Compartir a través de


GCPAuditLogs

Los registros de auditoría de Google Cloud Platform (GCP), ingeridos desde el conector de Sentinel, le permiten capturar tres tipos de registros de auditoría: registros de actividad de administración, registros de acceso a datos y registros de transparencia de acceso. Los registros de auditoría en la nube de Google registran un rastro que los profesionales pueden usar para supervisar el acceso y detectar posibles amenazas en los recursos de Google Cloud Platform (GCP).

Atributos de tabla

Attribute Valor
Tipos de recursos -
Categorías Seguridad
Soluciones Información de seguridad
Registro básico No
Transformación en tiempo de ingesta
Consultas de ejemplo

Columnas

Columna Type Descripción
AuthenticationInfo dinámico Información de autenticación.
AuthorizationInfo dinámico Información de autorización. Si hay varios recursos o permisos implicados, hay un elemento AuthorizationInfo para cada tupla {resource, permission}.
_BilledSize real Tamaño del registro en bytes
GCPResourceName string Recurso o colección que es el destino de la operación. El nombre es un URI sin esquema, no incluido el nombre del servicio de API.
GCPResourceType string Identificador del tipo asociado a este recurso, como "pubsub_subscription".
InsertId string Opcional. Proporcionar un identificador único para la entrada de registro permite que el registro quite entradas duplicadas con la misma marca de tiempo e insertId en un único resultado de consulta.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
LogName string Información que incluye un sufijo que identifica el subtipo de registro (por ejemplo, actividad de administración, acceso al sistema, acceso a datos) y dónde se realizó la solicitud en la jerarquía.
Metadatos dinámico Otros datos específicos del servicio sobre la solicitud, la respuesta y otra información asociada al evento auditado actual.
MethodName string Nombre del método de servicio o la operación. En el caso de las llamadas API, debe ser el nombre del método de API.
NumResponseItems string Número de elementos devueltos desde un método de API de lista o consulta, si procede.
PrincipalEmail string Dirección de correo electrónico del usuario autenticado (o cuenta de servicio en nombre de la entidad de seguridad de terceros) que realiza la solicitud. En el caso de los autores de llamadas de identidad de terceros, el campo principalSubject se rellena en lugar de este campo. Por motivos de privacidad, la dirección de correo electrónico principal a veces se redacta.
ProjectId string Identificador del proyecto de Google Cloud Platform (GCP) asociado a este recurso, como "my-project".
Solicitar dinámico Solicitud de operación. Esto puede no incluir todos los parámetros de solicitud, como aquellos que son demasiado grandes, confidenciales a la privacidad o duplicados en otro lugar del registro. Nunca debe incluir datos generados por el usuario, como el contenido del archivo. Cuando el objeto JSON representado aquí tiene un proto equivalente, el nombre del prototipo se indicará en la @type propiedad .
RequestMetadata dinámico Metadatos sobre la operación.
ResourceLocation dinámico Información de ubicación del recurso.
ResourceOriginalState dinámico Estado original del recurso antes de la mutación. Presente solo para las operaciones que han modificado correctamente los recursos de destino. En general, este campo debe contener todos los campos modificados, excepto los que ya se han incluido en los campos request, response, metadata o serviceData. Cuando el objeto JSON representado aquí tiene un proto equivalente, el nombre del prototipo se indicará en la @type propiedad .
Respuesta dinámico Respuesta de la operación. Esto puede no incluir todos los elementos de respuesta, como aquellos que son demasiado grandes, confidenciales a la privacidad o duplicados en otro lugar del registro. Nunca debe incluir datos generados por el usuario, como el contenido del archivo. Cuando el objeto JSON representado aquí tiene un proto equivalente, el nombre del prototipo se indicará en la @type propiedad .
ServiceData dinámico Objeto que contiene campos de un tipo arbitrario. Un campo adicional "@type" contiene un URI que identifica el tipo. Ejemplo: { "id": 1234, "@type": "types.example.com/standard/id" }.
Nombre del servicio string Nombre del servicio de API que realiza la operación. Por ejemplo, "compute.googleapis.com".
Gravedad string Opcional. Gravedad de la entrada de registro. Por ejemplo, la siguiente expresión de filtro coincidirá con entradas de registro con gravedades INFO, NOTICE y WARNING.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
Estado dinámico Estado de la operación general.
StatusMessage string Estado del mensaje de la operación general.
Subscription string Un recurso con nombre que representa el flujo de mensajes de un único tema específico que se va a entregar a la aplicación de suscripción.
TenantId string Id. del área de trabajo de Log Analytics
TimeGenerated datetime Hora en que el registro recibió la entrada del registro.
Marca de tiempo datetime Hora en que se produjo el evento descrito por la entrada del registro.
Tipo string Nombre de la tabla.