GCP - Logging Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ta usługa pozwala użytkownikom na przechowywanie, wyszukiwanie, analizowanie, monitorowanie i alertowanie na podstawie danych i zdarzeń logów z GCP.
Cloud Logging jest w pełni zintegrowany z innymi usługami GCP, zapewniając scentralizowane repozytorium dla logów ze wszystkich zasobów GCP. Automatycznie zbiera logi z różnych usług GCP takich jak App Engine, Compute Engine i Cloud Functions. Możesz również używać Cloud Logging dla aplikacji działających lokalnie lub w innych chmurach, korzystając z agenta Cloud Logging lub API.
Kluczowe funkcje:
Centralizacja danych logów: Agreguj dane logów z różnych źródeł, oferując całościowy widok na swoje aplikacje i infrastrukturę.
Zarządzanie logami w czasie rzeczywistym: Strumieniuj logi w czasie rzeczywistym dla natychmiastowej analizy i reakcji.
Potężna analiza danych: Użyj zaawansowanych możliwości filtrowania i wyszukiwania, aby szybko przeszukiwać duże ilości danych logów.
Integracja z BigQuery: Eksportuj logi do BigQuery w celu szczegółowej analizy i zapytań.
Metryki oparte na logach: Twórz niestandardowe metryki z danych logów do monitorowania i alertowania.
Zasadniczo zlewy i metryki oparte na logach określają, gdzie log powinien być przechowywany.
Cloud Logging jest wysoce konfigurowalny, aby dostosować się do różnych potrzeb operacyjnych:
Kosze logów (Przechowywanie logów w sieci): Zdefiniuj kosze w Cloud Logging, aby zarządzać retencją logów, zapewniając kontrolę nad tym, jak długo Twoje wpisy logów są przechowywane.
Domyślnie tworzone są kosze _Default
i _Required
(jeden rejestruje to, co drugi nie).
_Required to:
Okres przechowywania danych jest konfigurowany dla każdego koszyka i musi wynosić co najmniej 1 dzień. Jednak okres przechowywania _Required wynosi 400 dni i nie może być modyfikowany.
Zauważ, że Koszyki Dzienników są niewidoczne w Cloud Storage.
Skrzynki Dzienników (Router dzienników w sieci): Twórz skrzynki, aby eksportować wpisy dzienników do różnych miejsc docelowych, takich jak Pub/Sub, BigQuery lub Cloud Storage na podstawie filtru.
Domyślnie skrzynki dla koszyków _Default
i _Required
są tworzone:
_Required logging.googleapis.com/projects//locations/global/buckets/_Required LOG_ID("cloudaudit.googleapis.com/activity") OR LOG_ID("externalaudit.googleapis.com/activity") OR LOG_ID("cloudaudit.googleapis.com/system_event") OR LOG_ID("externalaudit.googleapis.com/system_event") OR LOG_ID("cloudaudit.googleapis.com/access_transparency") OR LOG_ID("externalaudit.googleapis.com/access_transparency") _Default logging.googleapis.com/projects//locations/global/buckets/_Default NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT LOG_ID("externalaudit.googleapis.com/activity") AND NOT LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT LOG_ID("externalaudit.googleapis.com/system_event") AND NOT LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT LOG_ID("externalaudit.googleapis.com/access_transparency")
Domyślnie operacje Admin Write (znane również jako logi audytowe aktywności administratora) są tymi, które są rejestrowane (zapisują metadane lub informacje konfiguracyjne) i nie mogą być wyłączone.
Następnie użytkownik może włączyć logi audytowe dostępu do danych, które obejmują Admin Read, Data Write i Data Write.
Więcej informacji na temat każdego typu logu można znaleźć w dokumentacji: https://cloud.google.com/iam/docs/audit-logging
Należy jednak zauważyć, że oznacza to, iż domyślnie działania GetIamPolicy
i inne działania odczytu nie są rejestrowane. Tak więc, domyślnie atakujący próbujący zenumerować środowisko nie zostanie złapany, jeśli administrator systemu nie skonfigurował generowania większej liczby logów.
Aby włączyć więcej logów w konsoli, administrator systemu musi przejść do https://console.cloud.google.com/iam-admin/audit i je włączyć. Istnieją 2 różne opcje:
Domyślna konfiguracja: Możliwe jest utworzenie domyślnej konfiguracji i rejestrowanie wszystkich logów Admin Read i/lub Data Read i/lub Data Write oraz dodanie zwolnionych podmiotów:
Wybierz usługi: Lub po prostu wybierz usługi, dla których chcesz generować logi oraz typ logów i zwolniony podmiot dla tej konkretnej usługi.
Należy również zauważyć, że domyślnie generowane są tylko te logi, ponieważ generowanie większej liczby logów zwiększy koszty.
Narzędzie wiersza poleceń gcloud
jest integralną częścią ekosystemu GCP, umożliwiając zarządzanie zasobami i usługami. Oto jak możesz użyć gcloud
, aby zarządzać konfiguracjami logowania i uzyskiwać dostęp do logów.
Przykład sprawdzenia logów cloudresourcemanager
(używanego do BF uprawnień): https://console.cloud.google.com/logs/query;query=protoPayload.serviceName%3D%22cloudresourcemanager.googleapis.com%22;summaryFields=:false:32:beginning;cursorTimestamp=2024-01-20T00:07:14.482809Z;startTime=2024-01-01T11:12:26.062Z;endTime=2024-02-02T17:12:26.062Z?authuser=2&project=digital-bonfire-410512
Nie ma logów testIamPermissions
:
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)