收集 ChromeOS XDR 日志
本文档介绍了如何将 ChromeOS XDR 日志注入到 Google Security Operations。
Chrome 企业版可让您全面了解浏览器和 ChromeOS 设备安全事件,包括恶意软件转移、访问不安全网站、重复使用密码、安装扩展程序、登录活动和 ChromeOS 设备遥测数据。Chrome 企业版报告连接器会将这些日志直接从 Google 管理控制台转发到 Google Security Operations,以进行分析和威胁检测。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- 具有超级用户权限的 Google Workspace 管理员账号
- Google Chrome 137 或更高版本(早期版本不提供完整的引荐来源网址数据)
- Chrome 企业进阶版许可(可选,但建议使用,以便全面覆盖活动)
- 目标设备上已启用 Chrome 浏览器云管理
- Google Workspace 管理控制台中的 Google Workspace 客户 ID
配置 Chrome 管理服务解析器
您可能需要更新到新版本的 Chrome 管理解析器,才能支持最新的 Chrome 日志。
- 在 Google SecOps 实例中,依次前往菜单 > 设置 > 解析器。
- 找到预建的 Chrome 管理条目。
- 应用所有待处理的更新,验证您使用的版本日期是否为 2025-08-14 或更高版本。
获取 Chronicle Ingestion API 凭据
您可以使用以下三种方法之一配置 Chrome 企业版报告连接器。本文档介绍了 Chronicle Ingestion API 密钥方法,该方法仅应在没有其他集成方法可用时使用。
创建 Google Cloud API 密钥
- 前往 Google Cloud 控制台的“凭据”页面。
- 选择您的项目(与您的 Google SecOps 实例关联的项目)。
- 依次点击创建凭据> API 密钥。
- 系统会创建一个 API 密钥,并在对话框中显示该密钥。
- 点击修改 API 密钥以限制密钥。
在 API 密钥设置页面中:
- 名称:输入一个描述性名称(例如
Chronicle Chrome Enterprise API Key)
- 名称:输入一个描述性名称(例如
在 API 限制下:
- 选择限制密钥。
- 在选择 API 下拉菜单中,搜索并选择 Google SecOps API(或 Chronicle API)。
点击保存。
从页面顶部的 API 密钥字段复制 API 密钥值。
安全地保存 API 密钥。
确定提取端点主机名
主机名取决于您的 Google SecOps 实例区域:
- 美国客户:
malachiteingestion-pa.googleapis.com - 欧洲客户:
europe-malachiteingestion-pa.googleapis.com - 东南亚客户:
asia-southeast1-malachiteingestion-pa.googleapis.com
如需了解其他区域,请参阅区域性端点文档。
配置 Chrome 企业版报告连接器
添加 Google SecOps 提供商配置
使用超级用户账号登录 Google 管理控制台。
如果您使用的不是超级用户账号,则无法完成这些步骤。
依次点击菜单 > 设备 > Chrome > 连接器。
可选:如果您是首次配置 Chrome 企业版接口设置,请按照提示启用 Chrome 企业版接口。
点击顶部的 + 添加新提供商的配置。
在右侧显示的面板中,找到 Google SecOps 设置。
点击设置。
输入以下配置详细信息:
- 配置 ID:输入一个描述性名称(例如
Chronicle Chrome Enterprise Connector)。此 ID 会显示在“用户和浏览器设置”页面和“连接器”页面上。 - API 密钥:粘贴您在上一部分中创建的 API 密钥。
- 主机名:输入您所在区域的提取 API 端点主机名(例如,美国客户为
malachiteingestion-pa.googleapis.com)。
- 配置 ID:输入一个描述性名称(例如
点击测试连接以验证配置详细信息。
如果验证失败,请检查配置详细信息并重新测试。请确认以下事项:
- API 密钥正确且未过期
- 主机名与您的 Google SecOps 实例区域相匹配
- API 密钥已应用 Chronicle API 限制
如果验证成功,请点击添加配置。
系统现已为整个组织添加配置,并且可以在任何组织部门中使用。
启用事件报告功能
在 Google 管理控制台中,依次前往菜单 > 设备 > Chrome > 设置。
默认情况下,系统会打开用户和浏览器设置页面。
要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级组织部门。
找到浏览器报告功能。
点击事件报告。
选择启用事件报告功能。
可选:配置其他设置。根据您要送交分析的内容类型,选择所需的报告事件类型:
- 默认事件类型:Chrome 威胁事件和数据保护事件,包括传输恶意软件、重复使用密码和访问不安全的网站
- 浏览器崩溃:浏览器崩溃事件
- 内容转移:文件上传和下载事件
- 数据访问权限控制:数据访问权限控制事件
- 扩展程序安装:浏览器扩展程序安装事件
- 扩展程序遥测:扩展程序遥测事件
- Google 登录活动:Google 账号登录事件
- 恶意软件转移:恶意软件转移事件
- 密码盗用:密码盗用事件
- 密码已更改:密码更改事件
- 密码重复使用:密码重复使用事件
- 敏感数据转移:敏感数据转移事件
- 可疑网址:可疑网址事件
- 访问不安全的网站:访问不安全网站事件
- 网址过滤插页:网址过滤插页事件
- 网址导航:网址导航事件
点击保存。
或者,您也可以针对组织部门点击覆盖。如果之后要恢复继承的值,请点击继承。
将组织部门与连接器相关联
配置 Chrome 企业版报告连接器后,您必须为要从中收集日志的特定组织部门 (OU) 启用该连接器。
在 Google 管理控制台中,依次前往菜单 > 设备 > Chrome > 设置。
系统会默认选中用户和浏览器标签页。
在组织部门面板中,选择要从中收集日志的组织部门。
在主设置列表中,找到 Chrome 企业版报告连接器设置。
将状态设置为已启用,然后选择您在之前的步骤中创建的配置。
点击保存。
针对需要日志提取的任何其他组织部门重复执行这些步骤。
配置 ChromeOS 设备报告
可选:如果您想收集 ChromeOS 设备事件(除了 Chrome 浏览器事件之外),请启用 ChromeOS 设备报告。
- 在 Google 管理控制台中,依次点击菜单 > 设备 > Chrome > 设置 > 设备设置。
- 可选:如要将设置应用于某个部门或团队,请在侧边选择一个组织部门。
- 前往用户和设备报告。
- 在报告扩展检测和响应 (XDR) 事件旁边,选择报告扩展检测和响应 (XDR) 事件的相关信息。
点击保存。
验证数据流
如需验证 Chrome 企业版日志是否已注入到 Google SecOps 中,请执行以下操作:
- 打开您的 Google SecOps 实例。
- 依次前往菜单 > 搜索。
运行以下搜索查询以查找 Chrome 管理事件:
metadata.log_type = "CHROME_MANAGEMENT"配置完成后,您应该会在几分钟内看到事件。如果未显示任何活动,请执行以下操作:
- 验证是否已在 Google 管理控制台中启用事件报告
- 验证连接器是否已关联到正确的组织部门
- 验证 Chrome 浏览器是否已注册云管理
- 检查 API 密钥是否有效且未过期
- 验证主机名是否与您的 Google SecOps 实例区域一致
支持的日志类型
Chrome 企业版报告连接器会将以下事件类型转发到 Google SecOps:
Chrome 浏览器事件
| 事件类型 | 说明 | 安全类别 |
|---|---|---|
| badNavigationEvent | 用户访问了恶意或可疑网址 | SOFTWARE_MALICIOUS、SOCIAL_ENGINEERING、NETWORK_SUSPICIOUS |
| browserCrashEvent | Chrome 浏览器崩溃 | STATUS_UPDATE |
| browserExtensionInstallEvent | 已安装浏览器扩展程序 | USER_RESOURCE_UPDATE_CONTENT |
| contentTransferEvent | 文件已上传或下载 | SCAN_FILE |
| dangerousDownloadEvent | 下载了危险文件 | SOFTWARE_PUA, SOFTWARE_MALICIOUS |
| extensionTelemetryEvent | 扩展程序遥测数据 | USER_RESOURCE_ACCESS、NETWORK_HTTP |
| loginEvent | 用户已登录 Google 账号 | USER_LOGIN |
| malwareTransferEvent | 恶意软件已转移 | SOFTWARE_MALICIOUS |
| passwordBreachEvent | 密码在数据泄露事件中被发现 | USER_RESOURCE_ACCESS |
| passwordChangedEvent | 用户更改了密码 | USER_CHANGE_PASSWORD |
| passwordReuseEvent | 在未经授权的网站上重复使用了密码 | POLICY_VIOLATION、AUTH_VIOLATION、PHISHING |
| sensitiveDataEvent | 检测到敏感数据 | DATA_EXFILTRATION |
| sensitiveDataTransferEvent | 已转移敏感数据 | DATA_EXFILTRATION |
| suspiciousUrlEvent | 访问了可疑网址 | SOFTWARE_SUSPICIOUS |
| unsafeSiteVisitEvent | 用户访问了不安全的网站 | SOFTWARE_MALICIOUS、NETWORK_SUSPICIOUS |
| urlFilteringInterstitialEvent | 显示了网址过滤插页 | POLICY_VIOLATION |
| urlNavigationEvent | 用户前往了某个网址 | NETWORK_HTTP |
ChromeOS 设备事件
| 事件类型 | 说明 | 安全类别 |
|---|---|---|
| CHROME_OS_LOGIN_EVENT | 用户登录了 ChromeOS 设备 | USER_LOGIN |
| CHROME_OS_LOGIN_FAILURE_EVENT | Chrome 操作系统登录失败 | USER_LOGIN |
| CHROME_OS_LOGOUT_EVENT | 用户已退出 ChromeOS 设备 | USER_LOGOUT |
| CHROME_OS_ADD_USER | 用户已添加到 ChromeOS 设备 | USER_CREATION |
| CHROME_OS_REMOVE_USER | 用户已从 ChromeOS 设备中移除 | USER_DELETION |
| CHROMEOS_AFFILIATED_LOCK_SUCCESS | ChromeOS 设备已锁定 | USER_LOGOUT |
| CHROMEOS_AFFILIATED_UNLOCK_SUCCESS | ChromeOS 设备已解锁 | USER_LOGIN |
| CHROMEOS_AFFILIATED_UNLOCK_FAILURE | ChromeOS 解锁失败 | USER_LOGIN |
| CHROMEOS_DEVICE_BOOT_STATE_CHANGE | 设备启动状态已更改 | SETTING_MODIFICATION |
| CHROMEOS_PERIPHERAL_ADDED | 已添加 USB 设备 | USER_RESOURCE_ACCESS |
| CHROMEOS_PERIPHERAL_REMOVED | USB 设备已被移除 | USER_RESOURCE_DELETION |
| CHROMEOS_PERIPHERAL_STATUS_UPDATED | USB 设备状态已更改 | USER_RESOURCE_UPDATE_CONTENT |
| CHROME_OS_CRD_HOST_STARTED | Chrome 远程桌面主机已开启 | STATUS_STARTUP |
| CHROME_OS_CRD_CLIENT_CONNECTED | Chrome 远程桌面客户端已连接 | USER_LOGIN |
| CHROME_OS_CRD_CLIENT_DISCONNECTED | Chrome 远程桌面客户端已断开连接 | USER_LOGOUT |
| CHROME_OS_CRD_HOST_ENDED | Chrome 远程桌面主机已停止 | STATUS_STARTUP |
UDM 映射表
下表显示了 Chrome 管理日志字段与 Google SecOps 统一数据模型 (UDM) 字段的映射关系:
| Chrome 日志字段 | UDM 字段 | 说明 |
|---|---|---|
| 事件 | metadata.product_event_type | 事件类型标识符 |
| 时间 | metadata.event_timestamp | 活动时间戳 |
| device_id | principal.asset.product_object_id | 设备标识符 |
| device_name | principal.hostname | 设备主机名 |
| device_user | principal.user.user_display_name | 设备用户 |
| profile_user | principal.user.email_addresses | 与个人资料关联的用户电子邮件 |
| os_platform | principal.platform | 操作系统平台 |
| os_version | principal.platform_version | 操作系统版本 |
| browser_version | target.resource.attributes.labels[browser_version] | 浏览器版本 |
| user_agent | network.http.user_agent | HTTP 用户代理 |
| 网址 | target.url | 目标网址 |
| reason | security_result.category_details | 事件原因 |
| 结果 | security_result.action_details | 事件结果 |
| content_name | target.file.full_path | 文件名 |
| content_type | target.file.mime_type | 文件 MIME 类型 |
| content_hash | target.file.sha256 | 文件 SHA256 哈希 |
| content_size | target.file.size | 文件大小 |
| extension_id | target.resource.product_object_id | 扩展程序标识符 |
| extension_name | target.resource.name | 扩展程序名称 |
| extension_version | target.resource.attribute.labels[extension_version] | 扩展程序版本 |
如需查看完整的字段映射参考信息,请参阅 Chrome 管理解析器文档。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。