GCP - Stackdriver Enum

स्टैकड्राइवर लॉगिंग

स्टैकड्राइवर को Google द्वारा पेश किया गया एक व्यापक इंफ्रास्ट्रक्चर लॉगिंग स्वीट के रूप में मान्यता प्राप्त है। इसमें syslog जैसी सुविधा के माध्यम से संवेदनशील डेटा को जकड़ने की क्षमता है, जो कंप्यूट इंस्टेंस के अंदर निष्पादित व्यक्तिगत कमांड की रिपोर्ट करता है। इसके अतिरिक्त, यह लोड बैलेंसर्स या ऐप इंजन एप्लिकेशन्स को भेजे गए HTTP अनुरोधों, VPC संचार के भीतर नेटवर्क पैकेट मेटाडेटा, और अधिक का मॉनिटरिंग करता है।

किसी कंप्यूट इंस्टेंस के लिए, संबंधित सेवा खाता को केवल लेखन अनुमतियाँ प्रदान करने की आवश्यकता होती है ताकि इंस्टेंस गतिविधियों का लॉगिंग सुविधा प्रदान कर सके। तथापि, एक प्रशासक अनजाने में सेवा खाते को दोनों पढ़ने और लिखने की अनुमतियाँ प्रदान कर सकता है। इस प्रकार के मामलों में, लॉगों को संवीक्षा के लिए संवेदनशील जानकारी के लिए जांचा जा सकता है।

इसे पूरा करने के लिए, gcloud logging उपयोगिता एक सेट के उपकरण प्रदान करती है। पहले, अपने वर्तमान परियोजना में मौजूद लॉग के प्रकारों की पहचान करना सुझावित है।

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

संदर्भ

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/