Stackdriver logging

Stackdriver word erken as 'n omvattende infrastruktuur logging suite wat deur Google aangebied word. Dit het die vermoë om sensitiewe data vas te vang deur funksies soos syslog, wat individuele opdragte wat binne Compute-instanties uitgevoer word, rapporteer. Verder monitor dit HTTP-versoeke wat na balanseringstelsels of App Engine-toepassings gestuur word, netwerkpakketmetadata binne VPC-kommunikasie, en nog meer.

Vir 'n Compute-instantie vereis die ooreenstemmende diensrekening slegs WRITE-toestemmings om die logboekhouding van instansie-aktiwiteite te fasiliteer. Nietemin is dit moontlik dat 'n administrateur per ongeluk die diensrekening van beide READ- en WRITE-toestemmings voorsien. In sulke gevalle kan die logboeke ondersoek word vir sensitiewe inligting.

Om dit te bereik, bied die gcloud logging nut 'n stel gereedskap aan. Dit word aanbeveel om aanvanklik die tipes logboeke wat in jou huidige projek teenwoordig is, te identifiseer.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Verwysings

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/