Google Workspace-Daten an Google Security Operations senden

Mit Google Security Operations lassen sich Insiderrisiken Google Workspace-Konto so konfigurieren, dass Daten an ein Google Security Operations-Instanz.

Nur Logs zu Google Workspace-Aktivitäten (WORKSPACE_ACTIVITY) können aufgenommen werden zu Ihrer Google Security Operations-Instanz. Google Security Operations erlaubt jedoch Aufnahme anderer Arten von Google Workspace-Daten (z. B. WORKSPACE_USERS) und WORKSPACE_GROUPS) mit anderen Aufnahmemethoden (z. B. Feed) Verwaltung. Weitere Informationen Weitere Informationen zum Konfigurieren eines Feeds in Google Security Operations, um Google Workspace aufzunehmen Logs

Sie benötigen Google Workspace Enterprise Standard oder Enterprise Plus, um auf diese Integration zugreifen zu können. Andernfalls können Sie die Feedaufnahmemethode verwenden, um Google Workspace-Aktivitätsprotokolle aufzunehmen.

Google Security Operations nimmt Google Workspace-Protokolle aus den folgenden Anwendungen:

  • Access Transparency
  • Konten
  • Admin-Konsole
  • Google Kalender
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Gerät
  • Google Drive
  • Gmail
  • Google Groups
  • Jamboard-Verwaltung
  • LDAP
  • Anmeldung
  • Google Meet
  • OAuth
  • Password Vault
  • Logging von Firewallregeln
  • SAML
  • Nutzerkonten
  • Voice

Hinweise

Führen Sie zuerst die folgenden Schritte aus:

  1. Wenn Sie keine Google Security Operations-Instanz haben, erstellen Sie eine neue. Weitere Informationen Weitere Informationen finden Sie unter Onboarding and Migrate a Google Security Operations (Google Security Operations-Konto migrieren und migrieren). Instanz.

  2. Kopieren Sie Ihre Google Workspace-Kundennummer vom Google Workspace-Administrator .

Google Security Operations-Instanz-ID und -Token abrufen

Führen Sie die folgenden Schritte aus, um Ihre Google Security Operations-Instanz-ID und Ihr Token zu erhalten: Schritte in Ihrem Google Security Operations-Konto:

  1. Öffnen Sie Ihre Google Security Operations-Instanz.
  2. Wählen Sie in der Navigationsleiste Einstellungen aus.
  3. Klicken Sie auf Google Workspace.
  4. Geben Sie Ihre Google Workspace-Kundennummer ein.
  5. Klicken Sie auf Generate Token (Token generieren).
  6. Kopieren Sie das Token und die ID Ihrer Google Security Operations-Instanz (auf demselben Seite).

So senden Sie Ihre Google Workspace-Daten an Ihre Google Security Operations-Instanz: Führen Sie in der Admin-Konsole die folgenden Schritte aus:

  1. Öffnen Sie die Admin-Konsole von Google Workspace.
  2. Klicken Sie auf Berichte.
  3. Klicken Sie auf Datenintegrationen.
  4. Wählen Sie Chronicle-Export aus und klicken Sie dann auf Mit Chronicle verbinden. Dieses öffnet die Seite Mit Chronicle verbinden.
  5. Fügen Sie das aus Ihrem Google Security Operations-Konto kopierte Token in den angegeben ist. Klicken Sie auf Verbinden. Audit-Daten in Google Security Operations exportieren sollte nun Ein angezeigt werden. Ihr Google Workspace-Konto ist jetzt verknüpft mit Ihre Google Security Operations-Instanz an und sendet Google Workspace-Daten.
  6. Klicken Sie auf Zu Chronicle, um Ihre Google Security Operations-Instanz zu öffnen und zu beginnen. um Ihre Google Workspace-Daten aus Google Security Operations im Blick zu behalten. Weitere Informationen erhalten Sie auf der Seite Datenaufnahme und Zustand Dashboard.

Verbindung zwischen Google Workspace und Google Security Operations trennen

So trennen Sie Ihr Google Workspace-Konto von Google Security Operations: Instanz führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Admin-Konsole von Google Workspace.
  2. Klicken Sie auf Datenintegrationen.
  3. Klicken Sie im Bereich Chronicle-Export auf Verbindung zu Chronicle trennen. Unter Audit-Daten nach Chronicle exportieren sollte jetzt Aus angezeigt werden.

Nächste Schritte

Im nächsten Schritt aktivieren Sie die Regeln für die Cloud Threats-Kategorie“ legt wurde entwickelt, um Bedrohungen mithilfe von Google Workspace-Daten zu identifizieren.