Coletar registros do XDR do ChromeOS
Este documento explica como ingerir registros do XDR do ChromeOS no Google Security Operations.
O Chrome Enterprise oferece visibilidade abrangente dos eventos de segurança do navegador e dos dispositivos ChromeOS, incluindo transferências de malware, visitas a sites não seguros, reutilização de senhas, instalações de extensões, atividade de login e telemetria de dispositivos ChromeOS. O conector de relatórios do Chrome Enterprise encaminha esses registros diretamente do Google Admin Console para o Google Security Operations para análise e detecção de ameaças.
Antes de começar
Verifique se você atende os seguintes pré-requisitos:
- Uma instância do Google SecOps
- Conta de administrador do Google Workspace com privilégios de superadministrador
- Google Chrome 137 ou mais recente. Versões anteriores não fornecem dados completos de URL de referenciador.
- Licenças do Chrome Enterprise Premium para recursos avançados (opcional, mas recomendado para cobertura total de eventos)
- O Gerenciamento de nuvem do navegador Chrome está ativado nos dispositivos de destino
- Seu ID de cliente do Google Workspace no Admin Console do Google Workspace
Configurar o analisador do Gerenciamento do Chrome
Talvez seja necessário atualizar para uma nova versão do analisador do Gerenciamento do Chrome para oferecer suporte aos registros recentes do Chrome.
- Na sua instância do Google SecOps, acesse Menu > Configurações > Analisadores.
- Encontre a entrada predefinida Gerenciamento do Chrome.
- Verifique se você está usando uma data de versão 2025-08-14 ou mais recente aplicando as atualizações pendentes.
Receber credenciais da API de ingestão do Chronicle
É possível configurar o conector de relatórios do Chrome Enterprise usando um destes três métodos. Este documento aborda o método de chave de API da API de ingestão do Chronicle, que só deve ser usado se nenhum outro método de integração estiver disponível.
Criar chave de API do Google Cloud
- Acesse a página "Credenciais" do Console do Google Cloud.
- Selecione seu projeto (o projeto associado à sua instância do Google SecOps).
- Clique em Criar credenciais > Chave de API.
- Uma chave de API é criada e exibida em uma caixa de diálogo.
- Clique em Editar chave de API para restringir a chave.
Na página de configurações da chave de API:
- Nome: insira um nome descritivo, por exemplo,
Chronicle Chrome Enterprise API Key.
- Nome: insira um nome descritivo, por exemplo,
Em Restrições de API:
- Selecione Restringir chave.
- No menu suspenso Selecionar APIs, pesquise e selecione API Google SecOps (ou API Chronicle).
Clique em Salvar.
Copie o valor da chave de API do campo Chave de API na parte de cima da página.
Salve a chave de API com segurança.
Determinar o nome do host do endpoint de ingestão
O nome do host depende da região da sua instância do Google SecOps:
- Clientes nos EUA:
malachiteingestion-pa.googleapis.com - Clientes da Europa:
europe-malachiteingestion-pa.googleapis.com - Clientes do Sudeste da Ásia:
asia-southeast1-malachiteingestion-pa.googleapis.com
Para outras regiões, consulte a documentação de endpoints regionais.
Configurar o conector de relatórios do Chrome Enterprise
Adicionar a configuração do provedor do Google SecOps
Faça login com uma conta de superadministrador no Google Admin Console.
Se você não estiver usando uma conta de superadministrador, não poderá concluir essas etapas.
Acesse Menu > Dispositivos > Chrome > Conectores.
Opcional: se você estiver definindo as configurações do Chrome Enterprise Connectors pela primeira vez, siga as instruções para ativar o Chrome Enterprise Connectors.
Na parte superior, clique em + Nova configuração do provedor.
No painel à direita, encontre a configuração do Google SecOps.
Clique em Configurar.
Digite os seguintes detalhes de configuração:
- ID da configuração: insira um nome descritivo (por exemplo,
Chronicle Chrome Enterprise Connector). Esse ID é mostrado nas páginas "Configurações do usuário e navegadores" e "Conectores". - Chave de API: cole a chave de API criada na seção anterior.
- Nome do host: insira o nome do host do endpoint de API de ingestão para sua região (por exemplo,
malachiteingestion-pa.googleapis.compara clientes dos EUA).
- ID da configuração: insira um nome descritivo (por exemplo,
Clique em Testar conexão para validar os detalhes da configuração.
Se a validação falhar, revise os detalhes da configuração e teste novamente. Verifique se:
- A chave de API está correta e não expirou
- O nome do host corresponde à região da sua instância do Google SecOps
- A chave de API tem a restrição da API Chronicle aplicada.
Se a validação for bem-sucedida, clique em Adicionar configuração.
A configuração agora é adicionada para toda a organização e pode ser usada em qualquer unidade organizacional.
Ativar os relatórios de eventos
No Google Admin Console, acesse Menu > Dispositivos > Chrome > Configurações.
A página Configurações do navegador e usuário é aberta por padrão.
Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
Acesse Relatórios do navegador.
Clique em Relatórios de eventos.
Selecione Ativar relatórios de eventos.
Opcional: configure outras opções. Escolha os tipos de eventos informados de acordo com o tipo de conteúdo que você quer enviar para análise:
- Tipos de evento padrão: os eventos de proteção de dados e ameaças do Chrome incluem transferência de malware, reutilização de senha e visitas a sites não seguros.
- Falhas do navegador: eventos de falha do navegador
- Transferências de conteúdo: eventos de upload e download de arquivos
- Controles de acesso aos dados: eventos de controle de acesso aos dados
- Instalações de extensões: eventos de instalação de extensões do navegador
- Telemetria de extensão: eventos de telemetria de extensão
- Atividade de login do Google: eventos de login na Conta do Google
- Transferência de malware: eventos de transferência de malware
- Violação de senha: eventos de violação de senha
- Senha alterada: eventos de mudança de senha
- Reutilização de senha: eventos de reutilização de senha
- Transferência de dados sensíveis: eventos de transferência de dados sensíveis
- URL suspeito: eventos de URL suspeito
- Visitas a sites não seguros: eventos de visitas a sites não seguros
- Intersticial de filtragem de URL: eventos intersticiais de filtragem de URL
- Navegações de URL: eventos de navegação de URL
Clique em Salvar.
Ou clique em Substituir em uma unidade organizacional. Para restaurar depois o valor herdado, clique em Herdar.
Vincular unidades organizacionais ao conector
Depois de configurar o conector de relatórios do Chrome Enterprise, ative-o para as unidades organizacionais (UOs) específicas de que você quer coletar registros.
No Google Admin Console, acesse Menu > Dispositivos > Chrome > Configurações.
A guia Usuários e navegadores é selecionada por padrão.
No painel Unidades organizacionais, selecione a UO de que você quer coletar registros.
Na lista de configurações principais, acesse a opção Conector de relatórios do Chrome Enterprise.
Defina o status como Ativado e selecione a configuração criada nas etapas anteriores.
Clique em Salvar.
Repita essas etapas para outras UOs que exigem ingestão de registros.
Configurar relatórios de dispositivos ChromeOS
Opcional: se você quiser coletar eventos de dispositivos ChromeOS além dos eventos do navegador Chrome, ative os relatórios de dispositivos ChromeOS.
- No Google Admin Console, acesse Menu > Dispositivos > Chrome > Configurações > Configurações do dispositivo.
- Opcional: para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral.
- Acesse Relatórios de usuários e dispositivos.
- Ao lado de Relatar eventos de detecção e resposta estendidas (XDR), selecione Relatar informações sobre eventos de detecção e resposta estendidas (XDR).
Clique em Salvar.
Verificar o fluxo de dados
Para verificar se os registros do Chrome Enterprise estão sendo ingeridos no Google SecOps:
- Abra sua instância do Google SecOps.
- Acesse Menu > Pesquisar.
Execute a seguinte consulta de pesquisa para procurar eventos do Gerenciamento do Chrome:
metadata.log_type = "CHROME_MANAGEMENT"Os eventos vão aparecer em alguns minutos após a configuração. Se nenhum evento aparecer:
- Verificar se os relatórios de eventos estão ativados no Google Admin Console
- Verifique se o conector está vinculado às unidades organizacionais corretas.
- Verificar se os navegadores Chrome estão registrados no gerenciamento de nuvem
- Verifique se a chave de API é válida e não expirou.
- Verifique se o nome do host corresponde à região da sua instância do Google SecOps
Tipos de registros compatíveis
O conector de relatórios do Chrome Enterprise encaminha os seguintes tipos de eventos para o Google SecOps:
Eventos do navegador Chrome
| Tipo de evento | Descrição | Categoria de segurança |
|---|---|---|
| badNavigationEvent | O usuário navegou até um URL malicioso ou suspeito. | SOFTWARE_MALICIOUS, SOCIAL_ENGINEERING, NETWORK_SUSPICIOUS |
| browserCrashEvent | O navegador Chrome falhou | STATUS_UPDATE |
| browserExtensionInstallEvent | A extensão do navegador foi instalada | USER_RESOURCE_UPDATE_CONTENT |
| contentTransferEvent | O arquivo foi enviado ou baixado | SCAN_FILE |
| dangerousDownloadEvent | O download do arquivo perigoso foi concluído | SOFTWARE_PUA, SOFTWARE_MALICIOUS |
| extensionTelemetryEvent | Dados de telemetria de extensão | USER_RESOURCE_ACCESS, NETWORK_HTTP |
| loginEvent | Usuário conectado à Conta do Google | USER_LOGIN |
| malwareTransferEvent | Um malware foi transferido | SOFTWARE_MALICIOUS |
| passwordBreachEvent | A senha foi encontrada em uma violação | USER_RESOURCE_ACCESS |
| passwordChangedEvent | O usuário mudou a senha | USER_CHANGE_PASSWORD |
| passwordReuseEvent | A senha foi reutilizada em um site não autorizado | POLICY_VIOLATION, AUTH_VIOLATION, PHISHING |
| sensitiveDataEvent | Dados sensíveis foram detectados | DATA_EXFILTRATION |
| sensitiveDataTransferEvent | Dados sensíveis foram transferidos | DATA_EXFILTRATION |
| suspiciousUrlEvent | Um URL suspeito foi acessado | SOFTWARE_SUSPICIOUS |
| unsafeSiteVisitEvent | O usuário acessou um site não seguro | SOFTWARE_MALICIOUS, NETWORK_SUSPICIOUS |
| urlFilteringInterstitialEvent | O intersticial de filtragem de URL foi exibido | POLICY_VIOLATION |
| urlNavigationEvent | O usuário navegou até um URL | NETWORK_HTTP |
Eventos de dispositivos ChromeOS
| Tipo de evento | Descrição | Categoria de segurança |
|---|---|---|
| CHROME_OS_LOGIN_EVENT | O usuário fez login no dispositivo ChromeOS. | USER_LOGIN |
| CHROME_OS_LOGIN_FAILURE_EVENT | Falha de login no Chrome OS | USER_LOGIN |
| CHROME_OS_LOGOUT_EVENT | O usuário saiu do dispositivo ChromeOS. | USER_LOGOUT |
| CHROME_OS_ADD_USER | O usuário foi adicionado ao dispositivo ChromeOS | USER_CREATION |
| CHROME_OS_REMOVE_USER | O usuário foi removido do dispositivo ChromeOS | USER_DELETION |
| CHROMEOS_AFFILIATED_LOCK_SUCCESS | O dispositivo ChromeOS foi bloqueado | USER_LOGOUT |
| CHROMEOS_AFFILIATED_UNLOCK_SUCCESS | O dispositivo ChromeOS foi desbloqueado | USER_LOGIN |
| CHROMEOS_AFFILIATED_UNLOCK_FAILURE | Falha ao desbloquear o ChromeOS | USER_LOGIN |
| CHROMEOS_DEVICE_BOOT_STATE_CHANGE | Mudança de estado de inicialização do dispositivo | SETTING_MODIFICATION |
| CHROMEOS_PERIPHERAL_ADDED | Dispositivo USB adicionado | USER_RESOURCE_ACCESS |
| CHROMEOS_PERIPHERAL_REMOVED | O dispositivo USB foi removido | USER_RESOURCE_DELETION |
| CHROMEOS_PERIPHERAL_STATUS_UPDATED | Status do dispositivo USB mudou | USER_RESOURCE_UPDATE_CONTENT |
| CHROME_OS_CRD_HOST_STARTED | Host da Área de trabalho remota do Google Chrome iniciado | STATUS_STARTUP |
| CHROME_OS_CRD_CLIENT_CONNECTED | Cliente da Área de trabalho remota do Google Chrome conectado | USER_LOGIN |
| CHROME_OS_CRD_CLIENT_DISCONNECTED | Cliente da Área de trabalho remota do Google Chrome desconectado | USER_LOGOUT |
| CHROME_OS_CRD_HOST_ENDED | Host da Área de trabalho remota do Google Chrome interrompido | STATUS_STARTUP |
Tabela de mapeamento do UDM
A tabela a seguir mostra como os campos de registro do Chrome Management são mapeados para os campos do modelo de dados unificado (UDM) do Google SecOps:
| Campo de registro do Chrome | Campo de UDM | Descrição |
|---|---|---|
| evento | metadata.product_event_type | Identificador do tipo de evento |
| tempo | metadata.event_timestamp | Carimbo de data/hora do evento |
| device_id | principal.asset.product_object_id | Identificador do dispositivo |
| device_name | principal.hostname | Nome do host do dispositivo |
| device_user | principal.user.user_display_name | Usuário do dispositivo |
| profile_user | principal.user.email_addresses | E-mail do usuário do perfil |
| os_platform | principal.platform | Plataforma do sistema operacional |
| os_version | principal.platform_version | Versão do sistema operacional |
| browser_version | target.resource.attributes.labels[browser_version] | Versão do navegador |
| user_agent | network.http.user_agent | User agent HTTP |
| url | target.url | URL de destino |
| reason | security_result.category_details | Motivo do evento |
| result | security_result.action_details | Resultado do evento |
| content_name | target.file.full_path | Nome do arquivo |
| content_type | target.file.mime_type | Tipo MIME do arquivo |
| content_hash | target.file.sha256 | Hash SHA256 do arquivo |
| content_size | target.file.size | Tamanho do arquivo |
| extension_id | target.resource.product_object_id | Identificador da extensão |
| extension_name | target.resource.name | Nome da extensão |
| extension_version | target.resource.attribute.labels[extension_version] | Versão da extensão |
Para uma referência completa de mapeamento de campos, consulte a documentação do analisador da API Chrome Management.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.