收集 Chrome Enterprise 进阶版数据日志
支持的平台:
Google SecOps
SIEM
本页介绍了如何将您的组织关联到 Google 安全运营中心、启用 Identity-Aware Proxy (IAP) API,以及设置 Feed 以将以下数据提取到 Google 安全运营中心。
准备工作
在设置 Feed 以提取 Chrome Enterprise 进阶版数据之前,请完成以下任务:
- 请完成以下部分,将您的 Google Cloud 组织与 Google Security Operations 相关联:
- 启用 Cloud Identity API 并创建一个服务账号来对该 API 进行身份验证。
- 创建全网域授权。
- 创建要冒充的用户。
启用 Cloud Identity API 并创建服务账号
在 Google Cloud 控制台中,选择要为其启用该 API 的 Google Cloud 项目,然后转到 API 和服务页面:
点击启用 API 和服务。
搜索“Cloud Identity API”。
在搜索结果中,点击 Cloud Identity API。
点击启用。
创建服务账号:
- 在 Google Cloud 控制台中,依次选择 IAM 和管理 > 服务账号。
- 点击创建服务账号。
- 在“创建服务账号”页面上,输入服务账号的名称。
- 点击完成。
选择您创建的服务账号。
复制并保存 Unique ID(唯一 ID)字段中显示的 ID。您在创建全网域委托时使用此 ID。
选择密钥标签页。
依次点击添加密钥 > 创建新密钥。
选择 JSON 作为密钥类型。
点击创建。
复制并保存 JSON 密钥。您在设置 Feed 时会使用此密钥。
如需了解详情,请参阅启用 Cloud Identity API 并创建用于对该 API 进行身份验证的服务账号。
创建全网域授权
如需使用全网域授权功能控制服务账号的 API 访问权限,请执行以下操作:
- 在 Google 管理控制台首页,依次选择安全性 > 访问权限和数据控件 > API 控件。
- 依次选择全网域授权 > 管理全网域授权。
- 点击新增。
- 输入服务账号客户端 ID。服务账号客户端 ID 是您在创建服务账号时获得的唯一 ID。
- 在 OAuth 范围中,输入
https://www.googleapis.com/auth/cloud-identity.devices.readonly。 - 点击授权。
如需了解详情,请参阅使用全网域授权功能控制 API 访问权限
创建要冒充的用户
- 在 Google 管理控制台首页,依次选择目录 > 用户。
- 如需添加新用户,请执行以下操作:
- 点击添加新用户。
- 为用户输入名称。
- 输入与用户关联的电子邮件地址。
- 点击创建,然后点击完成。
- 如需创建新角色并分配权限,请执行以下操作:
- 选择新创建的用户名。
- 点击管理员角色和权限。
- 点击创建自定义角色。
- 点击创建新角色。
- 输入角色的名称。
- 依次选择服务 > 移动设备管理,然后选择管理设备和设置权限。
- 点击继续。
- 如需向用户分配该角色,请执行以下操作:
- 点击为用户分配角色。
- 前往新创建的用户,然后点击分配角色。
设置 Feed 以提取 Chrome 企业进阶版日志
- 依次前往 SIEM 设置 > Feed。
- 点击 Add New(新增)。
- 为字段名称输入一个唯一名称。
- 选择第三方 API 作为来源类型。
- 在日志类型列表中,选择 GCP Cloud Identity 设备或 GCP Cloud Identity 设备用户。
- 点击下一步。
在输入参数标签页中,指定以下详细信息:
- OAuth JWT 端点。输入
https://oauth2.googleapis.com/token。 - JWT 声明签发者。指定 <insert_service_account@project.iam.gserviceaccount.com>。这是您在启用 Cloud Identity API 并创建服务账号部分中创建的服务账号。
- JWT 声明正文。输入您在创建要冒充的用户部分创建的用户的电子邮件地址。
- JWT 声明接收方。输入
https://oauth2.googleapis.com/token。 - RSA 私钥。输入您在创建服务账号时创建的 JSON 密钥,以对该 API 进行身份验证。
- API 版本。可选。您可以将此字段留空。
- OAuth JWT 端点。输入
点击下一步。
在最终确定标签页中,查看您输入的值,然后点击提交。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。