Recopila registros de la XDR de ChromeOS
En este documento, se explica cómo transferir registros de XDR de ChromeOS a Google Security Operations.
Chrome Enterprise proporciona visibilidad integral de los eventos de seguridad del navegador y los dispositivos ChromeOS, incluidas las transferencias de software malicioso, las visitas a sitios no seguros, la reutilización de contraseñas, las instalaciones de extensiones, la actividad de acceso y la telemetría de los dispositivos ChromeOS. El conector de informes de Chrome Enterprise reenvía estos registros directamente desde la Consola del administrador de Google a Google Security Operations para su análisis y detección de amenazas.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una instancia de Google SecOps
- Cuenta de administrador de Google Workspace con privilegios de administrador avanzado
- Google Chrome 137 o versiones posteriores (las versiones anteriores no proporcionan datos completos de la URL de referencia)
- Licencias de Chrome Enterprise Premium para funciones avanzadas (opcional, pero recomendadas para una cobertura completa del evento)
- La administración en la nube del navegador Chrome está habilitada en los dispositivos de destino.
- Tu ID de cliente de Google Workspace, que se encuentra en la Consola del administrador de Google Workspace
Configura el analizador de la Administración de Chrome
Es posible que debas actualizar a una nueva versión del analizador de Chrome Management para admitir los registros recientes de Chrome.
- En tu instancia de Google SecOps, ve a Menú > Configuración > Analizadores.
- Busca la entrada prediseñada Chrome Management.
- Verifica que estés usando una fecha de versión 2025-08-14 o posterior. Para ello, aplica las actualizaciones pendientes.
Obtén credenciales de la API de Chronicle Ingestion
Puedes configurar el conector de informes de Chrome Enterprise con uno de los tres métodos disponibles. En este documento, se aborda el método de clave de API de Chronicle Ingestion, que solo se debe usar si no hay otro método de integración disponible.
Crea una clave de API de Google Cloud
- Ve a la página Credenciales de la consola de Google Cloud.
- Selecciona tu proyecto (el proyecto asociado con tu instancia de Google SecOps).
- Haz clic en Crear credenciales > Clave de API.
- Se creará una clave de API y se mostrará en un diálogo.
- Haz clic en Editar clave de API para restringir la clave.
En la página de configuración de la clave de API, haz lo siguiente:
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
Chronicle Chrome Enterprise API Key).
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
En Restricciones de API, haz lo siguiente:
- Selecciona Restringir clave.
- En el menú desplegable Seleccionar APIs, busca y selecciona Google SecOps API (o Chronicle API).
Haz clic en Guardar.
Copia el valor de la clave de API del campo Clave de API en la parte superior de la página.
Guarda la clave de API de forma segura.
Determina el nombre de host del extremo de transferencia
El nombre de host depende de la región de tu instancia de Google SecOps:
- Clientes de EE.UU.:
malachiteingestion-pa.googleapis.com - Clientes de Europa:
europe-malachiteingestion-pa.googleapis.com - Clientes del sudeste asiático:
asia-southeast1-malachiteingestion-pa.googleapis.com
Para otras regiones, consulta la documentación de extremos regionales.
Configura el conector de informes de Chrome Enterprise
Agrega la configuración del proveedor de Google SecOps
Accede a la Consola del administrador de Google con una cuenta de administrador avanzado.
Si no usas una cuenta de administrador avanzado, no podrás completar estos pasos.
Ve a Menú > Dispositivos > Chrome > Conectores.
Opcional: Si es la primera vez que configuras Chrome Enterprise Connectors, sigue las instrucciones para activar Chrome Enterprise Connectors.
En la parte superior, haz clic en + Configuración de proveedor nuevo.
En el panel que aparece a la derecha, busca la configuración de Google SecOps.
Haz clic en Configurar.
Ingresa los siguientes detalles de configuración:
- ID de configuración: Ingresa un nombre descriptivo (por ejemplo,
Chronicle Chrome Enterprise Connector). Este ID se muestra en la página de configuración Usuarios y navegadores y en la página Conectores. - Clave de API: Pega la clave de API que creaste en la sección anterior.
- Nombre de host: Ingresa el nombre de host del extremo de API de transferencia para tu región (por ejemplo,
malachiteingestion-pa.googleapis.compara los clientes de EE.UU.).
- ID de configuración: Ingresa un nombre descriptivo (por ejemplo,
Haz clic en Probar conexión para validar los detalles de la configuración.
Si la validación falla, revisa los detalles de la configuración y vuelve a probar. Verifica lo siguiente:
- La clave de API es correcta y no venció.
- El nombre de host coincide con la región de tu instancia de Google SecOps
- La clave de API tiene aplicada la restricción de la API de Chronicle.
Si la validación se realiza correctamente, haz clic en Agregar configuración.
Ahora se agregó la configuración para toda tu organización y se puede usar en cualquier unidad organizativa.
Habilitar los informes de eventos
En la Consola del administrador de Google, ve a Menú > Dispositivos > Chrome > Configuración.
La página Configuración de usuarios y del navegador se abre de forma predeterminada.
Para aplicar el parámetro de configuración a todos los usuarios y navegadores inscritos, deja seleccionada la unidad organizativa superior. De lo contrario, elige una unidad organizativa secundaria.
Ve a Informes del navegador.
Haz clic en Informes de eventos.
Selecciona Habilitar los informes de eventos.
Opcional: Configura parámetros adicionales. Elige los tipos de eventos informados que necesitas según el tipo de contenido que quieres enviar para su análisis:
- Tipos de eventos predeterminados: Los eventos de protección de datos y contra amenazas de Chrome incluyen la transferencia de software malicioso, la reutilización de contraseñas y las visitas a sitios no seguros.
- Fallas del navegador: Eventos de fallas del navegador
- Transferencias de contenido: Eventos de carga y descarga de archivos
- Controles de acceso a los datos: Eventos de control de acceso a los datos
- Instalaciones de extensiones: Son los eventos de instalación de extensiones del navegador.
- Telemetría de extensiones: Eventos de telemetría de extensiones
- Actividad de acceso de Google: Eventos de acceso a la Cuenta de Google
- Transferencia de software malicioso: Eventos de transferencia de software malicioso
- Violación de la seguridad de la contraseña: Eventos de violación de la seguridad de la contraseña
- Se cambió la contraseña: Eventos de cambio de contraseña
- Reutilización de contraseñas: Eventos de reutilización de contraseñas
- Transferencia de datos sensibles: Eventos de transferencia de datos sensibles
- URL sospechosa: Eventos de URL sospechosas
- Visitas a sitios poco seguros: Son eventos de visitas a sitios poco seguros.
- Intersticial de filtrado de URLs: Eventos de intersticial de filtrado de URLs
- Navegaciones a URLs: Son eventos de navegación a URLs.
Haz clic en Guardar.
También puedes hacer clic en Anular para una unidad organizativa. Para restablecer después el valor heredado, haz clic en Heredar.
Vincula unidades organizativas al conector
Después de configurar el conector de informes de Chrome Enterprise, debes habilitarlo para las unidades organizacionales (UO) específicas de las que deseas recopilar registros.
En la Consola del administrador de Google, ve a Menú > Dispositivos > Chrome > Configuración.
La pestaña Usuarios y navegadores está seleccionada de forma predeterminada.
En el panel Unidades organizativas, selecciona la UO de la que deseas recopilar registros.
En la lista de configuración principal, ve al parámetro de configuración Chrome Enterprise reporting connector.
Establece el estado en Habilitado y selecciona la configuración que creaste en los pasos anteriores.
Haz clic en Guardar.
Repite estos pasos para cualquier otra OU que requiera la transferencia de registros.
Configura los informes de dispositivos ChromeOS
Opcional: Si deseas recopilar eventos de dispositivos ChromeOS además de los eventos del navegador Chrome, habilita los informes de dispositivos ChromeOS.
- En la Consola del administrador de Google, ve a Menú > Dispositivos > Chrome > Configuración > Configuración del dispositivo.
- Opcional: Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
- Ve a Informes de usuarios y dispositivos.
- Junto a Informar eventos de detección y respuesta extendidas (XDR), selecciona Enviar información sobre eventos de detección y respuesta extendidas (XDR).
Haz clic en Guardar.
Verifica el flujo de datos
Para verificar que los registros de Chrome Enterprise se transfieran a Google SecOps, haz lo siguiente:
- Abre tu instancia de Google SecOps.
- Ve a Menú > Buscar.
Ejecuta la siguiente búsqueda para encontrar eventos de administración de Chrome:
metadata.log_type = "CHROME_MANAGEMENT"Deberías ver que los eventos aparecen pocos minutos después de la configuración. Si no aparecen eventos, haz lo siguiente:
- Verifica que los informes de eventos estén habilitados en la Consola del administrador de Google
- Verifica que el conector esté vinculado a las unidades organizativas correctas
- Verifica que los navegadores Chrome estén inscritos en la administración en la nube
- Verifica que la clave de API sea válida y no haya vencido
- Verifica que el nombre de host coincida con la región de tu instancia de Google SecOps
Tipos de registros admitidos
El conector de informes de Chrome Enterprise reenvía los siguientes tipos de eventos a Google SecOps:
Eventos del navegador Chrome
| Tipo de evento | Descripción | Categoría de seguridad |
|---|---|---|
| badNavigationEvent | El usuario navegó a una URL maliciosa o sospechosa | SOFTWARE_MALICIOUS, SOCIAL_ENGINEERING, NETWORK_SUSPICIOUS |
| browserCrashEvent | El navegador Chrome falló | STATUS_UPDATE |
| browserExtensionInstallEvent | Se instaló la extensión del navegador | USER_RESOURCE_UPDATE_CONTENT |
| contentTransferEvent | Se subió o descargó un archivo | SCAN_FILE |
| dangerousDownloadEvent | Se descargó un archivo peligroso | SOFTWARE_PUA, SOFTWARE_MALICIOUS |
| extensionTelemetryEvent | Datos de telemetría de extensiones | USER_RESOURCE_ACCESS, NETWORK_HTTP |
| loginEvent | El usuario accedió a su Cuenta de Google | USER_LOGIN |
| malwareTransferEvent | Se transfirió software malicioso | SOFTWARE_MALICIOUS |
| passwordBreachEvent | Se encontró la contraseña en una violación de la seguridad | USER_RESOURCE_ACCESS |
| passwordChangedEvent | El usuario cambió su contraseña | USER_CHANGE_PASSWORD |
| passwordReuseEvent | Se reutilizó la contraseña en un sitio no autorizado | POLICY_VIOLATION, AUTH_VIOLATION, PHISHING |
| sensitiveDataEvent | Se detectaron datos sensibles | DATA_EXFILTRATION |
| sensitiveDataTransferEvent | Se transfirieron datos sensibles | DATA_EXFILTRATION |
| suspiciousUrlEvent | Se accedió a una URL sospechosa | SOFTWARE_SUSPICIOUS |
| unsafeSiteVisitEvent | El usuario visitó un sitio no seguro | SOFTWARE_MALICIOUS, NETWORK_SUSPICIOUS |
| urlFilteringInterstitialEvent | Se mostró el intersticial de filtrado de URLs | POLICY_VIOLATION |
| urlNavigationEvent | El usuario navegó a una URL | NETWORK_HTTP |
Eventos de dispositivos ChromeOS
| Tipo de evento | Descripción | Categoría de seguridad |
|---|---|---|
| CHROME_OS_LOGIN_EVENT | El usuario accedió a un dispositivo ChromeOS | USER_LOGIN |
| CHROME_OS_LOGIN_FAILURE_EVENT | Acceso fallido en Chrome OS | USER_LOGIN |
| CHROME_OS_LOGOUT_EVENT | El usuario salió del dispositivo ChromeOS | USER_LOGOUT |
| CHROME_OS_ADD_USER | Se agregó el usuario al dispositivo ChromeOS | USER_CREATION |
| CHROME_OS_REMOVE_USER | Se quitó el usuario del dispositivo ChromeOS | USER_DELETION |
| CHROMEOS_AFFILIATED_LOCK_SUCCESS | Se bloqueó el dispositivo ChromeOS | USER_LOGOUT |
| CHROMEOS_AFFILIATED_UNLOCK_SUCCESS | Se desbloqueó el dispositivo ChromeOS | USER_LOGIN |
| CHROMEOS_AFFILIATED_UNLOCK_FAILURE | No se pudo desbloquear ChromeOS | USER_LOGIN |
| CHROMEOS_DEVICE_BOOT_STATE_CHANGE | Cambio del estado de inicio del dispositivo | SETTING_MODIFICATION |
| CHROMEOS_PERIPHERAL_ADDED | Se agregó un dispositivo USB | USER_RESOURCE_ACCESS |
| CHROMEOS_PERIPHERAL_REMOVED | Se quitó el dispositivo USB | USER_RESOURCE_DELETION |
| CHROMEOS_PERIPHERAL_STATUS_UPDATED | Cambio del estado del dispositivo USB | USER_RESOURCE_UPDATE_CONTENT |
| CHROME_OS_CRD_HOST_STARTED | Se inició el host del Escritorio remoto de Chrome | STATUS_STARTUP |
| CHROME_OS_CRD_CLIENT_CONNECTED | Conexión del cliente de Escritorio remoto de Chrome | USER_LOGIN |
| CHROME_OS_CRD_CLIENT_DISCONNECTED | Se desconectó el cliente de Escritorio remoto de Chrome | USER_LOGOUT |
| CHROME_OS_CRD_HOST_ENDED | Se detuvo el host del Escritorio remoto de Chrome | STATUS_STARTUP |
Tabla de asignación de UDM
En la siguiente tabla, se muestra cómo se asignan los campos de registro de Chrome Management a los campos del Modelo de datos unificado (UDM) de Google SecOps:
| Campo de registro de Chrome | Campo de UDM | Descripción |
|---|---|---|
| evento | metadata.product_event_type | Identificador del tipo de evento |
| hora | metadata.event_timestamp | Marca de tiempo del evento |
| device_id | principal.asset.product_object_id | Identificador del dispositivo |
| device_name | principal.hostname | Nombre de host del dispositivo |
| device_user | principal.user.user_display_name | Usuario del dispositivo |
| profile_user | principal.user.email_addresses | Correo electrónico del usuario del perfil |
| os_platform | principal.platform | Plataforma del sistema operativo |
| os_version | principal.platform_version | Versión del sistema operativo |
| browser_version | target.resource.attributes.labels[browser_version] | Versión del navegador |
| user_agent | network.http.user_agent | Usuario-agente HTTP |
| url | target.url | URL del destino |
| Reason | security_result.category_details | Motivo del evento |
| result | security_result.action_details | Resultado del evento |
| content_name | target.file.full_path | Nombre del archivo |
| content_type | target.file.mime_type | Tipo de MIME del archivo |
| content_hash | target.file.sha256 | Hash SHA256 del archivo |
| content_size | target.file.size | Tamaño del archivo |
| extension_id | target.resource.product_object_id | Identificador de extensión |
| extension_name | target.resource.name | Nombre de la extensión |
| extension_version | target.resource.attribute.labels[extension_version] | Versión de la extensión |
Para obtener una referencia completa de la asignación de campos, consulta la documentación del analizador de Chrome Management.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.