Google Workspace-Daten an Google Security Operations senden

Unterstützt in:

Mit Google Security Operations lassen sich Insiderrisiken Google Workspace-Konto so konfigurieren, dass Daten an ein Google Security Operations-Instanz.

Nur Logs zu Google Workspace-Aktivitäten (WORKSPACE_ACTIVITY) können aufgenommen werden zu Ihrer Google Security Operations-Instanz. Google Security Operations erlaubt jedoch Aufnahme anderer Arten von Google Workspace-Daten (z. B. WORKSPACE_USERS) und WORKSPACE_GROUPS) mithilfe anderer Aufnahmemethoden wie Feed Verwaltung. Weitere Informationen Weitere Informationen zum Konfigurieren eines Feeds in Google Security Operations, um Google Workspace aufzunehmen Logs

Sie benötigen die Google Workspace Enterprise Standard- oder Enterprise Plus-Version, um auf diese Integration zugreifen zu können. Andernfalls können Sie die Methode zur Datenaufnahme per Feed verwenden, um Google Workspace-Aktivitätsprotokolle aufzunehmen.

Google Security Operations nimmt Google Workspace-Protokolle aus den folgenden Anwendungen:

  • Access Transparency
  • Konten
  • Admin-Konsole
  • Google Kalender
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Gerät
  • Google Drive
  • Gmail
  • Google Groups
  • Jamboard-Verwaltung
  • LDAP
  • Anmeldung
  • Google Meet
  • OAuth
  • Password Vault
  • Logging von Firewallregeln
  • SAML
  • Nutzerkonten
  • Voice

Hinweise

Führen Sie zuerst die folgenden Schritte aus:

  1. Wenn Sie keine Google Security Operations-Instanz haben, erstellen Sie eine neue. Weitere Informationen Weitere Informationen finden Sie unter Onboarding and Migrate a Google Security Operations (Google Security Operations-Konto migrieren und migrieren). Instanz.

  2. Kopieren Sie Ihre Google Workspace-Kundennummer vom Google Workspace-Administrator .

Google Security Operations-Instanz-ID und -Token abrufen

So rufen Sie die Instanz-ID und das Token für Google Security Operations in Ihrem Google Security Operations-Konto ab:

  1. Öffnen Sie Ihre Google Security Operations-Instanz.
  2. Wählen Sie in der Navigationsleiste Einstellungen aus.
  3. Klicken Sie auf Google Workspace.
  4. Geben Sie Ihre Google Workspace-Kundennummer ein.
  5. Klicken Sie auf Generate Token (Token generieren).
  6. Kopieren Sie das Token und die ID Ihrer Google Security Operations-Instanz (auf demselben Seite).

So senden Sie Ihre Google Workspace-Daten an Ihre Google Security Operations-Instanz: Führen Sie in der Admin-Konsole die folgenden Schritte aus:

  1. Öffnen Sie die Admin-Konsole von Google Workspace.
  2. Klicken Sie auf Berichterstellung.
  3. Klicken Sie auf Datenintegrationen.
  4. Wählen Sie Chronicle-Export aus und klicken Sie dann auf Mit Chronicle verbinden. Dieses öffnet die Seite Mit Chronicle verbinden.
  5. Fügen Sie das aus Ihrem Google Security Operations-Konto kopierte Token in das angegebene Feld ein. Klicken Sie auf Verbinden. Für die Option „Audit-Daten in Google Security Operations exportieren“ sollte jetzt An angezeigt werden. Ihr Google Workspace-Konto ist jetzt verknüpft mit Ihre Google Security Operations-Instanz an und sendet Google Workspace-Daten.
  6. Klicken Sie auf Zu Chronicle, um Ihre Google Security Operations-Instanz zu öffnen und zu beginnen. um Ihre Google Workspace-Daten aus Google Security Operations im Blick zu behalten. Weitere Informationen erhalten Sie unter Datenaufnahme und -status Dashboard.

Verbindung zwischen Google Workspace und Google Security Operations trennen

So trennen Sie Ihr Google Workspace-Konto von Google Security Operations: Instanz führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Google Workspace-Admin-Konsole.
  2. Klicken Sie auf Datenintegrationen.
  3. Klicken Sie im Bereich Chronicle-Export auf Verbindung zu Chronicle trennen. Unter Audit-Daten nach Chronicle exportieren sollte jetzt Aus angezeigt werden.

Nächste Schritte

Im nächsten Schritt aktivieren Sie die Regeln für die Cloud Threats-Kategorie“ legt wurde entwickelt, um Bedrohungen mithilfe von Google Workspace-Daten zu identifizieren.