Google Workspace-Daten an Google Security Operations senden
Mit Google Security Operations lassen sich Insiderrisiken Google Workspace-Konto so konfigurieren, dass Daten an ein Google Security Operations-Instanz.
Nur Logs zu Google Workspace-Aktivitäten (WORKSPACE_ACTIVITY
) können aufgenommen werden
zu Ihrer Google Security Operations-Instanz. Google Security Operations erlaubt jedoch
Aufnahme anderer Arten von Google Workspace-Daten (z. B. WORKSPACE_USERS
)
und WORKSPACE_GROUPS
) mithilfe anderer Aufnahmemethoden wie Feed
Verwaltung. Weitere Informationen
Weitere Informationen zum Konfigurieren eines Feeds in Google Security Operations, um Google Workspace aufzunehmen
Logs
Sie benötigen die Google Workspace Enterprise Standard- oder Enterprise Plus-Version, um auf diese Integration zugreifen zu können. Andernfalls können Sie die Methode zur Datenaufnahme per Feed verwenden, um Google Workspace-Aktivitätsprotokolle aufzunehmen.
Google Security Operations nimmt Google Workspace-Protokolle aus den folgenden Anwendungen:
- Access Transparency
- Konten
- Admin-Konsole
- Google Kalender
- Google Chat
- Google Chrome
- Classroom
- Google Cloud
- Access Context Manager
- Looker Studio
- Gerät
- Google Drive
- Gmail
- Google Groups
- Jamboard-Verwaltung
- LDAP
- Anmeldung
- Google Meet
- OAuth
- Password Vault
- Logging von Firewallregeln
- SAML
- Nutzerkonten
- Voice
Hinweise
Führen Sie zuerst die folgenden Schritte aus:
Wenn Sie keine Google Security Operations-Instanz haben, erstellen Sie eine neue. Weitere Informationen Weitere Informationen finden Sie unter Onboarding and Migrate a Google Security Operations (Google Security Operations-Konto migrieren und migrieren). Instanz.
Kopieren Sie Ihre Google Workspace-Kundennummer vom Google Workspace-Administrator .
Google Security Operations-Instanz-ID und -Token abrufen
So rufen Sie die Instanz-ID und das Token für Google Security Operations in Ihrem Google Security Operations-Konto ab:
- Öffnen Sie Ihre Google Security Operations-Instanz.
- Wählen Sie in der Navigationsleiste Einstellungen aus.
- Klicken Sie auf Google Workspace.
- Geben Sie Ihre Google Workspace-Kundennummer ein.
- Klicken Sie auf Generate Token (Token generieren).
- Kopieren Sie das Token und die ID Ihrer Google Security Operations-Instanz (auf demselben Seite).
Google Workspace mit Ihrer Google Security Operations-Instanz verknüpfen
So senden Sie Ihre Google Workspace-Daten an Ihre Google Security Operations-Instanz: Führen Sie in der Admin-Konsole die folgenden Schritte aus:
- Öffnen Sie die Admin-Konsole von Google Workspace.
- Klicken Sie auf Berichterstellung.
- Klicken Sie auf Datenintegrationen.
- Wählen Sie Chronicle-Export aus und klicken Sie dann auf Mit Chronicle verbinden. Dieses öffnet die Seite Mit Chronicle verbinden.
- Fügen Sie das aus Ihrem Google Security Operations-Konto kopierte Token in das angegebene Feld ein. Klicken Sie auf Verbinden. Für die Option „Audit-Daten in Google Security Operations exportieren“ sollte jetzt An angezeigt werden. Ihr Google Workspace-Konto ist jetzt verknüpft mit Ihre Google Security Operations-Instanz an und sendet Google Workspace-Daten.
- Klicken Sie auf Zu Chronicle, um Ihre Google Security Operations-Instanz zu öffnen und zu beginnen. um Ihre Google Workspace-Daten aus Google Security Operations im Blick zu behalten. Weitere Informationen erhalten Sie unter Datenaufnahme und -status Dashboard.
Verbindung zwischen Google Workspace und Google Security Operations trennen
So trennen Sie Ihr Google Workspace-Konto von Google Security Operations: Instanz führen Sie die folgenden Schritte aus:
- Öffnen Sie die Google Workspace-Admin-Konsole.
- Klicken Sie auf Datenintegrationen.
- Klicken Sie im Bereich Chronicle-Export auf Verbindung zu Chronicle trennen. Unter Audit-Daten nach Chronicle exportieren sollte jetzt Aus angezeigt werden.
Nächste Schritte
Im nächsten Schritt aktivieren Sie die Regeln für die Cloud Threats-Kategorie“ legt wurde entwickelt, um Bedrohungen mithilfe von Google Workspace-Daten zu identifizieren.