Mengumpulkan log XDR ChromeOS
Dokumen ini menjelaskan cara menyerap log XDR ChromeOS ke Google Security Operations.
Chrome Enterprise memberikan visibilitas komprehensif terhadap peristiwa keamanan browser dan perangkat ChromeOS, termasuk transfer malware, kunjungan ke situs yang tidak aman, penggunaan ulang sandi, penginstalan ekstensi, aktivitas login, dan telemetri perangkat ChromeOS. Konektor Pelaporan Chrome Enterprise meneruskan log ini langsung dari Konsol Google Admin ke Google Security Operations untuk analisis dan deteksi ancaman.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Akun Administrator Google Workspace dengan hak istimewa Admin Super
- Google Chrome 137 atau yang lebih baru (versi sebelumnya tidak memberikan data URL perujuk yang lengkap)
- Lisensi Chrome Enterprise Premium untuk fitur lanjutan (opsional, tetapi direkomendasikan untuk cakupan acara penuh)
- Pengelolaan cloud browser Chrome diaktifkan di perangkat target
- ID Pelanggan Google Workspace Anda dari konsol Admin Google Workspace
Mengonfigurasi parser Pengelolaan Chrome
Anda mungkin perlu mengupdate ke parser Pengelolaan Chrome versi baru untuk mendukung log Chrome terbaru.
- Di instance Google SecOps Anda, buka Menu > Settings > Parsers.
- Temukan entri bawaan Pengelolaan Chrome.
- Pastikan Anda menggunakan tanggal versi 2025-08-14 atau yang lebih baru dengan menerapkan update yang tertunda.
Mendapatkan kredensial Chronicle Ingestion API
Anda dapat mengonfigurasi konektor pelaporan Chrome Enterprise menggunakan salah satu dari tiga metode. Dokumen ini membahas metode kunci API Chronicle Ingestion, yang hanya boleh digunakan jika tidak ada metode integrasi lain yang tersedia.
Buat kunci Google Cloud API
- Buka halaman Credentials Google Cloud Console.
- Pilih project Anda (project yang terkait dengan instance Google SecOps Anda).
- Klik Create credentials > API key.
- Kunci API dibuat dan ditampilkan dalam dialog.
- Klik Edit API key untuk membatasi kunci.
Di halaman setelan kunci API:
- Nama: Masukkan nama deskriptif (misalnya,
Chronicle Chrome Enterprise API Key)
- Nama: Masukkan nama deskriptif (misalnya,
Di bagian API restrictions:
- Pilih Restrict key.
- Di drop-down Select APIs, telusuri dan pilih Google SecOps API (atau Chronicle API).
Klik Simpan.
Salin nilai kunci API dari kolom Kunci API di bagian atas halaman.
Simpan kunci API dengan aman.
Menentukan nama host endpoint penyerapan
Nama host bergantung pada region instance Google SecOps Anda:
- Pelanggan Amerika Serikat:
malachiteingestion-pa.googleapis.com - Pelanggan Eropa:
europe-malachiteingestion-pa.googleapis.com - Pelanggan Asia Tenggara:
asia-southeast1-malachiteingestion-pa.googleapis.com
Untuk region lainnya, lihat dokumentasi endpoint regional.
Mengonfigurasi Konektor Pelaporan Chrome Enterprise
Menambahkan konfigurasi penyedia Google SecOps
Login dengan akun administrator super ke konsol Google Admin.
Jika Anda tidak menggunakan akun administrator super, Anda tidak dapat menyelesaikan langkah-langkah ini.
Buka Menu > Perangkat > Chrome > Konektor.
Opsional: Jika Anda mengonfigurasi setelan konektor Chrome Enterprise untuk pertama kalinya, ikuti petunjuk guna mengaktifkan Chrome Enterprise Connectors.
Di bagian atas, klik + Konfigurasi penyedia baru.
Di panel yang muncul di sebelah kanan, temukan penyiapan Google SecOps.
Klik Siapkan.
Masukkan detail konfigurasi berikut:
- ID konfigurasi: Masukkan nama deskriptif (misalnya,
Chronicle Chrome Enterprise Connector). ID ini ditampilkan di halaman Setelan pengguna & browser dan halaman Konektor. - Kunci API: Tempelkan kunci API yang Anda buat di bagian sebelumnya.
- Nama Host: Masukkan nama host endpoint API penyerapan untuk wilayah Anda (misalnya,
malachiteingestion-pa.googleapis.comuntuk pelanggan di AS).
- ID konfigurasi: Masukkan nama deskriptif (misalnya,
Klik Uji koneksi untuk memvalidasi detail konfigurasi.
Jika validasi gagal, tinjau detail konfigurasi dan lakukan pengujian ulang. Verifikasi bahwa:
- Kunci API sudah benar dan belum habis masa berlakunya
- Nama host cocok dengan region instance Google SecOps Anda
- Kunci API telah menerapkan pembatasan Chronicle API
Jika validasi berhasil, klik Tambahkan Konfigurasi.
Konfigurasi kini ditambahkan untuk seluruh organisasi Anda dan dapat digunakan di unit organisasi mana pun.
Aktifkan pelaporan peristiwa
Di konsol Google Admin, buka Menu > Perangkat > Chrome > Setelan.
Halaman Setelan pengguna & browser akan terbuka secara default.
Untuk menerapkan setelan ke semua pengguna dan browser terdaftar, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
Buka Pelaporan browser.
Klik Pelaporan peristiwa.
Pilih Aktifkan pelaporan peristiwa.
Opsional: Konfigurasi setelan tambahan. Pilih jenis peristiwa yang dilaporkan yang Anda butuhkan, berdasarkan jenis konten yang ingin dikirim untuk analisis:
- Jenis peristiwa default: Peristiwa perlindungan data dan perlindungan terhadap ancaman Chrome meliputi transfer malware, penggunaan ulang sandi, dan kunjungan situs yang tidak aman
- Error browser: Peristiwa error browser
- Transfer konten: Peristiwa upload dan download file
- Kontrol akses data: Peristiwa kontrol akses data
- Penginstalan ekstensi: Peristiwa penginstalan ekstensi browser
- Telemetri ekstensi: Peristiwa telemetri ekstensi
- Aktivitas login Google: Peristiwa login Akun Google
- Transfer malware: Peristiwa transfer malware
- Kebocoran sandi: Peristiwa kebocoran sandi
- Sandi diubah: Peristiwa perubahan sandi
- Penggunaan ulang sandi: Peristiwa penggunaan ulang sandi
- Transfer data sensitif: Peristiwa transfer data sensitif
- URL Mencurigakan: Peristiwa URL mencurigakan
- Kunjungan situs tidak aman: Peristiwa kunjungan situs tidak aman
- Interstisial pemfilteran URL: Peristiwa interstisial pemfilteran URL
- Navigasi URL: Peristiwa navigasi URL
Klik Simpan.
Atau, Anda dapat mengklik Ganti untuk unit organisasi. Untuk memulihkan nilai yang diwarisi pada lain waktu, klik Warisi.
Menautkan unit organisasi ke konektor
Setelah mengonfigurasi konektor pelaporan Chrome Enterprise, Anda harus mengaktifkan konektor untuk Unit Organisasi (OU) tertentu yang lognya ingin Anda kumpulkan.
Di konsol Google Admin, buka Menu > Perangkat > Chrome > Setelan.
Tab Pengguna & browser dipilih secara default.
Di panel Unit Organisasi, pilih OU yang lognya ingin Anda kumpulkan.
Di daftar setelan utama, buka setelan Konektor pelaporan Chrome Enterprise.
Tetapkan status ke Diaktifkan dan pilih konfigurasi yang Anda buat di langkah sebelumnya.
Klik Simpan.
Ulangi langkah-langkah ini untuk OU lain yang memerlukan penyerapan log.
Mengonfigurasi pelaporan perangkat ChromeOS
Opsional: Jika Anda ingin mengumpulkan peristiwa perangkat ChromeOS selain peristiwa browser Chrome, aktifkan pelaporan perangkat ChromeOS.
- Di konsol Google Admin, buka Menu > Perangkat > Chrome > Setelan > Setelan perangkat.
- Opsional: Untuk menerapkan setelan ke departemen atau tim, di bagian samping, pilih unit organisasi.
- Buka Pelaporan Perangkat dan Pengguna.
- Di samping Laporkan peristiwa deteksi dan respons yang diperluas (XDR), pilih Laporkan informasi tentang peristiwa deteksi dan respons yang diperluas (XDR).
Klik Simpan.
Memverifikasi alur data
Untuk memverifikasi bahwa log Chrome Enterprise sedang di-ingest ke Google SecOps:
- Buka instance Google SecOps Anda.
- Buka Menu > Penelusuran.
Jalankan kueri penelusuran berikut untuk mencari peristiwa Pengelolaan Chrome:
metadata.log_type = "CHROME_MANAGEMENT"Anda akan melihat peristiwa muncul dalam beberapa menit setelah konfigurasi. Jika tidak ada acara yang muncul:
- Pastikan pelaporan peristiwa diaktifkan di Konsol Admin Google
- Pastikan konektor ditautkan ke unit organisasi yang benar
- Memverifikasi bahwa browser Chrome terdaftar di pengelolaan cloud
- Pastikan kunci API valid dan belum habis masa berlakunya
- Verifikasi bahwa nama host cocok dengan region instance Google SecOps Anda
Jenis log yang didukung
Konektor Pelaporan Chrome Enterprise meneruskan jenis peristiwa berikut ke Google SecOps:
Acara browser Chrome
| Jenis Peristiwa | Deskripsi | Kategori Keamanan |
|---|---|---|
| badNavigationEvent | Pengguna membuka URL berbahaya atau mencurigakan | SOFTWARE_MALICIOUS, SOCIAL_ENGINEERING, NETWORK_SUSPICIOUS |
| browserCrashEvent | Browser Chrome mengalami error | STATUS_UPDATE |
| browserExtensionInstallEvent | Ekstensi browser diinstal | USER_RESOURCE_UPDATE_CONTENT |
| contentTransferEvent | File diupload atau didownload | SCAN_FILE |
| dangerousDownloadEvent | File berbahaya didownload | SOFTWARE_PUA, SOFTWARE_MALICIOUS |
| extensionTelemetryEvent | Data telemetri ekstensi | USER_RESOURCE_ACCESS, NETWORK_HTTP |
| loginEvent | Pengguna login ke Akun Google | USER_LOGIN |
| malwareTransferEvent | Malware ditransfer | SOFTWARE_MALICIOUS |
| passwordBreachEvent | Sandi ditemukan dalam pelanggaran data | USER_RESOURCE_ACCESS |
| passwordChangedEvent | Pengguna mengubah sandinya | USER_CHANGE_PASSWORD |
| passwordReuseEvent | Sandi digunakan ulang di situs yang tidak sah | POLICY_VIOLATION, AUTH_VIOLATION, PHISHING |
| sensitiveDataEvent | Data sensitif terdeteksi | DATA_EXFILTRATION |
| sensitiveDataTransferEvent | Data sensitif ditransfer | DATA_EXFILTRATION |
| suspiciousUrlEvent | URL mencurigakan diakses | SOFTWARE_SUSPICIOUS |
| unsafeSiteVisitEvent | Pengguna mengunjungi situs yang tidak aman | SOFTWARE_MALICIOUS, NETWORK_SUSPICIOUS |
| urlFilteringInterstitialEvent | Interstisial pemfilteran URL ditampilkan | POLICY_VIOLATION |
| urlNavigationEvent | Pengguna membuka URL | NETWORK_HTTP |
Peristiwa perangkat ChromeOS
| Jenis Peristiwa | Deskripsi | Kategori Keamanan |
|---|---|---|
| CHROME_OS_LOGIN_EVENT | Pengguna login ke perangkat ChromeOS | USER_LOGIN |
| CHROME_OS_LOGIN_FAILURE_EVENT | Gagal login ke Chrome OS | USER_LOGIN |
| CHROME_OS_LOGOUT_EVENT | Pengguna logout dari perangkat ChromeOS | USER_LOGOUT |
| CHROME_OS_ADD_USER | Pengguna ditambahkan ke perangkat ChromeOS | USER_CREATION |
| CHROME_OS_REMOVE_USER | Pengguna dihapus dari perangkat ChromeOS | USER_DELETION |
| CHROMEOS_AFFILIATED_LOCK_SUCCESS | Perangkat ChromeOS dikunci | USER_LOGOUT |
| CHROMEOS_AFFILIATED_UNLOCK_SUCCESS | Kunci perangkat ChromeOS dibuka | USER_LOGIN |
| CHROMEOS_AFFILIATED_UNLOCK_FAILURE | Gagal membuka kunci ChromeOS | USER_LOGIN |
| CHROMEOS_DEVICE_BOOT_STATE_CHANGE | Status booting perangkat diubah | SETTING_MODIFICATION |
| CHROMEOS_PERIPHERAL_ADDED | Perangkat USB ditambahkan | USER_RESOURCE_ACCESS |
| CHROMEOS_PERIPHERAL_REMOVED | Perangkat USB dihapus | USER_RESOURCE_DELETION |
| CHROMEOS_PERIPHERAL_STATUS_UPDATED | Status perangkat USB berubah | USER_RESOURCE_UPDATE_CONTENT |
| CHROME_OS_CRD_HOST_STARTED | Host Chrome Desktop Jarak Jauh dimulai | STATUS_STARTUP |
| CHROME_OS_CRD_CLIENT_CONNECTED | Klien Chrome Desktop Jarak Jauh dihubungkan | USER_LOGIN |
| CHROME_OS_CRD_CLIENT_DISCONNECTED | Klien Chrome Desktop Jarak Jauh diputus hubungannya | USER_LOGOUT |
| CHROME_OS_CRD_HOST_ENDED | Host Chrome Desktop Jarak Jauh dihentikan | STATUS_STARTUP |
Tabel pemetaan UDM
Tabel berikut menunjukkan cara kolom log Pengelolaan Chrome dipetakan ke kolom Model Data Terpadu (UDM) Google SecOps:
| Kolom Log Chrome | Kolom UDM | Deskripsi |
|---|---|---|
| event | metadata.product_event_type | ID jenis peristiwa |
| waktu | metadata.event_timestamp | Stempel waktu peristiwa |
| device_id | principal.asset.product_object_id | ID perangkat |
| device_name | principal.hostname | Nama host perangkat |
| device_user | principal.user.user_display_name | Pengguna perangkat |
| profile_user | principal.user.email_addresses | Email pengguna profil |
| os_platform | principal.platform | Platform sistem operasi |
| os_version | principal.platform_version | Versi sistem operasi |
| browser_version | target.resource.attributes.labels[browser_version] | Versi browser |
| user_agent | network.http.user_agent | Agen pengguna HTTP |
| url | target.url | URL Target |
| alasan | security_result.category_details | Alasan peristiwa |
| hasil | security_result.action_details | Hasil peristiwa |
| content_name | target.file.full_path | Nama file |
| content_type | target.file.mime_type | Jenis MIME file |
| content_hash | target.file.sha256 | Hash SHA256 file |
| content_size | target.file.size | Ukuran file |
| extension_id | target.resource.product_object_id | ID ekstensi |
| extension_name | target.resource.name | Nama ekstensi |
| extension_version | target.resource.attribute.labels[extension_version] | Versi ekstensi |
Untuk referensi pemetaan kolom lengkap, lihat dokumentasi parser Chrome Management.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.