Sie können Ihre Google Workspace-Protokollereignisse in Google Security Operations (Google SecOps) exportieren. Diese Sicherheitsanalyseplattform hilft Ihrer Organisation, Sicherheitsbedrohungen zu erkennen, zu untersuchen und darauf zu reagieren. Wenn Sie Protokollereignisse in Google SecOps exportieren möchten, müssen Sie Google Workspace über die Admin-Konsole mit Google SecOps verbinden.
Sobald Sie eine Verbindung zu Google SecOps herstellen, werden Ihre Protokollereignisse kontinuierlich nach Google SecOps exportiert. Dort können Sie Insiderrisiken verwalten. Zum Verwalten von Risiken verwenden Sie Regeln, die Erkennungsmechanismen und Benachrichtigungen generieren, mit denen Sie riskantes Nutzerverhalten und Anomalien im Zusammenhang mit Datenzugriff und Daten-Exfiltration erkennen können. Weitere Informationen zu Google SecOps
Nach dem Export von Protokollereignissen
Nachdem Ihre Daten in Google SecOps exportiert wurden, können Sie sich in Ihrem Google SecOps-Konto anmelden, um Folgendes zu tun:
- In Ihren Protokollereignissen nach beliebigen Elementen wie Nutzernamen, IP-Adressen und Anmeldeereignissen suchen.
- Alle Warnungen und Kompromittierungsindikatoren (Indicators of Compromise, IOC) ansehen, die sich derzeit auf Ihre Organisation auswirken.
- Benachrichtigungen analysieren.
Hinweis
- Prüfen, ob Sie ein Google SecOps-Konto haben. Wenn Sie ein Konto benötigen, wenden Sie sich an einen Google Cloud-Vertriebsexperten.
- Sie benötigen Super Admin-Berechtigungen, um Google Workspace mit Google SecOps zu verbinden.
Verbindung zu Google SecOps herstellen, um Protokollereignisse zu exportieren
-
Gehen Sie in der Admin-Konsole zum Menü
Berichterstellung
Datenintegrationen (oder BigQuery Export für Education-Administratoren, wodurch die Seite „Datenintegrationen“ geöffnet wird).Hierfür benötigen Sie die Administratorberechtigung Berichte.
- Rufen Sie den Google Security Operations-Export auf und klicken Sie auf „Bearbeiten“
. - Folgen Sie der Anleitung, um Folgendes zu tun:
- Kopieren Sie die Kundennummer von der Profilseite Ihrer Organisation.
- Rufen Sie Google Security Operations auf und klicken Sie auf Einstellungen
Google Workspace. Geben Sie Ihre Google Workspace-Kundennummer ein und klicken Sie auf Token generieren.
- Kopieren Sie das Token und Ihre Google Security Operations-Instanz-ID. Ihre Instanz-ID ist mit Ihrer Kunden-ID identisch.
- Kehren Sie zur Seite Mit Google Security Operations verbinden in der Admin-Konsole zurück und geben Sie das Token und die Instanz-ID ein.
- Klicken Sie auf Verbinden.
Es kann bis zu 24 Stunden dauern, bis Daten nach Google SecOps exportiert werden. Danach werden die Protokollereignisse Ihrer Organisation kontinuierlich in Google SecOps exportiert.
Wenn die Meldung angezeigt wird, dass keine Verbindung hergestellt werden konnte, prüfen Sie zuerst, ob das Google SecOps-Token und die Instanz-ID korrekt sind. Wenn dies der Fall ist, versuchen Sie es nach einigen Minuten noch einmal. Wenn die Verbindung immer noch nicht hergestellt werden kann, wenden Sie sich an den Google Workspace-Support.
Verbindung zu Google SecOps trennen
Wenn Sie keine Protokollereignisse mehr nach Google SecOps exportieren möchten, können Sie die Verbindung des Google Workspace-Kontos Ihrer Organisation zu Google SecOps trennen.
Hinweis:Wenn Sie die Verbindung zu Google SecOps trennen, werden Ihre Protokollereignisse nicht automatisch aus Google SecOps gelöscht. Verwenden Sie Google SecOps, um die Protokollereignisse zu löschen.
-
Gehen Sie in der Admin-Konsole zum Menü
Berichterstellung
Datenintegrationen (oder BigQuery Export für Education-Administratoren, wodurch die Seite „Datenintegrationen“ geöffnet wird).Hierfür benötigen Sie die Administratorberechtigung Berichte.
- Rufen Sie den Google Security Operations-Export auf und klicken Sie auf Verbindung zu Google Security Operations trennen.
FAQ
Welche Protokollereignisse werden nach Google SecOps exportiert?
Die folgenden wichtigen Protokollereignisdaten werden unterstützt:
- Administratoren
- Chrome
- Classroom
- Cloud Search
- Datenexport (Administrator)
- Data Studio
- Geräte
- Gmail
- Google Kalender
- Google Chat
- Google Drive
- Google Groups
- Google Groups for Business
- Google Notizen
- Google Meet
- Google Takeout
- Google Voice
- Anmelden
- OAuth
- Regeln
- SAML
- Nutzer
Kann ich auswählen, welche Protokollereignisse nach Google SecOps exportiert werden sollen?
Nein, alle unterstützten Protokollereignisse werden nach Google SecOps exportiert.
Wann kann ich Protokollereignisdaten verwenden, nachdem sie in der Admin-Konsole protokolliert wurden?
Sobald Protokollereignisdaten erstellt wurden, werden sie an Google SecOps gestreamt.
Hinweis:Informationen dazu, wie lange es dauern kann, bis Daten für Protokollereignisse verfügbar sind, finden Sie unter Datenaufbewahrung und Zeitverzögerungen.
Werden auch Protokollereignisse exportiert, die vor der Verbindung zu Google SecOps erstellt wurden?
Nein. Es werden nur Protokollereignisse exportiert, die in der Admin-Konsole erstellt wurden, nachdem Sie eine Verbindung zu Google SecOps hergestellt haben.
Werden exportierte Log-Ereignisse in Google SecOps in ein anderes Format konvertiert?
Ja. Google SecOps konvertiert alle exportierten Log-Ereignisse in das Unified Data Model (UDM). So kann Google SecOps komplexe Abfragen und Regeln für Ihre Daten ausführen.
Welche Regeln kann ich in Google SecOps für das Risikomanagement verwenden?
Google SecOps bietet vordefinierte Regeln, sogenannte Google SecOps-Regelsätze, die Sie einzeln aktivieren können, um Bedrohungen für Ihre Organisation zu erkennen. Diese Regeln generieren Erkennungen, von denen einige Benachrichtigungen sein können, mit Risikobewertungen. Die Google Workspace-Regelsätze in Google SecOps helfen Ihnen, Insiderrisiken und Daten-Exfiltration zu untersuchen. Weitere Informationen zu Regelsätzen
Ist das Exportieren von Protokollereignisdaten nach Google SecOps kostenpflichtig?
Wenn Sie die Exportfunktion verwenden, gelten die Standardbedingungen und ‑preise von Google SecOps. Weitere Informationen erhalten Sie von Ihrem Vertriebsmitarbeiter.
Unterliegt die Google SecOps-Exportfunktion den Google Workspace-Nutzungsbedingungen?
Nein, die Google SecOps-Exportfunktion ist durch die SecOps-Servicevereinbarung abgedeckt.