Diese Seite wurde von der Cloud Translation API übersetzt.

Google Workspace-Daten an Google Security Operations senden

Mit Google Security Operations können Sie Insiderrisiken in Google Workspace erkennen. Konfigurieren Sie dazu Ihr Google Workspace-Konto so, dass Daten an eine Google Security Operations-Instanz weitergeleitet werden.

Nur Logs zu Google Workspace-Aktivitäten (WORKSPACE_ACTIVITY) können in Ihre Google Security Operations-Instanz aufgenommen werden. Google Security Operations erlaubt jedoch die Aufnahme anderer Arten von Google Workspace-Daten (z. B. WORKSPACE_USERS und WORKSPACE_GROUPS) mithilfe anderer Aufnahmemethoden (z. B. Feedverwaltung). Weitere Informationen finden Sie unter Feed in Google Security Operations zum Aufnehmen von Google Workspace-Logs konfigurieren.

Für den Zugriff auf diese Integration benötigen Sie Google Workspace Enterprise Standard oder Enterprise Plus. Andernfalls können Sie die Feedaufnahmemethode verwenden, um Google Workspace-Aktivitätslogs aufzunehmen.

Google Security Operations nimmt Google Workspace-Logs aus den folgenden Google-Anwendungen auf:

Access Transparency
Konten
Admin-Konsole
Google Kalender
Google Chat
Google Chrome
Classroom
Google Cloud
Access Context Manager
Looker Studio
Gerät
Google Drive
Gmail
Google Groups
Jamboard-Verwaltung
LDAP
Anmeldung
Google Meet
OAuth
Password Vault
Logging von Firewallregeln
SAML
Nutzerkonten
Voice

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie beginnen:

Wenn Sie keine Google Security Operations-Instanz haben, erstellen Sie eine neue. Weitere Informationen finden Sie unter Google Security Operations-Instanz einrichten und migrieren.
Kopieren Sie Ihre Google Workspace-Kundennummer aus der Google Workspace-Admin-Konsole.

ID und Token der Google Security Operations-Instanz abrufen

Führen Sie die folgenden Schritte über Ihr Google Security Operations-Konto aus, um die ID und das Token Ihrer Google Security Operations-Instanz zu erhalten:

Öffnen Sie die Google Security Operations-Instanz.
Wählen Sie in der Navigationsleiste Einstellungen aus.
Klicken Sie auf Google Workspace.
Geben Sie Ihre Google Workspace-Kundennummer ein.
Klicken Sie auf Generate Token (Token generieren).
Kopieren Sie das Token und die ID Ihrer Google Security Operations-Instanz, die sich auf derselben Seite befinden.

Google Workspace mit Ihrer Google Security Operations-Instanz verknüpfen

Führen Sie in der Google Workspace-Admin-Konsole die folgenden Schritte aus, um Ihre Google Workspace-Daten an Ihre Google Security Operations-Instanz zu senden:

Öffnen Sie die Google Workspace-Admin-Konsole.
Klicken Sie auf Berichte.
Klicken Sie auf Datenintegrationen.
Wählen Sie Chronicle export (Chronicle-Export) aus und klicken Sie dann auf Connect to Chronicle (Mit Chronicle verbinden). Dadurch wird die Seite Mit Chronicle verbinden geöffnet.
Fügen Sie das aus Ihrem Google Security Operations-Konto kopierte Token in das angegebene Feld ein. Klicken Sie auf Verbinden. Für den Export von Audit-Daten nach Google Security Operations sollte jetzt Ein angezeigt werden. Ihr Google Workspace-Konto ist jetzt mit Ihrer Google Security Operations-Instanz verknüpft und Ihre Google Workspace-Daten werden gesendet.
Klicken Sie auf Zu Chronicle, um Ihre Google Security Operations-Instanz zu öffnen und mit dem Monitoring Ihrer Google Workspace-Daten von Google Security Operations zu beginnen. Weitere Informationen finden Sie im Dashboard für Datenaufnahme und -zustand.

Google Workspace von Google Security Operations trennen

Führen Sie die folgenden Schritte aus, um Ihr Google Workspace-Konto von Ihrer Google Security Operations-Instanz zu trennen:

Öffnen Sie die Google Workspace-Admin-Konsole.
Klicken Sie auf Datenintegrationen.
Klicken Sie im Bereich Chronicle Export auf Verbindung zu Chronicle trennen. Unter Audit-Daten nach Chronicle exportieren sollte jetzt Aus angezeigt werden.

Nächste Schritte

Im nächsten Schritt aktivieren Sie die Regelsätze für Cloud-Bedrohungen, mit denen Bedrohungen mithilfe von Google Workspace-Daten identifiziert werden können.