Chargement...
Aucun résultat.

Mettez en pratique vos compétences dans la console Google Cloud

Instructions et exigences de configuration de l'atelier
Protégez votre compte et votre progression. Utilisez toujours une fenêtre de navigation privée et les identifiants de l'atelier pour exécuter cet atelier.

Analyser les journaux d'audit à l'aide de BigQuery

Atelier 1 heure 30 minutes universal_currency_alt 5 crédits show_chart Débutant
info Cet atelier peut intégrer des outils d'IA pour vous accompagner dans votre apprentissage.
Ce contenu n'est pas encore optimisé pour les appareils mobiles.
Pour une expérience optimale, veuillez accéder à notre site sur un ordinateur de bureau en utilisant un lien envoyé par e-mail.
icône Important IMPORTANT

icône Ordinateur de bureau/ordinateur portable Cet atelier pratique ne peut être réalisé que sur un ordinateur de bureau ou un ordinateur portable.

Icône Coche Vous ne pouvez tenter l'atelier que cinq fois.

icône Cible du quiz Pour rappel, il est normal de ne pas répondre correctement à toutes les questions du premier coup, et même de devoir refaire un exercice. Cela fait partie du processus d'apprentissage.

Icône Chronomètre Une fois l'atelier démarré, le minuteur ne peut pas être mis en pause. Au bout d'une heure et demie, l'atelier se terminera et vous devrez le recommencer.

Icône Astuce Pour en savoir plus, consultez le document Conseils techniques pour les ateliers.

Présentation de l'activité

Les services Google Cloud écrivent des journaux d'audit qui enregistrent les activités d'administration et les accès aux ressources Google Cloud. Les entrées de journaux d'audit vous aident à répondre à des questions telles que "Qui a fait quoi, où et quand ?" pour vos projets Google Cloud. L'activation des journaux d'audit permet à vos entités de sécurité, d'audit et de conformité de surveiller les données et les systèmes Google Cloud afin de détecter d'éventuelles failles ou un usage abusif des données externes.

Dans cet atelier, vous allez examiner des journaux d'audit pour identifier des schémas d'activité suspecte impliquant des ressources cloud.

Scénario

Cymbal Bank a officiellement migré vers sa solution cloud hybride et a déployé ses workflows dans le nouvel environnement cloud. Malheureusement, l'équipe d'ingénierie de la sécurité a reçu une alerte de gravité élevée concernant un accès non autorisé à plusieurs de ses ressources cloud. C'est alarmant, car les acteurs malveillants peuvent utiliser des ressources cloud compromises pour exfiltrer des données et lancer des attaques sur d'autres systèmes. C'est la première fois que vous êtes confronté à un incident de sécurité. Votre responsable d'équipe, Chloe, y voit une excellente occasion pour vous de vous familiariser avec les processus et les procédures de réponse aux incidents. Vous avez été chargé de suivre et d'observer Hannah, une spécialiste de l'équipe de réponse aux incidents, qui fait partie du service d'ingénierie de la sécurité. Hannah vous a donné accès aux journaux de l'alerte, que vous allez utiliser pour enquêter sur l'activité malveillante. Vous souhaitez mieux comprendre l'incident de sécurité. Vous avez donc configuré un environnement de test pour recréer l'incident et analyser les artefacts. Vous allez utiliser deux comptes utilisateur distincts : l'un pour générer l'activité malveillante et l'autre pour enquêter sur cette activité.

Voici comment vous allez procéder. D'abord, vous allez recréer l'incident de sécurité en générant des activités à partir du premier compte utilisateur. Ensuite, vous exporterez les journaux pour les analyser plus en détail. Puis vous allez continuer à recréer l'incident et générer des activités utilisateur supplémentaires. Enfin, vous allez utiliser BigQuery pour analyser les journaux.

Préparation

Avant de cliquer sur "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Nous vous fournissons des identifiants temporaires pour vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

  • Vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome).
Remarque : Ouvrez une fenêtre de navigateur en mode incognito/navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.
  • Vous disposez d'un temps limité. N'oubliez pas qu'une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.
Remarque : Si vous possédez déjà votre propre compte ou projet Google Cloud, veillez à ne pas l'utiliser pour réaliser cet atelier afin d'éviter que des frais supplémentaires ne vous soient facturés.

Démarrer l'atelier et se connecter à la console Google Cloud

  1. Cliquez sur le bouton Démarrer l'atelier. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :

    • Le temps restant
    • Le bouton Ouvrir la console Google Cloud
    • Les identifiants temporaires que vous devez utiliser pour cet atelier
    • D'éventuelles informations complémentaires vous permettant d'effectuer l'atelier
    Remarque : Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement.

  2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée) si vous utilisez le navigateur Chrome. La page Se connecter s'ouvre dans un nouvel onglet du navigateur.

    Conseil : Vous pouvez réorganiser les onglets dans des fenêtres distinctes, placées côte à côte, pour passer facilement de l'un à l'autre.

    Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

  3. Si nécessaire, copiez le nom d'utilisateur Google Cloud ci-dessous et collez-le dans la boîte de dialogue Se connecter. Cliquez sur Suivant.

{{{user_0.username | "Google Cloud username"}}}

Vous trouverez également le nom d'utilisateur Google Cloud dans le panneau Détails concernant l'atelier.

  1. Copiez le mot de passe Google Cloud ci-dessous et collez-le dans la boîte de dialogue Bienvenue. Cliquez sur Suivant.
{{{user_0.password | "Google Cloud password"}}}

Vous trouverez également le mot de passe Google Cloud dans le panneau Détails concernant l'atelier.

Important : Vous devez utiliser les identifiants qui vous ont été fournis pour l'atelier. N'utilisez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.
  1. Parcourez les pages suivantes :
    • Acceptez les conditions d'utilisation.
    • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
    • Ne vous inscrivez pas à des essais sans frais.

Après quelques instants, la console s'ouvre dans cet onglet.

Remarque : Vous pouvez afficher le menu qui contient la liste des produits et services Google Cloud en cliquant sur le menu de navigation en haut à gauche. Menu de la console Google Cloud avec l'icône du menu de navigation encadrée

Activer Cloud Shell

Cloud Shell est un environnement de développement et d'opérations en ligne, accessible depuis votre navigateur, où que vous soyez. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

  1. Cliquez sur Activer Cloud Shell (Icône Activer Cloud Shell) en haut à droite de la console Google Cloud. Vous devrez peut-être cliquer sur Continuer.

Une fois Cloud Shell démarré, un message s'affiche et indique l'ID de votre projet Google Cloud pour cette session :

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

L'outil de ligne de commande Google Cloud, gcloud, est préinstallé sur Cloud Shell et permet la complétion par tabulation. Pour accéder à Google Cloud, vous devez d'abord autoriser gcloud.

  1. Affichez le nom du compte actif à l'aide de cette commande :
gcloud auth list

  1. Un pop-up s'affiche pour vous demander d'autoriser Cloud Shell. Cliquez sur Autoriser.

  2. Vous devez à présent obtenir le résultat suivant :

Résultat :

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. Affichez l'ID du projet à l'aide de cette commande :
gcloud config list project

Exemple de résultat :

[core] project = qwiklabs-gcp-44776a13dea667a6 Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de gcloud CLI.

Tâche 1 : Générer des activités sur un compte

Remarque : Assurez-vous que vous vous trouvez bien dans la console Google Cloud pour Nom d'utilisateur 1 : .

Dans cette tâche, vous allez créer et supprimer des ressources cloud pour générer des activités de compte auxquelles vous accéderez sous forme de journaux d'audit cloud à l'aide de Cloud Audit Logs.

  1. Copiez les commandes suivantes dans le terminal Cloud Shell :
gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID echo "this is a sample file" > sample.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID gcloud compute networks create mynetwork --subnet-mode=auto export ZONE=$(gcloud compute project-info describe \ --format="value(commonInstanceMetadata.items[google-compute-default-zone])") gcloud compute instances create default-us-vm \ --machine-type=e2-micro \ --zone=$ZONE --network=mynetwork gcloud storage rm --recursive gs://$DEVSHELL_PROJECT_ID
  1. Appuyez sur ENTRÉE.

Cliquez sur Vérifier ma progression pour valider la réalisation de cette tâche. Générer des activités sur un compte

Tâche 2 : Exporter les journaux d'audit

Remarque : Assurez-vous que vous vous trouvez bien dans la console Google Cloud pour Nom d'utilisateur 1 : .

Les activités que vous avez générées lors de la tâche précédente ont été enregistrées dans les journaux d'audit. Dans cette tâche, vous allez exporter ces journaux vers un ensemble de données BigQuery pour les analyser plus en détail.

  1. Dans la barre de titre de la console Google Cloud, saisissez Explorateur de journaux dans le champ Recherche, puis cliquez sur Explorateur de journaux dans les résultats de recherche. La page Explorateur de journaux s'affiche.
  2. Cliquez sur Épingler à côté d'Observabilité/Journalisation.
  3. Lorsque vous exportez des journaux, le filtre actuel est appliqué aux éléments exportés. Copiez la requête suivante dans le Générateur de requêtes :
logName = ("projects/{{{project_0.project_id | Project ID}}}/logs/cloudaudit.googleapis.com%2Factivity")
  1. Cliquez sur Exécuter la requête. Les résultats de la requête doivent s'afficher dans le volet Résultats de la requête. Cette requête filtre les journaux d'audit cloud de votre projet.
  2. Sous le champ Éditeur de requête, cliquez sur Actions > Créer un récepteur. La boîte de dialogue Créer le récepteur de routage des journaux s'ouvre.
Remarque : Si la fenêtre de votre navigateur est étroite, l'UI peut afficher Plus au lieu d'Autres actions.
  1. Dans la boîte de dialogue Créer le récepteur de routage des journaux, spécifiez les paramètres suivants et conservez les valeurs par défaut pour tous les autres paramètres :
Section Champ : valeur
Détails du récepteur Nom du récepteur : AuditLogsExport
Cliquez sur Suivant.
Destination du récepteur Sélectionner le service de récepteur : Ensemble de données BigQuery
Sélectionnez un ensemble de données BigQuery : Créer un ensemble de données BigQuery
La boîte de dialogue Créer un ensemble de données s'ouvre.
Créer un ensemble de données ID de l'ensemble de données : auditlogs_dataset
Cliquez sur Créer un ensemble de données.
La boîte de dialogue Créer un ensemble de données se ferme et vous revenez à la boîte de dialogue Destination du récepteur.
Destination du récepteur Cliquez sur Suivant.
Décochez la case Utiliser des tables partitionnées si elle est sélectionnée, puis cliquez sur Suivant.
Choisissez des journaux à inclure dans le récepteur Notez que le filtre d'inclusion suivant est prérempli : logName=("projects/[PROJECT ID]/logs/cloudaudit.googleapis.com%2Factivity")
Cliquez sur Suivant.
Cliquez sur Créer un récepteur.
Revenez à la page Explorateur de journaux.
  1. Dans le volet de navigation Journalisation, cliquez sur Routeur de journaux pour afficher le récepteur AuditLogsExport dans la liste Récepteurs du routeur de journaux.
  2. En face du récepteur AuditLogsExport, cliquez sur Autres actions (Icône Plus) > Afficher les détails du récepteur pour afficher les informations sur le récepteur AuditLogsExport que vous avez créé. La boîte de dialogue Détails du récepteur s'ouvre.
  3. Cliquez sur Annuler pour fermer la boîte de dialogue Détails du récepteur une fois que vous avez terminé de consulter les informations.

Remarque : Tous les futurs journaux seront exportés vers BigQuery, et les outils BigQuery pourront vous servir à effectuer une analyse sur les données des journaux d'audit. Les entrées de journal existantes ne sont pas concernées par cette exportation.

Cliquez sur Vérifier ma progression pour valider la réalisation de cette tâche. Exporter les journaux d'audit

Tâche 3 : Générer d'autres activités sur le compte

Remarque : Assurez-vous que vous vous trouvez bien dans la console Google Cloud pour Nom d'utilisateur 1 : .

Dans cette tâche, vous allez créer et supprimer des ressources cloud pour générer des activités supplémentaires sur le compte. Vous accéderez ensuite à ces activités dans BigQuery pour extraire des insights supplémentaires des journaux.

  1. Copiez les commandes suivantes dans le terminal Cloud Shell :
gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID-test echo "this is another sample file" > sample2.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID-test export ZONE=$(gcloud compute project-info describe \ --format="value(commonInstanceMetadata.items[google-compute-default-zone])") gcloud compute instances delete --zone=$ZONE \ --delete-disks=all default-us-vm

Ces commandes génèrent d'autres activités que vous pourrez afficher dans les journaux d'audit exportés dans BigQuery.

  1. Appuyez sur ENTRÉE.

Lorsque vous y êtes invité, saisissez y, puis appuyez sur ENTRÉE. Vous avez créé deux buckets et supprimé une instance Compute Engine.

  1. Lorsque l'invite s'affiche au bout de quelques minutes, saisissez les commandes suivantes dans le terminal Cloud Shell :
gcloud storage rm --recursive gs://$DEVSHELL_PROJECT_ID gcloud storage rm --recursive gs://$DEVSHELL_PROJECT_ID-test
  1. Appuyez sur ENTRÉE.

Vous avez supprimé les deux buckets.

Cliquez sur Vérifier ma progression pour valider la réalisation de cette tâche. Générer d'autres activités sur le compte

Tâche 4 : Se connecter en tant que second utilisateur

Vous devez changer de compte Google Cloud en vous connectant à la console Google Cloud avec le deuxième compte utilisateur fourni dans le panneau Détails concernant l'atelier. Vous utiliserez ce compte utilisateur pour analyser les journaux.

  1. Dans la console Google Cloud, cliquez sur l'icône d'utilisateur située en haut à droite de l'écran, puis sur Ajouter un compte.
  2. Revenez au panneau Détails concernant l'atelier, copiez le nom d'utilisateur Google Cloud 2 : et le mot de passe. Collez ensuite le nom d'utilisateur et le mot de passe dans la boîte de dialogue Connexion de la console Google Cloud.

Tâche 5 : Analyser les journaux d'activité d'administration

Remarque : Assurez-vous que vous vous trouvez bien dans la console Google Cloud pour Nom d'utilisateur 2 : .

Dans cette tâche, vous allez examiner les journaux des activités d'administration générés lors de la tâche précédente. Votre objectif est d'identifier et d'appliquer des filtres pour isoler les journaux qui peuvent indiquer une activité suspecte. Vous pourrez ainsi exporter ce sous-ensemble de journaux et simplifier le processus d'analyse pour identifier les problèmes potentiels.

Les journaux des activités d'administration enregistrent les entrées concernant les appels d'API et d'autres opérations d'administration qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent des entrées lorsque des instances de VM et des applications App Engine sont créées, ou lorsque des autorisations sont modifiées.

Remarque : Vous pouvez afficher les entrées des journaux d'audit dans la visionneuse de journaux, dans Cloud Logging et dans Cloud SDK. Vous pouvez également les exporter vers Pub/Sub, BigQuery ou Cloud Storage.
  1. Dans la barre de titre de la console Google Cloud, saisissez Explorateur de journaux dans le champ Recherche, puis cliquez sur Explorateur de journaux dans les résultats de recherche. La page Explorateur de journaux s'affiche.
  2. Cliquez sur Épingler à côté d'Observabilité/Journalisation.
  3. Assurez-vous que l'option Afficher la requête est activée. Le champ Générateur de requêtes s'ouvre.
  4. Copiez et collez la commande suivante dans le champ Générateur de requêtes. Notez que l'ID de votre projet Google Cloud figure en tant que "PROJECT_ID" dans la commande.
logName = ("projects/{{{project_0.project_id | "PROJECT_ID"}}}/logs/cloudaudit.googleapis.com%2Factivity")
  1. Cliquez sur Exécuter la requête.
  2. Dans les Résultats de la requête, recherchez l'entrée de journal indiquant qu'un bucket Cloud Storage a été supprimé. Elle doit contenir le champ de résumé storage.buckets.delete. Les champs de résumé sont inclus dans les résultats pour mettre en évidence les informations importantes concernant une entrée de journal.

Cette entrée fait référence à storage.googleapis.com, qui appelle la méthode storage.buckets.delete pour supprimer un bucket. Le nom du bucket correspond à l'ID du projet : .

  1. Dans cette entrée, cliquez sur le texte storage.googleapis.com, puis sélectionnez Afficher les entrées correspondantes. Les Résultats de la requête ne doivent plus afficher que six entrées liées aux buckets Cloud Storage créés et supprimés.
  2. Dans le champ "Éditeur de requête", notez que la ligne protoPayload.serviceName="storage.googleapis.com" a été ajoutée au générateur de requêtes. Cela filtre votre requête pour ne renvoyer que les entrées correspondant à storage.googleapis.com.
  3. Dans les résultats de la requête, cliquez sur storage.buckets.delete dans l'une des entrées, puis sélectionnez Afficher les entrées correspondantes.

Notez qu'une autre ligne a été ajoutée dans la zone de texte du Générateur de requêtes :

logName = ("projects/{{{project_0.project_id | "PROJECT_ID"}}}/logs/cloudaudit.googleapis.com%2Factivity") protoPayload.serviceName="storage.googleapis.com" protoPayload.methodName="storage.buckets.delete"

Les Résultats de la requête doivent maintenant afficher toutes les entrées liées aux buckets Cloud Storage supprimés. Cette technique permet de localiser facilement des événements spécifiques.

  1. Dans les Résultats de la requête, développez un événement storage.buckets.delete en cliquant sur la flèche de développement > à côté de la ligne suivante :

buckets_delete_log

  1. Développez le champ authenticationInfo en cliquant sur la flèche > à côté de la ligne :

authenticationInfo

Notez le champ principalEmail, qui affiche l'adresse e-mail du compte utilisateur ayant effectué cette action. Il s'agit du compte utilisateur 1 que vous avez utilisé pour générer les activités utilisateur.

Tâche 6 : Utiliser BigQuery pour analyser les journaux d'audit

Remarque : Assurez-vous que vous vous trouvez bien dans la console Google Cloud pour Nom d'utilisateur 2 : .

Vous avez généré et exporté des journaux vers un ensemble de données BigQuery. Dans cette tâche, vous allez analyser les journaux à l'aide de l'éditeur de requête.

Remarque : Lorsque vous exportez des journaux vers un ensemble de données BigQuery, Cloud Logging crée des tables datées pour stocker les entrées de journal exportées. Le nom de ces tables est basé sur le nom des entrées de journal.

Ouvrir la console BigQuery

  1. Dans la console Google Cloud, accédez au menu de navigation, puis cliquez sur BigQuery.
    La boîte de dialogue Bienvenue sur BigQuery dans la console Cloud s'ouvre. Elle contient un lien vers le guide de démarrage rapide et liste les mises à jour de l'interface utilisateur.

  2. Cliquez sur OK pour fermer la boîte de dialogue.

  1. Dans le volet Explorateur classique, cliquez sur la flèche de développement à côté de votre projet, . L'ensemble de données auditlogs_dataset s'affiche.
Remarque : Si auditlogs_dataset ne s'affiche pas, actualisez la fenêtre de votre navigateur.

Ensuite, vérifiez que l'ensemble de données BigQuery dispose des autorisations appropriées pour autoriser le rédacteur d'exportations à stocker les entrées de journal.

  1. Cliquez sur l'ensemble de données auditlogs_dataset.

  2. Dans la barre d'outils "auditlogs_dataset", cliquez sur le menu déroulant Partager, puis sélectionnez Gérer les autorisations.

  3. Sur la page Partager les autorisations pour "auditlogs_dataset", développez la section Éditeur de données BigQuery.

  4. Vérifiez que le compte de service utilisé pour exporter les journaux figure dans la liste des autorisations. Le compte de service est semblable à celui-ci : service-xxxxxxxx@gcp-sa-logging.iam.gserviceaccount.com

    Cette autorisation est attribuée automatiquement lorsque les exportations de journaux sont configurées. Il s'agit donc d'un bon moyen de vérifier que les exportations de journaux ont été configurées.

  5. Cliquez sur Fermer pour fermer la fenêtre Partager l'ensemble de données.

  6. Dans le volet Explorateur classique, cliquez sur la flèche de développement située à côté de l'ensemble de données auditlogs_dataset pour afficher la table cloudaudit_googleapis_com_activity. Cette table contient les journaux exportés.

  7. Sélectionnez la table cloudaudit_googleapis_com_activity. Le schéma de la table s'affiche. Prenez le temps d'examiner le schéma et les détails de la table.

  8. Développez le menu déroulant Ouvrir dans et sélectionnez Requête SQL > Nouvel onglet.

query_drop_down

  1. Dans l'onglet Requête sans titre du générateur de requêtes, supprimez le texte existant, puis copiez et collez la commande suivante :
SELECT timestamp, resource.labels.instance_id, protopayload_auditlog.authenticationInfo.principalEmail, protopayload_auditlog.resourceName, protopayload_auditlog.methodName FROM `auditlogs_dataset.cloudaudit_googleapis_com_activity_*` WHERE PARSE_DATE('%Y%m%d', _TABLE_SUFFIX) BETWEEN DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY) AND CURRENT_DATE() AND resource.type = "gce_instance" AND operation.first IS TRUE AND protopayload_auditlog.methodName = "v1.compute.instances.delete" ORDER BY timestamp, resource.labels.instance_id LIMIT 1000;

Cette requête renvoie les utilisateurs ayant supprimé des machines virtuelles au cours des sept derniers jours :

  1. Cliquez sur Exécuter.

Au bout de quelques secondes, BigQuery renvoie tous les événements de suppression de machines virtuelles Compute Engine ayant eu lieu au cours des sept derniers jours. Vous devriez voir une entrée correspondant à l'activité générée dans les tâches précédentes avec le compte "Utilisateur 1". N'oubliez pas que BigQuery n'affiche que les activités ayant eu lieu après la création de l'exportation.

  1. Remplacez la requête précédente dans l'onglet Requête sans titre par la suivante :
SELECT timestamp, resource.labels.bucket_name, protopayload_auditlog.authenticationInfo.principalEmail, protopayload_auditlog.resourceName, protopayload_auditlog.methodName FROM `auditlogs_dataset.cloudaudit_googleapis_com_activity_*` WHERE PARSE_DATE('%Y%m%d', _TABLE_SUFFIX) BETWEEN DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY) AND CURRENT_DATE() AND resource.type = "gcs_bucket" AND protopayload_auditlog.methodName = "storage.buckets.delete" ORDER BY timestamp, resource.labels.instance_id LIMIT 1000;

Cette requête renvoie les utilisateurs ayant supprimé des buckets Cloud Storage au cours des sept derniers jours. Vous devriez voir deux entrées correspondant aux activités que vous avez générées dans les tâches précédentes en tant qu'utilisateur 1.

  1. Cliquez sur Exécuter.

BigQuery est très efficace pour analyser les journaux d'audit. Dans cette activité, vous avez seulement vu deux exemples d'interrogation de journaux d'audit.

Cliquez sur Vérifier ma progression pour valider la réalisation de cette tâche. Utiliser BigQuery pour analyser les journaux d'audit

Conclusion

Bravo ! Vous avez exécuté des requêtes dans l'explorateur de journaux. Vous avez ensuite exporté des journaux et créé un ensemble de données que vous avez analysé dans BigQuery.

Vous avez montré que vous pouviez utiliser les journaux d'audit et les filtrer par type d'activité malveillante, puis les analyser dans BigQuery pour repérer les menaces.

Terminer l'atelier

Avant de terminer l'atelier, assurez-vous d'avoir bien accompli toutes les tâches. Cliquez alors sur Terminer l'atelier, puis sur Envoyer.

Une fois l'atelier terminé, vous n'aurez plus accès à l'environnement de l'atelier ni au travail que vous avez effectué.

Copyright 2026 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms de société et de produit peuvent être des marques des sociétés auxquelles ils sont associés.

Avant de commencer

  1. Les ateliers créent un projet Google Cloud et des ressources pour une durée déterminée.
  2. Les ateliers doivent être effectués dans le délai imparti et ne peuvent pas être mis en pause. Si vous quittez l'atelier, vous devrez le recommencer depuis le début.
  3. En haut à gauche de l'écran, cliquez sur Démarrer l'atelier pour commencer.

Utilisez la navigation privée

  1. Copiez le nom d'utilisateur et le mot de passe fournis pour l'atelier
  2. Cliquez sur Ouvrir la console en navigation privée

Connectez-vous à la console

  1. Connectez-vous à l'aide des identifiants qui vous ont été attribués pour l'atelier. L'utilisation d'autres identifiants peut entraîner des erreurs ou des frais.
  2. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.
  3. Ne cliquez pas sur Terminer l'atelier, à moins que vous n'ayez terminé l'atelier ou que vous ne vouliez le recommencer, car cela effacera votre travail et supprimera le projet.

Ce contenu n'est pas disponible pour le moment

Nous vous préviendrons par e-mail lorsqu'il sera disponible

Parfait !

Nous vous contacterons par e-mail s'il devient disponible

Un atelier à la fois

Confirmez pour mettre fin à tous les ateliers existants et démarrer celui-ci

Utilisez la navigation privée pour effectuer l'atelier

Le meilleur moyen d'exécuter cet atelier consiste à utiliser une fenêtre de navigation privée. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.