GCP - Logging Enum
Informazioni di Base
Questo servizio consente agli utenti di archiviare, cercare, analizzare, monitorare e ricevere avvisi sui dati di log ed eventi da GCP.
Cloud Logging è completamente integrato con altri servizi GCP, fornendo un repository centralizzato per i log di tutte le risorse GCP. Raccoglie automaticamente i log da vari servizi GCP come App Engine, Compute Engine e Cloud Functions. È anche possibile utilizzare Cloud Logging per le applicazioni in esecuzione in locale o in altri cloud utilizzando l'agente o l'API di Cloud Logging.
Caratteristiche Principali:
Centralizzazione dei Dati di Log: Aggrega i dati di log da varie fonti, offrendo una visione olistica delle tue applicazioni e infrastrutture.
Gestione dei Log in Tempo Reale: Trasmetti i log in tempo reale per un'analisi e una risposta immediate.
Potente Analisi dei Dati: Utilizza filtri avanzati e capacità di ricerca per filtrare rapidamente grandi volumi di dati di log.
Integrazione con BigQuery: Esporta i log su BigQuery per un'analisi dettagliata e interrogazioni.
Metriche Basate sui Log: Crea metriche personalizzate dai tuoi dati di log per il monitoraggio e gli avvisi.
Flusso dei Log
Fondamentalmente i sink e le metriche basate sui log determineranno dove un log dovrebbe essere archiviato.
Configurazioni Supportate da GCP Logging
Cloud Logging è altamente configurabile per soddisfare diverse esigenze operative:
Secchi di Log (Archiviazione dei Log nel web): Definisci secchi in Cloud Logging per gestire la retention dei log, fornendo controllo su quanto tempo vengono conservate le voci di log.
Per impostazione predefinita vengono creati i secchi
_Default
e_Required
(uno registra ciò che l'altro non fa)._Required è:
Il periodo di retention dei dati è configurato per secchio e deve essere almeno di 1 giorno. Tuttavia il periodo di retention di _Required è di 400 giorni e non può essere modificato.
Nota che i Secchi di Log non sono visibili in Cloud Storage.
Sink di Log (Router di Log nel web): Crea sink per esportare le voci di log verso varie destinazioni come Pub/Sub, BigQuery o Cloud Storage in base a un filtro.
Per impostazione predefinita vengono creati sink per i secchi
_Default
e_Required
:
_Required logging.googleapis.com/projects//locations/global/buckets/_Required LOG_ID("cloudaudit.googleapis.com/activity") OR LOG_ID("externalaudit.googleapis.com/activity") OR LOG_ID("cloudaudit.googleapis.com/system_event") OR LOG_ID("externalaudit.googleapis.com/system_event") OR LOG_ID("cloudaudit.googleapis.com/access_transparency") OR LOG_ID("externalaudit.googleapis.com/access_transparency") _Default logging.googleapis.com/projects//locations/global/buckets/_Default NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT LOG_ID("externalaudit.googleapis.com/activity") AND NOT LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT LOG_ID("externalaudit.googleapis.com/system_event") AND NOT LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT LOG_ID("externalaudit.googleapis.com/access_transparency")
Registri predefiniti
Per impostazione predefinita, le operazioni di scrittura di amministrazione (chiamate anche registri di attività di amministrazione) sono quelle registrate (scrivono metadati o informazioni di configurazione) e non possono essere disabilitate.
Successivamente, l'utente può abilitare i registri di accesso ai dati, che includono lettura di amministrazione, scrittura di dati e scrittura di dati.
È possibile trovare ulteriori informazioni su ciascun tipo di registro nella documentazione: https://cloud.google.com/iam/docs/audit-logging
Tuttavia, si noti che ciò significa che per impostazione predefinita le azioni GetIamPolicy
e altre azioni di lettura non vengono registrate. Quindi, per impostazione predefinita, un attaccante che cerca di enumerare l'ambiente non verrà individuato se l'amministratore di sistema non ha configurato la generazione di più registri.
Per abilitare più registri nella console, l'amministratore di sistema deve andare su https://console.cloud.google.com/iam-admin/audit e abilitarli. Ci sono 2 opzioni diverse:
Configurazione predefinita: È possibile creare una configurazione predefinita e registrare tutti i registri di lettura di amministrazione e/o di lettura di dati e/o di scrittura di dati e persino aggiungere principali esentati:
Selezionare i servizi: Oppure semplicemente selezionare i servizi di cui si desidera generare registri e il tipo di registri e il principale escluso per quel servizio specifico.
Si noti inoltre che per impostazione predefinita vengono generati solo quei registri perché la generazione di più registri aumenterà i costi.
Enumerazione
Lo strumento a riga di comando gcloud
è parte integrante dell'ecosistema GCP, che consente di gestire le risorse e i servizi. Ecco come è possibile utilizzare gcloud
per gestire le configurazioni di registrazione e accedere ai registri.
Esempio per controllare i log di cloudresourcemanager
(quello usato per BF permissions): https://console.cloud.google.com/logs/query;query=protoPayload.serviceName%3D%22cloudresourcemanager.googleapis.com%22;summaryFields=:false:32:beginning;cursorTimestamp=2024-01-20T00:07:14.482809Z;startTime=2024-01-01T11:12:26.062Z;endTime=2024-02-02T17:12:26.062Z?authuser=2&project=digital-bonfire-410512
Non ci sono log di testIamPermissions
:
Post Esploitation
GCP - Logging Post ExploitationPersistenza
GCP - Logging PersistenceRiferimenti
Last updated