Diese Seite wurde von der Cloud Translation API übersetzt.

Google Workspace-Daten an Google Security Operations senden

Sie können Google Security Operations verwenden, um Insiderrisiken in Google Workspace zu erkennen. Dazu konfigurieren Sie Ihr Google Workspace-Konto so, dass Daten an eine Google Security Operations-Instanz weitergeleitet werden.

Nur Logs der Google Workspace-Aktivitäten (WORKSPACE_ACTIVITY) können in Ihre Google Security Operations-Instanz aufgenommen werden. Google Security Operations erlaubt jedoch die Aufnahme anderer Arten von Google Workspace-Daten (z. B. WORKSPACE_USERS und WORKSPACE_GROUPS) mithilfe anderer Aufnahmemethoden (z. B. Feedverwaltung). Weitere Informationen finden Sie unter Feed in Google Security Operations konfigurieren, um Google Workspace-Logs aufzunehmen.

Sie benötigen Google Workspace Enterprise Standard oder Enterprise Plus, um auf diese Integration zugreifen zu können. Andernfalls können Sie die Feedaufnahmemethode verwenden, um Google Workspace-Aktivitätsprotokolle aufzunehmen.

Google Security Operations nimmt Google Workspace-Logs aus den folgenden Google-Anwendungen auf:

Access Transparency
Konten
Admin-Konsole
Google Kalender
Google Chat
Google Chrome
Classroom
Google Cloud
Access Context Manager
Looker Studio
Gerät
Google Drive
Gmail
Google Groups
Jamboard-Verwaltung
LDAP
Anmeldung
Google Meet
OAuth
Password Vault
Logging von Firewallregeln
SAML
Nutzerkonten
Voice

Hinweise

Führen Sie zuerst die folgenden Schritte aus:

Wenn Sie keine Google Security Operations-Instanz haben, erstellen Sie eine neue. Weitere Informationen finden Sie unter Google Security Operations-Instanz einrichten und migrieren.
Kopieren Sie Ihre Google Workspace-Kundennummer aus der Google Workspace-Admin-Konsole.

Google Security Operations-Instanz-ID und -Token abrufen

Führen Sie die folgenden Schritte über Ihr Google Security Operations-Konto aus, um Ihre Google Security Operations-Instanz-ID und Ihr Token zu erhalten:

Öffnen Sie Ihre Google Security Operations-Instanz.
Wählen Sie in der Navigationsleiste Einstellungen aus.
Klicken Sie auf Google Workspace.
Geben Sie Ihre Google Workspace-Kundennummer ein.
Klicken Sie auf Generate Token (Token generieren).
Kopieren Sie das Token und die ID Ihrer Google Security Operations-Instanz (auf derselben Seite).

Google Workspace mit Ihrer Google Security Operations-Instanz verknüpfen

Führen Sie in der Admin-Konsole die folgenden Schritte aus, um Ihre Google Workspace-Daten an Ihre Google Security Operations-Instanz zu senden:

Öffnen Sie die Admin-Konsole von Google Workspace.
Klicken Sie auf Berichte.
Klicken Sie auf Datenintegrationen.
Wählen Sie Chronicle-Export aus und klicken Sie dann auf Mit Chronicle verbinden. Dadurch wird die Seite Mit Chronicle verbinden geöffnet.
Fügen Sie das aus Ihrem Google Security Operations-Konto kopierte Token in das angegebene Feld ein. Klicken Sie auf Verbinden. Für den Export von Audit-Daten nach Google Security Operations sollte jetzt An angezeigt werden. Ihr Google Workspace-Konto ist jetzt mit Ihrer Google Security Operations-Instanz verknüpft und beginnt damit, Ihre Google Workspace-Daten zu senden.
Klicken Sie auf Zu Chronicle, um Ihre Google Security Operations-Instanz zu öffnen und Ihre Google Workspace-Daten aus Google Security Operations zu überwachen. Weitere Informationen finden Sie im Dashboard Datenaufnahme und -zustand.

Verbindung zwischen Google Workspace und Google Security Operations trennen

Führen Sie die folgenden Schritte aus, um die Verbindung zwischen Ihrem Google Workspace-Konto und Ihrer Google Security Operations-Instanz zu trennen:

Öffnen Sie die Admin-Konsole von Google Workspace.
Klicken Sie auf Datenintegrationen.
Klicken Sie im Bereich Chronicle-Export auf Verbindung zu Chronicle trennen. Unter Audit-Daten nach Chronicle exportieren sollte jetzt Aus angezeigt werden.

Nächste Schritte

Im nächsten Schritt aktivieren Sie die Regelsätze für Cloud Threats-Kategorien, mit denen Bedrohungen mithilfe von Google Workspace-Daten identifiziert werden können.