Collecter les journaux ChromeOS XDR
Ce document explique comment ingérer des journaux ChromeOS XDR dans Google Security Operations.
Chrome Enterprise offre une visibilité complète sur les événements de sécurité des navigateurs et des appareils ChromeOS, y compris les transferts de logiciels malveillants, les visites de sites non sécurisés, la réutilisation de mots de passe, les installations d'extensions, l'activité de connexion et la télémétrie des appareils ChromeOS. Le connecteur de création de rapports Chrome Enterprise transfère ces journaux directement de la console d'administration Google vers Google Security Operations pour analyse et détection des menaces.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Une instance Google SecOps
- Compte administrateur Google Workspace avec droits de super-administrateur
- Google Chrome 137 ou version ultérieure (les versions antérieures ne fournissent pas de données complètes sur l'URL de provenance)
- Licences Chrome Enterprise Premium pour les fonctionnalités avancées (facultatif, mais recommandé pour une couverture complète des événements)
- La gestion cloud du navigateur Chrome est activée sur les appareils cibles.
- Votre numéro client Google Workspace, disponible dans la console d'administration Google Workspace
Configurer l'analyseur Chrome Management
Vous devrez peut-être passer à une nouvelle version de l'analyseur Chrome Management pour prendre en charge les journaux Chrome récents.
- Dans votre instance Google SecOps, accédez à Menu > Paramètres > Analyseurs.
- Recherchez l'entrée prédéfinie Gestion de Chrome.
- Vérifiez que vous utilisez une version datée du 14/08/2025 ou ultérieure en appliquant les mises à jour en attente.
Obtenir les identifiants de l'API Chronicle Ingestion
Vous pouvez configurer le connecteur de reporting Chrome Enterprise de trois manières. Ce document traite de la méthode de clé API d'ingestion Chronicle, qui ne doit être utilisée qu'en l'absence de toute autre méthode d'intégration.
Créer une clé API Google Cloud
- Accédez à la page Identifiants de la console Google Cloud.
- Sélectionnez votre projet (celui associé à votre instance Google SecOps).
- Cliquez sur Créer des identifiants > Clé API.
- Une clé API est créée et affichée dans une boîte de dialogue.
- Cliquez sur Modifier la clé API pour la restreindre.
Sur la page des paramètres de la clé API :
- Nom : saisissez un nom descriptif (par exemple,
Chronicle Chrome Enterprise API Key).
- Nom : saisissez un nom descriptif (par exemple,
Sous Restrictions relatives aux API :
- Sélectionnez Restreindre la clé.
- Dans le menu déroulant Sélectionner des API, recherchez et sélectionnez API Google SecOps (ou API Chronicle).
Cliquez sur Enregistrer.
Copiez la valeur de la clé API depuis le champ Clé API en haut de la page.
Enregistrez la clé API de manière sécurisée.
Déterminer le nom d'hôte du point de terminaison d'ingestion
Le nom d'hôte dépend de la région de votre instance Google SecOps :
- Clients aux États-Unis :
malachiteingestion-pa.googleapis.com - Clients en Europe :
europe-malachiteingestion-pa.googleapis.com - Clients de la région Asie du Sud-Est :
asia-southeast1-malachiteingestion-pa.googleapis.com
Pour les autres régions, consultez la documentation sur les points de terminaison régionaux.
Configurer le connecteur de reporting Chrome Enterprise
Ajouter la configuration du fournisseur Google SecOps
Connectez-vous à la console d'administration Google avec un compte super-administrateur.
Si vous n'utilisez pas de compte de super-administrateur, vous ne pouvez pas effectuer ces étapes.
Accédez à Menu > Appareils > Chrome > Connecteurs.
Facultatif : Si vous configurez les paramètres des connecteurs Chrome Enterprise pour la première fois, suivez les instructions pour activer les connecteurs Chrome Enterprise.
En haut de la page, cliquez sur + Configuration d'un nouveau fournisseur.
Dans le panneau qui s'affiche à droite, recherchez la configuration Google SecOps.
Cliquez sur Configurer.
Saisissez les informations de configuration suivantes :
- ID de configuration : saisissez un nom descriptif (par exemple,
Chronicle Chrome Enterprise Connector). Cet ID s'affiche sur la page des paramètres des utilisateurs et des navigateurs, et sur celle des connecteurs. - Clé API : collez la clé API que vous avez créée dans la section précédente.
- Nom d'hôte : saisissez le nom d'hôte du point de terminaison de l'API d'ingestion pour votre région (par exemple,
malachiteingestion-pa.googleapis.compour les clients aux États-Unis).
- ID de configuration : saisissez un nom descriptif (par exemple,
Cliquez sur Tester la connexion pour valider les détails de la configuration.
Si la validation échoue, examinez les détails de la configuration et effectuez un nouveau test. Vérifiez les points suivants :
- La clé API est correcte et n'a pas expiré.
- Le nom d'hôte correspond à la région de votre instance Google SecOps.
- La restriction d'API Chronicle est appliquée à la clé API.
Si la validation aboutit, cliquez sur Ajouter une configuration.
La configuration est désormais ajoutée pour l'ensemble de votre organisation et peut être utilisée dans n'importe quelle unité organisationnelle.
Activer les rapports sur les événements
Dans la console d'administration Google, accédez à Menu > Appareils > Chrome > Paramètres.
La page Paramètres des utilisateurs et du navigateur s'ouvre par défaut.
Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs inscrits, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
Accédez à Reporting sur le navigateur.
Cliquez sur Rapports sur les événements.
Sélectionnez Activer les rapports sur les événements.
Facultatif : configurez des paramètres supplémentaires. Choisissez les types d'événements signalés dont vous avez besoin en fonction du type de contenu que vous souhaitez envoyer pour analyse :
- Types d'événements par défaut : les événements concernant les menaces et la protection des données Chrome incluent les transferts de logiciels malveillants, la réutilisation de mots de passe et les visites de sites non sécurisés.
- Plantages du navigateur : événements de plantage du navigateur
- Transferts de contenu : événements d'importation et de téléchargement de fichiers
- Contrôles des accès aux données : événements de contrôle des accès aux données
- Installations d'extensions : événements d'installation d'extensions de navigateur
- Télémétrie des extensions : événements de télémétrie des extensions
- Activité de connexion Google : événements de connexion à un compte Google
- Transfert de logiciels malveillants : événements de transfert de logiciels malveillants
- Violation du mot de passe : événements de violation du mot de passe
- Mot de passe modifié : événements de modification du mot de passe
- Réutilisation des mots de passe : événements de réutilisation des mots de passe
- Transfert de données sensibles : événements de transfert de données sensibles
- URL suspecte : événements d'URL suspectes
- Visites de sites non sécurisés : événements de visite de sites non sécurisés
- Interstitiel de filtrage d'URL : événements d'interstitiel de filtrage d'URL
- Navigations vers des URL : événements de navigation vers des URL
Cliquez sur Enregistrer.
Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle. Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter.
Associer des unités organisationnelles au connecteur
Une fois le connecteur de création de rapports Chrome Enterprise configuré, vous devez l'activer pour les unités organisationnelles spécifiques à partir desquelles vous souhaitez collecter des journaux.
Dans la console d'administration Google, accédez à Menu > Appareils > Chrome > Paramètres.
L'onglet Utilisateurs et navigateurs est sélectionné par défaut.
Dans le panneau Unités organisationnelles, sélectionnez l'UO à partir de laquelle vous souhaitez collecter les journaux.
Dans la liste principale des paramètres, accédez au paramètre Connecteur de reporting Chrome Enterprise.
Définissez l'état sur Activé et sélectionnez la configuration que vous avez créée lors des étapes précédentes.
Cliquez sur Enregistrer.
Répétez ces étapes pour toutes les autres UO nécessitant l'ingestion de journaux.
Configurer le reporting sur les appareils ChromeOS
Facultatif : Si vous souhaitez collecter les événements des appareils ChromeOS en plus de ceux du navigateur Chrome, activez le reporting des appareils ChromeOS.
- Dans la console d'administration Google, accédez à Menu > Appareils > Chrome > Paramètres > Paramètres de l'appareil.
- Facultatif : Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté.
- Accédez à Reporting sur les utilisateurs et les appareils.
- À côté de Signaler les événements de détection et réponse étendues (XDR), sélectionnez Signaler des informations sur les événements de détection et réponse étendues (XDR).
Cliquez sur Enregistrer.
Vérifier le flux de données
Pour vérifier que les journaux Chrome Enterprise sont ingérés dans Google SecOps :
- Ouvrez votre instance Google SecOps.
- Accédez à Menu > Recherche.
Exécutez la requête de recherche suivante pour rechercher des événements de gestion Chrome :
metadata.log_type = "CHROME_MANAGEMENT"Les événements devraient s'afficher quelques minutes après la configuration. Si aucun événement n'apparaît :
- Vérifier que les rapports sur les événements sont activés dans la console d'administration Google
- Vérifiez que le connecteur est associé aux bonnes unités organisationnelles.
- Vérifier que les navigateurs Chrome sont enregistrés dans la gestion cloud
- Vérifiez que la clé API est valide et qu'elle n'a pas expiré.
- Vérifiez que le nom d'hôte correspond à la région de votre instance Google SecOps.
Types de journaux acceptés
Le connecteur de reporting Chrome Enterprise transmet les types d'événements suivants à Google SecOps :
Événements du navigateur Chrome
| Type d'événement | Description | Catégorie de sécurité |
|---|---|---|
| badNavigationEvent | L'utilisateur a accédé à une URL malveillante ou suspecte. | SOFTWARE_MALICIOUS, SOCIAL_ENGINEERING, NETWORK_SUSPICIOUS |
| browserCrashEvent | Le navigateur Chrome a planté | STATUS_UPDATE |
| browserExtensionInstallEvent | Une extension de navigateur a été installée | USER_RESOURCE_UPDATE_CONTENT |
| contentTransferEvent | Un fichier a été importé ou téléchargé | SCAN_FILE |
| dangerousDownloadEvent | Fichier dangereux téléchargé | SOFTWARE_PUA, SOFTWARE_MALICIOUS |
| extensionTelemetryEvent | Données de télémétrie des extensions | USER_RESOURCE_ACCESS, NETWORK_HTTP |
| loginEvent | Utilisateur connecté à un compte Google | USER_LOGIN |
| malwareTransferEvent | Un logiciel malveillant a été transféré | SOFTWARE_MALICIOUS |
| passwordBreachEvent | Mot de passe détecté lors d'une violation | USER_RESOURCE_ACCESS |
| passwordChangedEvent | L'utilisateur a modifié son mot de passe | USER_CHANGE_PASSWORD |
| passwordReuseEvent | Mot de passe réutilisé sur un site non autorisé | POLICY_VIOLATION, AUTH_VIOLATION, PHISHING |
| sensitiveDataEvent | Des données sensibles ont été détectées | DATA_EXFILTRATION |
| sensitiveDataTransferEvent | Des données sensibles ont été transférées | DATA_EXFILTRATION |
| suspiciousUrlEvent | Une URL suspecte a été consultée | SOFTWARE_SUSPICIOUS |
| unsafeSiteVisitEvent | L'utilisateur a consulté un site non sécurisé | SOFTWARE_MALICIOUS, NETWORK_SUSPICIOUS |
| urlFilteringInterstitialEvent | Un interstitiel de filtrage d'URL s'est affiché | POLICY_VIOLATION |
| urlNavigationEvent | L'utilisateur a accédé à une URL | NETWORK_HTTP |
Événements liés aux appareils ChromeOS
| Type d'événement | Description | Catégorie de sécurité |
|---|---|---|
| CHROME_OS_LOGIN_EVENT | Utilisateur connecté à un appareil ChromeOS | USER_LOGIN |
| CHROME_OS_LOGIN_FAILURE_EVENT | Échec de la connexion à ChromeOS | USER_LOGIN |
| CHROME_OS_LOGOUT_EVENT | L'utilisateur s'est déconnecté de son appareil ChromeOS | USER_LOGOUT |
| CHROME_OS_ADD_USER | Un utilisateur a été ajouté à un appareil ChromeOS | USER_CREATION |
| CHROME_OS_REMOVE_USER | Un utilisateur a été supprimé d'un appareil ChromeOS | USER_DELETION |
| CHROMEOS_AFFILIATED_LOCK_SUCCESS | L'appareil ChromeOS a été verrouillé | USER_LOGOUT |
| CHROMEOS_AFFILIATED_UNLOCK_SUCCESS | L'appareil ChromeOS a été déverrouillé | USER_LOGIN |
| CHROMEOS_AFFILIATED_UNLOCK_FAILURE | Échec du déverrouillage de ChromeOS | USER_LOGIN |
| CHROMEOS_DEVICE_BOOT_STATE_CHANGE | État de démarrage d'appareil modifié | SETTING_MODIFICATION |
| CHROMEOS_PERIPHERAL_ADDED | Un périphérique USB a été ajouté | USER_RESOURCE_ACCESS |
| CHROMEOS_PERIPHERAL_REMOVED | Un périphérique USB a été retiré | USER_RESOURCE_DELETION |
| CHROMEOS_PERIPHERAL_STATUS_UPDATED | État du périphérique USB modifié | USER_RESOURCE_UPDATE_CONTENT |
| CHROME_OS_CRD_HOST_STARTED | Hôte du bureau à distance Chrome démarré | STATUS_STARTUP |
| CHROME_OS_CRD_CLIENT_CONNECTED | Client du bureau à distance Chrome connecté | USER_LOGIN |
| CHROME_OS_CRD_CLIENT_DISCONNECTED | Client du bureau à distance Chrome déconnecté | USER_LOGOUT |
| CHROME_OS_CRD_HOST_ENDED | Hôte du bureau à distance Chrome arrêté | STATUS_STARTUP |
Table de mappage UDM
Le tableau suivant montre comment les champs du journal de gestion Chrome sont mappés aux champs du modèle de données unifié (UDM) Google SecOps :
| Champ de journal Chrome | Champ UDM | Description |
|---|---|---|
| événement | metadata.product_event_type | Identifiant du type d'événement |
| heure | metadata.event_timestamp | Code temporel de l'événement |
| device_id | principal.asset.product_object_id | Identifiant de l'appareil |
| device_name | principal.hostname | Nom d'hôte de l'appareil |
| device_user | principal.user.user_display_name | Utilisateur de l'appareil |
| profile_user | principal.user.email_addresses | Adresse e-mail associée au profil de l'utilisateur |
| os_platform | principal.platform | Plate-forme du système d'exploitation |
| os_version | principal.platform_version | Version du système d'exploitation |
| browser_version | target.resource.attributes.labels[browser_version] | Version du navigateur |
| user_agent | network.http.user_agent | User-agent HTTP |
| url | target.url | URL cible |
| reason | security_result.category_details | Motif de l'événement |
| résultat | security_result.action_details | Résultat de l'événement |
| content_name | target.file.full_path | Nom du fichier |
| content_type | target.file.mime_type | Type MIME du fichier |
| content_hash | target.file.sha256 | Hachage SHA256 du fichier |
| content_size | target.file.size | Taille du fichier |
| extension_id | target.resource.product_object_id | Identifiant de l'extension |
| extension_name | target.resource.name | Nom de l'extension |
| extension_version | target.resource.attribute.labels[extension_version] | Version de l'extension |
Pour obtenir une référence complète sur le mappage des champs, consultez la documentation sur l'analyseur Chrome Management.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.