目前我想進行監控以了解在 gcloud 級別執行的人員和內容,例如了解是否有人執行:
gcloud iam service-accounts list.
目標是在攻擊者或其他人設法進入并知道服務帳戶串列的情況下進行控制。目標是能夠通過 Logs Explorer 將其可視化,然后向 SIEM 發送 Sink。
這能做到嗎?
uj5u.com熱心網友回復:
每次有人(或某事……例如 Terraform)對您的 GCP 環境進行更改或執行某些敏感訪問時,審核記錄都會自動記錄并且是不可變的。這意味著它們不能被洗掉或以其他方式隱藏。這些審核記錄會寫入 GCP Cloud Logging,并且可以使用 Cloud Logging 資源管理器工具進行查看/審核。如果需要,您還可以設定警報或其他觸發器,如果??檢測到某些日志記錄(審計活動),它們會自動觸發。可以在此處找到 GCP 審核日志的完整檔案:
https://cloud.google.com/logging/docs/audit
與其嘗試重復這些資訊,不如讓我鼓勵您深入查看該文章。
對于關于 的具體問題gcloud,它有助于意識到GCP中的一切都是通過 API 發生的。這意味著當您gcloud(在任何地方)執行命令時,會導致執行任務的 API 請求被發送到 GCP。GCP 正是在這里將審計記錄寫入日志。
至于將寫入 Cloud Logging 的審計跟蹤下沉到 SIEM,這絕對是可能的。我的建議是將整個謎題分成幾部分。對于第 1 部分,向自己證明您關心的審核記錄正在寫入 Cloud Logging……而對于第 2 部分,向自己證明任何和所有 Cloud Logging 記錄都可以(使用過濾器)從 Cloud Logging 匯出到外部 SIEM 或 GCP Cloud Storage 以進行長期存盤。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/331878.html
上一篇:在bash中將資料通過管道傳輸到命令時,其他行程可以窺探資料嗎?
下一篇:計算購物車中的總價格