次の方法で共有


GCPAuditLogs

Sentinel のコネクタから取り込まれた Google Cloud Platform (GCP) 監査ログを使用すると、管理者アクティビティ ログ、データ アクセス ログ、アクセス透過性ログの 3 種類の監査ログをキャプチャできます。 Google クラウド監査ログには、実践者がアクセスを監視し、Google Cloud Platform (GCP) リソース全体の潜在的な脅威を検出するために使用できる証跡が記録されています。

テーブル属性

属性 Value
リソースの種類 -
Categories (カテゴリ) セキュリティ
ソリューション SecurityInsights
基本的なログ いいえ
インジェスト時間変換 はい
サンプル クエリ はい

タイプ 説明
AuthenticationInfo 動的 認証情報です。
AuthorizationInfo 動的 承認情報。 複数のリソースまたはアクセス許可が関係する場合は、{resource, permission} タプルごとに 1 つの AuthorizationInfo 要素があります。
_BilledSize real レコード サイズ (バイト単位)
GCPResourceName string 操作のターゲットであるリソースまたはコレクション。 名前はスキームのない URI であり、API サービス名は含まれません。
GCPResourceType string "pubsub_subscription" など、このリソースに関連付けられている型の識別子。
InsertId string 省略可能。 ログ エントリに一意の識別子を指定すると、1 つのクエリ結果で同じタイムスタンプと insertId を持つ重複するエントリを削除できます。
_IsBillable string データ インジェストが課金対象かどうかを指定します。 _IsBillable false インジェストが Azure アカウントに課金されない場合
LogName string ログのサブタイプ (管理者アクティビティ、システム アクセス、データ アクセスなど) と、要求が行われた階層内の場所を識別するサフィックスを含む情報。
Metadata 動的 現在の監査イベントに関連付けられている要求、応答、およびその他の情報に関するサービス固有のその他のデータ。
MethodName string サービス メソッドまたは操作の名前。 API 呼び出しの場合、これは API メソッドの名前である必要があります。
NumResponseItems string リストまたはクエリ API メソッドから返される項目の数 (該当する場合)。
PrincipalEmail string 要求を行う認証されたユーザー (またはサード パーティプリンシパルの代理としてのサービス アカウント) の電子メール アドレス。 サード パーティの ID 呼び出し元の場合、このフィールドの代わりに principalSubject フィールドが設定されます。 プライバシー上の理由から、プリンシパルのメール アドレスが編集されることがあります。
ProjectId string このリソースに関連付けられている Google Cloud Platform (GCP) プロジェクトの識別子 ("my-project" など)。
要求 動的 操作要求。 これには、大きすぎる要求パラメーター、プライバシーに依存する要求パラメーター、またはログ レコード内の他の場所で重複している要求パラメーターが含まれていない場合があります。 ファイルの内容など、ユーザーが生成したデータを含めてはなりません。 ここで表される JSON オブジェクトに同等の proto がある場合、proto 名は @type プロパティに示されます。
RequestMetadata 動的 操作に関するメタデータ。
ResourceLocation 動的 リソースの場所の情報。
ResourceOriginalState 動的 変更前のリソースの元の状態。 ターゲット リソースが正常に変更された操作にのみ表示されます。 一般に、このフィールドには、要求、応答、メタデータ、または serviceData フィールドに既に含まれているフィールドを除き、変更されたすべてのフィールドを含める必要があります。 ここで表される JSON オブジェクトに同等の proto がある場合、proto 名は @type プロパティに示されます。
回答 動的 操作の応答。 これには、大きすぎる、プライバシーに依存する、またはログ レコード内の別の場所で重複している応答要素など、すべての応答要素が含まれているとは限りません。 ファイルの内容など、ユーザーが生成したデータを含めてはなりません。 ここで表される JSON オブジェクトに同等の proto がある場合、proto 名は @type プロパティに示されます。
ServiceData 動的 任意の型のフィールドを含むオブジェクト。 追加のフィールド "@type" には、型を識別する URI が含まれています。 例: { "id": 1234, "@type": "types.example.com/standard/id" }.
ServiceName string 操作を実行する API サービスの名前。 たとえば、"compute.googleapis.com" です。
重要度 string 省略可能。 ログ エントリの重大度。 たとえば、次のフィルター式は、ログ エントリと重大度 INFO、NOTICE、および WARNING と一致します。
SourceSystem string イベントが収集されたエージェントの種類。 たとえば、Windows エージェントの OpsManager 、直接接続または Operations Manager、すべての Linux エージェントの Linux 、Azure Diagnostics の Azure などです。
状態 動的 操作全体の状態。
StatusMessage string 操作全体のメッセージの状態。
サブスクリプション string サブスクライブしているアプリケーションに配信される 1 つの特定のトピックからのメッセージのストリームを表す名前付きリソース。
TenantId string Log Analytics ワークスペース ID
TimeGenerated datetime ログ記録によってログ エントリが受信された時刻。
Timestamp datetime ログ エントリによって記述されたイベントが発生した時刻。
種類 string テーブルの名前