Raccogliere i log XDR di ChromeOS
Questo documento spiega come importare i log XDR di ChromeOS in Google Security Operations.
Chrome Enterprise offre una visibilità completa sugli eventi di sicurezza del browser e dispositivo ChromeOS, inclusi trasferimenti di malware, visite a siti non sicuri, riutilizzo delle password, installazioni di estensioni, attività di accesso e telemetria dei dispositivo ChromeOS. Chrome Enterprise Reporting Connector inoltra questi log direttamente dalla Console di amministrazione Google a Google Security Operations per l'analisi e il rilevamento delle minacce.
Prima di iniziare
Assicurati di disporre dei seguenti prerequisiti:
- Un'istanza Google SecOps
- Account amministratore Google Workspace con privilegi di super amministratore
- Google Chrome 137 o versioni successive (le versioni precedenti non forniscono dati completi sull'URL referrer)
- Licenze Chrome Enterprise Premium per funzionalità avanzate (facoltative, ma consigliate per la copertura completa degli eventi)
- Chrome Browser Cloud Management abilitato sui dispositivi di destinazione
- Il tuo ID cliente Google Workspace dalla Console di amministrazione Google Workspace
Configurare il parser di Chrome Management
Potresti dover eseguire l'aggiornamento a una nuova versione del parser di Chrome Management per supportare i log di Chrome recenti.
- Nell'istanza di Google SecOps, vai a Menu > Impostazioni > Parser.
- Trova la voce predefinita Gestione di Chrome.
- Verifica di utilizzare una data di versione 2025-08-14 o successiva applicando gli aggiornamenti in sospeso.
Ottenere le credenziali dell'API Chronicle Ingestion
Puoi configurare il connettore di reporting di Chrome Enterprise utilizzando uno dei tre metodi. Questo documento descrive il metodo della chiave API Chronicle Ingestion, che deve essere utilizzato solo se non è disponibile nessun altro metodo di integrazione.
Crea una chiave API Google Cloud
- Vai alla pagina Credenziali della console Google Cloud.
- Seleziona il tuo progetto (quello associato alla tua istanza di Google SecOps).
- Fai clic su Crea credenziali > Chiave API.
- Viene creata una chiave API e visualizzata in una finestra di dialogo.
- Fai clic su Modifica chiave API per limitare la chiave.
Nella pagina delle impostazioni Chiave API:
- Nome: inserisci un nome descrittivo (ad esempio,
Chronicle Chrome Enterprise API Key)
- Nome: inserisci un nome descrittivo (ad esempio,
Nella sezione Restrizioni delle API:
- Seleziona Limita chiave.
- Nel menu a discesa Seleziona API, cerca e seleziona API Google SecOps (o API Chronicle).
Fai clic su Salva.
Copia il valore della chiave API dal campo Chiave API nella parte superiore della pagina.
Salva la chiave API in modo sicuro.
Determinare il nome host dell'endpoint di importazione
Il nome host dipende dalla regione dell'istanza Google SecOps:
- Clienti statunitensi:
malachiteingestion-pa.googleapis.com - Clienti in Europa:
europe-malachiteingestion-pa.googleapis.com - Clienti dell'Asia sudorientale:
asia-southeast1-malachiteingestion-pa.googleapis.com
Per altre regioni, consulta la documentazione sugli endpoint regionali.
Configurare il connettore di reporting di Chrome Enterprise
Aggiungere la configurazione del provider Google SecOps
Accedi con un account super amministratore alla Console di amministrazione Google.
Se non utilizzi un account super amministratore, non puoi completare questi passaggi.
Vai a Menu > Dispositivi > Chrome > Connettori.
(Facoltativo) Se è la prima volta che configuri le impostazioni di Chrome Enterprise Connectors, segui le istruzioni per attivare Chrome Enterprise Connectors.
In alto, fai clic su + Configurazione nuovo provider.
Nel riquadro visualizzato a destra, trova la configurazione di Google SecOps.
Fai clic su Configura.
Inserisci i seguenti dettagli di configurazione:
- ID configurazione: inserisci un nome descrittivo (ad esempio,
Chronicle Chrome Enterprise Connector). Questo ID viene visualizzato nella pagina Impostazioni browser e utente e nella pagina Connettori. - Chiave API: incolla la chiave API che hai creato nella sezione precedente.
- Nome host: inserisci il nome host dell'endpoint API di importazione per la tua regione (ad esempio,
malachiteingestion-pa.googleapis.comper i clienti negli Stati Uniti).
- ID configurazione: inserisci un nome descrittivo (ad esempio,
Fai clic su Prova connessione per convalidare i dettagli della configurazione.
Se la convalida non riesce, esamina i dettagli della configurazione e riprova. Verifica che:
- La chiave API è corretta e non è scaduta
- Il nome host corrisponde alla regione dell'istanza Google SecOps
- Alla chiave API è stata applicata la limitazione dell'API Chronicle
Se la convalida riesce, fai clic su Aggiungi configurazione.
La configurazione è ora aggiunta per l'intera organizzazione e può essere utilizzata in qualsiasi unità organizzativa.
Attiva il reporting sugli eventi
Nella Console di amministrazione Google, vai a Menu > Dispositivi > Chrome > Impostazioni.
Per impostazione predefinita si apre la pagina Impostazioni browser e utente.
Per applicare l'impostazione a tutti gli utenti e ai browser registrati, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria.
Vai a Reporting sul browser.
Fai clic su Reporting sugli eventi.
Seleziona Attiva il reporting sugli eventi.
(Facoltativo) Configura le impostazioni aggiuntive. Scegli i tipi di eventi segnalati che ti servono, in base al tipo di contenuti che vuoi inviare per l'analisi:
- Tipi di eventi predefiniti: gli eventi di protezione dei dati e dalle minacce per Chrome includono il trasferimento di malware, il riutilizzo della password e le visite a siti non sicuri.
- Arresti anomali del browser: eventi di arresto anomalo del browser
- Trasferimenti dei contenuti: eventi di caricamento e download di file
- Controlli di accesso ai dati: eventi di controllo dell'accesso ai dati
- Installazioni di estensioni: eventi di installazione di estensioni del browser
- Telemetria delle estensioni: eventi di telemetria delle estensioni
- Attività di accesso a Google: eventi di accesso all'Account Google
- Trasferimento di malware: eventi di trasferimento di malware
- Violazione password: eventi di violazione password
- Password modificata: eventi di modifica della password
- Riutilizzo della password: eventi di riutilizzo della password
- Trasferimento dati sensibili: eventi di trasferimento dati sensibili
- URL sospetto: eventi URL sospetti
- Visite a siti non sicuri: eventi di visita a siti non sicuri
- Interstitial di filtro URL: eventi interstitial di filtro URL
- Navigazioni URL: eventi di navigazione URL
Fai clic su Salva.
In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa. Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita.
Collegare le unità organizzative al connettore
Dopo aver configurato il connettore di reporting di Chrome Enterprise, devi attivarlo per le unità organizzative specifiche da cui vuoi raccogliere i log.
Nella Console di amministrazione Google, vai a Menu > Dispositivi > Chrome > Impostazioni.
La scheda Utenti e browser è selezionata per impostazione predefinita.
Nel riquadro Unità organizzative, seleziona l'unità organizzativa da cui vuoi raccogliere i log.
Nell'elenco delle impostazioni principali, vai all'impostazione Connettore di reporting di Chrome Enterprise.
Imposta lo stato su Abilitato e seleziona la configurazione che hai creato nei passaggi precedenti.
Fai clic su Salva.
Ripeti questi passaggi per tutte le altre OU che richiedono l'importazione dei log.
Configurare i report sui dispositivo ChromeOS
(Facoltativo) Se vuoi raccogliere gli eventi dispositivo ChromeOS oltre a quelli del browser Chrome, attiva i report dispositivo ChromeOS.
- Nella Console di amministrazione Google, vai a Menu > Dispositivi > Chrome > Impostazioni > Impostazioni dispositivo.
- (Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato.
- Vai a Report su dispositivi e utenti.
- Accanto a Segnala eventi di rilevamento e risposta estesi (XDR), seleziona Segnala informazioni su eventi di rilevamento e risposta estesi (XDR).
Fai clic su Salva.
Verificare il flusso di dati
Per verificare che i log di Chrome Enterprise vengano importati in Google SecOps:
- Apri l'istanza Google SecOps.
- Vai a Menu > Ricerca.
Esegui la seguente query di ricerca per cercare gli eventi di Chrome Management:
metadata.log_type = "CHROME_MANAGEMENT"Dovresti visualizzare gli eventi entro pochi minuti dalla configurazione. Se non vengono visualizzati eventi:
- Verifica che il reporting sugli eventi sia attivato nella Console di amministrazione Google
- Verifica che il connettore sia collegato alle unità organizzative corrette
- Verificare che i browser Chrome siano registrati nella gestione cloud
- Verifica che la chiave API sia valida e non scaduta
- Verifica che il nome host corrisponda alla regione dell'istanza Google SecOps
Tipi di log supportati
Il connettore di reporting di Chrome Enterprise inoltra i seguenti tipi di eventi a Google SecOps:
Eventi del browser Chrome
| Tipo di evento | Descrizione | Categoria di sicurezza |
|---|---|---|
| badNavigationEvent | L'utente ha visitato un URL dannoso o sospetto | SOFTWARE_MALICIOUS, SOCIAL_ENGINEERING, NETWORK_SUSPICIOUS |
| browserCrashEvent | Il browser Chrome ha subito un arresto anomalo | STATUS_UPDATE |
| browserExtensionInstallEvent | L'estensione del browser è stata installata | USER_RESOURCE_UPDATE_CONTENT |
| contentTransferEvent | Il file è stato caricato o scaricato | SCAN_FILE |
| dangerousDownloadEvent | È stato scaricato un file pericoloso | SOFTWARE_PUA, SOFTWARE_MALICIOUS |
| extensionTelemetryEvent | Dati di telemetria delle estensioni | USER_RESOURCE_ACCESS, NETWORK_HTTP |
| loginEvent | L'utente ha eseguito l'accesso all'Account Google | USER_LOGIN |
| malwareTransferEvent | È stato trasferito malware | SOFTWARE_MALICIOUS |
| passwordBreachEvent | La password è stata compromessa | USER_RESOURCE_ACCESS |
| passwordChangedEvent | L'utente ha cambiato la password | USER_CHANGE_PASSWORD |
| passwordReuseEvent | La password è stata riutilizzata su un sito non autorizzato | POLICY_VIOLATION, AUTH_VIOLATION, PHISHING |
| sensitiveDataEvent | Sono stati rilevati dati sensibili | DATA_EXFILTRATION |
| sensitiveDataTransferEvent | Sono stati trasferiti dati sensibili | DATA_EXFILTRATION |
| suspiciousUrlEvent | È stato eseguito l'accesso a un URL sospetto | SOFTWARE_SUSPICIOUS |
| unsafeSiteVisitEvent | L'utente ha visitato un sito non sicuro | SOFTWARE_MALICIOUS, NETWORK_SUSPICIOUS |
| urlFilteringInterstitialEvent | È stato visualizzato l'interstitial di filtro URL | POLICY_VIOLATION |
| urlNavigationEvent | L'utente ha visitato un URL | NETWORK_HTTP |
Eventi del dispositivo ChromeOS
| Tipo di evento | Descrizione | Categoria di sicurezza |
|---|---|---|
| CHROME_OS_LOGIN_EVENT | L'utente ha eseguito l'accesso al dispositivo ChromeOS | USER_LOGIN |
| CHROME_OS_LOGIN_FAILURE_EVENT | Accesso a ChromeOS non riuscito | USER_LOGIN |
| CHROME_OS_LOGOUT_EVENT | L'utente si è disconnesso dal dispositivo ChromeOS | USER_LOGOUT |
| CHROME_OS_ADD_USER | L'utente è stato aggiunto al dispositivo ChromeOS | USER_CREATION |
| CHROME_OS_REMOVE_USER | L'utente è stato rimosso dal dispositivo ChromeOS | USER_DELETION |
| CHROMEOS_AFFILIATED_LOCK_SUCCESS | Il dispositivo ChromeOS è stato bloccato | USER_LOGOUT |
| CHROMEOS_AFFILIATED_UNLOCK_SUCCESS | Il dispositivo ChromeOS è stato sbloccato | USER_LOGIN |
| CHROMEOS_AFFILIATED_UNLOCK_FAILURE | Sblocco di ChromeOS non riuscito | USER_LOGIN |
| CHROMEOS_DEVICE_BOOT_STATE_CHANGE | Stato di avvio del dispositivo modificato | SETTING_MODIFICATION |
| CHROMEOS_PERIPHERAL_ADDED | È stato aggiunto un dispositivo USB | USER_RESOURCE_ACCESS |
| CHROMEOS_PERIPHERAL_REMOVED | Il dispositivo USB è stato rimosso | USER_RESOURCE_DELETION |
| CHROMEOS_PERIPHERAL_STATUS_UPDATED | Stato del dispositivo USB modificato | USER_RESOURCE_UPDATE_CONTENT |
| CHROME_OS_CRD_HOST_STARTED | Host di Chrome Remote Desktop avviato | STATUS_STARTUP |
| CHROME_OS_CRD_CLIENT_CONNECTED | Client di Chrome Remote Desktop connesso | USER_LOGIN |
| CHROME_OS_CRD_CLIENT_DISCONNECTED | Client di Chrome Remote Desktop disconnesso | USER_LOGOUT |
| CHROME_OS_CRD_HOST_ENDED | Host di Chrome Remote Desktop arrestato | STATUS_STARTUP |
Tabella di mappatura UDM
La tabella seguente mostra come i campi dei log di Chrome Management vengono mappati ai campi Unified Data Model (UDM) di Google SecOps:
| Campo log di Chrome | Campo UDM | Descrizione |
|---|---|---|
| evento | metadata.product_event_type | Identificatore del tipo di evento |
| tempo | metadata.event_timestamp | Timestamp evento |
| device_id | principal.asset.product_object_id | Identificatore dispositivo |
| device_name | principal.hostname | Nome host del dispositivo |
| device_user | principal.user.user_display_name | Utente dispositivo |
| profile_user | principal.user.email_addresses | Email utente del profilo |
| os_platform | principal.platform | Piattaforma del sistema operativo |
| os_version | principal.platform_version | Versione sistema operativo |
| browser_version | target.resource.attributes.labels[browser_version] | Versione del browser |
| user_agent | network.http.user_agent | User agent HTTP |
| url | target.url | URL target |
| motivo | security_result.category_details | Motivo evento |
| result | security_result.action_details | Risultato evento |
| content_name | target.file.full_path | Nome file |
| content_type | target.file.mime_type | Tipo MIME del file |
| content_hash | target.file.sha256 | Hash SHA256 file |
| content_size | target.file.size | Dimensioni file |
| extension_id | target.resource.product_object_id | Identificatore dell'estensione |
| extension_name | target.resource.name | Nome estensione |
| extension_version | target.resource.attribute.labels[extension_version] | Versione estensione |
Per un riferimento completo alla mappatura dei campi, consulta la documentazione del parser di Chrome Management.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.