GCP - Stackdriver Enum

Логування Stackdriver

Stackdriver визнаний як комплексний інфраструктурний набір інструментів для логування, який пропонує Google. Він має можливість захоплювати чутливі дані за допомогою функцій, таких як syslog, який реєструє окремі команди, виконані всередині екземплярів обчислень. Крім того, він відстежує HTTP-запити, відправлені до балансувальників навантаження або додатків App Engine, метадані пакетів мережі в межах комунікацій VPC та інше.

Для екземпляра обчислення відповідний обліковий запис служби потребує лише дозволів WRITE для забезпечення логування діяльностей екземпляра. Тим не менш, адміністратор може ненавмисно надати обліковому запису служби як дозволи READ, так і WRITE. У таких випадках журнали можуть бути перевірені на наявність чутливої інформації.

Для досягнення цього мета інструмент gcloud logging пропонує набір інструментів. Спочатку рекомендується визначити типи журналів, які присутні у вашому поточному проекті.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Посилання

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/