Google Workspace-Daten an Google Security Operations senden
Sie können Google Security Operations verwenden, um Insiderrisiken in Google Workspace zu erkennen. Dazu konfigurieren Sie Ihr Google Workspace-Konto so, dass Daten an eine Google Security Operations-Instanz weitergeleitet werden.
Nur Logs der Google Workspace-Aktivitäten (WORKSPACE_ACTIVITY
) können in Ihre Google Security Operations-Instanz aufgenommen werden. Google Security Operations erlaubt jedoch die Aufnahme anderer Arten von Google Workspace-Daten (z. B. WORKSPACE_USERS
und WORKSPACE_GROUPS
) mithilfe anderer Aufnahmemethoden (z. B. Feedverwaltung). Weitere Informationen finden Sie unter Feed in Google Security Operations konfigurieren, um Google Workspace-Logs aufzunehmen.
Sie benötigen Google Workspace Enterprise Standard oder Enterprise Plus, um auf diese Integration zugreifen zu können. Andernfalls können Sie die Feedaufnahmemethode verwenden, um Google Workspace-Aktivitätsprotokolle aufzunehmen.
Google Security Operations nimmt Google Workspace-Logs aus den folgenden Google-Anwendungen auf:
- Access Transparency
- Konten
- Admin-Konsole
- Google Kalender
- Google Chat
- Google Chrome
- Classroom
- Google Cloud
- Access Context Manager
- Looker Studio
- Gerät
- Google Drive
- Gmail
- Google Groups
- Jamboard-Verwaltung
- LDAP
- Anmeldung
- Google Meet
- OAuth
- Password Vault
- Logging von Firewallregeln
- SAML
- Nutzerkonten
- Voice
Hinweise
Führen Sie zuerst die folgenden Schritte aus:
Wenn Sie keine Google Security Operations-Instanz haben, erstellen Sie eine neue. Weitere Informationen finden Sie unter Google Security Operations-Instanz einrichten und migrieren.
Kopieren Sie Ihre Google Workspace-Kundennummer aus der Google Workspace-Admin-Konsole.
Google Security Operations-Instanz-ID und -Token abrufen
Führen Sie die folgenden Schritte über Ihr Google Security Operations-Konto aus, um Ihre Google Security Operations-Instanz-ID und Ihr Token zu erhalten:
- Öffnen Sie Ihre Google Security Operations-Instanz.
- Wählen Sie in der Navigationsleiste Einstellungen aus.
- Klicken Sie auf Google Workspace.
- Geben Sie Ihre Google Workspace-Kundennummer ein.
- Klicken Sie auf Generate Token (Token generieren).
- Kopieren Sie das Token und die ID Ihrer Google Security Operations-Instanz (auf derselben Seite).
Google Workspace mit Ihrer Google Security Operations-Instanz verknüpfen
Führen Sie in der Admin-Konsole die folgenden Schritte aus, um Ihre Google Workspace-Daten an Ihre Google Security Operations-Instanz zu senden:
- Öffnen Sie die Admin-Konsole von Google Workspace.
- Klicken Sie auf Berichte.
- Klicken Sie auf Datenintegrationen.
- Wählen Sie Chronicle-Export aus und klicken Sie dann auf Mit Chronicle verbinden. Dadurch wird die Seite Mit Chronicle verbinden geöffnet.
- Fügen Sie das aus Ihrem Google Security Operations-Konto kopierte Token in das angegebene Feld ein. Klicken Sie auf Verbinden. Für den Export von Audit-Daten nach Google Security Operations sollte jetzt An angezeigt werden. Ihr Google Workspace-Konto ist jetzt mit Ihrer Google Security Operations-Instanz verknüpft und beginnt damit, Ihre Google Workspace-Daten zu senden.
- Klicken Sie auf Zu Chronicle, um Ihre Google Security Operations-Instanz zu öffnen und Ihre Google Workspace-Daten aus Google Security Operations zu überwachen. Weitere Informationen finden Sie im Dashboard Datenaufnahme und -zustand.
Verbindung zwischen Google Workspace und Google Security Operations trennen
Führen Sie die folgenden Schritte aus, um die Verbindung zwischen Ihrem Google Workspace-Konto und Ihrer Google Security Operations-Instanz zu trennen:
- Öffnen Sie die Admin-Konsole von Google Workspace.
- Klicken Sie auf Datenintegrationen.
- Klicken Sie im Bereich Chronicle-Export auf Verbindung zu Chronicle trennen. Unter Audit-Daten nach Chronicle exportieren sollte jetzt Aus angezeigt werden.
Nächste Schritte
Im nächsten Schritt aktivieren Sie die Regelsätze für Cloud Threats-Kategorien, mit denen Bedrohungen mithilfe von Google Workspace-Daten identifiziert werden können.