う認証されたユーザー (またはサード パーティプリンシパルの代理としてのサービス アカウント) の電子メール アドレス。 サード パーティの ID 呼び出し元の場合、このフィールドの代わりに principalSubject フィールドが設定されます。 プライバシー上の理由から、プリンシパルのメール アドレスが編集されることがあります。 |
| ProjectId |
ひも |
このリソースに関連付けられている Google Cloud Platform (GCP) プロジェクトの識別子 ("my-project" など)。 |
| リクエスト |
ダイナミック |
操作要求。 これには、大きすぎる要求パラメーター、プライバシーに依存する要求パラメーター、またはログ レコード内の他の場所で重複している要求パラメーターが含まれていない場合があります。 ファイルの内容など、ユーザーが生成したデータを含めてはなりません。 ここで表される JSON オブジェクトに同等の proto がある場合、proto 名は @type プロパティに示されます。 |
| RequestMetadata |
ダイナミック |
操作に関するメタデータ。 |
| ResourceLocation |
ダイナミック |
リソースの場所の情報。 |
| リソース初期状態 |
ダイナミック |
変更前のリソースの元の状態。 ターゲット リソースが正常に変更された操作にのみ表示されます。 一般に、このフィールドには、要求、応答、メタデータ、または serviceData フィールドに既に含まれているフィールドを除き、変更されたすべてのフィールドを含める必要があります。 ここで表される JSON オブジェクトに同等の proto がある場合、proto 名は @type プロパティに示されます。 |
| 回答 |
ダイナミック |
操作の応答。 これには、大きすぎる、プライバシーに依存する、またはログ レコード内の別の場所で重複している応答要素など、すべての応答要素が含まれているとは限りません。 ファイルの内容など、ユーザーが生成したデータを含めてはなりません。 ここで表される JSON オブジェクトに同等の proto がある場合、proto 名は @type プロパティに示されます。 |
| サービスデータ |
ダイナミック |
任意の型のフィールドを含むオブジェクト。 追加のフィールド "@type" には、型を識別する URI が含まれています。 例: { "id": 1234, "@type": "types.example.com/standard/id" }. |
| サービス名 |
ひも |
操作を実行する API サービスの名前。 たとえば、"compute.googleapis.com" です。 |
| 深刻さ |
ひも |
オプション。 ログ エントリの重大度。 たとえば、次のフィルター式は、重大度「INFO」、「NOTICE」、および「WARNING」のログ エントリと一致する場合があります。 |
| SourceSystem |
ひも |
イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| ステータス |
ダイナミック |
全体的な操作の状態。 |
| ステータスメッセージ |
ひも |
操作全体のメッセージの状態。 |
| サブスクリプション |
ひも |
サブスクライブしているアプリケーションに配信される 1 つの特定のトピックからのメッセージのストリームを表す名前付きリソース。 |
| テナント識別子 |
ひも |
Log Analytics ワークスペース ID |
| タイムジェネレーテッド |
datetime |
ログによってログ エントリが受信された時刻。 |
| タイムスタンプ |
datetime |
ログ エントリによって記述されたイベントが発生した時刻。 |
| タイプ |
ひも |
テーブルの名前 |