1. はじめに
こんにちは!株式会社Definerの阪本です!
今回は、監査ログ(Audit Logs)を使ったGCPでの異常検知についてご紹介したいと思います。
今回は、監査ログ(Audit Logs)を使ったGCPでの異常検知についてご紹介したいと思います。
2. 目的・ユースケース
この記事では、監査ログ(Audit Logs)を使ってGCPで異常検知したいときに、参考になる情報やプラクティスをまとめています。
3. Google CloudのAudit Logsについて
GCPやAWS、Azureなどのクラウドプロバイダーは、監査ログを提供しています。
これは、アカウントで発生しているイベント(APIのコール履歴など)を詳細に記録しています。
Google CloudのAudit Logsには、4種類のログがあります。
・管理アクティビティ監査ログ
リソースの設定やメタデータを変更するAPI 呼び出しなどに関するログです。
例えば、ユーザーによるVM インスタンス作成やIAM(Identity and Access Management)権限の変更が記録されます。
このログは常に書き込まれ、無効化や編集はできません。
・データアクセス監査ログ
リソースの設定やメタデータを参照するAPI 呼び出しなどに関するログです。
このログはデータサイズが肥大化しコストになる可能性があるため、デフォルトではオフになっています。
・システムイベント監査ログ
Google Cloudがリソースの構成を変更するアクションが書き込まれます。
このログは常に書き込まれ、無効化や編集はできません。
・ポリシー拒否監査ログ
セキュリティポリシー違反によりGoogle Cloudによってユーザーまたはサービスアカウントへのアクセスが拒否された場合に記録されます。
このログはデフォルトで有効ですが、無効にすることもできます。
これは、アカウントで発生しているイベント(APIのコール履歴など)を詳細に記録しています。
Google CloudのAudit Logsには、4種類のログがあります。
・管理アクティビティ監査ログ
リソースの設定やメタデータを変更するAPI 呼び出しなどに関するログです。
例えば、ユーザーによるVM インスタンス作成やIAM(Identity and Access Management)権限の変更が記録されます。
このログは常に書き込まれ、無効化や編集はできません。
・データアクセス監査ログ
リソースの設定やメタデータを参照するAPI 呼び出しなどに関するログです。
このログはデータサイズが肥大化しコストになる可能性があるため、デフォルトではオフになっています。
・システムイベント監査ログ
Google Cloudがリソースの構成を変更するアクションが書き込まれます。
このログは常に書き込まれ、無効化や編集はできません。
・ポリシー拒否監査ログ
セキュリティポリシー違反によりGoogle Cloudによってユーザーまたはサービスアカウントへのアクセスが拒否された場合に記録されます。
このログはデフォルトで有効ですが、無効にすることもできます。
4. Audit Logsの監視設定
続いて、特定のAPIコールを監視する設定をしていきます。
①アラートの作成
Google Cloudにログインし、「ログエクスプローラー」へアクセスします。
特定のAPIコールをフィルタし、「アラートの作成」と進みます。
Notification Channelsで通知したいチャネルを選択し、「Save」をクリックします。
通知チャネルは、SlackやEmail、SMSやPub/Subなど多くの選択肢があります。
今回は、Emailを選択しました。
②通知の確認
該当のAPIをコールすると、Emailが受信できることが確認できました!
①アラートの作成
Google Cloudにログインし、「ログエクスプローラー」へアクセスします。
特定のAPIコールをフィルタし、「アラートの作成」と進みます。
Notification Channelsで通知したいチャネルを選択し、「Save」をクリックします。
通知チャネルは、SlackやEmail、SMSやPub/Subなど多くの選択肢があります。
今回は、Emailを選択しました。
②通知の確認
該当のAPIをコールすると、Emailが受信できることが確認できました!
5. 引用・参考記事
6. 独自ソリューション「PrismScaler」について
・ PrismScalerは、開発・運用を要さずにたった3ステップで、AWSやAzure、GCPなどのマルチクラウド基盤構築を実現するWebサービスです。
・ クラウド基盤にまつわる「自動構築」「自動監視」「問題検知」「構成可視化」などの効率化を実現し、クラウドエンジニア、SRE/DevOpsエンジニアが行う泥臭く大変な作業を肩代わりするソリューションです。
・ クラウド基盤構築/クラウド移行や、クラウドの保守運用・コスト最適化など幅広い利用シーンを想定しており、IaaSやPaaSを適切に組み合わせた数百を超える高品質な汎用クラウド基盤を容易に実現できます。
・ クラウド基盤にまつわる「自動構築」「自動監視」「問題検知」「構成可視化」などの効率化を実現し、クラウドエンジニア、SRE/DevOpsエンジニアが行う泥臭く大変な作業を肩代わりするソリューションです。
・ クラウド基盤構築/クラウド移行や、クラウドの保守運用・コスト最適化など幅広い利用シーンを想定しており、IaaSやPaaSを適切に組み合わせた数百を超える高品質な汎用クラウド基盤を容易に実現できます。
7. お問合せ
本記事では、入門編として有益な情報を無料公開しています。ご相談やお問い合わせは「株式会社Definer」へ。
8. Definerに関して。
・ Definer Incは、ITの上流から下流まで一気通貫のワンストップソリューションをご提供しております。
・ AIやクラウドのITインフラなど、先進的なIT技術のコンサルティングから要件定義 / 設計開発 / 実装、保守運用に至るまでの統合的な支援にコミットしています。
・ DevOpsとCI/CDコンサルティングにより「少ないエンジニアで事業が成長する仕組みづくり」「エンジニアが喜ぶ、採用しやすい環境づくり」「高速なアジャイル開発環境」を実現しています。
・ また、自社プロダクトとしてPrismScalerを展開しております。PrismScalerは、AWS、Azure、GCPなどのマルチクラウド / ITインフラの高品質かつ迅速な、「自動構築」「自動監視」「問題検知」「構成可視化」を実現します。
・ AIやクラウドのITインフラなど、先進的なIT技術のコンサルティングから要件定義 / 設計開発 / 実装、保守運用に至るまでの統合的な支援にコミットしています。
・ DevOpsとCI/CDコンサルティングにより「少ないエンジニアで事業が成長する仕組みづくり」「エンジニアが喜ぶ、採用しやすい環境づくり」「高速なアジャイル開発環境」を実現しています。
・ また、自社プロダクトとしてPrismScalerを展開しております。PrismScalerは、AWS、Azure、GCPなどのマルチクラウド / ITインフラの高品質かつ迅速な、「自動構築」「自動監視」「問題検知」「構成可視化」を実現します。