security - 如何在日志级别监控 gcp 中执行的命令行?
问题描述
目前我想进行监控以了解在 gcloud 级别执行的人员和内容,例如了解是否有人执行:
gcloud iam service-accounts list
.
目标是在攻击者或其他人设法进入并知道服务帐户列表的情况下进行控制。目标是能够通过 Logs Explorer 对其进行可视化,然后对 SIEM 进行 Sink。
这可以做到吗?
解决方案
每次有人(或某物……例如 Terraform)对您的 GCP 环境进行更改或执行一些敏感访问时,审计记录都会自动记录并且是不可变的。这意味着它们不能被删除或以其他方式隐藏。这些审核记录会写入 GCP Cloud Logging,并且可以使用 Cloud Logging 浏览器工具进行查看/审核。如果需要,您还可以设置在检测到某些日志记录(审计活动)时自动触发的警报或其他触发器。GCP 审核日志的完整文档可在此处找到:
https://cloud.google.com/logging/docs/audit
与其尝试重复该信息,不如鼓励您深入查看该文章。
对于关于 的具体问题gcloud
,有助于认识到GCP中的一切都是通过 API 发生的。这意味着当您gcloud
(在任何地方)执行命令时,会导致 API 请求执行被发送到 GCP 的任务。GCP 在这里将审计记录写入日志。
就将写入 Cloud Logging 的审计跟踪下沉到 SIEM 而言,这绝对是可能的。我的建议是将整个谜题分成几部分。对于第 1 部分,向自己证明您关心的审核记录正在写入 Cloud Logging ... 对于第 2 部分,向自己证明可以(使用过滤器)将所有 Cloud Logging 记录从 Cloud Logging 导出到外部 SIEM 或 GCP 云存储进行长期存储。
推荐阅读
- frontend - 如何在 OpenCart 3.x 最新版本中安装主题,因为它没有显示标题和产品页面
- sql - 字符串和变量 SQL 的连接
- android - 如何在不同的视图模型中重用 DatePickerDialog?
- api - 在 Python 中验证 Google API 请求令牌
- r - R Shiny:如何根据带有 tagQuery() 的复选框的值更改按钮的颜色?
- javascript - 如何降低选择下拉框的高度
- excel - 基于列标题和单元格值的 Excel 条件格式
- integer - 如何检查十进制数是否在 unsigned int 32 范围内?
- html - 在css html中将菜单(导航区域)移动到左侧
- c++ - conanfile.py、conanfile.txt、conanprofile和settings.yml有什么区别?