Google Workspace-Daten an Google Security Operations senden

Unterstützt in:

Sie können Google Security Operations verwenden, um Insiderrisiken in Ihrem Google Workspace-Konto zu erkennen. Dazu müssen Sie Ihr Google Workspace-Konto so konfigurieren, dass Daten an Ihre Google Security Operations-Instanz weitergeleitet werden.

In diesem Dokument wird beschrieben, wie Sie mit der direkten Datenaufnahme Google Workspace-Aktivitätsprotokolle (WORKSPACE_ACTIVITIES) aus den folgenden unterstützten Google-Anwendungstypen in Ihre Google Security Operations-Instanz aufnehmen:

  • Access Transparency
  • Konten
  • Admin-Konsole
  • Google Kalender
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Gerät
  • Google Drive
  • Gmail
  • Google Groups
  • Jamboard-Verwaltung
  • LDAP
  • Anmeldung
  • Google Meet
  • OAuth
  • Password Vault
  • Logging von Firewallregeln
  • SAML
  • Nutzerkonten
  • Voice

Sie benötigen die Google Workspace Enterprise Standard- oder Enterprise Plus-Version, um auf diese Integration zugreifen zu können. Andernfalls können Sie die Methode zur Datenaufnahme per Feed verwenden, um Google Workspace-Aktivitätsprotokolle aufzunehmen.

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie beginnen:

  1. Wenn Sie noch keine Google Security Operations-Instanz haben, erstellen Sie eine neue. Weitere Informationen finden Sie unter Google Security Operations-Instanz einrichten und migrieren.

  2. Kopieren Sie Ihre Google Workspace-Kundennummer aus der Google Workspace-Admin-Konsole.

Instanz-ID und Token für Google Security Operations abrufen

So rufen Sie die Instanz-ID und das Token für Google Security Operations in Ihrem Google Security Operations-Konto ab:

  1. Öffnen Sie Ihre Google Security Operations-Instanz.
  2. Wählen Sie in der Navigationsleiste Einstellungen aus.
  3. Klicken Sie auf Google Workspace.
  4. Geben Sie Ihre Google Workspace-Kundennummer ein.
  5. Klicken Sie auf Generate Token (Token generieren).
  6. Kopieren Sie das Token und die Instanz-ID von Google Security Operations (auf derselben Seite).

Wenn Sie Ihre Google Workspace-Daten an Ihre Google Security Operations-Instanz senden möchten, führen Sie in der Admin-Konsole von Google Workspace die folgenden Schritte aus:

  1. Öffnen Sie die Google Workspace-Admin-Konsole.
  2. Klicken Sie auf Berichterstellung.
  3. Klicken Sie auf Datenintegrationen.
  4. Wählen Sie Google Security Operations-Export und dann Mit Google Security Operations verbinden aus. Daraufhin wird die Seite Mit Google Security Operations verbinden geöffnet.
  5. Fügen Sie das aus Ihrem Google Security Operations-Konto kopierte Token in das angegebene Feld ein. Klicken Sie auf Verbinden. Für die Option „Audit-Daten in Google Security Operations exportieren“ sollte jetzt An angezeigt werden. Ihr Google Workspace-Konto ist jetzt mit Ihrer Google Security Operations-Instanz verknüpft und Ihre Google Workspace-Daten werden gesendet.
  6. Klicken Sie auf Zu Google Security Operations, um Ihre Google Security Operations-Instanz zu öffnen und Ihre Google Workspace-Daten über Google Security Operations zu überwachen. Weitere Informationen finden Sie im Dashboard für die Datenaufnahme und -integrität.

Verbindung zwischen Google Workspace und Google Security Operations trennen

So trennen Sie die Verknüpfung Ihres Google Workspace-Kontos mit Ihrer Google Security Operations-Instanz:

  1. Öffnen Sie die Google Workspace-Admin-Konsole.
  2. Klicken Sie auf Datenintegrationen.
  3. Klicken Sie im Bereich Google Security Operations-Export auf Verbindung zu Google Security Operations trennen. Für Audit-Daten in Google Security Operations exportieren sollte jetzt Aus angezeigt werden.

Nächste Schritte

Im nächsten Schritt aktivieren Sie die Regeln für die Kategorie „Cloud-Bedrohungen“, mit denen Sie anhand von Google Workspace-Daten Bedrohungen erkennen können.