收集 Chrome Enterprise 進階版情境感知存取權資料

本文說明如何將貴機構連結至 Google Security Operations、啟用 Identity-Aware Proxy (IAP) API，以及設定動態饋給，將下列資料擷取至 Google Security Operations。動態消息包含與 IAP 和情境存取感知資料相關的 Chrome Enterprise Premium 內容。

• Google Cloud 記錄
• Cloud Identity 裝置
• Cloud Identity 裝置使用者

事前準備

設定動態饋給來擷取 Chrome Enterprise Premium 資料前，請先完成下列工作：

• 如要將 Google Cloud 機構連結至 Google Security Operations，請完成下列章節：
  1. 啟用遙測資料擷取至 Google Security Operations。
  2. 啟用記錄匯出至 Google Security Operations 的功能 Google Cloud 。
• 啟用 Cloud Identity API，並建立服務帳戶來驗證 API。
• 建立全網域委派。
• 建立要模擬的使用者。

啟用 Cloud Identity API 並建立服務帳戶

1. 在 Google Cloud 控制台中，選取要啟用 API 的 Google Cloud 專案，然後前往「API 和服務」頁面：

   前往「API 與服務」

2. 點選「啟用 API 和服務」。

3. 搜尋「Cloud Identity API」。

4. 在搜尋結果中，按一下「Cloud Identity API」。

5. 按一下「啟用」。

6. 建立服務帳戶：

   1. 在 Google Cloud 控制台中，依序選取「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
   2. 按一下「建立服務帳戶」。
   3. 在「建立服務帳戶」頁面中，輸入服務帳戶的名稱。
   4. 按一下 [完成]。

7. 選取您建立的服務帳戶。

8. 複製並儲存「專屬 ID」欄位中顯示的 ID。建立全網域委派時，您會使用這個 ID。

9. 選取「金鑰」分頁標籤。

10. 依序點選「新增金鑰」>「建立新的金鑰」。

11. 選擇 [JSON] 做為金鑰類型。

12. 點選「建立」。

13. 複製並儲存 JSON 金鑰。設定動態饋給時，請使用這組金鑰。

詳情請參閱「啟用 Cloud Identity API 並建立服務帳戶，以驗證 API」。

建立全網域委派

如要使用全網域委派功能控管服務帳戶的 API 存取權，請按照下列步驟操作：

1. 在 Google 管理控制台首頁中，依序選取「安全性」>「存取權與資料控管」>「API 控制項」。
2. 依序選取「全網域委派」>「管理全網域委派設定」。
3. 按一下「新增」。
4. 輸入服務帳戶用戶端 ID。服務帳戶用戶端 ID 是您建立服務帳戶時取得的專屬 ID。
5. 在「OAuth 範圍」中輸入 https://www.googleapis.com/auth/cloud-identity.devices.readonly。
6. 按一下 [授權]。

詳情請參閱「使用全網域委派功能控管 API 存取權」。

建立要模擬的使用者

1. 在 Google 管理控制台首頁中，依序選取「目錄」>「使用者」。
2. 如要新增使用者，請按照下列步驟操作：
   1. 按一下 [新增使用者]。
   2. 輸入使用者名稱。
   3. 輸入與使用者相關聯的電子郵件地址。
   4. 依序點選「建立」和「完成」。
3. 如要建立新角色並指派權限，請按照下列步驟操作：
   1. 選取新建立的使用者名稱。
   2. 按一下 [管理員角色與權限]。
   3. 按一下 [建立自訂角色]。
   4. 按一下 [建立新角色]。
   5. 輸入角色名稱。
   6. 依序選取「服務」> 行動裝置管理」，然後選取「管理裝置和設定」權限。
   7. 按一下「繼續」。
4. 如要將角色指派給使用者，請按照下列步驟操作：
   1. 按一下「指派使用者」。
   2. 前往新建立的使用者，然後按一下「指派角色」。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

• 「SIEM 設定」>「動態消息」
• 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」，設定動態饋給

如要設定動態消息，請按照下列步驟操作：

1. 依序前往「SIEM 設定」>「動態消息」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。
4. 在「欄位名稱」中輸入專屬名稱 (例如「Chrome Enterprise Premium 記錄」)。
5. 選取「第三方 API」做為「來源類型」。
6. 在「記錄類型」清單中，選取「GCP Cloud Identity 裝置」或「GCP Cloud Identity 裝置使用者」。
7. 點選「下一步」。

8. 在「輸入參數」分頁中，指定下列詳細資料：

   • OAuth JWT 端點。輸入 https://oauth2.googleapis.com/token。
   • JWT 憑證附加資訊發行者。指定 <insert_service_account@project.iam.gserviceaccount.com>。這是您在「啟用 Cloud Identity API 並建立服務帳戶」一節中建立的服務帳戶。
   • JWT 憑證主體。輸入您在「建立要模擬的使用者」一節中建立的使用者電子郵件地址。
   • JWT 憑證目標對象。輸入 https://oauth2.googleapis.com/token。
   • RSA 私密金鑰。輸入您在建立服務帳戶時建立的 JSON 金鑰，以驗證 API。
   • API 版本。(選用步驟) 您可以將此欄位留空。

9. 點選「下一步」。

10. 在「完成」分頁中，檢查輸入的值，然後按一下「提交」。

從內容中心設定動態饋給

為下列欄位指定值：

• OAuth JWT 端點。輸入 https://oauth2.googleapis.com/token。
• JWT 憑證附加資訊發行者。指定 <insert_service_account@project.iam.gserviceaccount.com>。這是您在「啟用 Cloud Identity API 並建立服務帳戶」一節中建立的服務帳戶。
• JWT 憑證主體。輸入您在「建立要模擬的使用者」一節中建立的使用者電子郵件地址。
• JWT 憑證目標對象。輸入 https://oauth2.googleapis.com/token。
• RSA 私密金鑰。輸入您在建立服務帳戶時建立的 JSON 金鑰，以驗證 API。
• API 版本。(選用步驟) 您可以將此欄位留空。

進階選項

• 動態饋給名稱：系統預先填入的值，用於識別動態饋給。
• 來源類型：將記錄收集到 Google SecOps 的方法。
• 資產命名空間：與動態饋給相關聯的命名空間。
• 擷取標籤：套用至這個動態饋給所有事件的標籤。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。