Google Workspace-Daten an Google SecOps senden

Unterstützt in:

Sie können Google Security Operations verwenden, um Insiderrisiken in Ihrem Google Workspace-Konto zu erkennen. Dazu müssen Sie Ihr Google Workspace-Konto so konfigurieren, dass Daten an Ihre Google SecOps-Instanz weitergeleitet werden.

In diesem Dokument wird beschrieben, wie Sie mithilfe der direkten Datenaufnahme Google Workspace-Aktivitätsprotokolle (WORKSPACE_ACTIVITY) aus den folgenden unterstützten Google-Anwendungstypen in Ihre Google SecOps-Instanz aufnehmen:

  • Access Transparency
  • Konten
  • Admin-Konsole
  • Google Kalender
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Gerät
  • Google Drive
  • Gmail
  • Google Groups
  • Jamboard-Verwaltung
  • LDAP
  • Anmeldung
  • Google Meet
  • OAuth
  • Password Vault
  • Logging von Firewallregeln
  • SAML
  • Nutzerkonten
  • Voice

Sie benötigen die Google Workspace Enterprise Standard- oder Enterprise Plus-Version, um auf diese Integration zugreifen zu können. Andernfalls können Sie die Methode zur Datenaufnahme per Feed verwenden, um Google Workspace-Aktivitätsprotokolle aufzunehmen.

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie beginnen:

  1. Wenn Sie noch keine Google SecOps-Instanz haben, erstellen Sie eine neue. Weitere Informationen finden Sie unter Google SecOps-Instanz einrichten und migrieren.

  2. Kopieren Sie Ihre Google Workspace-Kundennummer aus der Google Workspace-Admin-Konsole.

Instanz-ID und Token für Google SecOps abrufen

So rufen Sie die Instanz-ID und das Token für Google SecOps in Ihrem Google SecOps-Konto ab:

  1. Öffnen Sie Ihre Google SecOps-Instanz.
  2. Wählen Sie in der Navigationsleiste Einstellungen aus.
  3. Klicken Sie auf Google Workspace.
  4. Geben Sie Ihre Google Workspace-Kundennummer ein.
  5. Klicken Sie auf Generate Token (Token generieren).
  6. Kopieren Sie das Token und die Google SecOps-Instanz-ID (auf derselben Seite).

Wenn Sie Ihre Google Workspace-Daten an Ihre Google SecOps-Instanz senden möchten, führen Sie in der Admin-Konsole von Google Workspace die folgenden Schritte aus:

  1. Öffnen Sie die Google Workspace-Admin-Konsole.
  2. Klicken Sie auf Berichterstellung.
  3. Klicken Sie auf Datenintegrationen.
  4. Wählen Sie Google SecOps-Export und dann Mit Google SecOps verbinden aus. Daraufhin wird die Seite Mit Google SecOps verbinden geöffnet.
  5. Fügen Sie das aus Ihrem Google SecOps-Konto kopierte Token in das angegebene Feld ein. Klicken Sie auf Verbinden. Für „Audit-Daten in Google SecOps exportieren“ sollte jetzt An angezeigt werden. Ihr Google Workspace-Konto ist jetzt mit Ihrer Google SecOps-Instanz verknüpft und Ihre Google Workspace-Daten werden gesendet.
  6. Klicken Sie auf Zu Google SecOps, um Ihre Google SecOps-Instanz zu öffnen und Ihre Google Workspace-Daten über Google SecOps zu überwachen. Weitere Informationen finden Sie im Dashboard für die Datenaufnahme und -integrität.

Verbindung zwischen Google Workspace und Google SecOps trennen

So trennen Sie die Verknüpfung Ihres Google Workspace-Kontos mit Ihrer Google SecOps-Instanz:

  1. Öffnen Sie die Google Workspace-Admin-Konsole.
  2. Klicken Sie auf Datenintegrationen.
  3. Klicken Sie im Bereich Google SecOps-Export auf Verbindung zu Google SecOps trennen. Bei Audit-Daten in Google SecOps exportieren sollte jetzt Aus angezeigt werden.

Nächste Schritte

Im nächsten Schritt aktivieren Sie die Kategorieregeln für Cloud-Bedrohungen, mit denen sich anhand von Google Workspace-Daten Bedrohungen erkennen lassen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten