GCP - Stackdriver Enum

Stackdriver günlüğe kaydetme

Stackdriver, Google tarafından sunulan kapsamlı bir altyapı günlükleme paketi olarak kabul edilir. Syslog gibi özellikler aracılığıyla, Compute Instance içinde yürütülen bireysel komutları raporlayan hassas verileri yakalama yeteneğine sahiptir. Ayrıca, yük dengeleyicilere veya App Engine uygulamalarına gönderilen HTTP isteklerini, VPC iletişimlerindeki ağ paketi meta verilerini ve daha fazlasını izler.

Bir Compute Instance için, ilgili hizmet hesabının yalnızca günlük kaydı etkinliklerini kolaylaştırmak için YAZMA izinlerine ihtiyacı vardır. Bununla birlikte, bir yönetici yanlışlıkla hizmet hesabına hem OKUMA hem de YAZMA izinleri verebilir. Bu durumlarda, günlükler hassas bilgiler için incelenebilir.

Bunu başarmak için, gcloud logging aracısı bir dizi araç sunar. İlk olarak, mevcut projenizde bulunan günlük türlerini belirlemek önerilir.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Referanslar

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/