Google Workspace-Daten an Google SecOps senden

Unterstützt in:

Mit Google Security Operations können Sie Insider-Risiken in Google Workspace erkennen. Dazu müssen Sie Ihr Google Workspace-Konto so konfigurieren, dass Daten an Ihre Google SecOps-Instanz weitergeleitet werden.

In diesem Dokument wird beschrieben, wie Sie Direct Ingestion verwenden, um Google Workspace-Aktivitätsprotokolle (WORKSPACE_ACTIVITY) aus den folgenden unterstützten Google-Anwendungstypen in Ihre Google SecOps-Instanz aufzunehmen:

  • Access Transparency
  • Konten
  • Admin-Konsole
  • Google Kalender
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Gerät
  • Google Drive
  • Gmail
  • Google Groups
  • Jamboard-Verwaltung
  • LDAP
  • Anmeldung
  • Google Meet
  • OAuth
  • Password Vault
  • Logging von Firewallregeln
  • SAML
  • Nutzerkonten
  • Voice

Sie benötigen Google Workspace Enterprise Standard oder Enterprise Plus, um auf diese Integration zugreifen zu können. Andernfalls können Sie die Methode zum Erfassen von Feeds verwenden, um Google Workspace-Aktivitätslogs zu erfassen.

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie beginnen:

  1. Wenn Sie keine Google SecOps-Instanz haben, erstellen Sie eine neue. Weitere Informationen finden Sie unter Google SecOps-Instanz einrichten und migrieren.

  2. Kopieren Sie Ihre Google Workspace-Kundennummer aus der Google Workspace-Admin-Konsole.

Google SecOps-Instanz-ID und ‑Token abrufen

So rufen Sie die Instanz-ID und das Token für Google SecOps ab:

  1. Öffnen Sie Ihre Google SecOps-Instanz.
  2. Wählen Sie in der Navigationsleiste die Einstellungen aus.
  3. Klicken Sie auf Google Workspace.
  4. Geben Sie Ihre Google Workspace-Kundennummer ein.
  5. Klicken Sie auf Generate Token (Token generieren).
  6. Kopieren Sie das Token und die ID Ihrer Google SecOps-Instanz (auf derselben Seite).

So senden Sie Ihre Google Workspace-Daten an Ihre Google SecOps-Instanz:

  1. Öffnen Sie die Google Workspace-Admin-Konsole.
  2. Klicken Sie auf Berichterstellung.
  3. Klicken Sie auf Data Integrations (Datenintegrationen).
  4. Wählen Sie Google SecOps-Export aus und klicken Sie dann auf Mit Google SecOps verbinden. Die Seite Mit Google SecOps verbinden wird geöffnet.
  5. Fügen Sie das aus Ihrem Google SecOps-Konto kopierte Token in das angegebene Feld ein. Klicken Sie auf Verbinden. Für „Audit-Daten in Google SecOps exportieren“ sollte jetzt Ein angezeigt werden. Ihr Google Workspace-Konto ist jetzt mit Ihrer Google SecOps-Instanz verknüpft und Ihre Google Workspace-Daten werden gesendet.
  6. Klicken Sie auf Zu Google SecOps, um Ihre Google SecOps-Instanz zu öffnen und Ihre Google Workspace-Daten über Google SecOps zu überwachen. Weitere Informationen finden Sie im Dashboard für die Datenaufnahme und ‑integrität.

Verbindung zwischen Google Workspace und Google SecOps trennen

So trennen Sie Ihr Google Workspace-Konto von Ihrer Google SecOps-Instanz:

  1. Öffnen Sie die Google Workspace-Admin-Konsole.
  2. Klicken Sie auf Data Integrations (Datenintegrationen).
  3. Klicken Sie im Bereich Google SecOps-Export auf Verbindung zu Google SecOps trennen. Audit-Daten in Google SecOps exportieren sollte jetzt Aus anzeigen.

Nächste Schritte

Im nächsten Schritt aktivieren Sie die Regelsätze für die Kategorie „Cloud-Bedrohungen“, mit denen Bedrohungen anhand von Google Workspace-Daten erkannt werden können.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten