ثبت حسابرسی برای قوانین امنیتی Firebase

این صفحه را توصیف وقایع بازرسی توسط Firebase به عنوان بخشی از ایجاد ابر ممیزی سیاهههای مربوط .

بررسی اجمالی

خدمات Firebase گزارش های حسابرسی را می نویسد تا به شما در پاسخ به سوالات "چه کسی ، کجا و چه زمانی انجام داد؟" کمک کند. این ابر حسابرسی گزارش ها، ارائه به عنوان بخشی از پروژه پلتفرم ابری گوگل متصل به پروژه Firebase خود .

پروژه های Firebase شما هریک فقط شامل گزارش های ممیزی برای منابعی هستند که مستقیماً در پروژه هستند.

برای یک دید کلی از ابر حسابرسی گزارش ها، و مروری ابر ممیزی سیاهههای مربوط . برای درک عمیق تر از فرمت ورود حسابرسی، و درک ممیزی سیاهههای مربوط .

گزارشهای حسابرسی موجود

انواع زیر از گزارش های حسابرسی برای Firebase Security Rules در دسترس است:

  • گزارشهای حسابرسی فعالیتهای سرپرست

    شامل عملیات "نوشتن مدیر" است که اطلاعات فراداده یا پیکربندی را می نویسد.

    نمی توانید سیاهههای مربوط به حسابرسی فعالیت سرپرست را غیرفعال کنید.

  • گزارشهای حسابرسی دسترسی به داده

    شامل عملیات "خواندن مدیر" است که اطلاعات فراداده یا پیکربندی را می خواند. همچنین شامل عملیات "خواندن داده" و "نوشتن داده" است که داده های ارائه شده توسط کاربر را می خواند یا می نویسد.

    برای دریافت دسترسی به داده ها ممیزی سیاهههای مربوط، شما باید به صراحت فعال آنها است.

برای توصیف کاملتری از انواع ورود به سیستم ممیزی، و انواع ممیزی سیاهههای مربوط .

عملیات حسابرسی شده

موارد زیر به طور خلاصه کدام عملیات API مربوط به هر نوع گزارش حسابرسی در قوانین امنیتی Firebase است:

دسته گزارش حسابرسی عملیات Firebase Security Rules
عملیات پروژه
فعالیت مدیر
دسترسی به داده (ADMIN_READ) TestRuleset
تنظیمات عملیات
فعالیت مدیر CreateRuleset
DeleteRuleset
دسترسی به داده (ADMIN_READ) GetRuleset
ListRulesets
TestRuleset
عملیات آزادسازی
فعالیت مدیر CreateRelease
UpdateRelease
DeleteRelease
دسترسی به داده (ADMIN_READ) GetRelease
ListReleases

قالب گزارش حسابرسی

ورودی گزارش حسابرسی شامل موارد زیر است:

  • ورود ورود به سیستم خود را، که یک شی از نوع LogEntry . زمینه های مفید شامل موارد زیر است:

    • logName شامل شناسه منابع و حسابرسی نوع سیاهه.
    • resource شامل هدف از عملیات حسابرسی.
    • timeStamp شامل زمان عملیات حسابرسی.
    • protoPayload شامل اطلاعات حسابرسی.
  • داده های ممیزی ورود به سیستم، که یک AuditLog شی در برگزار protoPayload زمینه ورود ورود به سیستم.

  • اطلاعات حسابرسی اختیاری ویژه سرویس ، که یک هدف خاص سرویس است. برای یکپارچگی بالاتر، این جسم در برگزار serviceData زمینه AuditLog شی؛ یکپارچگی جدیدتر استفاده از metadata زمینه است.

برای زمینه های دیگر در این اشیاء، و چگونه آنها را تفسیر، بررسی درک ممیزی سیاهههای مربوط .

نام ورود

نام منابع Cloud Audit Logs نشان دهنده پروژه Firebase یا دیگر نهاد GCP صاحب گزارشات حسابرسی است و اینکه آیا این گزارش شامل فعالیت Admin ، دسترسی به داده ها ، سیاست رد شده یا داده های گزارش حسابرسی سیستم است. به عنوان مثال ، موارد زیر نام سیاهههای مربوط به گزارشهای حسابرسی فعالیتهای مدیر پروژه و گزارشهای حسابرسی دسترسی به اطلاعات یک سازمان را نشان می دهد. متغیرها نشان دهنده شناسه های پروژه و سازمان Firebase هستند.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

نام سرویس

فایربیس امنیت قوانین ممیزی سیاهههای مربوط با استفاده از نام سرویس firebaserules.googleapis.com .

برای یک لیست کامل از تمام Stackdriver ورود به سیستم نام سرویس API و مربوط به نوع منبع تحت نظارت خود، و خدمات نقشه به منابع .

انواع منابع

فایربیس امنیت قوانین ممیزی سیاهههای مربوط با استفاده از نوع منبع audited_resource برای تمام سیاهههای حسابرسی.

برای یک لیست از تمام ورود Stackdriver نظارت انواع منابع و اطلاعات توصیفی، و انواع منابع تحت نظارت .

ثبت گزارش حسابرسی را فعال کنید

گزارشات حسابرسی فعالیت سرپرست همیشه فعال هستند. شما نمی توانید آنها را غیرفعال کنید

گزارشهای حسابرسی دسترسی به اطلاعات به طور پیش فرض غیرفعال هستند و مگر اینکه صریحاً فعال شوند نوشته نمی شوند (استثنا گزارشهای حسابرسی دسترسی به داده برای BigQuery است که نمی توان آنها را غیرفعال کرد).

برای دستورالعملهای نحوه فعال کردن همه یا تعدادی از شما دسترسی به داده ها ممیزی سیاهههای مربوط، و سیاهههای مربوط پیکربندی دسترسی به داده ها .

مجوزها و نقشها

ابر IAM مجوز و نقش تعیین توانایی خود را برای حسابرسی دسترسی سیاهههای مربوط به داده در منابع GCP.

هنگامی که تصمیم گیری است که مجوز و نقش های ورود به سیستم خاص برای مورد استفاده شما اعمال می شود، زیر توجه کنید:

  • نقش سیاههها Viewer ( roles/logging.viewer ) به شما می دهد دسترسی فقط خواندنی به محیط مدیریت فعالیت، سیاست تکذیب کرد، و رویداد سیستم ممیزی سیاهههای مربوط. اگر شما فقط این نقش، شما می توانید دسترسی به داده ها وقایع بازرسی که در می مشاهده نمی _Default سطل.

  • نقش شخصی سیاههها Viewer (roles/logging.privateLogViewer ) شامل مجوزهای موجود در roles/logging.viewer ، به علاوه توانایی خواندن دسترسی به داده ها ممیزی سیاهههای مربوط در _Default سطل.

    توجه داشته باشید که اگر این گزارش های خصوصی در سطل های تعریف شده توسط کاربر ذخیره می شوند ، هر کاربری که دارای مجوز خواندن گزارش ها در آن سطل ها باشد ، می تواند گزارش های خصوصی را بخواند. برای اطلاعات بیشتر در سطل ورود به سیستم، و مسیریابی و کلی ذخیره سازی .

برای کسب اطلاعات بیشتر بر روی مجوز ابر IAM و نقش هایی که به ممیزی سیاهههای مربوط داده اعمال می شود، و کنترل دسترسی .

دیدن گزارش وقایع

برای یافتن و مشاهده گزارش های حسابرسی ، باید شناسه پروژه ، پوشه یا سازمان Firebase را که می خواهید اطلاعات گزارش حسابرسی را برای آنها مشاهده کنید ، بدانید. شما می توانید بیشتر مشخص دیگر ایندکس شده LogEntry زمینه ها مانند resource.type ؛ برای جزئیات بیشتر، بررسی یافتن مدخل ورود به سیستم به سرعت .

در زیر نام گزارش حسابرسی آمده است ؛ آنها شامل متغیرهایی برای شناسه های پروژه ، پوشه یا سازمان Firebase هستند:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

شما می توانید ممیزی سیاهههای مربوط در ورود به سیستم با استفاده از Stackdriver GCP کنسول، مشاهده gcloud ابزار خط فرمان، و یا API ورود به سیستم.

کنسول

می توانید از Logs Explorer در GCP Console برای بازیابی ورودی های گزارش حسابرسی خود برای پروژه ، پوشه یا سازمان Firebase خود استفاده کنید:

  1. در GCP کنسول، به ورود به سیستم> صفحه گزارش اکسپلورر است.

    به صفحه Logs Explorer بروید

  2. در صفحه سیاهههای مربوط اکسپلورر، موجود پروژه فایربیس، پوشه و یا سازمان را انتخاب کنید.

  3. در پنجره سمت سازنده پرس و جو، انجام موارد زیر:

    • در نوع منابع، منابع GCP که وقایع بازرسی می خواهید را انتخاب کنید.

    • در نام ورود به سیستم، نوع ورود حسابرسی را انتخاب کنید که شما می خواهید برای دیدن:

      • برای فعالیت محیط مدیریت ممیزی سیاهههای مربوط، فعالیت را انتخاب کنید.
      • برای دسترسی به داده ها ممیزی سیاهههای مربوط، data_access را انتخاب کنید.
      • برای سیستم رویداد ممیزی سیاهههای مربوط، system_event را انتخاب کنید.
      • سیاست ممنوع ممیزی سیاهههای مربوط، سیاست انتخاب کنید.

    اگر این گزینه ها را نمی بینید ، هیچ گونه گزارش حسابرسی از آن نوع در پروژه ، پوشه یا سازمان Firebase موجود نیست.

    برای جزئیات بیشتر در مورد پرس و جو با استفاده از گزارش ها اکسپلورر، و نمایش داده شد ورود به سیستم ساخت .

gcloud

gcloud ابزار خط فرمان یک رابط خط فرمان به ورود به سیستم API Stackdriver فراهم می کند. عرضه معتبر PROJECT_ID ، FOLDER_ID یا ORGANIZATION_ID در هر یک از نام وارد شوید.

برای خواندن ورودی های گزارش حسابرسی در سطح پروژه Firebase ، دستور زیر را اجرا کنید:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

برای خواندن ورودی های گزارش حسابرسی در سطح پوشه ، دستور زیر را اجرا کنید:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

برای خواندن ورودی های گزارش حسابرسی در سطح سازمان ، دستور زیر را اجرا کنید:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

برای کسب اطلاعات بیشتر در مورد استفاده از gcloud ابزار، و مدخل ورود به سیستم به عنوان خوانده شده .

API

هنگام ایجاد پرس و جوهای خود ، متغیرها را با مقادیر معتبر جایگزین کنید ، نام یا شناسه های مربوط به سطح پروژه ، سطح پوشه یا سطح سازمان را که در نامهای گزارش حسابرسی ذکر شده است جایگزین کنید. برای مثال، اگر بنا به درخواست شما شامل یک PROJECT_ID ، پروژه شناسه شما عرضه باید به در حال حاضر انتخاب فایربیس پروژه مراجعه کنید.

برای استفاده از API ورود به سیستم برای مشاهده ورودی های گزارش حسابرسی خود ، موارد زیر را انجام دهید:

  1. رفتن به سعی کنید این API بخش در مستندات مربوط به entries.list روش.

  2. قرار دادن زیر را در قسمت درخواست پاسخ به بدن سعی کنید این API فرم. با کلیک بر روی این فرم کردن prepopulated به طور خودکار پر بدن درخواست، اما شما نیاز به عرضه معتبر PROJECT_ID در هر یک از نام وارد شوید.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. روی Execute کلیک کنید.

برای جزئیات بیشتر در مورد پرس و جو، مشاهده ورود به سیستم زبان پرس و جو .

برای یک مثال از یک ورودی ورود به سیستم ممیزی و چگونه اطلاعات مهم در آن برای پیدا کردن، و نمونه ورود ورود به سیستم حسابرسی .

گزارشهای حسابرسی مسیر

شما هم می حسابرسی مسیر سیاهههای مربوط به مقصدهای پشتیبانی در راه همان است که شما می توانید مسیر از انواع دیگر از سیاهههای مربوط. در اینجا دلایلی وجود دارد که ممکن است بخواهید گزارش های حسابرسی خود را مسیریابی کنید:

  • برای نگهداری گزارشات حسابرسی برای مدت زمان طولانی تر یا استفاده از قابلیت های جستجوی قوی تر ، می توانید کپی گزارش های حسابرسی خود را به Google Cloud Storage ، BigQuery یا Google Cloud Pub/Sub هدایت کنید. با استفاده از Cloud Pub/Sub ، می توانید به سایر برنامه ها ، مخازن دیگر و اشخاص ثالث مسیر دهید.

  • مدیریت سابقه حسابرسی خود را در کل سازمان، شما می توانید ایجاد غرق جمع که مسیر را می سیاهههای مربوط از هر یا همه پروژه های فایربیس در سازمان است.

  • اگر گزارشات حسابرسی فعال شده Data Access پروژه های Firebase شما را بر روی تخصیص گزارش شما فشار می دهد ، می توانید سینک هایی ایجاد کنید که گزارش های حسابرسی دسترسی به داده را از Logging حذف می کند.

دستورالعمل های مربوط به مسیریابی سیاهههای مربوط، و غرق پیکربندی .

قیمت گذاری

محیط مدیریت وقایع بازرسی فعالیت و سیستم رویداد ممیزی سیاهههای مربوط رایگان هستند.

دسترسی به داده ها ممیزی سیاهههای مربوط و سیاست ممیزی ممنوع سیاهههای مربوط شارژ هستند.

برای کسب اطلاعات بیشتر در مورد قیمت گذاری ورود Stackdriver، و قیمت گذاری Stackdriver: Stackdriver ورود به سیستم .