Daten in Google Security Operations aufnehmen Google Cloud

Auf dieser Seite wird beschrieben, wie Sie die Datenaufnahme in Google SecOps aktivieren und deaktivieren. Google Cloud So können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen speichern, suchen und prüfen. Dabei kann es mehrere Monate oder länger dauern, je nach Datenaufbewahrungszeitraum.

Übersicht

Es gibt zwei Möglichkeiten, Daten an Google SecOps zu senden. Google Cloud Die richtige Option hängt vom Logtyp ab.

Option 1: Direkte Datenaufnahme

In Google Cloud kann ein spezieller Cloud Logging-Filter konfiguriert werden, um bestimmte Logtypen in Echtzeit an Google SecOps zu senden. Diese Protokolle werden von Google Cloud -Diensten generiert.

In Google Security Operations werden nur unterstützte Protokolltypen aufgenommen. Verfügbare Logtypen:

• Cloud-Audit-Logs
• Cloud NAT
• Cloud DNS
• Firewall der nächsten Generation
• Cloud Intrusion Detection System
• Cloud Load Balancing
• Cloud SQL
• Windows-Ereignisprotokolle
• Linux-Syslog
• Linux Sysmon
• Zeek
• Google Kubernetes Engine
• Audit-Daemon (auditd)
• Apigee
• reCAPTCHA Enterprise
• Cloud Run-Protokolle (GCP_RUN)

Weitere Informationen zu den einzelnen Logfiltern und zur Datenaufnahme finden Sie unter Logs in Google SecOps exportieren Google Cloud .

Du kannst auch Google Cloud Asset-Metadaten senden, die zur Kontextanreicherung verwendet werden. Weitere Informationen finden Sie unter Asset-Metadaten in Google SecOps exportieren. Google Cloud

Option 2: Google Cloud Speicher

Cloud Logging kann Logs auf geplante Weise an Cloud Storage by Google SecOps weiterleiten.

Weitere Informationen zum Konfigurieren von Cloud Storage für Google SecOps finden Sie unter Feedverwaltung: Cloud Storage.

Hinweise

Bevor Sie Google Cloud -Daten in eine Google SecOps-Instanz aufnehmen können, müssen Sie die folgenden Schritte ausführen:

1. Erteilen Sie die folgenden IAM-Rollen, die für den Zugriff auf den Google SecOps-Bereich erforderlich sind:

   • Chronicle Service Admin (roles/chroniclesm.admin): IAM-Rolle zum Ausführen aller Aktivitäten.
   • Chronicle Service Viewer (roles/chroniclesm.viewer): IAM-Rolle, um nur den Status der Aufnahme anzeigen zu lassen.
   • Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor): Erforderlich, um die Aufnahme von Cloud-Asset-Metadaten zu aktivieren.

2. Wenn Sie Cloud-Asset-Metadaten aktivieren möchten, müssen Sie die Organisation im Security Command Center einrichten. Weitere Informationen finden Sie unter Aktivierung auf Organisationsebene.

IAM-Rollen zuweisen

Sie können die erforderlichen IAM-Rollen entweder über die Google Cloud Console oder die gcloud-CLI zuweisen.

Führen Sie die folgenden Schritte aus, um IAM-Rollen mithilfe der Google Cloud Console zuzuweisen:

1. Melden Sie sich in der Google Cloud Organisation an, mit der Sie eine Verbindung herstellen möchten, und wechseln Sie mit Produkte > IAM und Verwaltung > IAM zum IAM-Bildschirm.

2. Wählen Sie auf dem Bildschirm IAM den Nutzer aus und klicken Sie auf Mitglied bearbeiten.

3. Klicken Sie im Bildschirm „Berechtigungen bearbeiten“ auf Weitere Rolle hinzufügen und suchen Sie nach Google SecOps, um die IAM-Rollen zu finden.

4. Nachdem Sie die Rollen zugewiesen haben, klicken Sie auf Speichern.

So weisen Sie IAM-Rollen mit der Google Cloud CLI zu:

1. Sie müssen in der richtigen Organisation angemeldet sein. Prüfen Sie dies mit dem Befehl gcloud init.

2. Führen Sie den folgenden Befehl aus, um mit gcloud die IAM-Rolle „Chronicle-Dienstadministrator“ zu gewähren:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Ersetzen Sie Folgendes:

   • ORGANIZATION_ID: die numerische Organisations-ID.
   • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

3. Führen Sie den folgenden Befehl aus, um die IAM-Rolle „Chronicle Service Viewer“ mit gcloud zu gewähren:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Wenn Sie die Rolle „Security Center-Administratorbearbeiter“ mit gcloud gewähren möchten, führen Sie den folgenden Befehl aus:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Direkte Datenaufnahme von Google Cloudaktivieren

Die Schritte zum Aktivieren der direkten Datenaufnahme von Google Cloud unterscheiden sich je nach Inhaber des Projekts, an das Ihre Google SecOps-Instanz gebunden ist.

• Wenn es an ein Projekt gebunden ist, dessen Inhaber und Administrator Sie sind, folgen Sie der Anleitung unter Aufnahme konfigurieren, wenn der Kunde Inhaber des Projekts ist. So können Sie die Datenaufnahme aus mehreren Google Cloud Organisationen konfigurieren.

• Wenn es an ein Projekt gebunden ist, dessen Inhaber und Administrator Google Cloud ist, folge der Anleitung unter Aufnahme konfigurieren, wenn das Projekt zu Google Cloudgehört.

Nachdem Sie die direkte Datenaufnahme konfiguriert haben, werden Ihre Google Cloud Daten an Google SecOps gesendet. Sie können die Analysefunktionen von Google SecOps verwenden, um sicherheitsrelevante Probleme zu untersuchen.

Datenaufnahme konfigurieren, wenn der Kunde Inhaber des Projekts ist

Führen Sie die folgenden Schritte aus, wenn Sie der Inhaber des Google Cloud -Projekts sind.

Sie können die direkte Datenaufnahme von mehreren Organisationen über dieselbe Konfigurationsseite auf Projektebene konfigurieren. Führen Sie die folgenden Schritte aus, um eine neue Konfiguration zu erstellen und eine vorhandene Konfiguration zu bearbeiten.

Wenn Sie eine vorhandene Google SecOps-Instanz so migrieren, dass sie an ein Projekt gebunden wird, dessen Inhaber Sie sind, und wenn vor der Migration die direkte Datenaufnahme konfiguriert wurde, wird auch die Konfiguration für die direkte Datenaufnahme migriert.

1. Rufen Sie in der Google Cloud Console die Seite Google SecOps > Aufnahmeeinstellungen auf.
   Zur Seite Google SecOps
2. Wählen Sie das Projekt aus, das mit Ihrer Google SecOps-Instanz verknüpft ist.

3. Wählen Sie im Menü Organisation die Organisation aus, aus der Protokolle exportiert werden sollen. Im Menü werden Organisationen angezeigt, auf die Sie Zugriff haben. Die Liste kann Organisationen enthalten, die nicht mit der Google SecOps-Instanz verknüpft sind. Sie können keine Organisation konfigurieren, die Daten an eine andere Google SecOps-Instanz sendet.

   

4. Klicken Sie im Bereich Google Cloud-Aufnahmeeinstellungen auf die Ein/Aus-Schaltfläche Daten an Google Security Operations senden, um das Senden von Protokollen an Google SecOps zu aktivieren.

5. Wählen Sie eine oder mehrere der folgenden Optionen aus, um die Art der an Google SecOps gesendeten Daten zu definieren:

   • Google Cloud Logging: Weitere Informationen zu dieser Option finden Sie unter Google Cloud Logs exportieren.
   • Cloud-Asset-Metadaten: Weitere Informationen zu dieser Option finden Sie unter Asset-Metadaten exportieren Google Cloud .
   • Security Command Center Premium-Ergebnisse: Weitere Informationen zu dieser Option finden Sie unter Security Command Center Premium-Ergebnisse exportieren.

6. Konfigurieren Sie unter Exportfiltereinstellungen für Kunden Exportfilter, um die an Google SecOps gesendeten Cloud Logging-Daten anzupassen. Weitere Informationen finden Sie unter Google Cloud Logtypen, die für den Export unterstützt werden.

7. Wenn Sie Protokolle aus einer zusätzlichen Organisation in dieselbe Google SecOps-Instanz aufnehmen möchten, wählen Sie die Organisation aus dem Menü Organisation aus und wiederholen Sie die Schritte zum Definieren der zu exportierenden Daten und Exportfilter. Im Menü Organisation sind mehrere Organisationen aufgeführt.

8. Informationen zum Exportieren von Daten zum Schutz sensibler Daten (früher Google Cloud Data Loss Prevention-Daten) nach Google SecOps finden Sie unter Daten zum Schutz sensibler Daten exportieren.

Datenaufnahme konfigurieren, wenn das Projekt zu Google Cloudgehört

Wenn Google Cloud Inhaber des Projekts ist, gehen Sie so vor, um die direkte Aufnahme von Daten aus Ihrer Google Cloud Organisation in Ihre Google SecOps-Instanz zu konfigurieren:

1. Rufen Sie in der Google Cloud Console den Tab Google SecOps > Übersicht > Aufnahme auf. Zum Tab „Aufnahme“ in Google SecOps
2. Klicken Sie auf die Schaltfläche Einstellungen für die Datenaufnahme der Organisation verwalten.
3. Wenn die Meldung Seite für Projekte nicht sichtbar angezeigt wird, wählen Sie eine Organisation aus und klicken Sie auf Auswählen.
4. Geben Sie Ihren einmaligen Zugriffscode in das Feld Einmaliger Google SecOps-Zugriffscode ein.
5. Klicken Sie auf das Kästchen Ich stimme den Nutzungsbedingungen für die Verwendung meiner Google Cloud Daten durch Google SecOps zu.
6. Klicken Sie auf Google SecOps verbinden.
7. Rufen Sie den Tab Globale Datenaufnahmeeinstellungen für die Organisation auf.

8. Wählen Sie die Art der gesendeten Daten aus, indem Sie eine oder mehrere der folgenden Optionen aktivieren:

   • Google Cloud Logging: Weitere Informationen zu dieser Option finden Sie unter Logs Google Cloud exportieren.
   • Cloud Asset-Metadaten Weitere Informationen zu dieser Option findest du unter Asset-Metadaten exportieren Google Cloud .
   • Security Command Center Premium-Ergebnisse: Weitere Informationen zu dieser Option finden Sie unter Security Command Center Premium-Ergebnisse exportieren.

9. Rufen Sie den Tab Exportfiltereinstellungen auf.

10. Konfigurieren Sie unter Exportfiltereinstellungen für Kunden Exportfilter, um die an Google SecOps gesendeten Cloud Logging-Daten anzupassen. Weitere Informationen finden Sie unter Google Cloud Logtypen, die für den Export unterstützt werden.

11. Informationen zum Exportieren von Daten zum Schutz sensibler Daten (früher Google Cloud Data Loss Prevention-Daten) nach Google SecOps finden Sie unter Daten zum Schutz sensibler Daten exportieren.

Google Cloud -Protokolle exportieren

Nachdem Sie Cloud Logging aktiviert haben, können Sie Protokolldaten für die unterstütztenGoogle Cloud Logtypen in Ihre Google SecOps-Instanz exportieren.

Wenn Sie Google Cloud Logs nach Google SecOps exportieren möchten, setzen Sie die Ein/Aus-Schaltfläche Cloud-Logs aktivieren auf Aktiviert.

Für den Export unterstützte Protokolltypen

Sie können den Exportfilter der Logs anpassen, die nach Google SecOps exportiert werden sollen. Sie können Logtypen ein- oder ausschließen, indem Sie die in der folgenden Liste aufgeführten unterstützten Exportfilter hinzufügen oder entfernen:

Sie können die folgenden Google Cloud Protokolltypen in Ihre Google SecOps-Instanz exportieren. Die folgende Liste ist nach Protokolltyp und dem entsprechenden Google SecOps-Aufnahmelabel organisiert:

• Cloud-Audit-Logs (GCP_CLOUDAUDIT):

  Dazu gehören: Administratoraktivitäts-, Systemereignis-, Access Transparency- und abgelehnte Richtlinien-Logs.

  • log_id("cloudaudit.googleapis.com/activity") (vom Standardfilter exportiert)
  • log_id("cloudaudit.googleapis.com/system_event") (vom Standardfilter exportiert)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")

• Cloud NAT-Logs (GCP_CLOUD_NAT):

  • log_id("compute.googleapis.com/nat_flows")

• Cloud DNS-Logs (GCP_DNS):

  • log_id("dns.googleapis.com/dns_queries") (vom Standardfilter exportiert)

• Firewall der nächsten Generation-Logs (GCP_FIREWALL):

  • log_id("compute.googleapis.com/firewall")

• GCP_IDS:

  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")

• GCP_LOADBALANCING:

  Dazu gehören Logs von Google Cloud Armor und Cloud Load Balancing.

  • log_id("requests")

• GCP_CLOUDSQL:

  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")

• NIX_SYSTEM:

  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")

• LINUX_SYSMON:

  • log_id("sysmon.raw")

• WINEVTLOG:

  • log_id("winevt.raw")
  • log_id("windows_event_log")

• BRO_JSON:

  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")

• KUBERNETES_NODE:

  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")

• AUDITD:

  • log_id("audit_log")

• GCP_APIGEE_X:

  • log_id("apigee.googleapis.com/ingress_instance")
  • log_id("apigee.googleapis.com")
  • log_id("apigee-logs")
  • log_id("apigee")
  • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"

• GCP_RECAPTCHA_ENTERPRISE:

  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")

• GCP_RUN:

  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")

• GCP_NGFW_ENTERPRISE:

  • log_id("networksecurity.googleapis.com/firewall_threat")

Einstellungen für Exportfilter anpassen

Standardmäßig werden Ihre Cloud-Audit-Logs (Administratoraktivitäten und Systemereignisse) und Cloud DNS-Logs an Ihre Google SecOps-Instanz gesendet. Sie können den Exportfilter jedoch anpassen, um bestimmte Protokolltypen ein- oder auszuschließen.

So definieren Sie einen benutzerdefinierten Filter für Ihre Protokolle:

1. Ermitteln Sie die Logs für Ihren benutzerdefinierten Filter mit dem Logbereichstool.

2. Kopieren Sie im Abschnitt Automatisch generierter Logfilter, der auf das Logbereichstool folgt, den generierten Code für den benutzerdefinierten Logfilter.

3. Rufen Sie in der Google Cloud Console die Seite Google SecOps auf und wählen Sie ein Projekt aus.
   Zur Seite Google SecOps
   

4. Starten Sie den Log-Explorer über den Link auf dem Tab Exportfiltereinstellungen.

5. Kopieren Sie die neue Abfrage in das Feld Abfrage und klicken Sie auf Abfrage ausführen, um sie zu testen.

6. Kopieren Sie die neue Abfrage in das Feld Log-Explorer > Abfrage und klicken Sie dann auf Abfrage ausführen, um sie zu testen.

7. Prüfen Sie, ob die übereinstimmenden Logs, die im Log-Explorer angezeigt werden, genau die sind, die Sie in Google SecOps exportieren möchten. Wenn der Filter fertig ist, kopieren Sie ihn in den Bereich Einstellungen für benutzerdefinierte Exportfilter für Google SecOps.

8. Kehren Sie auf der Seite Google SecOps zum Bereich Einstellungen für benutzerdefinierte Exportfilter zurück.

9. Klicken Sie im Feld Filter exportieren auf das Symbol Bearbeiten und fügen Sie den kopierten Filter in das Feld ein.

10. Klicken Sie auf Speichern.

    • Wenn die folgende Fehlermeldung angezeigt wird: „Mit dem angegebenen Filter sind möglicherweise nicht unterstützte Logtypen zulässig“, ist möglicherweise ein nicht unterstützter Logtyp im Exportfilter enthalten. Entfernen Sie den nicht unterstützten Logtyp aus dem Exportfilter. Fügen Sie nur Logtypen hinzu, die in der Liste Google Cloud für den Export unterstützte Logtypen aufgeführt sind.

    • Wenn das Speichern erfolgreich war, wird Ihr neuer benutzerdefinierter Filter auf alle neuen Logs angewendet, die in Ihre Google SecOps-Instanz exportiert werden.

    • Optional: Wenn Sie den Exportfilter auf die Standardversion zurücksetzen möchten, speichern Sie eine Kopie des benutzerdefinierten Filters und klicken Sie dann auf Zurücksetzen auf Standard.

Filter für Cloud-Audit-Logs optimieren

Von Cloud-Audit-Logs geschriebene Audit-Logs zum Datenzugriff können ein großes Datenvolumen ohne großen Wert für die Bedrohungserkennung generieren. Wenn Sie diese Protokolle an Google SecOps senden, sollten Sie Protokolle herausfiltern, die durch Routineaktivitäten generiert werden.

Mit dem folgenden Exportfilter werden Logs für den Datenzugriff erfasst und Ereignisse mit hoher Auslastung wie Lese- und Listenvorgänge in Cloud Storage und Cloud SQL ausgeschlossen:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Weitere Informationen zum Optimieren von Datenzugriffslogs, die von Cloud-Audit-Logs generiert werden, finden Sie unter Volume von Audit-Logs zum Datenzugriff verwalten.

Beispiele für Exportfilter

Die folgenden Exportfilterbeispiele veranschaulichen, wie Sie bestimmte Arten von Protokollen in den Export in Ihre Google SecOps-Instanz ein- oder ausschließen können.

Beispiel für einen Exportfilter: Zusätzliche Logtypen einschließen

Mit dem folgenden Exportfilter werden zusätzlich zu den Standardprotokollen auch Protokolle für die Zugriffstransparenz exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Beispiel für einen Exportfilter: Zusätzliche Protokolle aus einem bestimmten Projekt einschließen

Mit dem folgenden Exportfilter werden zusätzlich zu den Standardprotokollen auch Protokolle zur Zugriffstransparenz aus einem bestimmten Projekt exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Beispiel für einen Exportfilter: Zusätzliche Protokolle aus einem bestimmten Ordner einschließen

Mit dem folgenden Exportfilter werden zusätzlich zu den Standardprotokollen Protokolle zur Zugriffstransparenz aus einem bestimmten Ordner exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Beispiel für einen Exportfilter: Logs aus einem bestimmten Projekt ausschließen

Mit dem folgenden Exportfilter werden die Standardprotokolle aus der gesamten Google Cloud Organisation mit Ausnahme eines bestimmten Projekts exportiert:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Google Cloud Asset-Metadaten exportieren

Sie können Ihre Google Cloud Asset-Metadaten aus Cloud Asset Inventory nach Google SecOps exportieren. Diese Asset-Metadaten stammen aus Ihrem Cloud Asset Inventory und enthalten Informationen zu Ihren Assets, Ressourcen und Identitäten, darunter:

• Umgebung
• Ort
• Zone
• Hardwaremodelle
• Zugriffssteuerungsbeziehungen zwischen Ressourcen und Identitäten

Die folgenden Arten von Google Cloud Asset-Metadaten werden in Ihre Google SecOps-Instanz exportiert:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Im Folgenden findest du Beispiele für Google Cloud Asset-Metadaten:

• Name der Anwendung: Google-iamSample/0.1
• Projektname: projects/my-project

Wenn Sie Google Cloud Asset-Metadaten nach Google SecOps exportieren möchten, aktivieren Sie die Option Cloud Asset-Metadaten.

Weitere Informationen zu Kontextparsern finden Sie unter Google SecOps-Kontextparser.

Security Command Center-Ergebnisse exportieren

Sie können die Ergebnisse der Premium-Ereignisbedrohungserkennung von Security Command Center und alle anderen Ergebnisse nach Google SecOps exportieren.

Weitere Informationen zu ETD-Ergebnissen finden Sie unter Event Threat Detection – Übersicht.

Wenn Sie Ihre Security Command Center Premium-Ergebnisse nach Google SecOps exportieren möchten, setzen Sie den Schalter Security Command Center Premium-Ergebnisse auf Aktiviert.

Daten zum Schutz sensibler Daten exportieren

Sie können Ihre Daten zum Schutz sensibler Daten in Google SecOps exportieren.

So nimmst du Asset-Metadaten für den Schutz sensibler Daten (DLP_CONTEXT) auf:

1. Aktivieren Sie die Datenaufnahme für Google Cloud , indem Sie den vorherigen Abschnitt in diesem Dokument ausführen.
2. Konfigurieren Sie den Schutz sensibler Daten so, dass Daten profiliert werden.
3. Legen Sie in der Scankonfiguration fest, dass Datenprofile in Google SecOps veröffentlicht werden sollen.

Ausführliche Informationen zum Erstellen von Datenprofilen für BigQuery-Daten finden Sie in der Dokumentation zum Schutz sensibler Daten.

Google Cloud Datenaufnahme deaktivieren

Die Schritte zum Deaktivieren der direkten Datenaufnahme von Google Cloud unterscheiden sich je nach Konfiguration von Google SecOps. Wählen Sie eine der folgenden Optionen aus:

• Wenn Ihre Google SecOps-Instanz an ein Projekt gebunden ist, dessen Inhaber und Administrator Sie sind, gehen Sie so vor:

  1. Wählen Sie das Projekt aus, das mit Ihrer Google SecOps-Instanz verknüpft ist.
  2. Rufen Sie in der Google Cloud Console unter Google SecOps den Tab Aufnahme auf.
     Zur Seite Google SecOps
  3. Wählen Sie im Menü Organisation die Organisation aus, aus der Protokolle exportiert werden sollen.
  4. Stellen Sie die Ein/Aus-Schaltfläche Daten werden an Google Security Operations gesendet auf Deaktiviert.
  5. Wenn Sie den Datenexport aus mehreren Organisationen konfiguriert haben und diese auch deaktivieren möchten, wiederholen Sie diese Schritte für jede Organisation.

• Wenn Ihre Google SecOps-Instanz an ein Projekt gebunden ist, Google Cloud das Sie besitzen und verwalten, gehen Sie so vor:

  1. Rufen Sie in der Google Cloud Console die Seite Google SecOps > Aufnahme auf.
     Zur Seite Google SecOps
  2. Wählen Sie im Ressourcenmenü die Organisation aus, die mit Ihrer Google SecOps-Instanz verknüpft ist und von der Sie Daten aufnehmen.
  3. Setzen Sie ein Häkchen in das Kästchen Ich möchte die Verbindung zu Google SecOps trennen und das Senden von Google Cloud Logs an Google SecOps beenden.
  4. Klicken Sie auf Google SecOps-Verbindung trennen.

Datenaufnahmerate steuern

Wenn die Datenaufnahmerate für einen Tenant einen bestimmten Grenzwert erreicht, schränkt Google Security Operations die Aufnahmerate für neue Datenfeeds ein, um zu verhindern, dass eine Quelle mit einer hohen Aufnahmerate die Aufnahmerate einer anderen Datenquelle beeinträchtigt. In diesem Fall kommt es zu einer Verzögerung, aber es gehen keine Daten verloren. Der Grenzwert wird durch das Aufnahmevolumen und den Nutzungsverlauf des Tenants bestimmt.

Sie können eine Erhöhung des Ratenlimits über Cloud Customer Care anfordern.

Fehlerbehebung

• Wenn die Beziehungen zwischen Ressourcen und Identitäten in Ihrer Google SecOps-Instanz fehlen, deaktivieren Sie die direkte Aufnahme von Protokolldaten in Google SecOps und aktivieren Sie sie dann wieder.
• Google Cloud Asset-Metadaten werden regelmäßig in Google SecOps aufgenommen. Es kann einige Stunden dauern, bis die Änderungen in der Google SecOps-Benutzeroberfläche und in den APIs angezeigt werden.

• Wenn Sie dem Exportfilter einen Logtyp hinzufügen, wird möglicherweise die folgende Meldung angezeigt: „Mit dem angegebenen Filter sind möglicherweise nicht unterstützte Logtypen zulässig“.

  Problemumgehung: Fügen Sie dem Exportfilter nur Logtypen hinzu, die in der folgenden Liste aufgeführt sind: Google Cloud Für den Export unterstützte Logtypen.

Nächste Schritte

• Öffnen Sie Ihre Google SecOps-Instanz mit der kundenspezifischen URL, die von Ihrem Google SecOps-Ansprechpartner bereitgestellt wurde.
• Weitere Informationen zu Google SecOps

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten