Google Workspace-Daten an Google Security Operations senden
Mit Google Security Operations können Sie Insiderrisiken in Google Workspace erkennen. Konfigurieren Sie dazu Ihr Google Workspace-Konto so, dass Daten an eine Google Security Operations-Instanz weitergeleitet werden.
Nur Logs zu Google Workspace-Aktivitäten (WORKSPACE_ACTIVITY
) können in Ihre Google Security Operations-Instanz aufgenommen werden. Google Security Operations erlaubt jedoch die Aufnahme anderer Arten von Google Workspace-Daten (z. B. WORKSPACE_USERS
und WORKSPACE_GROUPS
) mithilfe anderer Aufnahmemethoden (z. B. Feedverwaltung). Weitere Informationen finden Sie unter Feed in Google Security Operations zum Aufnehmen von Google Workspace-Logs konfigurieren.
Für den Zugriff auf diese Integration benötigen Sie Google Workspace Enterprise Standard oder Enterprise Plus. Andernfalls können Sie die Feedaufnahmemethode verwenden, um Google Workspace-Aktivitätslogs aufzunehmen.
Google Security Operations nimmt Google Workspace-Logs aus den folgenden Google-Anwendungen auf:
- Access Transparency
- Konten
- Admin-Konsole
- Google Kalender
- Google Chat
- Google Chrome
- Classroom
- Google Cloud
- Access Context Manager
- Looker Studio
- Gerät
- Google Drive
- Gmail
- Google Groups
- Jamboard-Verwaltung
- LDAP
- Anmeldung
- Google Meet
- OAuth
- Password Vault
- Logging von Firewallregeln
- SAML
- Nutzerkonten
- Voice
Hinweise
Führen Sie die folgenden Schritte aus, bevor Sie beginnen:
Wenn Sie keine Google Security Operations-Instanz haben, erstellen Sie eine neue. Weitere Informationen finden Sie unter Google Security Operations-Instanz einrichten und migrieren.
Kopieren Sie Ihre Google Workspace-Kundennummer aus der Google Workspace-Admin-Konsole.
ID und Token der Google Security Operations-Instanz abrufen
Führen Sie die folgenden Schritte über Ihr Google Security Operations-Konto aus, um die ID und das Token Ihrer Google Security Operations-Instanz zu erhalten:
- Öffnen Sie die Google Security Operations-Instanz.
- Wählen Sie in der Navigationsleiste Einstellungen aus.
- Klicken Sie auf Google Workspace.
- Geben Sie Ihre Google Workspace-Kundennummer ein.
- Klicken Sie auf Generate Token (Token generieren).
- Kopieren Sie das Token und die ID Ihrer Google Security Operations-Instanz, die sich auf derselben Seite befinden.
Google Workspace mit Ihrer Google Security Operations-Instanz verknüpfen
Führen Sie in der Google Workspace-Admin-Konsole die folgenden Schritte aus, um Ihre Google Workspace-Daten an Ihre Google Security Operations-Instanz zu senden:
- Öffnen Sie die Google Workspace-Admin-Konsole.
- Klicken Sie auf Berichte.
- Klicken Sie auf Datenintegrationen.
- Wählen Sie Chronicle export (Chronicle-Export) aus und klicken Sie dann auf Connect to Chronicle (Mit Chronicle verbinden). Dadurch wird die Seite Mit Chronicle verbinden geöffnet.
- Fügen Sie das aus Ihrem Google Security Operations-Konto kopierte Token in das angegebene Feld ein. Klicken Sie auf Verbinden. Für den Export von Audit-Daten nach Google Security Operations sollte jetzt Ein angezeigt werden. Ihr Google Workspace-Konto ist jetzt mit Ihrer Google Security Operations-Instanz verknüpft und Ihre Google Workspace-Daten werden gesendet.
- Klicken Sie auf Zu Chronicle, um Ihre Google Security Operations-Instanz zu öffnen und mit dem Monitoring Ihrer Google Workspace-Daten von Google Security Operations zu beginnen. Weitere Informationen finden Sie im Dashboard für Datenaufnahme und -zustand.
Google Workspace von Google Security Operations trennen
Führen Sie die folgenden Schritte aus, um Ihr Google Workspace-Konto von Ihrer Google Security Operations-Instanz zu trennen:
- Öffnen Sie die Google Workspace-Admin-Konsole.
- Klicken Sie auf Datenintegrationen.
- Klicken Sie im Bereich Chronicle Export auf Verbindung zu Chronicle trennen. Unter Audit-Daten nach Chronicle exportieren sollte jetzt Aus angezeigt werden.
Nächste Schritte
Im nächsten Schritt aktivieren Sie die Regelsätze für Cloud-Bedrohungen, mit denen Bedrohungen mithilfe von Google Workspace-Daten identifiziert werden können.