Kontextsensitive Zugriffsdaten von Chrome Enterprise Premium erfassen

In diesem Dokument wird beschrieben, wie Sie Ihre Organisation mit Google Security Operations verbinden, die Identity-Aware Proxy (IAP) API aktivieren und Feeds einrichten, um die folgenden Daten in Google Security Operations aufzunehmen. Die Feeds enthalten Chrome Enterprise Premium-Inhalte, die sich speziell auf IAP und kontextsensitiven Zugriff beziehen.

• Google Cloud-Logs
• Cloud Identity-Geräte
• Cloud Identity-Gerätenutzer

Hinweise

Bevor Sie Feeds zum Erfassen von Chrome Enterprise Premium-Daten einrichten, müssen Sie die folgenden Aufgaben ausführen:

• Verbinden Sie Ihre Google Cloud Organisation mit Google Security Operations, indem Sie die folgenden Abschnitte ausfüllen:
  1. Telemetrieaufnahme in Google Security Operations aktivieren
  2. Aktivieren Sie den Export von Google Cloud Logs nach Google Security Operations.
• Aktivieren Sie die Cloud Identity API und erstellen Sie ein Dienstkonto, um die API zu authentifizieren.
• Erstellen Sie eine domainweite Delegierung.
• Erstellen Sie einen Nutzer für die Identitätsübernahme.

Cloud Identity API aktivieren und Dienstkonto erstellen

1. Wählen Sie in der Google Cloud Console das Google Cloud Projekt aus, für das Sie die API aktivieren möchten, und rufen Sie dann die Seite APIs & Services auf:

   APIs & Dienste aufrufen

2. Klicken Sie auf APIs und Dienste aktivieren.

3. Suchen Sie nach „Cloud Identity API“.

4. Klicken Sie in den Suchergebnissen auf Cloud Identity API.

5. Klicken Sie auf Aktivieren.

6. Erstellen Sie ein Dienstkonto:

   1. Wählen Sie in der Google Cloud Console IAM & Verwaltung > Dienstkonten aus.
   2. Klicken Sie auf Dienstkonto erstellen.
   3. Geben Sie auf der Seite Dienstkonto erstellen einen Namen für das Dienstkonto ein.
   4. Klicken Sie auf Fertig.

7. Wählen Sie das Dienstkonto aus, das Sie erstellt haben.

8. Kopieren und speichern Sie die ID, die im Feld Eindeutige ID angezeigt wird. Sie verwenden diese ID, wenn Sie eine domainweite Delegierung erstellen.

9. Wählen Sie den Tab Keys aus.

10. Klicken Sie auf Schlüssel hinzufügen > Neuen Schlüssel erstellen.

11. Wählen Sie als Schlüsseltyp JSON aus.

12. Klicken Sie auf Erstellen.

13. Kopieren Sie den JSON-Schlüssel und speichern Sie ihn. Sie verwenden diesen Schlüssel, wenn Sie Feeds einrichten.

Weitere Informationen finden Sie unter Cloud Identity API aktivieren und Dienstkonto zum Authentifizieren der API erstellen.

Domainweite Delegierung erstellen

So verwalten Sie den API-Zugriff für das Dienstkonto mit domainweiter Delegierung:

1. Klicken Sie auf der Startseite der Admin-Konsole auf Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung.
2. Wählen Sie Domainweite Delegierung > Domainweite Delegierung verwalten aus.
3. Klicken Sie auf Neu hinzufügen.
4. Geben Sie die Client-ID des Dienstkontos ein. Die Dienstkonto-Client-ID ist die eindeutige ID, die Sie beim Erstellen eines Dienstkontos erhalten haben.
5. Geben Sie unter OAuth-Bereiche https://www.googleapis.com/auth/cloud-identity.devices.readonly ein.
6. Klicken Sie auf Autorisieren.

Weitere Informationen finden Sie unter Zugriff auf die API mit domainweiter Delegierung verwalten.

Nutzer für die Identitätsübernahme erstellen

1. Wählen Sie auf der Startseite der Google Admin-Konsole Verzeichnis > Nutzer aus.
2. So fügen Sie einen neuen Nutzer hinzu:
   1. Klicken Sie auf Neuen Nutzer hinzufügen.
   2. Geben Sie einen Namen für den Nutzer ein.
   3. Geben Sie die mit dem Nutzer verknüpfte E‑Mail-Adresse ein.
   4. Klicken Sie auf Erstellen und dann auf Fertig.
3. So erstellen Sie eine neue Rolle und weisen ihr eine Berechtigung zu:
   1. Wählen Sie den neu erstellten Nutzernamen aus.
   2. Klicken Sie auf Administratorrollen und Berechtigungen.
   3. Klicken Sie auf Benutzerdefinierte Rolle erstellen.
   4. Klicken Sie auf Neue Rolle erstellen.
   5. Geben Sie einen Namen für die Rolle ein.
   6. Wählen Sie Dienste> Mobilgeräteverwaltung und dann die Berechtigung Geräte und Einstellungen verwalten aus.
   7. Klicken Sie auf Weiter.
4. So weisen Sie dem Nutzer die Rolle zu:
   1. Klicken Sie auf Nutzer zuweisen.
   2. Rufen Sie den neu erstellten Nutzer auf und klicken Sie auf Rolle zuweisen.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

• SIEM-Einstellungen > Feeds
• Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
4. Geben Sie einen eindeutigen Namen für Feldname ein, z. B. Chrome Enterprise Premium-Protokolle.
5. Wählen Sie Drittanbieter-API als Quelltyp aus.
6. Wählen Sie in der Liste Log type (Protokolltyp) entweder GCP Cloud Identity Devices (GCP Cloud Identity-Geräte) oder GCP Cloud Identity Device Users (GCP Cloud Identity-Gerätenutzer) aus.
7. Klicken Sie auf Weiter.

8. Geben Sie auf dem Tab Eingabeparameter die folgenden Details an:

   • OAuth-JWT-Endpunkt. Geben Sie https://oauth2.googleapis.com/token ein.
   • JWT-Anforderungen für den Aussteller. Geben Sie <insert_service_account@project.iam.gserviceaccount.com> an. Das ist das Dienstkonto, das Sie im Abschnitt Cloud Identity API aktivieren und Dienstkonto erstellen erstellt haben.
   • JWT-Anforderungen für das Betreff. Geben Sie die E-Mail-Adresse des Nutzers ein, den Sie im Abschnitt Nutzer für die Identitätsübernahme erstellen erstellt haben.
   • JWT-Anforderungen – Zielgruppe Geben Sie https://oauth2.googleapis.com/token ein.
   • Privater RSA-Schlüssel Geben Sie den JSON-Schlüssel ein, der beim Erstellen eines Dienstkontos zur Authentifizierung der API erstellt wurde.
   • API-Version Optional. Sie können dieses Feld leer lassen.

9. Klicken Sie auf Weiter.

10. Prüfen Sie auf dem Tab Abschließen die eingegebenen Werte und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

• OAuth-JWT-Endpunkt. Geben Sie https://oauth2.googleapis.com/token ein.
• JWT-Anforderungen für den Aussteller. Geben Sie <insert_service_account@project.iam.gserviceaccount.com> an. Das ist das Dienstkonto, das Sie im Abschnitt Cloud Identity API aktivieren und Dienstkonto erstellen erstellt haben.
• JWT-Anforderungen für das Betreff. Geben Sie die E-Mail-Adresse des Nutzers ein, den Sie im Abschnitt Nutzer für die Identitätsübernahme erstellen erstellt haben.
• JWT-Anforderungen – Zielgruppe Geben Sie https://oauth2.googleapis.com/token ein.
• Privater RSA-Schlüssel Geben Sie den JSON-Schlüssel ein, der beim Erstellen eines Dienstkontos zur Authentifizierung der API erstellt wurde.
• API-Version Optional. Sie können dieses Feld leer lassen.

Erweiterte Optionen

• Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
• Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
• Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
• Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten