GCP - Stackdriver Enum

Stackdriver logging

Stackdriver को Google द्वारा प्रदान की गई एक व्यापक अवसंरचना लॉगिंग सूट के रूप में मान्यता प्राप्त है। इसमें संवेदनशील डेटा को कैप्चर करने की क्षमता है, जैसे कि syslog, जो Compute Instances के अंदर निष्पादित व्यक्तिगत कमांड की रिपोर्ट करता है। इसके अलावा, यह लोड बैलेंसर या App Engine अनुप्रयोगों को भेजे गए HTTP अनुरोधों, VPC संचार के भीतर नेटवर्क पैकेट मेटाडेटा, और अधिक की निगरानी करता है।

एक Compute Instance के लिए, संबंधित सेवा खाते को केवल WRITE अनुमतियों की आवश्यकता होती है ताकि इंस्टेंस गतिविधियों के लॉगिंग को सुगम बनाया जा सके। फिर भी, यह संभव है कि एक व्यवस्थापक अनजाने में सेवा खाते को READ और WRITE दोनों अनुमतियाँ प्रदान कर दे। ऐसे मामलों में, संवेदनशील जानकारी के लिए लॉग की जांच की जा सकती है।

इसको पूरा करने के लिए, gcloud logging उपयोगिता एक सेट उपकरण प्रदान करती है। प्रारंभ में, आपके वर्तमान प्रोजेक्ट में मौजूद लॉग के प्रकारों की पहचान करना अनुशंसित है।

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

संदर्भ

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/