Versionen mit dieser Funktion: Enterprise Standard und Enterprise Plus; G Suite-Versionen vergleichen
Sie können Ihre Google Workspace-Audit-Logs zu Google Chronicle exportieren, einer cloudnativen Plattform für Sicherheitsanalysen, mit der Ihre Organisation Sicherheitsbedrohungen erkennen, untersuchen und bekämpfen kann. Wenn Sie Logs nach Chronicle exportieren möchten, müssen Sie Google Workspace über die Admin-Konsole mit Chronicle verbinden.
Sobald Sie eine Verbindung zu Chronicle herstellen, werden Ihre Audit-Logs kontinuierlich nach Chronicle exportiert. Dort können Sie Insiderrisiken verwalten. Zum Verwalten von Risiken verwenden Sie Regeln, die Erkennungsmechanismen und Benachrichtigungen generieren, mit denen Sie riskantes Nutzerverhalten und Anomalien im Zusammenhang mit Datenzugriff und Daten-Exfiltration erkennen können. Weitere Informationen zu Chronicle.
Nach dem Export von Logs
Nachdem Ihre Daten in Chronicle exportiert wurden, können Sie sich in Ihrem Chronicle-Konto anmelden, um Folgendes zu tun:
- In Ihren Logdaten nach beliebigen Elementen wie Nutzernamen, IP-Adressen und Anmeldeereignissen suchen.
- Alle Warnungen und Kompromittierungsindikatoren (Indicators of Compromise, IOC) ansehen, die sich derzeit auf Ihre Organisation auswirken.
- Benachrichtigungen analysieren.
Hinweise
- Prüfen, ob Sie ein Google Chronicle-Konto haben. Wenn Sie ein Konto benötigen, wenden Sie sich an einen Google Cloud-Vertriebsexperten.
- Sie benötigen Super Admin-Berechtigungen, um Google Workspace mit Chronicle zu verbinden.
Mit Chronicle verbinden, um Logs zu exportieren
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
-
Klicken Sie in der Admin-Konsole auf das Dreistrich-Menü BerichterstellungDatenintegrationen.
- Klicken Sie auf der Karte Chronicle-Export auf Mit Chronicle verbinden.
- Folgen Sie der Anleitung auf der Seite Mit Chronicle verbinden:
- Rufen Sie in der Admin-Konsole die Seite Profil Ihrer Organisation auf und kopieren Sie Ihre Kundennummer.
- Rufen Sie Chronicle und dann Settings (Einstellungen) > Google Workspace Attach (Anhängen) auf. Geben Sie Ihre Google Workspace Customer ID (Kundennummer) ein und klicken Sie auf Generate Token (Token generieren).
- Kopieren Sie auf der Seite Google Workspace Attach (Anhängen) das Token und die Chronicle Instance ID (Chronicle-Instanz-ID). Beachten Sie, dass Ihre Chronicle-Instanz-ID mit Ihrer Chronicle-Kunden-ID identisch ist.
- Kehren Sie in der Admin-Konsole zur Seite Mit Chronicle verbinden zurück und geben Sie das Token und Ihre Chronicle-Instanz-ID ein.
- Klicken Sie auf Verbinden.
Nachdem eine Verbindung zu Chronicle hergestellt wurde, kann es bis zu 24 Stunden dauern, bis Logs nach Chronicle exportiert werden. Danach werden die Audit-Logs Ihrer Organisation kontinuierlich nach Chronicle exportiert.
Wenn die Meldung angezeigt wird, dass keine Verbindung hergestellt werden konnte: Prüfen Sie zuerst, ob das Chronicle-Token und die Instanz-ID korrekt sind. Ist dies der Fall, versuchen Sie nach ein paar Minuten noch einmal, eine Verbindung zu Chronicle herzustellen. Wenn Sie immer noch keine Verbindung herstellen können, wenden Sie sich an den Google Workspace-Support.
Verbindung zu Chronicle trennen
Wenn Sie keine Audit-Logs mehr nach Chronicle exportieren möchten, können Sie die Verknüpfung des Google Workspace-Kontos Ihrer Organisation mit Chronicle aufheben.
Hinweis: Wenn Sie die Verbindung von Google Workspace zu Chronicle trennen, werden Ihre Audit-Logs nicht automatisch aus Chronicle gelöscht. Zum Löschen von Logs können Sie Chronicle verwenden.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
-
Klicken Sie in der Admin-Konsole auf das Dreistrich-Menü BerichterstellungDatenintegrationen.
- Klicken Sie auf der Karte Chronicle-Export auf Verbindung zu Chronicle trennen.
FAQs
Abschnitt öffnen | Alle minimieren
Die folgenden Protokolldaten werden unterstützt:
- Konten
- Admins
- Kalender
- Chat
- Chrome
- Classroom
- Data Studio
- Geräte
- Drive
- Gmail
- Google Groups for Business
- Jamboard-Verwaltung (für Kioske)
- Anmeldung
- Meet
- OAuth
- Regeln
- SAML