Chrome Enterprise Premium-Daten in Google Security Operations aufnehmen

Auf dieser Seite wird erläutert, wie Sie eine Verbindung zwischen Ihrer Organisation und Google Security Operations herstellen, die Identity-Aware Proxy API (IAP API) aktivieren und Feeds einrichten, um die folgenden Daten in Google Security Operations zu übernehmen.

• Google Cloud Logs
• Cloud Identity-Geräte
• Cloud Identity-Gerätenutzer

Hinweise

Bevor Sie Feeds zum Aufnehmen von Chrome Enterprise Premium-Daten einrichten, müssen Sie die folgenden Aufgaben ausführen:

• Verbinden Sie Ihre Google Cloud-Organisation mit Google Security Operations. Gehen Sie dazu so vor:
  1. Aktivieren Sie die Telemetrieaufnahme in Google Security Operations.
  2. Aktivieren Sie den Export von Google Cloud-Logs nach Google Security Operations.
• Aktivieren Sie die Cloud Identity API und erstellen Sie ein Dienstkonto, um die API zu authentifizieren.
• Erstellen Sie eine domainweite Delegierung.
• Erstellen Sie einen Nutzer für die Identitätsdiebstahl-Simulation.

Cloud Identity API aktivieren und Dienstkonto erstellen

1. Wählen Sie in der Google Cloud Console das Google Cloud-Projekt aus, für das Sie die API aktivieren möchten, und rufen Sie dann die Seite APIs und Dienste auf:

   Gehen Sie zu APIs und Dienste.

2. Klicken Sie auf APIs und Dienste aktivieren.

3. Suchen Sie nach „Cloud Identity API“.

4. Klicken Sie in den Suchergebnissen auf Cloud Identity API.

5. Klicken Sie auf Aktivieren.

6. Erstellen Sie ein Dienstkonto:

   1. Wählen Sie in der Google Cloud Console IAM und Verwaltung > Dienstkonten aus.
   2. Klicken Sie auf Dienstkonto erstellen.
   3. Geben Sie auf der Seite Dienstkonto erstellen einen Namen für das Dienstkonto ein.
   4. Klicken Sie auf Fertig.

7. Wählen Sie das von Ihnen erstellte Dienstkonto aus.

8. Kopieren und speichern Sie die ID, die im Feld Eindeutige ID angezeigt wird. Sie verwenden diese ID, wenn Sie eine domainweite Delegierung erstellen.

9. Wählen Sie den Tab Keys aus.

10. Klicken Sie auf Schlüssel hinzufügen > Neuen Schlüssel erstellen.

11. Wählen Sie als Schlüsseltyp JSON aus.

12. Klicken Sie auf Erstellen.

13. Kopieren und speichern Sie den JSON-Schlüssel. Sie verwenden diesen Schlüssel, wenn Sie Feeds einrichten.

Weitere Informationen finden Sie unter Cloud Identity API aktivieren und ein Dienstkonto zum Authentifizieren der API erstellen.

Domainweite Delegierung erstellen

So steuern Sie den API-Zugriff für das Dienstkonto mithilfe der domainweiten Delegierung:

1. Wählen Sie auf der Startseite der Admin-Konsole Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung aus.
2. Wählen Sie Domainweite Delegierung > Domainweite Delegierung verwalten aus.
3. Klicken Sie auf Neu hinzufügen.
4. Geben Sie die Client-ID des Dienstkontos ein. Die Client-ID des Dienstkontos ist die eindeutige ID, die Sie beim Erstellen eines Dienstkontos erhalten haben.
5. Geben Sie unter OAuth-Bereiche https://www.googleapis.com/auth/cloud-identity.devices.readonly ein.
6. Klicken Sie auf Autorisieren.

Weitere Informationen finden Sie unter Zugriff auf die API mit domainweiter Delegierung verwalten.

Nutzer für die Identitätsdiebstahl-Simulation erstellen

1. Wählen Sie auf der Startseite der Admin-Konsole Verzeichnis > Nutzer aus.
2. So fügen Sie einen neuen Nutzer hinzu:
   1. Klicken Sie auf Neuen Nutzer hinzufügen.
   2. Geben Sie einen Namen für den Nutzer ein.
   3. Geben Sie die E-Mail-Adresse ein, die mit dem Nutzer verknüpft ist.
   4. Klicken Sie auf Erstellen und dann auf Fertig.
3. So erstellen Sie eine neue Rolle und weisen eine Berechtigung zu:
   1. Wählen Sie den neu erstellten Nutzernamen aus.
   2. Klicken Sie auf Administratorrollen und Berechtigungen.
   3. Klicken Sie auf Benutzerdefinierte Rolle erstellen.
   4. Klicken Sie auf Neue Rolle erstellen.
   5. Geben Sie einen Namen für die Rolle ein.
   6. Wählen Sie Dienste > Mobilgeräteverwaltung und dann die Berechtigung Geräte und Einstellungen verwalten aus.
   7. Klicken Sie auf Weiter.
4. So weisen Sie dem Nutzer die Rolle zu:
   1. Klicken Sie auf Nutzer zuweisen.
   2. Rufen Sie den neu erstellten Nutzer auf und klicken Sie auf Rolle zuweisen.

Feeds zum Aufnehmen von Chrome Enterprise Premium-Protokollen einrichten

1. Gehen Sie zu SIEM-Einstellungen > Feeds.
2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
3. Geben Sie einen eindeutigen Namen für das Feld ein.
4. Wählen Sie API eines Drittanbieters als Quelltyp aus.
5. Wählen Sie in der Liste Log type (Protokolltyp) entweder GCP Cloud Identity Devices (GCP Cloud Identity-Geräte) oder GCP Cloud Identity Device Users (GCP Cloud Identity-Gerätenutzer) aus.
6. Klicken Sie auf Weiter.

7. Geben Sie auf dem Tab Eingabeparameter die folgenden Details an:

   • OAuth-JWT-Endpunkt Geben Sie https://oauth2.googleapis.com/token ein.
   • Aussteller von JWT-Anforderungen Geben Sie <insert_service_account@project.iam.gserviceaccount.com> an. Das ist das Dienstkonto, das Sie im Abschnitt Cloud Identity API aktivieren und ein Dienstkonto erstellen erstellt haben.
   • JWT-Anspruchssubjekt Geben Sie die E-Mail-Adresse des Nutzers ein, den Sie im Abschnitt Nutzer für Identitätsdiebstahl erstellen erstellt haben.
   • Zielgruppe der JWT-Ansprüche Geben Sie https://oauth2.googleapis.com/token ein.
   • RSA-privater Schlüssel Geben Sie den JSON-Schlüssel ein, der beim Erstellen eines Dienstkontos erstellt wurde, um die API zu authentifizieren.
   • API-Version Optional. Sie können dieses Feld leer lassen.

8. Klicken Sie auf Weiter.

9. Überprüfen Sie auf dem Tab Abschließen die von Ihnen eingegebenen Werte und klicken Sie dann auf Senden.