Google Cloud-Daten in Google Security Operations aufnehmen

Auf dieser Seite wird gezeigt, wie Sie die Aufnahme Ihrer Google Cloud-Daten in Google Security Operations aktivieren bzw. deaktivieren. Mit Google Security Operations können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen speichern, suchen und prüfen. Dabei kann es mehrere Monate oder länger dauern, je nach Datenaufbewahrungszeitraum.

Übersicht

Es gibt zwei Möglichkeiten, Google Cloud-Daten an Google Security Operations zu senden. Die richtige Option hängt vom Logtyp ab.

Option 1: Direkte Datenaufnahme

In Google Cloud kann ein spezieller Cloud Logging-Filter konfiguriert werden, um bestimmte Logtypen in Echtzeit an Google Security Operations zu senden. Diese Logs werden von Google Cloud-Diensten generiert.

Verfügbare Logtypen:

• Cloud-Audit-Logs
• Cloud NAT
• Cloud DNS
• Firewall der nächsten Generation
• Cloud Intrusion Detection System
• Cloud Load Balancing
• Cloud SQL
• Windows-Ereignisprotokolle
• Linux-Syslog
• Linux Sysmon
• Zeek
• Google Kubernetes Engine
• Audit-Daemon (auditd)
• Apigee
• reCAPTCHA Enterprise
• Cloud Run-Protokolle (GCP_RUN)

Wenn Sie Compute Engine- oder Google Kubernetes Engine-Anwendungsprotokolle (z. B. Apache, Nginx oder IIS) erfassen möchten, verwenden Sie Option 2. Erstellen Sie außerdem ein Support-Ticket bei Google Security Operations, um Feedback zur zukünftigen Unterstützung der direkten Datenaufnahme (Option 1) zu geben.

Informationen zu bestimmten Logfiltern und weitere Details zur Datenaufnahme finden Sie unter Google Cloud-Protokolle in Google Security Operations exportieren.

Sie können auch Google Cloud-Asset-Metadaten senden, die für die Kontextanreicherung verwendet werden. Weitere Informationen finden Sie unter Google Cloud-Asset-Metadaten nach Google Security Operations exportieren.

Option 2: Google Cloud Storage

Mit Cloud Logging können Logs an Cloud Storage weitergeleitet werden, um sie dann von Google Security Operations auf geplante Weise abzurufen.

Weitere Informationen zum Konfigurieren von Cloud Storage für Google Security Operations finden Sie unter Feedverwaltung: Cloud Storage.

Hinweise

Bevor Sie Google Cloud-Daten in eine Google Security Operations-Instanz aufnehmen können, müssen Sie die folgenden Schritte ausführen:

1. Erteilen Sie die folgenden IAM-Rollen, die für den Zugriff auf den Bereich „Google Security Operations“ erforderlich sind:

   • Chronicle Service Admin (roles/chroniclesm.admin): IAM-Rolle zum Ausführen aller Aktivitäten.
   • Chronicle Service Viewer (roles/chroniclesm.viewer): IAM-Rolle, um nur den Status der Aufnahme anzeigen zu lassen.
   • Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor): Erforderlich, um die Aufnahme von Cloud-Asset-Metadaten zu aktivieren.

2. Wenn Sie Cloud-Asset-Metadaten aktivieren möchten, müssen Sie die Organisation im Security Command Center einrichten. Weitere Informationen finden Sie unter Aktivierung auf Organisationsebene.

IAM-Rollen zuweisen

Sie können die erforderlichen IAM-Rollen entweder über die Google Cloud Console oder die gcloud CLI zuweisen.

Führen Sie die folgenden Schritte aus, um IAM-Rollen mithilfe der Google Cloud Console zuzuweisen:

1. Melden Sie sich in der Google Cloud-Organisation an, mit der Sie eine Verbindung herstellen möchten, und wechseln Sie mit Produkte > IAM und Verwaltung > IAM zum IAM-Bildschirm.

2. Wählen Sie auf dem Bildschirm IAM den Nutzer aus und klicken Sie auf Mitglied bearbeiten.

3. Klicken Sie im Bildschirm „Berechtigungen bearbeiten“ auf Weitere Rolle hinzufügen und suchen Sie nach Google Security Operations, um die IAM-Rollen zu finden.

4. Nachdem Sie die Rollen zugewiesen haben, klicken Sie auf Speichern.

So weisen Sie IAM-Rollen mit der Google Cloud CLI zu:

1. Sie müssen in der richtigen Organisation angemeldet sein. Prüfen Sie dies mit dem Befehl gcloud init.

2. Führen Sie den folgenden Befehl aus, um mit gcloud die IAM-Rolle „Chronicle-Dienstadministrator“ zu gewähren:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Ersetzen Sie Folgendes:

   • ORGANIZATION_ID: die numerische Organisations-ID.
   • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

3. Führen Sie den folgenden Befehl aus, um die IAM-Rolle „Chronicle Service Viewer“ mit gcloud zu gewähren:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Wenn Sie die Rolle „Security Center-Administratorbearbeiter“ mit gcloud gewähren möchten, führen Sie den folgenden Befehl aus:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Direkte Datenaufnahme aus Google Cloud aktivieren

Die Schritte zum Aktivieren der direkten Datenaufnahme aus Google Cloud unterscheiden sich je nach Inhaber des Projekts, an das Ihre Google Security Operations-Instanz gebunden ist.

• Wenn es an ein Projekt gebunden ist, dessen Inhaber und Administrator Sie sind, folgen Sie der Anleitung unter Aufnahme konfigurieren, wenn das Projekt dem Kunden gehört. So können Sie die Datenaufnahme aus mehreren Google Cloud-Organisationen konfigurieren.

• Wenn es an ein Google Cloud-Projekt gebunden ist, das Google Cloud gehört und verwaltet, folgen Sie der Anleitung unter Aufnahme konfigurieren, wenn das Projekt zu Google Cloud gehört.

Nachdem Sie die direkte Datenaufnahme konfiguriert haben, werden Ihre Google Cloud-Daten an Google Security Operations gesendet. Sie können die Analysefunktionen von Google Security Operations verwenden, um sicherheitsrelevante Probleme zu untersuchen.

Datenaufnahme konfigurieren, wenn der Kunde Inhaber des Projekts ist

Führen Sie die folgenden Schritte aus, wenn Sie der Inhaber des Google Cloud-Projekts sind.

Sie können die direkte Datenaufnahme von mehreren Organisationen über dieselbe Konfigurationsseite auf Projektebene konfigurieren. Führen Sie die folgenden Schritte aus, um eine neue Konfiguration zu erstellen und eine vorhandene Konfiguration zu bearbeiten.

Wenn Sie eine vorhandene Google Security Operations-Instanz migrieren, damit sie an ein Projekt gebunden wird, dessen Inhaber Sie sind, und wenn vor der Migration die direkte Datenaufnahme konfiguriert wurde, wird auch die Konfiguration für die direkte Datenaufnahme migriert.

1. Rufen Sie in der Google Cloud Console die Seite Google SecOps > Aufnahmeeinstellungen auf.
   Zur Google SecOps-Seite
2. Wählen Sie das Projekt aus, das mit Ihrer Google Security Operations-Instanz verknüpft ist.

3. Wählen Sie im Menü Organisation die Organisation aus, aus der Protokolle exportiert werden sollen. Im Menü werden Organisationen angezeigt, auf die Sie Zugriff haben. Die Liste kann Organisationen enthalten, die nicht mit der Google SecOps-Instanz verknüpft sind. Sie können keine Organisation konfigurieren, die Daten an eine andere Google SecOps-Instanz sendet.

   

4. Klicken Sie im Abschnitt Google Cloud-Aufnahmeeinstellungen auf den Schalter Daten an Google Security Operations senden, um das Senden von Logs an Google Security Operations zu aktivieren.

5. Wählen Sie eine oder mehrere der folgenden Optionen aus, um den Datentyp zu definieren, der an Google Security Operations gesendet wird:

   • Google Cloud Logging: Weitere Informationen zu dieser Option finden Sie unter Google Cloud-Protokolle exportieren.
   • Cloud-Asset-Metadaten: Weitere Informationen zu dieser Option finden Sie unter Google Cloud-Asset-Metadaten exportieren.
   • Security Command Center Premium-Ergebnisse: Weitere Informationen zu dieser Option finden Sie unter Security Command Center Premium-Ergebnisse exportieren.

6. Definieren Sie unter Filtereinstellungen für den Kundenexport Exportfilter, mit denen die nach Google Security Operations exportierten Cloud Logging-Daten angepasst werden. Informationen zu den exportierten Protokolldaten finden Sie unter Google Cloud-Protokolle exportieren.

7. Wenn Sie Protokolle aus einer zusätzlichen Organisation in dieselbe Google Security Operations-Instanz aufnehmen möchten, wählen Sie die Organisation im Menü Organisation aus und wiederholen Sie die Schritte zum Definieren der zu exportierenden Daten und Exportfilter. Im Menü Organisation sind mehrere Organisationen aufgeführt.

8. Informationen zum Exportieren von Google Cloud-Daten zur Datenverlustprävention nach Google Security Operations finden Sie unter Google Cloud-Daten zur Datenverlustprävention nach Google Security Operations exportieren.

Datenaufnahme konfigurieren, wenn das Projekt zu Google Cloud gehört

Wenn das Projekt zu Google Cloud gehört, gehen Sie so vor, um die direkte Aufnahme von Daten aus Ihrer Google Cloud-Organisation in Ihre Google Security Operations-Instanz zu konfigurieren:

1. Rufen Sie in der Google Cloud Console den Tab Google SecOps > Übersicht > Aufnahme auf. Zum Tab „Aufnahme“ in Google SecOps
2. Klicken Sie auf die Schaltfläche Einstellungen für die Datenaufnahme der Organisation verwalten.
3. Wenn die Meldung Seite nicht für Projekte sichtbar angezeigt wird, wählen Sie eine Organisation aus und klicken Sie dann auf Auswählen.
4. Geben Sie Ihren einmaligen Zugriffscode in das Feld Einmaliger Google Security Operations-Zugriffscode ein.
5. Klicken Sie auf das Kästchen Ich stimme den Nutzungsbedingungen für die Verwendung meiner Google Cloud-Daten durch Google Security Operations zu.
6. Klicken Sie auf Google SecOps verbinden.
7. Rufen Sie den Tab Globale Datenaufnahmeeinstellungen für die Organisation auf.

8. Wählen Sie die Art der gesendeten Daten aus, indem Sie eine oder mehrere der folgenden Optionen aktivieren:

   • Google Cloud Logging: Weitere Informationen zu dieser Option finden Sie unter Google Cloud-Protokolle exportieren.
   • Cloud Asset-Metadaten: Weitere Informationen zu dieser Option finden Sie unter Google Cloud-Asset-Metadaten exportieren.
   • Security Command Center Premium-Ergebnisse: Weitere Informationen zu dieser Option finden Sie unter Security Command Center Premium-Ergebnisse exportieren.

9. Rufen Sie den Tab Exportfiltereinstellungen auf.

10. Definieren Sie unter Filtereinstellungen für den Kundenexport Exportfilter, mit denen die nach Google Security Operations exportierten Cloud Logging-Daten angepasst werden. Informationen zu den exportierten Protokolldaten finden Sie unter Google Cloud-Protokolle exportieren.

11. Informationen zum Exportieren von Google Cloud-Daten zur Datenverlustprävention nach Google Security Operations finden Sie unter Google Cloud-Daten zur Datenverlustprävention nach Google Security Operations exportieren.

Google Cloud-Protokolle exportieren

Nachdem Sie Cloud Logging aktiviert haben, können Sie die folgenden Arten von Google Cloud-Daten in Ihre Google Security Operations-Instanz exportieren. Sie sind nach Logtyp und Google Security Operations-Aufnahmelabel aufgelistet:

• Cloud-Audit-Logs(GCP_CLOUDAUDIT): Dazu gehören Logs zu Administratoraktivitäten, Systemereignissen, Access Transparency und abgelehnten Richtlinien.
  • log_id("cloudaudit.googleapis.com/activity") (vom Standardfilter exportiert)
  • log_id("cloudaudit.googleapis.com/system_event") (vom Standardfilter exportiert)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")
• Cloud NAT-Protokolle(GCP_CLOUD_NAT):
  • log_id("compute.googleapis.com/nat_flows")
• Cloud DNS-Logs (GCP_DNS):
  • log_id("dns.googleapis.com/dns_queries") (vom Standardfilter exportiert)
• Firewall der nächsten Generation-Protokolle(GCP_FIREWALL):
  • log_id("compute.googleapis.com/firewall")
• GCP_IDS:
  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")
• GCP_LOADBALANCING:
  • log_id("requests") Dazu gehören Logs von Google Cloud Armor und Cloud Load Balancing.
• GCP_CLOUDSQL:
  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")
• NIX_SYSTEM:
  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")
• LINUX_SYSMON:
  • log_id("sysmon.raw")
• WINEVTLOG:
  • log_id("winevt.raw")
  • log_id("windows_event_log")
• BRO_JSON:
  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")
• KUBERNETES_NODE:
  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")
• AUDITD:
  • log_id("audit_log")
• GCP_APIGEE_X:
  • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
• GCP_RECAPTCHA_ENTERPRISE:
  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")
• GCP_RUN:
  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")
• GCP_NGFW_ENTERPRISE:
  • log_id("networksecurity.googleapis.com/firewall_threat")

Wenn Sie Google Cloud-Logs nach Google Security Operations exportieren möchten, stellen Sie den Schalter Cloud-Logs aktivieren auf Aktiviert. Die unterstützten Google Cloud-Logtypen können in Ihre Google Security Operations-Instanz exportiert werden.

Best Practices für die Verwendung von Logfiltern finden Sie unter Sicherheitsloganalysen in Google Cloud.

Exportfiltereinstellungen

In den folgenden Abschnitten finden Sie Informationen zu den Exportfiltern.

Einstellungen für benutzerdefinierte Exportfilter

Standardmäßig werden Ihre Cloud-Audit-Logs (Administratoraktivitäten und Systemereignisse) und Cloud DNS-Logs an Ihre Google Security Operations-Instanz gesendet. Sie können den Exportfilter jedoch anpassen, um bestimmte Protokolltypen ein- oder auszuschließen. Der Exportfilter basiert auf der Google-Logging-Abfragesprache.

So definieren Sie einen benutzerdefinierten Filter für Ihre Protokolle:

1. Definieren Sie Ihren Filter, indem Sie mit der Logging-Abfragesprache einen benutzerdefinierten Filter für Ihre Protokolle erstellen. Informationen zum Definieren dieses Filtertyps finden Sie unter Logging-Abfragesprache.

2. Rufen Sie in der Google Cloud Console die Seite „Google SecOps“ auf und wählen Sie ein Projekt aus.
   Zur Seite „Google Security Operations“
   

3. Öffnen Sie den Log-Explorer über den Link auf dem Tab Exportfiltereinstellungen.

4. Kopieren Sie die neue Abfrage in das Feld Abfrage und klicken Sie auf Abfrage ausführen, um sie zu testen.

5. Kopieren Sie die neue Abfrage in das Feld Log-Explorer > Abfrage und klicken Sie dann auf Abfrage ausführen, um sie zu testen.

6. Prüfen Sie, ob die übereinstimmenden Logs, die im Log-Explorer angezeigt werden, genau die sind, die Sie nach Google Security Operations exportieren möchten. Wenn der Filter fertig ist, kopieren Sie ihn in den Bereich Einstellungen für benutzerdefinierte Exportfilter für Google Security Operations.

7. Kehren Sie auf der Seite Google SecOps zum Bereich Einstellungen für benutzerdefinierte Exportfilter zurück.

   Abschnitt „Einstellungen für benutzerdefinierte Exportfilter“

8. Klicken Sie auf das Bearbeitungssymbol für das Feld Filter exportieren und fügen Sie den Filter in das Feld ein.

9. Klicken Sie auf Speichern. Ihr neuer benutzerdefinierter Filter wird auf alle neuen Protokolle angewendet, die in Ihre Google Security Operations-Instanz exportiert werden.

10. Sie können den Exportfilter auf die Standardversion zurücksetzen, indem Sie auf Auf Standard zurücksetzen klicken. Speichern Sie zuerst eine Kopie des benutzerdefinierten Filters.

Filter für Cloud-Audit-Logs optimieren

Von Cloud-Audit-Logs geschriebene Audit-Logs zum Datenzugriff können ein großes Datenvolumen ohne großen Wert für die Bedrohungserkennung generieren. Wenn Sie diese Logs an Google Security Operations senden, sollten Sie Logs herausfiltern, die durch Routineaktivitäten generiert werden.

Mit dem folgenden Exportfilter werden Logs für den Datenzugriff erfasst und Ereignisse mit hoher Auslastung wie Lese- und Listenvorgänge in Cloud Storage und Cloud SQL ausgeschlossen:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Weitere Informationen zum Optimieren von Datenzugriffslogs, die von Cloud-Audit-Logs generiert werden, finden Sie unter Volume von Audit-Logs zum Datenzugriff verwalten.

Beispiele für Exportfilter

Die folgenden Beispiele für Exportfilter veranschaulichen, wie Sie bestimmte Logtypen in den Export in Ihre Google Security Operations-Instanz ein- oder ausschließen können.

Beispiel für einen Exportfilter: Zusätzliche Logtypen einschließen

Mit dem folgenden Exportfilter werden zusätzlich zu den Standardprotokollen auch Protokolle für die Zugriffstransparenz exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Beispiel für einen Exportfilter: Zusätzliche Protokolle aus einem bestimmten Projekt einschließen

Mit dem folgenden Exportfilter werden zusätzlich zu den Standardprotokollen Protokolle zur Zugriffstransparenz aus einem bestimmten Projekt exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Beispiel für einen Exportfilter: Zusätzliche Protokolle aus einem bestimmten Ordner einschließen

Mit dem folgenden Exportfilter werden zusätzlich zu den Standardprotokollen Protokolle zur Zugriffstransparenz aus einem bestimmten Ordner exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Beispiel für einen Exportfilter: Logs aus einem bestimmten Projekt ausschließen

Mit dem folgenden Exportfilter werden die Standardprotokolle aus der gesamten Google Cloud-Organisation mit Ausnahme eines bestimmten Projekts exportiert:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Google Cloud-Asset-Metadaten exportieren

Sie können Ihre Google Cloud-Asset-Metadaten aus Cloud Asset Inventory nach Google Security Operations exportieren. Diese Asset-Metadaten stammen aus Ihrem Cloud Asset Inventory und enthalten Informationen zu Ihren Assets, Ressourcen und Identitäten, darunter:

• Umgebung
• Ort
• Zone
• Hardwaremodelle
• Zugriffssteuerungsbeziehungen zwischen Ressourcen und Identitäten

Die folgenden Arten von Google Cloud-Asset-Metadaten werden in Ihre Google Security Operations-Instanz exportiert:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Im Folgenden finden Sie Beispiele für Google Cloud-Asset-Metadaten:

• Name der Anwendung: Google-iamSample/0.1
• Projektname: projects/my-project

Wenn Sie Google Cloud-Asset-Metadaten nach Google Security Operations exportieren möchten, stellen Sie den Schalter Cloud Asset-Metadaten auf Aktiviert.

Weitere Informationen zu Kontextparsern finden Sie unter Kontextparser von Google Security Operations.

Security Command Center-Ergebnisse exportieren

Sie können die Ergebnisse der Event Threat Detection von Security Command Center Premium und alle anderen Ergebnisse nach Google Security Operations exportieren.

Weitere Informationen zu Ergebnissen der Event Threat Detection finden Sie unter Event Threat Detection – Übersicht.

Wenn Sie Ihre Security Command Center Premium-Ergebnisse nach Google Security Operations exportieren möchten, setzen Sie den Schalter Security Command Center Premium-Ergebnisse auf Aktiviert.

Daten zum Schutz sensibler Daten nach Google Security Operations exportieren

So nimmst du Asset-Metadaten für den Schutz sensibler Daten (DLP_CONTEXT) auf:

1. Aktivieren Sie die Datenaufnahme in Google Cloud. Gehen Sie dazu die Schritte im vorherigen Abschnitt dieses Dokuments durch.
2. Konfigurieren Sie den Schutz sensibler Daten so, dass Daten profiliert werden.
3. Konfigurieren Sie die Scankonfiguration so, dass Datenprofile in Google Security Operations veröffentlicht werden.

Ausführliche Informationen zum Erstellen von Datenprofilen für BigQuery-Daten finden Sie in der Dokumentation zum Schutz sensibler Daten.

Datenaufnahme in Google Cloud deaktivieren

Die Schritte zum Deaktivieren der direkten Datenaufnahme aus Google Cloud unterscheiden sich je nach Konfiguration von Google Security Operations. Wählen Sie eine der folgenden Optionen aus:

• Wenn Ihre Google Security Operations-Instanz an ein Projekt gebunden ist, dessen Inhaber und Administrator Sie sind, gehen Sie so vor:

  1. Wählen Sie das Projekt aus, das mit Ihrer Google Security Operations-Instanz verknüpft ist.
  2. Rufen Sie in der Google Cloud Console unter Google SecOps den Tab Aufnahme auf.
     Zur Google SecOps-Seite
  3. Wählen Sie im Menü Organisation die Organisation aus, aus der Protokolle exportiert werden sollen.
  4. Stellen Sie die Ein/Aus-Schaltfläche Daten werden an Google Security Operations gesendet auf Deaktiviert.
  5. Wenn Sie den Datenexport aus mehreren Organisationen konfiguriert haben und diese auch deaktivieren möchten, wiederholen Sie diese Schritte für jede Organisation.

• Wenn Ihre Google Security Operations-Instanz an ein Google Cloud-Projekt gebunden ist, das Google Cloud gehört und verwaltet, gehen Sie so vor:

  1. Rufen Sie in der Google Cloud Console die Seite Google SecOps > Aufnahme auf.
     Zur Google SecOps-Seite
  2. Wählen Sie im Ressourcenmenü die Organisation aus, die mit Ihrer Google Security Operations-Instanz verknüpft ist und von der Sie Daten aufnehmen.
  3. Setzen Sie ein Häkchen in das Kästchen Ich möchte die Verbindung zu Google Security Operations trennen und das Senden von Google Cloud-Logs an Google Security Operations beenden.
  4. Klicken Sie auf Verbindung zu Google Security Operations trennen.

Fehlerbehebung

• Wenn die Beziehungen zwischen Ressourcen und Identitäten in Ihrer Google Security Operations-Instanz fehlen, deaktivieren Sie die direkte Aufnahme von Logdaten in Google Security Operations und aktivieren Sie sie dann wieder.
• Die Google Cloud-Asset-Metadaten werden regelmäßig in Google Security Operations aufgenommen. Es kann einige Stunden dauern, bis die Änderungen in der Benutzeroberfläche und den APIs von Google Security Operations sichtbar werden.

Nächste Schritte

• Öffnen Sie Ihre Google Security Operations-Instanz mit der kundenspezifischen URL, die von Ihrem Google Security Operations-Ansprechpartner bereitgestellt wurde.
• Weitere Informationen zu Google Security Operations