Google Cloud-Daten in Google Security Operations aufnehmen

Auf dieser Seite wird beschrieben, wie Sie die Aufnahme Ihrer Google Cloud-Daten in Google Security Operations aktivieren und deaktivieren. Mit Google Security Operations können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen speichern, suchen und prüfen. Dabei kann es mehrere Monate oder länger dauern, je nach Datenaufbewahrungszeitraum.

Übersicht

Es gibt zwei Möglichkeiten, Google Cloud-Daten an Google Security Operations zu senden. Die Auswahl der richtigen Option hängt vom Logtyp ab.

Option 1: Direkte Aufnahme

In Google Cloud kann ein spezieller Cloud Logging-Filter konfiguriert werden, um bestimmte Logtypen in Echtzeit an Google Security Operations zu senden. Diese Protokolle werden von Google Cloud-Diensten generiert.

Zu den verfügbaren Logtypen gehören:

• Cloud-Audit-Logs
• Cloud NAT
• Cloud DNS
• Firewall der nächsten Generation
• Cloud Intrusion Detection System
• Cloud Load Balancing
• Cloud SQL
• Windows-Ereignisprotokolle
• Linux-Syslog
• Linux Sysmon
• Zeek
• Google Kubernetes Engine
• Audit-Daemon (auditd)
• Apigee
• reCAPTCHA Enterprise
• Cloud Run-Logs (GCP_RUN)

Verwenden Sie Option 2, um Compute Engine- oder GKE-Anwendungslogs (Google Kubernetes Engine) wie Apache, Nginx oder IIS zu erfassen. Reichen Sie außerdem ein Support-Ticket bei Google Security Operations ein, um Feedback für den zukünftigen Support über die direkte Datenaufnahme (Option 1) zu geben.

Informationen zu bestimmten Logfiltern und weitere Details zur Datenaufnahme finden Sie unter Google Cloud-Logs in Google Security Operations exportieren.

Sie können auch Google Cloud-Asset-Metadaten senden, die zur Kontextanreicherung verwendet werden. Weitere Informationen finden Sie unter Google Cloud-Asset-Metadaten nach Google Security Operations exportieren.

Option 2: Google Cloud Storage

Cloud Logging kann Logs an Cloud Storage weiterleiten, damit sie von Google Security Operations nach einem Zeitplan abgerufen werden.

Weitere Informationen zum Konfigurieren von Cloud Storage für Google Security Operations finden Sie unter Feedverwaltung: Cloud Storage.

Hinweise

Bevor Sie Google Cloud-Daten in eine Google Security Operations-Instanz aufnehmen können, müssen Sie die folgenden Schritte ausführen:

1. Erteilen Sie die folgenden IAM-Rollen, die für den Zugriff auf den Bereich „Google Security Operations“ erforderlich sind:

   • Chronicle Service Admin (roles/chroniclesm.admin): IAM-Rolle für alle Aktivitäten.
   • Chronicle Service Viewer (roles/chroniclesm.viewer): IAM-Rolle zum Ansehen des Status der Aufnahme.
   • Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor): Erforderlich, um die Aufnahme von Cloud-Asset-Metadaten zu aktivieren.

2. Wenn Sie Cloud Asset Metadata aktivieren möchten, müssen Sie auch Folgendes aktivieren: Standard-, Security Command Center Premium- oder Security Command Center Enterprise-Stufe. Weitere Informationen finden Sie unter Übersicht über die Aktivierung auf Organisationsebene.

IAM-Rollen zuweisen

Sie können die erforderlichen IAM-Rollen entweder über die Google Cloud Console oder die gcloud CLI gewähren.

Führen Sie die folgenden Schritte aus, um IAM-Rollen mithilfe der Google Cloud Console zuzuweisen:

1. Melden Sie sich bei der Google Cloud-Organisation an, zu der Sie eine Verbindung herstellen möchten, und rufen Sie den IAM-Bildschirm über Produkte > IAM und Verwaltung > IAM

2. Wählen Sie auf dem Bildschirm IAM den Nutzer aus und klicken Sie auf Mitglied bearbeiten.

3. Klicken Sie auf dem Bildschirm „Berechtigungen bearbeiten“ auf Weitere Rolle hinzufügen und suchen Sie nach „Google Security Operations“, um die IAM-Rollen zu finden.

4. Nachdem Sie die Rollen zugewiesen haben, klicken Sie auf Speichern.

So weisen Sie IAM-Rollen mit der Google Cloud CLI zu:

1. Sie müssen in der richtigen Organisation angemeldet sein. Prüfen Sie dies mit dem Befehl gcloud init.

2. Führen Sie den folgenden Befehl aus, um die IAM-Rolle Chronicle Service Admin mit gcloud zu gewähren:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Ersetzen Sie Folgendes:

   • ORGANIZATION_ID: die numerische Organisations-ID.
   • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

3. Führen Sie den folgenden Befehl aus, um die IAM-Rolle Chronicle Service Viewer mit gcloud zu gewähren:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Führen Sie den folgenden Befehl aus, um mit gcloud die Rolle „Sicherheitscenter-Administratorbearbeiter“ zu gewähren:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Direkte Aufnahme aus Google Cloud aktivieren

Die Schritte zum Aktivieren der direkten Aufnahme aus Google Cloud unterscheiden sich je nach zur Inhaberschaft des Projekts, an das Ihre Google Security Operations-Instanz gebunden ist.

• Wenn es an ein Projekt gebunden ist, dessen Inhaber und Administrator Sie sind, folgen Sie der Anleitung unter Aufnahme konfigurieren, wenn das Projekt dem Kunden gehört. So können Sie die Datenaufnahme aus mehreren Google Cloud-Organisationen konfigurieren.

• Ist sie an ein Projekt gebunden, das Google Cloud besitzt und verwaltet, Führen Sie die Schritte unter Aufnahme konfigurieren, wenn ein Projekt zu Google Cloud gehört aus.

Nachdem Sie die direkte Aufnahme konfiguriert haben, werden Ihre Google Cloud-Daten an Google Security Operations gesendet. Sie können die Analysefunktionen von Google Security Operations verwenden, um sicherheitsrelevante Probleme zu untersuchen.

Aufnahme bei Projekten des Kunden konfigurieren

Führen Sie die folgenden Schritte aus, wenn Sie der Inhaber des Google Cloud-Projekts sind.

Sie können die direkte Aufnahme mehrerer Organisationen auf derselben Projektebene konfigurieren Konfigurationsseite aufrufen. Führen Sie die folgenden Schritte aus, um eine neue Konfiguration zu erstellen und eine die vorhandene Konfiguration.

Wenn Sie eine vorhandene Google Security Operations-Instanz so migrieren, dass sie an ein Projekt gebunden wird, dessen Inhaber Sie sind, Wenn die direkte Aufnahme vor der Migration konfiguriert wurde, ist sie ebenfalls migriert.

1. Rufen Sie Google SecOps auf > Seite Aufnahmeeinstellungen in der Google Cloud Console.
   Zur Seite „Google SecOps“
2. Wählen Sie das Projekt aus, das an Ihre Google Security Operations-Instanz gebunden ist.

3. Wählen Sie im Menü Organisation die Organisation aus, aus der Protokolle exportiert werden sollen. Im Menü werden Organisationen angezeigt, für die Sie die Zugriffsberechtigung haben. Die Liste kann Organisationen enthalten, die nicht mit der Google SecOps-Instanz verknüpft sind. Sie können keine Organisation konfigurieren, die Daten an eine andere Google SecOps-Instanz sendet.

   

4. Klicken Sie im Abschnitt Google Cloud-Aufnahmeeinstellungen auf den Schalter Daten an Google Security Operations senden, um das Senden von Logs an Google Security Operations zu aktivieren.

5. Wählen Sie eine oder mehrere der folgenden Optionen aus, um den Typ der Daten zu definieren, die an Google Security Operations gesendet werden:

   • Google Cloud Logging: Weitere Informationen zu dieser Option finden Sie unter Exportieren Sie Google Cloud-Logs.
   • Cloud-Asset-Metadaten: Weitere Informationen zu dieser Option finden Sie unter Google Cloud-Asset-Metadaten exportieren.
   • Security Command Center Premium-Ergebnisse: Weitere Informationen zu dieser Option finden Sie unter Security Command Center Premium-Ergebnisse exportieren.

6. Legen Sie im Bereich Filtereinstellungen für Kundenexport Folgendes fest: Exportfilter, die Cloud Logging anpassen nach Google Security Operations exportierte Daten. Siehe Google Cloud-Logs exportieren für die zu exportierenden Logdatentypen.

7. So nehmen Sie Logs aus einer weiteren Organisation in dieselbe Google Security Operations-Instanz auf: wählen Sie im Menü Organisation die gewünschte Organisation aus und wiederholen Sie den Vorgang. Schritte zum Definieren des Datentyps für den Export und den Export von Filtern. Im Menü Organisation werden mehrere Organisationen aufgeführt.

8. Informationen zum Exportieren von Google Cloud Cloud Data Loss Prevention-Daten nach Google Security Operations finden Sie unter Daten von Google Cloud Cloud Data Loss Prevention nach Google Security Operations exportieren

Aufnahme konfigurieren, wenn ein Projekt zu Google Cloud gehört

Wenn das Projekt zu Google Cloud gehört, gehen Sie so vor, um die direkte Aufnahme von Daten aus Ihrer Google Cloud-Organisation in Ihre Google Security Operations-Instanz zu konfigurieren:

1. Rufen Sie Google SecOps auf > Übersicht > Tab Aufnahme in der Google Cloud Console. Zum Tab „Google SecOps-Datenaufnahme“
2. Klicken Sie auf die Schaltfläche Aufnahmeeinstellungen der Organisation verwalten.
3. Wenn die Meldung Seite ist für Projekte nicht sichtbar angezeigt wird, wählen Sie eine Organisation und klicken Sie dann auf Auswählen.
4. Geben Sie Ihren einmaligen Zugriffscode in das Feld Einmaliger Google Security Operations-Zugriffscode ein.
5. Aktivieren Sie das Kontrollkästchen Ich stimme den Nutzungsbedingungen von Nutzung meiner Google Cloud-Daten durch Google Security Operations
6. Klicken Sie auf Connect Google SecOps.
7. Rufen Sie den Tab Globale Aufnahmeeinstellungen der Organisation auf.

8. Wählen Sie den Datentyp aus, der gesendet werden soll, indem Sie eine oder mehrere der folgenden Optionen aktivieren:

   • Google Cloud Logging: Weitere Informationen zu dieser Option finden Sie unter Google Cloud-Logs exportieren.
   • Cloud-Asset-Metadaten Weitere Informationen zu dieser Option finden Sie unter Exportieren Sie Google Cloud-Asset-Metadaten.
   • Sicherheitscenter Premium-Ergebnisse: Weitere Informationen zu dieser Option finden Sie unter Sicherheitscenter Premium-Ergebnisse exportieren.

9. Wechseln Sie zum Tab Filtereinstellungen exportieren.

10. Legen Sie im Bereich Filtereinstellungen für Kundenexport Folgendes fest: Exportfilter, die Cloud Logging anpassen nach Google Security Operations exportierte Daten. Siehe Google Cloud-Logs exportieren für die exportierten Arten von Logdaten.

11. Informationen zum Exportieren von Google Cloud Cloud Data Loss Prevention-Daten nach Google Security Operations finden Sie unter Daten von Google Cloud Cloud Data Loss Prevention nach Google Security Operations exportieren

Google Cloud-Logs exportieren

Nachdem Sie Cloud Logging aktiviert haben, können Sie die folgenden Arten von Google Cloud-Daten an Ihre Google Security Operations-Instanz, aufgelistet nach Logtyp und Google Security Operations-Aufnahmelabel:

• Cloud-Audit-Logs(GCP_CLOUDAUDIT): Dazu gehören Logs zu Administratoraktivitäten, Systemereignissen, Access Transparency und Richtlinienverstößen.
  • log_id("cloudaudit.googleapis.com/activity") (durch den Standardfilter exportiert)
  • log_id("cloudaudit.googleapis.com/system_event") (durch den Standardfilter exportiert)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")
• Cloud NAT-Logs(GCP_CLOUD_NAT):
  • log_id("compute.googleapis.com/nat_flows")
• Cloud DNS-Logs (GCP_DNS):
  • log_id("dns.googleapis.com/dns_queries") (durch den Standardfilter exportiert)
• Firewalllogs der nächsten Generation(GCP_FIREWALL):
  • log_id("compute.googleapis.com/firewall")
• GCP_IDS:
  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")
• GCP_LOADBALANCING:
  • log_id("requests") Dazu gehören Logs aus Google Cloud Armor und Cloud Load Balancing
• GCP_CLOUDSQL:
  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")
• NIX_SYSTEM:
  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")
• LINUX_SYSMON:
  • log_id("sysmon.raw")
• WINEVTLOG:
  • log_id("winevt.raw")
  • log_id("windows_event_log")
• BRO_JSON:
  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")
• KUBERNETES_NODE:
  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")
• AUDITD:
  • log_id("audit_log")
• GCP_APIGEE_X:
  • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
• GCP_RECAPTCHA_ENTERPRISE:
  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")
• GCP_RUN:
  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")
• GCP_NGFW_ENTERPRISE:
  • log_id("networksecurity.googleapis.com/firewall_threat")

Um Google Cloud-Logs nach Google Security Operations zu exportieren, setzen Sie die Ein/Aus-Schaltfläche Cloud-Logs aktivieren auf Aktiviert. Die unterstützten Google Cloud-Logtypen können in Ihre Google Security Operations-Instanz exportiert werden.

Best Practices zur Verwendung von Logfiltern finden Sie unter Sicherheitsloganalysen in Google Cloud.

Filtereinstellungen exportieren

Einstellungen für benutzerdefinierte Exportfilter

Standardmäßig werden Ihre Cloud-Audit-Logs (Administratoraktivität und Systemereignis) und Cloud DNS Protokolle werden an Ihre Google Security Operations-Instanz gesendet. Sie können jedoch den Exportfilter, um bestimmte Logtypen ein- oder auszuschließen. Der Exportfilter Diese basieren auf der Logging-Abfragesprache von Google.

So definieren Sie einen benutzerdefinierten Filter für Ihre Logs:

1. Definieren Sie Ihren Filter, indem Sie mithilfe der Methode Logging-Abfragesprache. Unter Logging-Abfragesprache finden Sie Informationen zu wie diese Filterart definiert wird.

2. Rufen Sie in der Google Cloud Console die Seite „Google SecOps“ auf. und wählen Sie ein Projekt aus.
   Zur Google Security Operations-Seite
   

3. Öffnen Sie den Log-Explorer über den Link auf dem Tab Export Filter Settings (Exportfiltereinstellungen).

4. Kopieren Sie die neue Abfrage in das Feld Abfrage und klicken Sie auf Abfrage ausführen, um sie zu testen.

5. Kopieren Sie die neue Abfrage in das Feld Log-Explorer > Abfrage und klicken Sie dann auf Abfrage ausführen, um sie zu testen.

6. Prüfen Sie, ob die im Log-Explorer angezeigten übereinstimmenden Logs genau sind was Sie in Google Security Operations exportieren möchten. Wenn der Filter bereit ist, kopieren Sie ihn in den Abschnitt Custom export filter settings (Benutzerdefinierte Exportfiltereinstellungen) für Google Security Operations.

7. Kehren Sie auf der Seite Google SecOps zum Abschnitt Filtereinstellungen für benutzerdefinierten Export zurück.

   Bereich mit den Einstellungen für benutzerdefinierten Exportfilter

8. Klicken Sie neben dem Feld Filter exportieren auf das Bearbeitungssymbol und fügen Sie den Filter in das Feld ein.

9. Klicken Sie auf Speichern. Der neue benutzerdefinierte Filter wird auf alle neuen Logs angewendet, die in Ihre Google Security Operations-Instanz exportiert wurden.

10. Sie können den Exportfilter auf die Standardversion zurücksetzen, indem Sie auf Auf Standard zurücksetzen klicken. Speichern Sie zuerst eine Kopie Ihres benutzerdefinierten Filters.

Cloud-Audit-Log-Filter abstimmen

Von Cloud-Audit-Logs geschriebene Datenzugriffslogs können ein großes Datenvolumen ohne großen Wert für die Bedrohungserkennung generieren. Wenn Sie diese Protokolle an Google Security Operations senden, sollten Sie Protokolle herausfiltern, die durch Routineaktivitäten generiert wurden.

Mit dem folgenden Exportfilter werden Datenzugriffslogs erfasst. Ereignisse mit hohem Volumen wie Lese- und Listenvorgänge von Cloud Storage und Cloud SQL werden dabei ausgeschlossen:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Weitere Informationen zum Abstimmen von Datenzugriffslogs, die von Cloud-Audit-Logs generiert werden, finden Sie unter Volumen der Audit-Logs zum Datenzugriff verwalten.

Beispiele für Exportfilter

Die folgenden Exportfilterbeispiele veranschaulichen, wie Sie bestimmte Arten von Logs in Ihre Google Security Operations-Instanz ein- oder ausschließen können.

Beispiel für Exportfilter: Zusätzliche Logtypen einschließen

Mit dem folgenden Exportfilter werden zusätzlich zu den Standardprotokollen auch Protokolle für die Zugriffstransparenz exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Beispiel für einen Exportfilter: Zusätzliche Protokolle aus einem bestimmten Projekt einschließen

Mit dem folgenden Exportfilter werden Access Transparency-Logs aus einem bestimmten Projekt zusätzlich zu den Standardlogs exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Beispiel für einen Exportfilter: Zusätzliche Logs aus einem bestimmten Ordner einschließen

Mit dem folgenden Exportfilter werden Access Transparency-Logs zusätzlich zu den Standardlogs aus einem bestimmten Ordner exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Beispiel für einen Exportfilter: Logs aus einem bestimmten Projekt ausschließen

Mit dem folgenden Exportfilter werden die Standardlogs aus der gesamten Google Cloud-Organisation mit Ausnahme eines bestimmten Projekts exportiert:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Google Cloud-Asset-Metadaten exportieren

Sie können Ihre Google Cloud-Asset-Metadaten aus Cloud Asset Inventory nach Google Security Operations exportieren. Diese Asset-Metadaten stammen aus Ihrem Cloud Asset Inventory und enthalten Informationen zu Ihren Assets, Ressourcen und Identitäten, darunter:

• Umgebung
• Ort
• Zone
• Hardwaremodelle
• Zugriffskontrollbeziehungen zwischen Ressourcen und Identitäten

Die folgenden Arten von Google Cloud-Asset-Metadaten werden in Ihre Google Security Operations-Instanz exportiert:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Im Folgenden finden Sie Beispiele für Google Cloud-Asset-Metadaten:

• Name der Anwendung: Google-iamSample/0.1
• Projektname: projects/my-project

Wenn Sie Google Cloud-Asset-Metadaten nach Google Security Operations exportieren möchten, setzen Sie die Ein/Aus-Schaltfläche Cloud Asset Metadata auf Aktiviert.

Weitere Informationen zu Kontextparsern finden Sie unter Kontextparser von Google Security Operations.

Security Command Center-Ergebnisse exportieren

Sie können die Ergebnisse von Security Command Center Premium Event Threat Detection und alle anderen Ergebnisse nach Google Security Operations exportieren.

Weitere Informationen zu ETD-Ergebnissen finden Sie unter Übersicht über Event Threat Detection.

Wenn Sie Ihre Security Command Center Premium-Ergebnisse nach Google Security Operations exportieren möchten, setzen Sie den Schalter Security Command Center Premium-Ergebnisse auf Aktiviert.

Schutz sensibler Daten nach Google Security Operations exportieren

So nimmst du Asset-Metadaten für den Schutz sensibler Daten (DLP_CONTEXT) auf:

1. Aktivieren Sie die Google Cloud-Datenaufnahme, indem Sie den vorherigen Abschnitt in diesem Dokument abschließen.
2. Konfigurieren Sie Sensitive Data Protection für Profildaten.
3. Konfigurieren Sie die Scankonfiguration zum Veröffentlichen von Datenprofilen. an Google Security Operations.

Ausführliche Informationen finden Sie in der Dokumentation zum Schutz sensibler Daten. zum Erstellen von Datenprofilen für BigQuery-Daten.

Google Cloud-Datenaufnahme deaktivieren

Die Schritte zum Deaktivieren der direkten Datenaufnahme aus Google Cloud unterscheiden sich je nach Konfiguration von Google Security Operations. Wählen Sie eine der folgenden Optionen aus:

• Wenn Ihre Google Security Operations-Instanz an ein Projekt gebunden ist, dessen Inhaber Sie sind und führen Sie die folgenden Schritte aus:

  1. Wählen Sie das Projekt aus, das mit Ihrer Google Security Operations-Instanz verknüpft ist.
  2. Rufen Sie in der Google Cloud Console unter Google SecOps den Tab Aufnahme auf.
     Zur Seite „Google SecOps“
  3. Wählen Sie im Menü Organisation die Organisation aus, aus der Logs exportiert werden.
  4. Setzen Sie die Ein/Aus-Schaltfläche Daten an Google Security Operations senden auf Deaktiviert.
  5. Wenn Sie den Datenexport aus mehreren Organisationen konfiguriert haben und diese auch deaktivieren möchten, wiederholen Sie diese Schritte für jede Organisation.

• Wenn Ihre Google Security Operations-Instanz an ein Projekt gebunden ist, das Google Cloud gehört und verwaltet, führen Sie die folgenden Schritte aus:

  1. Rufen Sie Google SecOps auf > Seite Datenaufnahme in der Google Cloud Console.
     Zur Seite „Google SecOps“
  2. Wählen Sie im Ressourcenmenü die Organisation aus, die mit Ihrer Google Security Operations-Instanz verknüpft ist und von der Sie Daten aufnehmen.
  3. Klicken Sie auf das Kästchen Ich möchte die Verbindung zu Google Security Operations trennen und das Senden von Google Cloud-Logs an Google Security Operations beenden.
  4. Klicken Sie auf Verbindung zu Google Security Operations trennen.

Fehlerbehebung

• Wenn die Beziehungen zwischen Ressourcen und Identitäten in Ihrem Google Security Operations-Instanz: Deaktivieren Sie die direkte Aufnahme von Protokolldaten in Google Security Operations und aktivieren Sie sie dann wieder.
• Die Google Cloud-Asset-Metadaten werden regelmäßig in Google Security Operations aufgenommen. Es kann einige Stunden dauern, bis die Änderungen sichtbar sind Google Security Operations-UI und -APIs aufrufen.

Nächste Schritte

• Öffnen Sie Ihre Google Security Operations-Instanz mit der kundenspezifischen URL, die Sie von Ihrem Google Security Operations-Mitarbeiter erhalten haben.
• Weitere Informationen zu Google Security Operations