ChromeOS-XDR-Protokolle erfassen
In diesem Dokument wird beschrieben, wie Sie ChromeOS XDR-Logs in Google Security Operations aufnehmen.
Chrome Enterprise bietet umfassende Transparenz in Bezug auf Sicherheitsereignisse im Browser und auf ChromeOS-Geräten, einschließlich Malware-Übertragungen, Aufrufe unsicherer Websites, Wiederverwendung von Passwörtern, Installationen von Erweiterungen, Anmeldeaktivitäten und ChromeOS-Gerätetelemetrie. Der Chrome Enterprise Reporting Connector leitet diese Protokolle direkt aus der Google Admin-Konsole zur Analyse und Bedrohungserkennung an Google Security Operations weiter.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Google Workspace-Administratorkonto mit Super Admin-Berechtigungen
- Google Chrome 137 oder höher (in früheren Versionen sind keine vollständigen Daten zur Referrer-URL verfügbar)
- Chrome Enterprise Premium-Lizenzen für erweiterte Funktionen (optional, aber für eine vollständige Abdeckung der Veranstaltung empfohlen)
- Die Chrome-Verwaltung über die Cloud ist auf den Zielgeräten aktiviert.
- Ihre Google Workspace-Kundennummer aus der Google Workspace-Admin-Konsole
Chrome Management-Parser konfigurieren
Möglicherweise müssen Sie auf eine neue Version des Chrome Management-Parsers aktualisieren, um aktuelle Chrome-Logs zu unterstützen.
- Rufen Sie in Ihrer Google SecOps-Instanz das Menü > Einstellungen > Parser auf.
- Suchen Sie den vordefinierten Eintrag Chrome Management.
- Prüfen Sie, ob Sie ein Versionsdatum 2025-08-14 oder neuer verwenden, indem Sie alle ausstehenden Updates anwenden.
Anmeldedaten für die Chronicle Ingestion API abrufen
Sie haben drei Möglichkeiten, den Chrome Enterprise Connector für die Berichterstellung zu konfigurieren. In diesem Dokument wird die Methode mit dem Chronicle Ingestion API-Schlüssel beschrieben, die nur verwendet werden sollte, wenn keine andere Integrationsmethode verfügbar ist.
Google Cloud API-Schlüssel erstellen
- Rufen Sie die Seite „Anmeldedaten“ in der Google Cloud Console auf.
- Wählen Sie Ihr Projekt aus (das Projekt, das mit Ihrer Google SecOps-Instanz verknüpft ist).
- Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
- Ein API-Schlüssel wird erstellt und in einem Dialogfeld angezeigt.
- Klicken Sie auf API-Schlüssel bearbeiten, um den Schlüssel einzuschränken.
Auf der Seite mit den Einstellungen für API-Schlüssel:
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B.
Chronicle Chrome Enterprise API Key.
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B.
Gehen Sie unter API-Einschränkungen so vor:
- Wählen Sie Schlüssel einschränken aus.
- Suchen Sie im Drop-down-Menü APIs auswählen nach Google SecOps API (oder Chronicle API) und wählen Sie die Option aus.
Klicken Sie auf Speichern.
Kopieren Sie den API-Schlüsselwert aus dem Feld API-Schlüssel oben auf der Seite.
Speichern Sie den API-Schlüssel sicher.
Hostname des Ingestion-Endpunkts ermitteln
Der Hostname hängt von der Region Ihrer Google SecOps-Instanz ab:
- US-Kunden:
malachiteingestion-pa.googleapis.com - Kunden in Europa:
europe-malachiteingestion-pa.googleapis.com - Kunden in Südostasien:
asia-southeast1-malachiteingestion-pa.googleapis.com
Informationen zu anderen Regionen finden Sie in der Dokumentation zu regionalen Endpunkten.
Chrome Enterprise-Connector für die Berichterstellung konfigurieren
Google SecOps-Anbieterkonfiguration hinzufügen
Melden Sie sich mit einem Super Admin-Konto in der Admin-Konsole an.
Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.
Öffnen Sie das Dreistrich-Menü > „Geräte“ > „Chrome“ > „Connectors“.
Optional: Wenn Sie die Einstellungen für Chrome Enterprise Connectors zum ersten Mal konfigurieren, folgen Sie der Anleitung zum Aktivieren von Chrome Enterprise Connectors.
Klicken Sie oben auf Neue Anbieterkonfiguration.
Suchen Sie im Bereich rechts nach der Einrichtung von Google SecOps.
Klicken Sie auf Einrichten.
Geben Sie die folgenden Konfigurationsdetails ein:
- Konfigurations-ID: Geben Sie einen aussagekräftigen Namen ein, z. B.
Chronicle Chrome Enterprise Connector. Diese ID wird auf der Einstellungsseite „Nutzer und Browser“ und auf der Seite „Connectors“ angezeigt. - API-Schlüssel: Fügen Sie den API-Schlüssel ein, den Sie im vorherigen Abschnitt erstellt haben.
- Hostname: Geben Sie den Hostnamen des Ingestion API-Endpunkt für Ihre Region ein, z. B.
malachiteingestion-pa.googleapis.comfür Kunden in den USA.
- Konfigurations-ID: Geben Sie einen aussagekräftigen Namen ein, z. B.
Klicken Sie auf Verbindung testen, um die Konfigurationsdetails zu prüfen.
Wenn die Validierung fehlschlägt, überprüfen Sie die Konfigurationsdetails und führen Sie den Test noch einmal aus. Prüfen Sie Folgendes:
- Der API-Schlüssel ist korrekt und nicht abgelaufen.
- Der Hostname entspricht der Region Ihrer Google SecOps-Instanz.
- Für den API-Schlüssel gilt die Chronicle API-Einschränkung.
Wenn die Validierung erfolgreich ist, klicken Sie auf Konfiguration hinzufügen.
Die Konfiguration wird jetzt für Ihre gesamte Organisation hinzugefügt und kann in jeder Organisationseinheit verwendet werden.
Ereignisberichte aktivieren
Öffnen Sie in der Google Admin-Konsole das Dreistrich-Menü > Geräte > Chrome > Einstellungen.
Die Seite Nutzer‑ und Browsereinstellungen wird standardmäßig geöffnet.
Wenn die Einstellung für alle Nutzer und registrierten Browser gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Geben Sie andernfalls eine untergeordnete Organisationseinheit an.
Rufen Sie die Browserberichte auf.
Klicken Sie auf Ereignisberichte.
Wählen Sie Ereignisberichte aktivieren aus.
Optional: Konfigurieren Sie weitere Einstellungen. Wählen Sie je nach Art der Inhalte, die Sie analysieren lassen möchten, die benötigten Ereignistypen aus:
- Standardereignistypen: Ereignisse zu Bedrohungen in Chrome und zum Datenschutz, darunter die Übertragung von Malware, die Wiederverwendung von Passwörtern und das Aufrufen unsicherer Websites
- Browserabstürze: Ereignisse vom Typ „Browserabsturz“
- Inhaltsübertragungen: Ereignisse zum Hoch- und Herunterladen von Dateien
- Datenzugriffssteuerung: Ereignisse zur Datenzugriffssteuerung
- Installationen von Erweiterungen: Ereignisse zur Installation von Browsererweiterungen
- Telemetrie für Erweiterungen: Telemetrieereignisse für Erweiterungen
- Google-Anmeldeaktivitäten: Anmeldeereignisse für Google-Konten
- Übertragung von Malware: Ereignisse zur Übertragung von Malware
- Datenpanne bei Passwort: Ereignisse im Zusammenhang mit Datenpannen bei Passwörtern
- Passwort geändert: Ereignisse zur Passwortänderung
- Wiederverwendung von Passwörtern: Ereignisse zur Wiederverwendung von Passwörtern
- Übertragung sensibler Daten: Ereignisse zur Übertragung sensibler Daten
- Verdächtige URL: Ereignisse zu verdächtigen URLs
- Aufrufe unsicherer Websites: Ereignisse vom Typ „Aufrufe unsicherer Websites“
- Interstitial für URL-Filterung: Ereignisse für Interstitials für URL-Filterung
- URL-Navigationen: URL-Navigationsereignisse
Klicken Sie auf Speichern.
Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken. Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.
Organisationseinheiten mit dem Connector verknüpfen
Nachdem Sie den Chrome Enterprise-Berichtsconnector konfiguriert haben, müssen Sie ihn für die Organisationseinheiten aktivieren, aus denen Sie Protokolle erfassen möchten.
Öffnen Sie in der Google Admin-Konsole das Dreistrich-Menü > Geräte > Chrome > Einstellungen.
Der Tab Nutzer und Browser ist standardmäßig ausgewählt.
Wählen Sie im Bereich Organisationseinheiten die Organisationseinheit aus, aus der Sie Logs erfassen möchten.
Rufen Sie in der Liste der Haupteinstellungen die Einstellung Chrome Enterprise-Connector für die Berichterstellung auf.
Setzen Sie den Status auf Aktiviert und wählen Sie die Konfiguration aus, die Sie in den vorherigen Schritten erstellt haben.
Klicken Sie auf Speichern.
Wiederholen Sie diese Schritte für alle anderen Organisationseinheiten, für die die Protokollaufnahme erforderlich ist.
Berichte für ChromeOS-Geräte konfigurieren
Optional: Wenn Sie zusätzlich zu Chrome-Browserereignissen auch ChromeOS-Geräteereignisse erfassen möchten, aktivieren Sie die Berichterstellung für ChromeOS-Geräte.
- Öffnen Sie in der Google Admin-Konsole das Dreistrich-Menü > Geräte > Chrome > Einstellungen > Geräteeinstellungen.
- Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
- Rufen Sie Berichterstellung zu Nutzern und Geräten auf.
- Wählen Sie neben Ereignisse vom Typ „Extended Detection and Response“ (XDR) melden die Option Informationen zu Ereignissen vom Typ „Extended Detection and Response“ (XDR) melden aus.
Klicken Sie auf Speichern.
Datenfluss prüfen
So prüfen Sie, ob Chrome Enterprise-Logs in Google SecOps aufgenommen werden:
- Öffnen Sie Ihre Google SecOps-Instanz.
- Gehen Sie zum Menü > Suche.
Führen Sie die folgende Suchanfrage aus, um nach Chrome-Verwaltungsereignissen zu suchen:
metadata.log_type = "CHROME_MANAGEMENT"Innerhalb weniger Minuten nach der Konfiguration sollten Ereignisse angezeigt werden. Wenn keine Ereignisse angezeigt werden:
- Prüfen, ob die Ereignisberichterstellung in der Google Admin-Konsole aktiviert ist
- Prüfen, ob der Connector mit den richtigen Organisationseinheiten verknüpft ist
- Prüfen, ob Chrome-Browser für die Verwaltung über die Cloud registriert sind
- Prüfen Sie, ob der API-Schlüssel gültig und nicht abgelaufen ist.
- Prüfen, ob der Hostname mit der Region Ihrer Google SecOps-Instanz übereinstimmt
Unterstützte Logtypen
Der Chrome Enterprise Reporting Connector leitet die folgenden Ereignistypen an Google SecOps weiter:
Chrome-Browser-Ereignisse
| Ereignistyp | Beschreibung | Sicherheitskategorie |
|---|---|---|
| badNavigationEvent | Nutzer hat eine schädliche oder verdächtige URL aufgerufen | SOFTWARE_MALICIOUS, SOCIAL_ENGINEERING, NETWORK_SUSPICIOUS |
| browserCrashEvent | Chrome-Browser ist abgestürzt | STATUS_UPDATE |
| browserExtensionInstallEvent | Browsererweiterung wurde installiert | USER_RESOURCE_UPDATE_CONTENT |
| contentTransferEvent | Datei wurde hoch- oder heruntergeladen | SCAN_FILE |
| dangerousDownloadEvent | Gefährliche Datei wurde heruntergeladen | SOFTWARE_PUA, SOFTWARE_MALICIOUS |
| extensionTelemetryEvent | Telemetriedaten zu Erweiterungen | USER_RESOURCE_ACCESS, NETWORK_HTTP |
| loginEvent | Nutzer ist in einem Google-Konto angemeldet | USER_LOGIN |
| malwareTransferEvent | Malware wurde übertragen | SOFTWARE_MALICIOUS |
| passwordBreachEvent | Passwort wurde bei einer Datenpanne gefunden | USER_RESOURCE_ACCESS |
| passwordChangedEvent | Nutzer hat sein Passwort geändert | USER_CHANGE_PASSWORD |
| passwordReuseEvent | Passwort wurde auf einer nicht autorisierten Website wiederverwendet | POLICY_VIOLATION, AUTH_VIOLATION, PHISHING |
| sensitiveDataEvent | Es wurden sensible Daten erkannt | DATA_EXFILTRATION |
| sensitiveDataTransferEvent | Es wurden sensible Daten übertragen | DATA_EXFILTRATION |
| suspiciousUrlEvent | Aufruf einer verdächtigen URL | SOFTWARE_SUSPICIOUS |
| unsafeSiteVisitEvent | Nutzer hat eine unsichere Website aufgerufen | SOFTWARE_MALICIOUS, NETWORK_SUSPICIOUS |
| urlFilteringInterstitialEvent | Interstitial für URL-Filterung wurde angezeigt | POLICY_VIOLATION |
| urlNavigationEvent | Nutzer hat eine URL aufgerufen | NETWORK_HTTP |
ChromeOS-Geräteereignisse
| Ereignistyp | Beschreibung | Sicherheitskategorie |
|---|---|---|
| CHROME_OS_LOGIN_EVENT | Nutzer auf einem ChromeOS-Gerät angemeldet | USER_LOGIN |
| CHROME_OS_LOGIN_FAILURE_EVENT | Fehler bei der Chrome OS-Anmeldung | USER_LOGIN |
| CHROME_OS_LOGOUT_EVENT | Nutzer hat sich von einem ChromeOS-Gerät abgemeldet | USER_LOGOUT |
| CHROME_OS_ADD_USER | Nutzer wurde einem ChromeOS-Gerät hinzugefügt | USER_CREATION |
| CHROME_OS_REMOVE_USER | Nutzer wurde von ChromeOS-Gerät entfernt | USER_DELETION |
| CHROMEOS_AFFILIATED_LOCK_SUCCESS | ChromeOS-Gerät wurde gesperrt | USER_LOGOUT |
| CHROMEOS_AFFILIATED_UNLOCK_SUCCESS | ChromeOS-Gerät wurde entsperrt | USER_LOGIN |
| CHROMEOS_AFFILIATED_UNLOCK_FAILURE | ChromeOS-Entsperrung fehlgeschlagen | USER_LOGIN |
| CHROMEOS_DEVICE_BOOT_STATE_CHANGE | Änderung des Geräte-Bootstatus | SETTING_MODIFICATION |
| CHROMEOS_PERIPHERAL_ADDED | USB-Gerät wurde hinzugefügt | USER_RESOURCE_ACCESS |
| CHROMEOS_PERIPHERAL_REMOVED | USB-Gerät wurde entfernt | USER_RESOURCE_DELETION |
| CHROMEOS_PERIPHERAL_STATUS_UPDATED | Status des USB-Geräts geändert | USER_RESOURCE_UPDATE_CONTENT |
| CHROME_OS_CRD_HOST_STARTED | Chrome Remote Desktop-Host gestartet | STATUS_STARTUP |
| CHROME_OS_CRD_CLIENT_CONNECTED | Chrome Remote Desktop-Client verbunden | USER_LOGIN |
| CHROME_OS_CRD_CLIENT_DISCONNECTED | Chrome Remote Desktop-Client getrennt | USER_LOGOUT |
| CHROME_OS_CRD_HOST_ENDED | Chrome Remote Desktop-Host beendet | STATUS_STARTUP |
UDM-Zuordnungstabelle
In der folgenden Tabelle sehen Sie, wie Felder aus Chrome-Verwaltungsprotokollen Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google SecOps zugeordnet werden:
| Chrome-Logfeld | UDM-Feld | Beschreibung |
|---|---|---|
| Event | metadata.product_event_type | Kennung des Ereignistyps |
| Zeit | metadata.event_timestamp | Zeitstempel des Ereignisses |
| device_id | principal.asset.product_object_id | Geräte-ID |
| device_name | principal.hostname | Gerätehostname |
| device_user | principal.user.user_display_name | Gerätenutzer |
| profile_user | principal.user.email_addresses | E-Mail-Adresse des Profils |
| os_platform | principal.platform | Betriebssystemplattform |
| os_version | principal.platform_version | Betriebssystemversion |
| browser_version | target.resource.attributes.labels[browser_version] | Browserversion |
| user_agent | network.http.user_agent | HTTP-User-Agent |
| URL | target.url | Ziel-URL |
| reason | security_result.category_details | Grund des Ereignisses |
| Ergebnis | security_result.action_details | Ergebnis des Ereignisses |
| content_name | target.file.full_path | Dateiname |
| content_type | target.file.mime_type | MIME-Typ der Datei |
| content_hash | target.file.sha256 | SHA256-Hash der Datei |
| content_size | target.file.size | Dateigröße |
| extension_id | target.resource.product_object_id | Erweiterungs-ID |
| extension_name | target.resource.name | Name der Erweiterung |
| extension_version | target.resource.attribute.labels[extension_version] | Version der Erweiterung |
Eine vollständige Referenz zur Feldzuordnung finden Sie in der Dokumentation zum Chrome Management-Parser.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten