Google Workspace-Daten an Google Security Operations senden

Unterstützt in:

Mit Google Security Operations lassen sich Insiderrisiken Google Workspace-Konto so konfigurieren, dass Daten an ein Google Security Operations-Instanz.

In Ihre Google Security Operations-Instanz können nur Google Workspace-Aktivitätsprotokolle (WORKSPACE_ACTIVITY) aufgenommen werden. Google Security Operations erlaubt jedoch die Aufnahme anderer Arten von Google Workspace-Daten (z. B. WORKSPACE_USERS und WORKSPACE_GROUPS) mit anderen Aufnahmemethoden (z. B. Feedverwaltung). Weitere Informationen finden Sie unter Feed in Google Security Operations für die Aufnahme von Google Workspace-Logs konfigurieren.

Sie benötigen Google Workspace Enterprise Standard oder Enterprise Plus, um auf diese Integration zugreifen zu können. Andernfalls können Sie die Feedaufnahmemethode verwenden, um Google Workspace-Aktivitätsprotokolle aufzunehmen.

Google Security Operations nimmt Google Workspace-Protokolle aus den folgenden Anwendungen:

  • Access Transparency
  • Konten
  • Admin-Konsole
  • Google Kalender
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Gerät
  • Google Drive
  • Gmail
  • Google Groups
  • Jamboard-Verwaltung
  • LDAP
  • Anmeldung
  • Google Meet
  • OAuth
  • Password Vault
  • Logging von Firewallregeln
  • SAML
  • Nutzerkonten
  • Voice

Hinweise

Führen Sie zuerst die folgenden Schritte aus:

  1. Wenn Sie noch keine Google Security Operations-Instanz haben, erstellen Sie eine neue. Weitere Informationen Weitere Informationen finden Sie unter Onboarding and Migrate a Google Security Operations Instanz.

  2. Kopieren Sie Ihre Google Workspace-Kundennummer vom Google Workspace-Administrator .

Instanz-ID und Token für Google Security Operations abrufen

Führen Sie die folgenden Schritte aus, um Ihre Google Security Operations-Instanz-ID und Ihr Token zu erhalten: Schritte in Ihrem Google Security Operations-Konto:

  1. Öffnen Sie Ihre Google Security Operations-Instanz.
  2. Wählen Sie in der Navigationsleiste Einstellungen aus.
  3. Klicken Sie auf Google Workspace.
  4. Geben Sie Ihre Google Workspace-Kundennummer ein.
  5. Klicken Sie auf Generate Token (Token generieren).
  6. Kopieren Sie das Token und die ID Ihrer Google Security Operations-Instanz (auf demselben Seite).

Wenn Sie Ihre Google Workspace-Daten an Ihre Google Security Operations-Instanz senden möchten, führen Sie in der Admin-Konsole von Google Workspace die folgenden Schritte aus:

  1. Öffnen Sie die Admin-Konsole von Google Workspace.
  2. Klicken Sie auf Berichterstellung.
  3. Klicken Sie auf Datenintegrationen.
  4. Wählen Sie Chronicle-Export aus und klicken Sie dann auf Mit Chronicle verbinden. Dieses öffnet die Seite Mit Chronicle verbinden.
  5. Fügen Sie das aus Ihrem Google Security Operations-Konto kopierte Token in den angegeben ist. Klicken Sie auf Verbinden. Audit-Daten in Google Security Operations exportieren sollte nun Ein angezeigt werden. Ihr Google Workspace-Konto ist jetzt mit Ihrer Google Security Operations-Instanz verknüpft und Ihre Google Workspace-Daten werden gesendet.
  6. Klicken Sie auf Zu Chronicle, um Ihre Google Security Operations-Instanz zu öffnen und Ihre Google Workspace-Daten über Google Security Operations zu überwachen. Weitere Informationen finden Sie im Dashboard für Datenaufnahme und -integrität.

Verbindung zwischen Google Workspace und Google Security Operations trennen

So trennen Sie die Verknüpfung Ihres Google Workspace-Kontos mit Ihrer Google Security Operations-Instanz:

  1. Öffnen Sie die Admin-Konsole von Google Workspace.
  2. Klicken Sie auf Datenintegrationen.
  3. Klicken Sie im Bereich Chronicle-Export auf Verbindung zu Chronicle trennen. Für Audit-Daten in Chronicle exportieren sollte jetzt Aus angezeigt werden.

Nächste Schritte

Im nächsten Schritt aktivieren Sie die Regeln für die Cloud Threats-Kategorie“ legt wurde entwickelt, um Bedrohungen mithilfe von Google Workspace-Daten zu identifizieren.