Google Cloud-Daten in Google Security Operations aufnehmen

Auf dieser Seite wird gezeigt, wie Sie die Aufnahme Ihrer Google Cloud-Daten in Google Security Operations aktivieren bzw. deaktivieren. Mit Google Security Operations können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen speichern, suchen und prüfen. Dabei kann es mehrere Monate oder länger dauern, je nach Datenaufbewahrungszeitraum.

Übersicht

Es gibt zwei Möglichkeiten, Google Cloud-Daten an Google Security Operations zu senden. Die Auswahl der richtigen Option hängt vom Logtyp ab.

Option 1: Direkte Aufnahme

In Google Cloud kann ein spezieller Cloud Logging-Filter konfiguriert werden, um bestimmte Logtypen in Echtzeit an Google Security Operations zu senden. Diese Protokolle werden von Google Cloud-Diensten generiert.

Verfügbare Logtypen:

• Cloud-Audit-Logs
• Cloud NAT
• Cloud DNS
• Firewall der nächsten Generation
• Cloud Intrusion Detection System
• Cloud Load Balancing
• Cloud SQL
• Windows-Ereignisprotokolle
• Linux-Syslog
• Linux Sysmon
• Zeek
• Google Kubernetes Engine
• Audit-Daemon (auditd)
• Apigee
• reCAPTCHA Enterprise
• Cloud Run-Logs (GCP_RUN)

Verwenden Sie Option 2, um Compute Engine- oder GKE-Anwendungslogs (Google Kubernetes Engine) wie Apache, Nginx oder IIS zu erfassen. Reichen Sie außerdem ein Support-Ticket bei Google Security Operations ein, um Feedback für den zukünftigen Support über die direkte Datenaufnahme (Option 1) zu geben.

Informationen zu bestimmten Logfiltern und weitere Details zur Datenaufnahme finden Sie unter Google Cloud-Logs in Google Security Operations exportieren.

Sie können auch Google Cloud-Asset-Metadaten senden, die zur Kontextanreicherung verwendet werden. Weitere Informationen finden Sie unter Google Cloud-Asset-Metadaten nach Google Security Operations exportieren.

Option 2: Google Cloud Storage

Cloud Logging kann Logs an Cloud Storage weiterleiten, damit diese von Google Security Operations nach einem Zeitplan abgerufen werden.

Weitere Informationen zum Konfigurieren von Cloud Storage für Google Security Operations finden Sie unter Feedverwaltung: Cloud Storage.

Hinweise

Bevor Sie Google Cloud-Daten in eine Google Security Operations-Instanz aufnehmen können, müssen Sie die folgenden Schritte ausführen:

1. Gewähren Sie die folgenden IAM-Rollen, die für den Zugriff auf den Abschnitt „Google Security Operations“ erforderlich sind:

   • Chronicle Service Admin (roles/chroniclesm.admin): IAM-Rolle zum Ausführen aller Aktivitäten.
   • Chronicle Service Viewer (roles/chroniclesm.viewer): IAM-Rolle, um nur den Status der Aufnahme anzeigen zu lassen.
   • Sicherheitscenter-Admin-Bearbeiter (roles/securitycenter.adminEditor): Erforderlich, um die Aufnahme von Cloud-Asset-Metadaten zu aktivieren

2. Wenn Sie Cloud-Asset-Metadaten aktivieren möchten, müssen Sie auch die Security Command Center-Standard-, Premium- oder Enterprise-Stufe aktivieren. Weitere Informationen finden Sie unter Übersicht über die Aktivierung auf Organisationsebene.

IAM-Rollen zuweisen

Sie können die erforderlichen IAM-Rollen entweder über die Google Cloud Console oder die gcloud CLI gewähren.

Führen Sie die folgenden Schritte aus, um IAM-Rollen mithilfe der Google Cloud Console zuzuweisen:

1. Melden Sie sich in der Google Cloud-Organisation an, mit der Sie eine Verbindung herstellen möchten, und wechseln Sie mit Produkte > IAM und Verwaltung > IAM zum IAM-Bildschirm.

2. Wählen Sie auf dem Bildschirm IAM den Nutzer aus und klicken Sie auf Mitglied bearbeiten.

3. Klicken Sie auf dem Bildschirm „Berechtigungen bearbeiten“ auf Weitere Rolle hinzufügen und suchen Sie nach „Google Security Operations“, um die IAM-Rollen zu finden.

4. Nachdem Sie die Rollen zugewiesen haben, klicken Sie auf Speichern.

So weisen Sie IAM-Rollen mit der Google Cloud CLI zu:

1. Sie müssen in der richtigen Organisation angemeldet sein. Prüfen Sie dies mit dem Befehl gcloud init.

2. Führen Sie den folgenden Befehl aus, um die IAM-Rolle Chronicle Service Admin mit gcloud zu gewähren:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Ersetzen Sie Folgendes:

   • ORGANIZATION_ID: die numerische Organisations-ID.
   • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

3. Führen Sie den folgenden Befehl aus, um die IAM-Rolle „Chronicle Service Viewer“ mit gcloud zu gewähren:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Wenn Sie die Rolle „Security Center-Administratorbearbeiter“ mit gcloud gewähren möchten, führen Sie den folgenden Befehl aus:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Direkte Datenaufnahme aus Google Cloud aktivieren

Die Schritte zum Aktivieren der direkten Aufnahme aus Google Cloud unterscheiden sich je nach zur Inhaberschaft des Projekts, an das Ihre Google Security Operations-Instanz gebunden ist.

• Wenn es an ein Projekt gebunden ist, dessen Inhaber und Administrator Sie sind, folgen Sie der Anleitung unter Aufnahme konfigurieren, wenn das Projekt dem Kunden gehört. So können Sie die Datenaufnahme aus mehreren Google Cloud-Organisationen konfigurieren.

• Wenn es mit einem Google Cloud-Projekt verknüpft ist, das Google gehört und verwaltet, folgen Sie der Anleitung unter Aufnahme konfigurieren, wenn das Projekt zu Google Cloud gehört.

Nachdem Sie die direkte Aufnahme konfiguriert haben, werden Ihre Google Cloud-Daten an Google Security Operations gesendet. Sie können die Analysefunktionen von Google Security Operations verwenden, um sicherheitsrelevante Probleme zu untersuchen.

Datenaufnahme konfigurieren, wenn der Kunde Inhaber des Projekts ist

Führen Sie die folgenden Schritte aus, wenn Sie der Inhaber des Google Cloud-Projekts sind.

Sie können die direkte Aufnahme mehrerer Organisationen auf derselben Projektebene konfigurieren Konfigurationsseite aufrufen. Führen Sie die folgenden Schritte aus, um eine neue Konfiguration zu erstellen und eine vorhandene Konfiguration zu bearbeiten.

Wenn Sie eine vorhandene Google Security Operations-Instanz so migrieren, dass sie an ein Projekt gebunden wird, dessen Inhaber Sie sind, Wenn die direkte Aufnahme vor der Migration konfiguriert wurde, ist sie ebenfalls migriert.

1. Rufen Sie in der Google Cloud Console die Seite Google SecOps > Aufnahmeeinstellungen auf.
   Zur Google SecOps-Seite
2. Wählen Sie das Projekt aus, das an Ihre Google Security Operations-Instanz gebunden ist.

3. Wählen Sie im Menü Organisation die Organisation aus, aus der Logs erstellt werden sollen. exportiert werden kann. Im Menü werden Organisationen angezeigt, auf die Sie Zugriff haben. Die Liste kann Organisationen enthalten, die nicht mit der Google SecOps-Instanz verknüpft sind. Sie können keine Organisation konfigurieren, die Daten an eine andere Google SecOps-Instanz sendet.

   

4. Klicken Sie im Abschnitt Einstellung für die Google Cloud-Aufnahme auf die Ein/Aus-Schaltfläche Daten an Google Security Operations senden, um das Senden von Logs an Google Security Operations zu aktivieren.

5. Wählen Sie eine oder mehrere der folgenden Optionen aus, um den Datentyp zu definieren, der an Google Security Operations gesendet wird:

   • Google Cloud Logging: Weitere Informationen zu dieser Option finden Sie unter Exportieren Sie Google Cloud-Logs.
   • Cloud-Asset-Metadaten: Weitere Informationen zu dieser Option finden Sie unter Exportieren Sie Google Cloud-Asset-Metadaten.
   • Security Command Center Premium-Ergebnisse: Weitere Informationen zu dieser Option finden Sie unter Security Command Center Premium-Ergebnisse exportieren.

6. Definieren Sie unter Filtereinstellungen für den Kundenexport Exportfilter, mit denen die nach Google Security Operations exportierten Cloud Logging-Daten angepasst werden. Siehe Google Cloud-Logs exportieren für die zu exportierenden Logdatentypen.

7. So nehmen Sie Logs aus einer weiteren Organisation in dieselbe Google Security Operations-Instanz auf: wählen Sie im Menü Organisation die gewünschte Organisation aus und wiederholen Sie den Vorgang. Schritte zum Definieren des Datentyps für den Export und den Export von Filtern. Im Menü Organisation werden mehrere Organisationen aufgeführt.

8. Informationen zum Exportieren von Google Cloud-Daten zur Datenverlustprävention nach Google Security Operations finden Sie unter Google Cloud-Daten zur Datenverlustprävention nach Google Security Operations exportieren.

Datenaufnahme konfigurieren, wenn das Projekt zu Google Cloud gehört

Wenn das Projekt Google Cloud gehört, führen Sie die folgenden Schritte aus, um die direkte Aufnahme zu konfigurieren von Ihrer Google Cloud-Organisation in Ihre Google Security Operations-Instanz übertragen:

1. Rufen Sie in der Google Cloud Console den Tab Google SecOps > Übersicht > Aufnahme auf. Zum Tab „Aufnahme“ in Google SecOps
2. Klicken Sie auf die Schaltfläche Aufnahmeeinstellungen der Organisation verwalten.
3. Wenn die Meldung Seite ist für Projekte nicht sichtbar angezeigt wird, wählen Sie eine Organisation und klicken Sie dann auf Auswählen.
4. Geben Sie Ihren einmaligen Zugriffscode in das Feld Einmaliger Google Security Operations-Zugriffscode ein.
5. Klicken Sie auf das Kästchen Ich stimme den Nutzungsbedingungen für die Verwendung meiner Google Cloud-Daten durch Google Security Operations zu.
6. Klicken Sie auf Connect Google SecOps.
7. Rufen Sie den Tab Globale Datenaufnahmeeinstellungen für die Organisation auf.

8. Wählen Sie die Art der gesendeten Daten aus, indem Sie eine oder mehrere der folgenden Optionen aktivieren:

   • Google Cloud Logging: Weitere Informationen zu dieser Option finden Sie unter Google Cloud-Logs exportieren.
   • Cloud-Asset-Metadaten Weitere Informationen zu dieser Option finden Sie unter Exportieren Sie Google Cloud-Asset-Metadaten.
   • Sicherheitscenter Premium-Ergebnisse: Weitere Informationen zu dieser Option finden Sie unter Sicherheitscenter Premium-Ergebnisse exportieren.

9. Wechseln Sie zum Tab Filtereinstellungen exportieren.

10. Definieren Sie unter Filtereinstellungen für den Kundenexport Exportfilter, mit denen die nach Google Security Operations exportierten Cloud Logging-Daten angepasst werden. Informationen zu den exportierten Protokolldaten finden Sie unter Google Cloud-Protokolle exportieren.

11. Informationen zum Exportieren von Google Cloud Cloud Data Loss Prevention-Daten nach Google Security Operations finden Sie unter Daten von Google Cloud Cloud Data Loss Prevention nach Google Security Operations exportieren

Google Cloud-Logs exportieren

Nachdem Sie Cloud Logging aktiviert haben, können Sie die folgenden Arten von Google Cloud-Daten in Ihre Google Security Operations-Instanz exportieren. Die Liste ist nach Logtyp und Google Security Operations-Aufnahmelabel sortiert:

• Cloud-Audit-Logs(GCP_CLOUDAUDIT): Dazu gehören Logs zu Administratoraktivitäten, Systemereignissen, Access Transparency und Richtlinienverstößen.
  • log_id("cloudaudit.googleapis.com/activity") (vom Standardfilter exportiert)
  • log_id("cloudaudit.googleapis.com/system_event") (durch den Standardfilter exportiert)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")
• Cloud NAT-Logs(GCP_CLOUD_NAT):
  • log_id("compute.googleapis.com/nat_flows")
• Cloud DNS-Logs (GCP_DNS):
  • log_id("dns.googleapis.com/dns_queries") (durch den Standardfilter exportiert)
• Firewall der nächsten Generation-Protokolle (GCP_FIREWALL):
  • log_id("compute.googleapis.com/firewall")
• GCP_IDS:
  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")
• GCP_LOADBALANCING:
  • log_id("requests") Dazu gehören Logs aus Google Cloud Armor und Cloud Load Balancing
• GCP_CLOUDSQL:
  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")
• NIX_SYSTEM:
  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")
• LINUX_SYSMON:
  • log_id("sysmon.raw")
• WINEVTLOG:
  • log_id("winevt.raw")
  • log_id("windows_event_log")
• BRO_JSON:
  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")
• KUBERNETES_NODE:
  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")
• AUDITD:
  • log_id("audit_log")
• GCP_APIGEE_X:
  • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
• GCP_RECAPTCHA_ENTERPRISE:
  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")
• GCP_RUN:
  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")
• GCP_NGFW_ENTERPRISE:
  • log_id("networksecurity.googleapis.com/firewall_threat")

Wenn Sie Google Cloud-Logs nach Google Security Operations exportieren möchten, stellen Sie den Schalter Cloud-Logs aktivieren auf Aktiviert. Die unterstützten Google Cloud-Logtypen können in Ihre Google Security Operations-Instanz exportiert werden.

Best Practices für die Verwendung von Logfiltern finden Sie unter Sicherheitsloganalysen in Google Cloud.

Exportfiltereinstellungen

In den folgenden Abschnitten finden Sie Informationen zu den Exportfiltern.

Einstellungen für benutzerdefinierte Exportfilter

Standardmäßig werden Ihre Cloud-Audit-Logs (Administratoraktivität und Systemereignis) und Cloud DNS Protokolle werden an Ihre Google Security Operations-Instanz gesendet. Sie können den Exportfilter jedoch anpassen, um bestimmte Protokolltypen ein- oder auszuschließen. Der Exportfilter basiert auf der Google-Logging-Abfragesprache.

So definieren Sie einen benutzerdefinierten Filter für Ihre Protokolle:

1. Definieren Sie Ihren Filter, indem Sie mithilfe der Methode Logging-Abfragesprache. Informationen zum Definieren dieses Filtertyps finden Sie unter Logging-Abfragesprache.

2. Rufen Sie in der Google Cloud Console die Seite „Google SecOps“ auf. und wählen Sie ein Projekt aus.
   Zur Seite „Google Security Operations“
   

3. Starten Sie den Log-Explorer über den Link auf dem Tab Export Filter Settings (Filtereinstellungen exportieren).

4. Kopieren Sie die neue Abfrage in das Feld Abfrage und klicken Sie auf Abfrage ausführen, um sie zu testen.

5. Kopieren Sie die neue Abfrage in das Feld Log-Explorer > Abfrage und klicken Sie dann auf Abfrage ausführen, um sie zu testen.

6. Prüfen Sie, ob die übereinstimmenden Logs, die im Log-Explorer angezeigt werden, genau die sind, die Sie nach Google Security Operations exportieren möchten. Wenn der Filter fertig ist, kopieren Sie ihn in den Bereich Einstellungen für benutzerdefinierte Exportfilter für Google Security Operations.

7. Kehren Sie auf der Seite Google SecOps zum Bereich Einstellungen für benutzerdefinierte Exportfilter zurück.

   Bereich mit den Einstellungen für benutzerdefinierten Exportfilter

8. Klicken Sie auf das Bearbeitungssymbol für das Feld Filter exportieren und fügen Sie den Filter in das Feld ein.

9. Klicken Sie auf Speichern. Ihr neuer benutzerdefinierter Filter wird auf alle neuen Protokolle angewendet, die in Ihre Google Security Operations-Instanz exportiert werden.

10. Sie können den Exportfilter auf die Standardversion zurücksetzen, indem Sie auf Auf Standard zurücksetzen klicken. Speichern Sie zuerst eine Kopie des benutzerdefinierten Filters.

Filter für Cloud-Audit-Logs optimieren

Von Cloud-Audit-Logs geschriebene Audit-Logs zum Datenzugriff können ein großes Datenvolumen ohne großen Wert für die Bedrohungserkennung generieren. Wenn Sie diese Protokolle an Google Security Operations senden, sollten Sie Protokolle herausfiltern, die durch Routineaktivitäten generiert wurden.

Mit dem folgenden Exportfilter werden Logs für den Datenzugriff erfasst und Ereignisse mit hoher Auslastung wie Lese- und Listenvorgänge in Cloud Storage und Cloud SQL ausgeschlossen:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Weitere Informationen zum Optimieren von Datenzugriffslogs, die von Cloud-Audit-Logs generiert werden, finden Sie unter Volume von Audit-Logs zum Datenzugriff verwalten.

Beispiele für Exportfilter

Die folgenden Exportfilterbeispiele veranschaulichen, wie Sie bestimmte Arten von Logs in Ihre Google Security Operations-Instanz ein- oder ausschließen können.

Beispiel für Exportfilter: Zusätzliche Logtypen einschließen

Mit dem folgenden Exportfilter werden zusätzlich zu den Standardlogs Access Transparency-Logs exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Beispiel für einen Exportfilter: Zusätzliche Protokolle aus einem bestimmten Projekt einschließen

Mit dem folgenden Exportfilter werden Access Transparency-Logs aus einem bestimmten Projekt zusätzlich zu den Standardlogs exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Beispiel für einen Exportfilter: Zusätzliche Logs aus einem bestimmten Ordner einschließen

Mit dem folgenden Exportfilter werden zusätzlich zu den Standardprotokollen Protokolle zur Zugriffstransparenz aus einem bestimmten Ordner exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Beispiel für einen Exportfilter: Logs aus einem bestimmten Projekt ausschließen

Mit dem folgenden Exportfilter werden die Standardlogs aus der gesamten Google Cloud-Organisation mit Ausnahme eines bestimmten Projekts exportiert:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Google Cloud-Asset-Metadaten exportieren

Sie können Ihre Google Cloud-Asset-Metadaten aus Cloud Asset Inventory nach Google Security Operations exportieren. Diese Asset-Metadaten stammen aus Ihrem Cloud Asset Inventory und bestehen aus Informationen zu Ihren Assets, Ressourcen und Identitäten. Dazu gehören:

• Umgebung
• Ort
• Zone
• Hardwaremodelle
• Zugriffskontrollbeziehungen zwischen Ressourcen und Identitäten

Die folgenden Arten von Google Cloud-Asset-Metadaten werden in Ihre Google Security Operations-Instanz exportiert:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Im Folgenden finden Sie Beispiele für Google Cloud-Asset-Metadaten:

• Name der Anwendung: Google-iamSample/0.1
• Projektname: projects/my-project

Wenn Sie Google Cloud-Asset-Metadaten nach Google Security Operations exportieren möchten, setzen Sie die Ein/Aus-Schaltfläche Cloud Asset Metadata auf Aktiviert.

Weitere Informationen zu Kontextparsern finden Sie unter Kontextparser von Google Security Operations.

Security Command Center-Ergebnisse exportieren

Sie können die Ergebnisse von Security Command Center Premium Event Threat Detection und alle anderen Ergebnisse nach Google Security Operations exportieren.

Weitere Informationen zu ETD-Ergebnissen finden Sie unter Event Threat Detection – Übersicht.

Wenn Sie Ihre Security Command Center Premium-Ergebnisse nach Google Security Operations exportieren möchten, setzen Sie den Schalter Security Command Center Premium-Ergebnisse auf Aktiviert.

Schutz sensibler Daten nach Google Security Operations exportieren

So nehmen Sie Asset-Metadaten für den Schutz sensibler Daten (DLP_CONTEXT) auf:

1. Aktivieren Sie die Datenaufnahme in Google Cloud. Gehen Sie dazu die Schritte im vorherigen Abschnitt dieses Dokuments durch.
2. Konfigurieren Sie den Schutz sensibler Daten so, dass Daten profiliert werden.
3. Konfigurieren Sie die Scankonfiguration zum Veröffentlichen von Datenprofilen. an Google Security Operations.

Ausführliche Informationen zum Erstellen von Datenprofilen für BigQuery-Daten finden Sie in der Dokumentation zum Schutz sensibler Daten.

Google Cloud-Datenaufnahme deaktivieren

Die Schritte zum Deaktivieren der direkten Datenaufnahme aus Google Cloud unterscheiden sich je nach Konfiguration von Google Security Operations. Wählen Sie eine der folgenden Optionen aus:

• Wenn Ihre Google Security Operations-Instanz an ein Projekt gebunden ist, dessen Inhaber Sie sind und führen Sie die folgenden Schritte aus:

  1. Wählen Sie das Projekt aus, das an Ihre Google Security Operations-Instanz gebunden ist.
  2. Rufen Sie in der Google Cloud Console unter Google SecOps den Tab Aufnahme auf.
     Zur Google SecOps-Seite
  3. Wählen Sie im Menü Organisation die Organisation aus, aus der Protokolle exportiert werden sollen.
  4. Setzen Sie die Ein/Aus-Schaltfläche Daten an Google Security Operations senden auf Deaktiviert.
  5. Wenn Sie den Datenexport aus mehreren Organisationen konfiguriert haben und deaktivieren Sie diese ebenfalls. Führen Sie diese Schritte für jede Organisation durch.

• Wenn Ihre Google Security Operations-Instanz an ein Google Cloud-Projekt gebunden ist, das Google Cloud gehört und verwaltet, gehen Sie so vor:

  1. Rufen Sie Google SecOps auf > Seite Datenaufnahme in der Google Cloud Console.
     Zur Seite „Google SecOps“
  2. Wählen Sie im Ressourcenbereich die Organisation aus, die an Ihre Google Security Operations gebunden ist und aus der Sie Daten aufnehmen.
  3. Klicken Sie auf das Kästchen Ich möchte die Verbindung zu Google Security Operations trennen und das Senden von Google Cloud-Logs an Google Security Operations beenden.
  4. Klicken Sie auf Verbindung zu Google Security Operations trennen.

Fehlerbehebung

• Wenn die Beziehungen zwischen Ressourcen und Identitäten in Ihrem Google Security Operations-Instanz: Deaktivieren Sie die direkte Aufnahme von Protokolldaten in Google Security Operations und aktivieren Sie sie dann wieder.
• Die Asset-Metadaten von Google Cloud werden regelmäßig in Google Security Operations aufgenommen. Es kann einige Stunden dauern, bis die Änderungen sichtbar sind Google Security Operations-UI und -APIs aufrufen.

Nächste Schritte

• Öffnen Sie Ihre Google Security Operations-Instanz mit der kundenspezifischen URL, die von Ihrem Google Security Operations-Ansprechpartner bereitgestellt wurde.
• Weitere Informationen zu Google Security Operations