Daten in Google Security Operations aufnehmen Google Cloud
Auf dieser Seite wird gezeigt, wie Sie die Aufnahme Ihrer Google Cloud Daten in Google SecOps aktivieren bzw. deaktivieren. Mit Google SecOps können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen speichern, suchen und prüfen. Dabei kann es mehrere Monate oder länger dauern, je nach Ihrer Datenaufbewahrungsdauer.
Übersicht
Es gibt zwei Möglichkeiten, Daten an Google SecOps zu senden. Google Cloud Die richtige Option hängt vom Logtyp ab.
Option 1: Direkte Datenaufnahme
In Google Cloud kann ein spezieller Cloud Logging-Filter konfiguriert werden, um bestimmte Logtypen in Echtzeit an Google SecOps zu senden. Diese Protokolle werden von Google Cloud -Diensten generiert.
In Google Security Operations werden nur unterstützte Protokolltypen aufgenommen. Verfügbare Logtypen:
- Cloud-Audit-Logs
- Cloud NAT
- Cloud DNS
- Firewall der nächsten Generation
- Cloud Intrusion Detection System
- Cloud Load Balancing
- Cloud SQL
- Windows-Ereignisprotokolle
- Linux-Syslog
- Linux Sysmon
- Zeek
- Google Kubernetes Engine
- Audit-Daemon (
auditd
) - Apigee
- reCAPTCHA Enterprise
- Cloud Run-Logs (
GCP_RUN
)
Weitere Informationen zu den spezifischen Logfiltern und zur Datenaufnahme finden Sie unter Logs in Google SecOps exportieren Google Cloud .
Du kannst auch Google Cloud Asset-Metadaten senden, die zur Kontextanreicherung verwendet werden. Weitere Informationen finden Sie unter Asset-Metadaten in Google SecOps exportieren Google Cloud .
Option 2: Google Cloud Speicher
Cloud Logging kann Logs an Cloud Storage weiterleiten, damit sie von Google SecOps geplant abgerufen werden.
an.Weitere Informationen zum Konfigurieren von Cloud Storage für Google SecOps finden Sie unter Feedverwaltung: Cloud Storage.
Hinweis
Bevor Sie Google Cloud -Daten in eine Google SecOps-Instanz aufnehmen können, müssen Sie die folgenden Schritte ausführen:
Erteilen Sie die folgenden IAM-Rollen, die für den Zugriff auf den Google SecOps-Bereich erforderlich sind:
- Chronicle Service Admin (
roles/chroniclesm.admin
): IAM-Rolle zum Ausführen aller Aktivitäten. - Chronicle Service Viewer (
roles/chroniclesm.viewer
): IAM-Rolle, um nur den Status der Aufnahme anzeigen zu lassen. - Sicherheitscenter-Administratorbearbeiter (
roles/securitycenter.adminEditor
): Erforderlich, um die Aufnahme von Cloud-Asset-Metadaten zu aktivieren.
- Chronicle Service Admin (
Wenn Sie Cloud-Asset-Metadaten aktivieren möchten, müssen Sie die Organisation im Security Command Center einrichten. Weitere Informationen finden Sie unter Aktivierung auf Organisationsebene.
IAM-Rollen zuweisen
Sie können die erforderlichen IAM-Rollen entweder über die Google Cloud Console oder die gcloud CLI zuweisen.
Führen Sie die folgenden Schritte aus, um IAM-Rollen mithilfe der Google Cloud Console zuzuweisen:
Melden Sie sich in der Google Cloud Organisation an, mit der Sie eine Verbindung herstellen möchten, und wechseln Sie mit Produkte > IAM und Verwaltung > IAM zum IAM-Bildschirm.
Wählen Sie auf dem Bildschirm IAM den Nutzer aus und klicken Sie auf Mitglied bearbeiten.
Klicken Sie im Bildschirm „Berechtigungen bearbeiten“ auf Weitere Rolle hinzufügen und suchen Sie nach Google SecOps, um die IAM-Rollen zu finden.
Nachdem Sie die Rollen zugewiesen haben, klicken Sie auf Speichern.
So weisen Sie IAM-Rollen mit der Google Cloud CLI zu:
Sie müssen in der richtigen Organisation angemeldet sein. Prüfen Sie dies mit dem Befehl
gcloud init
.Führen Sie den folgenden Befehl aus, um mit
gcloud
die IAM-Rolle „Chronicle-Dienstadministrator“ zu gewähren:gcloud organizations add-iam-policy-binding
ORGANIZATION_ID \ --member "user:USER_EMAIL " \ --role roles/chroniclesm.adminErsetzen Sie Folgendes:
ORGANIZATION_ID
: die numerische Organisations-ID.USER_EMAIL
: Die E-Mail-Adresse des Nutzers.
Führen Sie den folgenden Befehl aus, um die IAM-Rolle „Chronicle Service Viewer“ mit
gcloud
zu gewähren:gcloud organizations add-iam-policy-binding
ORGANIZATION_ID \ --member "user:USER_EMAIL " \ --role roles/chroniclesm.viewerWenn Sie die Rolle „Security Center-Administratorbearbeiter“ mit
gcloud
gewähren möchten, führen Sie den folgenden Befehl aus:gcloud organizations add-iam-policy-binding
ORGANIZATION_ID \ --member "user:USER_EMAIL " \ --role roles/securitycenter.adminEditor`
Direkte Datenaufnahme von Google Cloudaktivieren
Die Schritte zum Aktivieren der direkten Datenaufnahme von Google Cloud unterscheiden sich je nach Inhaber des Projekts, an das Ihre Google SecOps-Instanz gebunden ist.
Wenn es an ein Projekt gebunden ist, dessen Inhaber und Administrator Sie sind, folgen Sie der Anleitung unter Aufnahme konfigurieren, wenn das Projekt dem Kunden gehört. So können Sie die Datenaufnahme aus mehreren Organisationen konfigurieren. Google Cloud
Wenn es an ein Projekt gebunden ist, dessen Inhaber und Administrator Google Cloud ist, folge der Anleitung unter Aufnahme konfigurieren, wenn das Projekt zu Google Cloudgehört.
Nachdem Sie die direkte Datenaufnahme konfiguriert haben, werden Ihre Google Cloud Daten an Google SecOps gesendet. Sie können die Analysefunktionen von Google SecOps verwenden, um sicherheitsrelevante Probleme zu untersuchen.
Datenaufnahme konfigurieren, wenn der Kunde Inhaber des Projekts ist
Führen Sie die folgenden Schritte aus, wenn Sie der Inhaber des Google Cloud -Projekts sind.
Sie können die direkte Datenaufnahme von mehreren Organisationen über dieselbe Konfigurationsseite auf Projektebene konfigurieren. Führen Sie die folgenden Schritte aus, um eine neue Konfiguration zu erstellen und eine vorhandene Konfiguration zu bearbeiten.
Wenn Sie eine vorhandene Google SecOps-Instanz so migrieren, dass sie an ein Projekt gebunden wird, dessen Inhaber Sie sind, und wenn vor der Migration die direkte Datenaufnahme konfiguriert wurde, wird auch die Konfiguration für die direkte Datenaufnahme migriert.
- Rufen Sie in der Google Cloud Console die Seite Google SecOps > Aufnahmeeinstellungen auf.
Zur Google SecOps-Seite - Wählen Sie das Projekt aus, das mit Ihrer Google SecOps-Instanz verknüpft ist.
Wählen Sie im Menü Organisation die Organisation aus, aus der Protokolle exportiert werden sollen. Im Menü werden Organisationen angezeigt, auf die Sie Zugriff haben. Die Liste kann Organisationen enthalten, die nicht mit der Google SecOps-Instanz verknüpft sind. Sie können keine Organisation konfigurieren, die Daten an eine andere Google SecOps-Instanz sendet.
Klicken Sie im Bereich Google Cloud-Aufnahmeeinstellungen auf die Ein/Aus-Schaltfläche Daten an Google Security Operations senden, um das Senden von Protokollen an Google SecOps zu aktivieren.
Wählen Sie eine oder mehrere der folgenden Optionen aus, um die Art der an Google SecOps gesendeten Daten zu definieren:
- Google Cloud Logging: Weitere Informationen zu dieser Option finden Sie unter Google Cloud Logs exportieren.
- Cloud-Asset-Metadaten: Weitere Informationen zu dieser Option finden Sie unter Asset-Metadaten exportieren Google Cloud .
- Security Command Center Premium-Ergebnisse: Weitere Informationen zu dieser Option finden Sie unter Security Command Center Premium-Ergebnisse exportieren.
Definieren Sie unter Filtereinstellungen für den Kundenexport Exportfilter, mit denen die an Google SecOps exportierten Cloud Logging-Daten angepasst werden. Informationen zu den exportierten Protokolldaten finden Sie unter Protokolle exportieren Google Cloud .
Wenn Sie Protokolle aus einer zusätzlichen Organisation in dieselbe Google SecOps-Instanz aufnehmen möchten, wählen Sie die Organisation aus dem Menü Organisation aus und wiederholen Sie die Schritte zum Definieren der zu exportierenden Daten und Exportfilter. Im Menü Organisation sind mehrere Organisationen aufgeführt.
Informationen zum Exportieren von Google Cloud Cloud Data Loss Prevention-Daten nach Google SecOps finden Sie unter Google Cloud Cloud Data Loss Prevention-Daten nach Google SecOps exportieren.
Datenaufnahme konfigurieren, wenn das Projekt zu Google Cloudgehört
Wenn Google Cloud Inhaber des Projekts ist, gehen Sie so vor, um die direkte Aufnahme von Daten aus Ihrer Google Cloud Organisation in Ihre Google SecOps-Instanz zu konfigurieren:
- Rufen Sie in der Google Cloud Console den Tab Google SecOps > Übersicht > Aufnahme auf. Zum Tab „Aufnahme“ in Google SecOps
- Klicken Sie auf die Schaltfläche Einstellungen für die Datenaufnahme der Organisation verwalten.
- Wenn die Meldung Seite nicht für Projekte sichtbar angezeigt wird, wählen Sie eine Organisation aus und klicken Sie dann auf Auswählen.
- Geben Sie Ihren einmaligen Zugriffscode in das Feld Einmaliger Google SecOps-Zugriffscode ein.
- Klicken Sie auf das Kästchen Ich stimme den Nutzungsbedingungen für die Verwendung meiner Google Cloud Daten durch Google SecOps zu.
- Klicken Sie auf Google SecOps verbinden.
- Rufen Sie den Tab Globale Datenaufnahmeeinstellungen für die Organisation auf.
Wählen Sie die Art der gesendeten Daten aus, indem Sie eine oder mehrere der folgenden Optionen aktivieren:
- Google Cloud Logging: Weitere Informationen zu dieser Option finden Sie unter Logs Google Cloud exportieren.
- Cloud Asset-Metadaten Weitere Informationen zu dieser Option findest du unter Asset-Metadaten exportieren Google Cloud .
- Security Command Center Premium-Ergebnisse: Weitere Informationen zu dieser Option finden Sie unter Security Command Center Premium-Ergebnisse exportieren.
Rufen Sie den Tab Exportfiltereinstellungen auf.
Definieren Sie unter Filtereinstellungen für den Kundenexport Exportfilter, mit denen die an Google SecOps exportierten Cloud Logging-Daten angepasst werden. Informationen zu den Arten von Protokolldaten, die Sie exportieren können, finden Sie unter Logs exportieren Google Cloud .
Informationen zum Exportieren von Google Cloud Cloud Data Loss Prevention-Daten nach Google SecOps finden Sie unter Google Cloud Cloud Data Loss Prevention-Daten nach Google SecOps exportieren.
Google Cloud -Protokolle exportieren
Nachdem Sie Cloud Logging aktiviert haben, können Sie die folgenden Arten vonGoogle Cloud -Daten in Ihre Google SecOps-Instanz exportieren. Sie sind nach Protokolltyp und Google SecOps-Aufnahmelabel aufgelistet:
- Cloud-Audit-Logs(
GCP_CLOUDAUDIT
): Dazu gehören Logs zu Administratoraktivitäten, Systemereignissen, Access Transparency und abgelehnten Richtlinien.log_id("cloudaudit.googleapis.com/activity")
(vom Standardfilter exportiert)log_id("cloudaudit.googleapis.com/system_event")
(vom Standardfilter exportiert)log_id("cloudaudit.googleapis.com/policy")
log_id("cloudaudit.googleapis.com/access_transparency")
- Cloud NAT-Protokolle(
GCP_CLOUD_NAT
):log_id("compute.googleapis.com/nat_flows")
- Cloud DNS-Logs (
GCP_DNS
):log_id("dns.googleapis.com/dns_queries")
(vom Standardfilter exportiert)
- Firewall der nächsten Generation-Protokolle(
GCP_FIREWALL
):log_id("compute.googleapis.com/firewall")
GCP_IDS
:log_id("ids.googleapis.com/threat")
log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING
:log_id("requests")
Dazu gehören Logs von Google Cloud Armor und Cloud Load Balancing.
GCP_CLOUDSQL
:log_id("cloudsql.googleapis.com/mysql-general.log")
log_id("cloudsql.googleapis.com/mysql.err")
log_id("cloudsql.googleapis.com/postgres.log")
log_id("cloudsql.googleapis.com/sqlagent.out")
log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM
:log_id("syslog")
log_id("authlog")
log_id("securelog")
LINUX_SYSMON
:log_id("sysmon.raw")
WINEVTLOG
:log_id("winevt.raw")
log_id("windows_event_log")
BRO_JSON
:log_id("zeek_json_streaming_conn")
log_id("zeek_json_streaming_dhcp")
log_id("zeek_json_streaming_dns")
log_id("zeek_json_streaming_http")
log_id("zeek_json_streaming_ssh")
log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE
:log_id("events")
log_id("stdout")
log_id("stderr")
AUDITD
:log_id("audit_log")
GCP_APIGEE_X
:log_id("apigee.googleapis.com/ingress_instance")
log_id("apigee.googleapis.com")
log_id("apigee-logs")
log_id("apigee")
logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"
GCP_RECAPTCHA_ENTERPRISE
:log_id("recaptchaenterprise.googleapis.com/assessment")
log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN
:log_id("run.googleapis.com/stderr")
log_id("run.googleapis.com/stdout")
log_id("run.googleapis.com/requests")
log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE
:log_id("networksecurity.googleapis.com/firewall_threat")
Wenn Sie Google Cloud Logs nach Google SecOps exportieren möchten, setzen Sie die Ein/Aus-Schaltfläche Cloud-Logs aktivieren auf Aktiviert. Die unterstützten Google Cloud Logtypen können in Ihre Google SecOps-Instanz exportiert werden.
Best Practices für die Verwendung von Protokollfiltern finden Sie unter Sicherheitsprotokollanalysen in Google Cloud.
Exportfiltereinstellungen
In den folgenden Abschnitten finden Sie Informationen zu den Exportfiltern.
Einstellungen für benutzerdefinierte Exportfilter
Standardmäßig werden Ihre Cloud-Audit-Logs (Administratoraktivitäten und Systemereignisse) und Cloud DNS-Logs an Ihre Google SecOps-Instanz gesendet. Sie können den Exportfilter jedoch anpassen, um bestimmte Protokolltypen ein- oder auszuschließen. Der Exportfilter basiert auf der Google-Logging-Abfragesprache.
So definieren Sie einen benutzerdefinierten Filter für Ihre Protokolle:
Erstellen Sie einen benutzerdefinierten Filter für Ihre Protokolle mithilfe der Logging-Abfragesprache. Informationen zum Definieren dieses Filtertyps finden Sie unter Logging-Abfragesprache.
Rufen Sie in der Google Cloud Console die Seite „Google SecOps“ auf und wählen Sie ein Projekt aus.
Zur Google SecOps-SeiteÖffnen Sie den Log-Explorer über den Link auf dem Tab Export Filter Settings (Exportfiltereinstellungen).
Kopieren Sie die neue Abfrage in das Feld Abfrage und klicken Sie auf Abfrage ausführen, um sie zu testen.
Kopieren Sie die neue Abfrage in das Feld Log-Explorer > Abfrage und klicken Sie dann auf Abfrage ausführen, um sie zu testen.
Prüfen Sie, ob die übereinstimmenden Logs, die im Log-Explorer angezeigt werden, genau die sind, die Sie in Google SecOps exportieren möchten. Wenn der Filter fertig ist, kopieren Sie ihn in den Bereich Filtereinstellungen für den benutzerdefinierten Export für Google SecOps.
Kehren Sie auf der Seite Google SecOps zum Bereich Einstellungen für benutzerdefinierte Exportfilter zurück.
Abschnitt „Einstellungen für benutzerdefinierte Exportfilter“
Klicken Sie auf das Bearbeitungssymbol für das Feld Filter exportieren und fügen Sie den Filter in das Feld ein.
Klicken Sie auf Speichern. Ihr neuer benutzerdefinierter Filter wird auf alle neuen Logs angewendet, die in Ihre Google SecOps-Instanz exportiert werden.
Sie können den Exportfilter auf die Standardversion zurücksetzen, indem Sie auf Auf Standard zurücksetzen klicken. Speichern Sie zuerst eine Kopie des benutzerdefinierten Filters.
Filter für Cloud-Audit-Logs optimieren
Von Cloud-Audit-Logs geschriebene Audit-Logs zum Datenzugriff können ein großes Datenvolumen ohne großen Wert für die Bedrohungserkennung generieren. Wenn Sie diese Logs an Google SecOps senden, sollten Sie Logs herausfiltern, die durch Routineaktivitäten generiert werden.
Mit dem folgenden Exportfilter werden Logs für den Datenzugriff erfasst und Ereignisse mit hoher Auslastung wie Lese- und Listenvorgänge in Cloud Storage und Cloud SQL ausgeschlossen:
( log_id("cloudaudit.googleapis.com/data_access")
AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
AND NOT protoPayload.request.cmd = "select" )
Weitere Informationen zum Optimieren von Datenzugriffslogs, die von Cloud-Audit-Logs generiert werden, finden Sie unter Volume von Audit-Logs zum Datenzugriff verwalten.
Beispiele für Exportfilter
Die folgenden Exportfilterbeispiele veranschaulichen, wie Sie bestimmte Protokolltypen für den Export in Ihre Google SecOps-Instanz ein- oder ausschließen können.
Beispiel für einen Exportfilter: Zusätzliche Logtypen einschließen
Mit dem folgenden Exportfilter werden zusätzlich zu den Standardprotokollen auch Protokolle für die Zugriffstransparenz exportiert:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")
Beispiel für einen Exportfilter: Zusätzliche Protokolle aus einem bestimmten Projekt einschließen
Mit dem folgenden Exportfilter werden zusätzlich zu den Standardprotokollen auch Protokolle zur Zugriffstransparenz aus einem bestimmten Projekt exportiert:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Beispiel für einen Exportfilter: Zusätzliche Protokolle aus einem bestimmten Ordner einschließen
Mit dem folgenden Exportfilter werden zusätzlich zu den Standardprotokollen Protokolle zur Zugriffstransparenz aus einem bestimmten Ordner exportiert:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Beispiel für einen Exportfilter: Logs aus einem bestimmten Projekt ausschließen
Mit dem folgenden Exportfilter werden die Standardprotokolle aus der gesamten Google Cloud Organisation mit Ausnahme eines bestimmten Projekts exportiert:
(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")
Google Cloud Asset-Metadaten exportieren
Sie können Ihre Google Cloud Asset-Metadaten aus Cloud Asset Inventory nach Google SecOps exportieren. Diese Asset-Metadaten stammen aus Ihrem Cloud Asset Inventory und enthalten Informationen zu Ihren Assets, Ressourcen und Identitäten, darunter:
- Umgebung
- Ort
- Zone
- Hardwaremodelle
- Zugriffssteuerungsbeziehungen zwischen Ressourcen und Identitäten
Die folgenden Arten von Google Cloud Asset-Metadaten werden in Ihre Google SecOps-Instanz exportiert:
GCP_BIGQUERY_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_STORAGE_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_SQL_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
Im Folgenden findest du Beispiele für Google Cloud Asset-Metadaten:
- Name der Anwendung:
Google-iamSample/0.1
- Projektname:
projects/my-project
Wenn Sie Google Cloud Asset-Metadaten nach Google SecOps exportieren möchten, aktivieren Sie die Option Cloud Asset-Metadaten.
Weitere Informationen zu Kontextparsern finden Sie unter Google SecOps-Kontextparser.
Security Command Center-Ergebnisse exportieren
Sie können die Ergebnisse der Premium-Ereignisbedrohungserkennung von Security Command Center und alle anderen Ergebnisse nach Google SecOps exportieren.
Weitere Informationen zu ETD-Ergebnissen finden Sie unter Event Threat Detection – Übersicht.
Wenn Sie Ihre Security Command Center Premium-Ergebnisse nach Google SecOps exportieren möchten, setzen Sie den Schalter Security Command Center Premium-Ergebnisse auf Aktiviert.
Daten zum Schutz sensibler Daten in Google SecOps exportieren
So nimmst du Asset-Metadaten für den Schutz sensibler Daten (DLP_CONTEXT
) auf:
- Aktivieren Sie die Datenaufnahme für Google Cloud , indem Sie den vorherigen Abschnitt in diesem Dokument ausführen.
- Konfigurieren Sie den Schutz sensibler Daten so, dass Daten profiliert werden.
- Konfigurieren Sie die Scankonfiguration so, dass Datenprofile in Google SecOps veröffentlicht werden.
Ausführliche Informationen zum Erstellen von Datenprofilen für BigQuery-Daten finden Sie in der Dokumentation zum Schutz sensibler Daten.
Google Cloud Datenaufnahme deaktivieren
Die Schritte zum Deaktivieren der direkten Datenaufnahme von Google Cloud unterscheiden sich je nach Konfiguration von Google SecOps. Wählen Sie eine der folgenden Optionen aus:
Wenn Ihre Google SecOps-Instanz an ein Projekt gebunden ist, dessen Inhaber und Administrator Sie sind, gehen Sie so vor:
- Wählen Sie das Projekt aus, das mit Ihrer Google SecOps-Instanz verknüpft ist.
- Rufen Sie in der Google Cloud Console unter Google SecOps den Tab Aufnahme auf.
Zur Google SecOps-Seite - Wählen Sie im Menü Organisation die Organisation aus, aus der Protokolle exportiert werden sollen.
- Stellen Sie die Ein/Aus-Schaltfläche Daten werden an Google Security Operations gesendet auf Deaktiviert.
- Wenn Sie den Datenexport aus mehreren Organisationen konfiguriert haben und diese auch deaktivieren möchten, wiederholen Sie diese Schritte für jede Organisation.
Wenn Ihre Google SecOps-Instanz an ein Projekt gebunden ist, Google Cloud das Sie besitzen und verwalten, gehen Sie so vor:
- Rufen Sie in der Google Cloud Console die Seite Google SecOps > Aufnahme auf.
Zur Google SecOps-Seite - Wählen Sie im Ressourcenmenü die Organisation aus, die mit Ihrer Google SecOps-Instanz verknüpft ist und von der Sie Daten aufnehmen.
- Aktivieren Sie das Kästchen Ich möchte die Verbindung zu Google SecOps trennen und das Senden von Logs an Google SecOps beenden Google Cloud .
- Klicken Sie auf Google SecOps-Verbindung trennen.
- Rufen Sie in der Google Cloud Console die Seite Google SecOps > Aufnahme auf.
Datenaufnahmerate steuern
Wenn die Datenaufnahmerate für einen Tenant einen bestimmten Grenzwert erreicht, schränkt Google Security Operations die Aufnahmerate für neue Datenfeeds ein, um zu verhindern, dass eine Quelle mit einer hohen Aufnahmerate die Aufnahmerate einer anderen Datenquelle beeinträchtigt. In diesem Fall kommt es zu einer Verzögerung, aber es gehen keine Daten verloren. Der Grenzwert wird durch das Aufnahmevolumen und den Nutzungsverlauf des Tenants bestimmt.
Sie können eine Erhöhung des Grenzwerts für die Rate anfordern, indem Sie sich an den Cloud-Kundendienst wenden.
Fehlerbehebung
- Wenn die Beziehungen zwischen Ressourcen und Identitäten in Ihrer Google SecOps-Instanz fehlen, deaktivieren Sie die direkte Aufnahme von Protokolldaten in Google SecOps und aktivieren Sie sie dann wieder.
- Die Google Cloud Asset-Metadaten werden regelmäßig in Google SecOps aufgenommen. Es kann einige Stunden dauern, bis die Änderungen in der Google SecOps-Benutzeroberfläche und in den APIs sichtbar sind.
Nächste Schritte
- Öffnen Sie Ihre Google SecOps-Instanz mit der kundenspezifischen URL, die von Ihrem Google SecOps-Ansprechpartner bereitgestellt wurde.
- Weitere Informationen zu Google SecOps