收集 Chrome 企业进阶版情境感知访问权限数据

本文档介绍了如何将组织连接到 Google Security Operations、启用 Identity-Aware Proxy (IAP) API，以及设置 Feed 以将以下数据注入到 Google Security Operations。Feed 包含特定于 IAP 和情境感知访问权限数据的 Chrome Enterprise Premium 内容。

• Google Cloud 日志
• Cloud Identity 设备
• Cloud Identity 设备用户

准备工作

在设置用于注入 Chrome Enterprise 进阶版数据的 Feed 之前，请完成以下任务：

• 完成以下各部分中的步骤，将您的 Google Cloud 组织连接到 Google Security Operations：
  1. 启用向 Google Security Operations 注入遥测数据。
  2. 启用将 Google Cloud 日志导出到 Google Security Operations 的功能。
• 启用 Cloud Identity API 并创建服务账号以对该 API 进行身份验证。
• 创建全网域授权。
• 创建用于模拟的用户。

启用 Cloud Identity API 并创建服务账号

1. 在 Google Cloud 控制台中，选择要为其启用该 API 的 Google Cloud 项目，然后前往 API 和服务页面：

   转到 API 和服务

2. 点击启用 API 和服务。

3. 搜索“Cloud Identity API”。

4. 在搜索结果中，点击 Cloud Identity API。

5. 点击启用。

6. 创建服务账号：

   1. 在 Google Cloud 控制台中，依次选择 IAM 和管理 > 服务账号。
   2. 点击创建服务账号。
   3. 在创建服务账号上，输入服务账号的名称。
   4. 点击完成。

7. 选择您创建的服务账号。

8. 复制并保存唯一 ID 字段中显示的 ID。您可以在创建全网域授权时使用此 ID。

9. 选择密钥标签页。

10. 依次点击添加密钥 > 创建新密钥。

11. 选择 JSON 作为密钥类型。

12. 点击创建。

13. 复制并保存 JSON 密钥。您可以在设置 Feed 时使用此密钥。

如需了解详情，请参阅启用 Cloud Identity API 并创建服务账号以对 API 进行身份验证。

创建全网域授权

如需使用全网域授权功能控制服务账号的 API 访问权限，请执行以下操作：

1. 在 Google 管理控制台首页，依次选择安全性 > 访问权限和数据控件 > API 控件。
2. 依次选择全网域授权> 管理全网域授权。
3. 点击新增。
4. 输入服务账号客户端 ID。服务账号客户端 ID 是您在创建服务账号时获得的唯一 ID。
5. 在 OAuth 范围中，输入 https://www.googleapis.com/auth/cloud-identity.devices.readonly。
6. 点击授权。

如需了解详情，请参阅使用全网域授权功能控制 API 访问权限

创建用于模拟的用户

1. 在 Google 管理控制台首页，依次选择目录 > 用户。
2. 如需添加新用户，请执行以下操作：
   1. 点击添加新用户。
   2. 输入用户的名称。
   3. 输入与用户关联的电子邮件地址。
   4. 点击创建，然后点击完成。
3. 如需创建新角色并分配权限，请执行以下操作：
   1. 选择新创建的用户名。
   2. 点击管理员角色和权限。
   3. 点击创建自定义角色。
   4. 点击创建新角色。
   5. 输入角色的名称。
   6. 依次选择服务 > 移动设备管理，然后选择管理设备和设置权限。
   7. 点击继续。
4. 如需将角色分配给用户，请执行以下操作：
   1. 点击为用户分配角色。
   2. 前往新创建的用户，然后点击分配角色。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

• SIEM 设置 > Feed
• 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed，请按以下步骤操作：

1. 依次前往 SIEM 设置 > Feed。
2. 点击添加新 Feed。
3. 在下一页上，点击配置单个 Feed。
4. 为字段名称输入一个唯一名称（例如 Chrome Enterprise Premium 日志）。
5. 选择第三方 API 作为来源类型。
6. 在日志类型列表中，选择 GCP Cloud Identity 设备或 GCP Cloud Identity 设备用户。
7. 点击下一步。

8. 在输入参数标签页中，指定以下详细信息：

   • OAuth JWT 端点。输入 https://oauth2.googleapis.com/token。
   • JWT 声明签发者。指定 <insert_service_account@project.iam.gserviceaccount.com>。这是您在启用 Cloud Identity API 并创建服务账号部分中创建的服务账号。
   • JWT 声明主题。输入您在创建用于模拟的用户部分创建的用户的电子邮件地址。
   • JWT 声明接收方。输入 https://oauth2.googleapis.com/token。
   • RSA 私钥。输入您在创建服务账号时创建的 JSON 密钥，以对 API 进行身份验证。
   • API 版本。可选。您可以将此字段留空。

9. 点击下一步。

10. 在最终确定标签页上，查看您输入的值，然后点击提交。

设置来自内容中心的 Feed

为以下字段指定值：

• OAuth JWT 端点。输入 https://oauth2.googleapis.com/token。
• JWT 声明签发者。指定 <insert_service_account@project.iam.gserviceaccount.com>。这是您在启用 Cloud Identity API 并创建服务账号部分中创建的服务账号。
• JWT 声明主题。输入您在创建用于模拟的用户部分创建的用户的电子邮件地址。
• JWT 声明接收方。输入 https://oauth2.googleapis.com/token。
• RSA 私钥。输入您在创建服务账号时创建的 JSON 密钥，以对 API 进行身份验证。
• API 版本。可选。您可以将此字段留空。

高级选项

• Feed 名称：用于标识 Feed 的预填充值。
• 来源类型：用于将日志收集到 Google SecOps 中的方法。
• 资源命名空间：与 Feed 关联的命名空间。
• 提取标签：应用于相应 Feed 中所有事件的标签。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。