GCP - Logging Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ce service permet aux utilisateurs de stocker, rechercher, analyser, surveiller et alerter sur les données et événements de journalisation de GCP.
Cloud Logging est entièrement intégré avec d'autres services GCP, fournissant un référentiel centralisé pour les journaux de toutes vos ressources GCP. Il collecte automatiquement les journaux de divers services GCP comme App Engine, Compute Engine et Cloud Functions. Vous pouvez également utiliser Cloud Logging pour des applications fonctionnant sur site ou dans d'autres clouds en utilisant l'agent Cloud Logging ou l'API.
Fonctionnalités clés :
Centralisation des données de journalisation : Agréger les données de journalisation de diverses sources, offrant une vue d'ensemble de vos applications et infrastructures.
Gestion des journaux en temps réel : Diffuser les journaux en temps réel pour une analyse et une réponse immédiates.
Analyse de données puissante : Utiliser des capacités de filtrage et de recherche avancées pour trier rapidement de grands volumes de données de journalisation.
Intégration avec BigQuery : Exporter les journaux vers BigQuery pour une analyse et des requêtes détaillées.
Métriques basées sur les journaux : Créer des métriques personnalisées à partir de vos données de journalisation pour la surveillance et l'alerte.
Fondamentalement, les éviers et les métriques basées sur les journaux détermineront où un journal doit être stocké.
Cloud Logging est hautement configurable pour répondre à divers besoins opérationnels :
Seaux de journaux (Stockage des journaux sur le web) : Définir des seaux dans Cloud Logging pour gérer la conservation des journaux, offrant un contrôle sur la durée de conservation de vos entrées de journal.
Par défaut, les seaux _Default
et _Required
sont créés (l'un enregistre ce que l'autre n'enregistre pas).
_Required est :
La période de conservation des données est configurée par bucket et doit être d'au moins 1 jour. Cependant, la période de conservation de _Required est de 400 jours et ne peut pas être modifiée.
Notez que les Log Buckets ne sont pas visibles dans Cloud Storage.
Log Sinks (Routeur de logs dans le web) : Créez des sinks pour exporter des entrées de logs vers diverses destinations telles que Pub/Sub, BigQuery ou Cloud Storage en fonction d'un filtre.
Par défaut, des sinks pour les buckets _Default
et _Required
sont créés :
_Required logging.googleapis.com/projects//locations/global/buckets/_Required LOG_ID("cloudaudit.googleapis.com/activity") OR LOG_ID("externalaudit.googleapis.com/activity") OR LOG_ID("cloudaudit.googleapis.com/system_event") OR LOG_ID("externalaudit.googleapis.com/system_event") OR LOG_ID("cloudaudit.googleapis.com/access_transparency") OR LOG_ID("externalaudit.googleapis.com/access_transparency") _Default logging.googleapis.com/projects//locations/global/buckets/_Default NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT LOG_ID("externalaudit.googleapis.com/activity") AND NOT LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT LOG_ID("externalaudit.googleapis.com/system_event") AND NOT LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT LOG_ID("externalaudit.googleapis.com/access_transparency")
Par défaut, les opérations Admin Write (également appelées journaux d'audit d'activité admin) sont celles qui sont enregistrées (écrire des métadonnées ou des informations de configuration) et ne peuvent pas être désactivées.
Ensuite, l'utilisateur peut activer les journaux d'audit d'accès aux données, qui sont Admin Read, Data Write et Data Write.
Vous pouvez trouver plus d'informations sur chaque type de journal dans la documentation : https://cloud.google.com/iam/docs/audit-logging
Cependant, notez que cela signifie qu'en par défaut, les actions GetIamPolicy
et d'autres actions de lecture ne sont pas enregistrées. Donc, par défaut, un attaquant essayant d'énumérer l'environnement ne sera pas détecté si l'administrateur système n'a pas configuré la génération de journaux supplémentaires.
Pour activer plus de journaux dans la console, l'administrateur système doit se rendre sur https://console.cloud.google.com/iam-admin/audit et les activer. Il existe 2 options différentes :
Configuration par défaut : Il est possible de créer une configuration par défaut et d'enregistrer tous les journaux Admin Read et/ou Data Read et/ou Data Write et même d'ajouter des principaux exemptés :
Sélectionner les services : Ou simplement sélectionner les services pour lesquels vous souhaitez générer des journaux et le type de journaux ainsi que le principal exempté pour ce service spécifique.
Notez également qu'en par défaut, seuls ces journaux sont générés car la génération de journaux supplémentaires augmentera les coûts.
L'outil en ligne de commande gcloud
est une partie intégrante de l'écosystème GCP, vous permettant de gérer vos ressources et services. Voici comment vous pouvez utiliser gcloud
pour gérer vos configurations de journaux et accéder aux journaux.
Exemple pour vérifier les journaux de cloudresourcemanager
(celui utilisé pour BF permissions) : https://console.cloud.google.com/logs/query;query=protoPayload.serviceName%3D%22cloudresourcemanager.googleapis.com%22;summaryFields=:false:32:beginning;cursorTimestamp=2024-01-20T00:07:14.482809Z;startTime=2024-01-01T11:12:26.062Z;endTime=2024-02-02T17:12:26.062Z?authuser=2&project=digital-bonfire-410512
Il n'y a pas de journaux de testIamPermissions
:
Apprenez et pratiquez le Hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le Hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)