收集 ChromeOS XDR 記錄
本文說明如何將 ChromeOS XDR 記錄擷取至 Google Security Operations。
Chrome Enterprise 可全面掌握瀏覽器和 ChromeOS 裝置的安全性事件,包括惡意軟體傳輸、造訪不安全的網站、重複使用密碼、安裝擴充功能、登入活動,以及 ChromeOS 裝置遙測。Chrome Enterprise 報表連接器會直接將這些記錄從 Google 管理控制台轉送至 Google Security Operations,以供分析及偵測威脅。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 具備超級管理員權限的 Google Workspace 管理員帳戶
- Google Chrome 137 以上版本 (舊版不會提供完整的參照網址資料)
- Chrome Enterprise Premium 授權,可使用進階功能 (選用,但建議使用,才能完整涵蓋活動)
- 目標裝置已啟用 Chrome 瀏覽器雲端管理
- Google Workspace 管理控制台中的 Google Workspace 客戶 ID
設定 Chrome 管理服務剖析器
您可能需要更新 Chrome 管理剖析器,才能支援最新的 Chrome 記錄。
- 在 Google SecOps 執行個體中,依序前往「選單」>「設定」>「剖析器」。
- 找出預先建構的「Chrome 管理服務」項目。
- 套用所有待處理的更新,確認您使用的是 2025 年 8 月 14 日或更新的版本。
取得 Chronicle Ingestion API 憑證
您可以透過下列三種方法設定 Chrome Enterprise 報告連接器。本文介紹 Chronicle Ingestion API 金鑰方法,只有在沒有其他整合方法時才應使用。
建立 Google Cloud API 金鑰
- 前往 Google Cloud 控制台的「憑證」頁面。
- 選取專案 (與 Google SecOps 執行個體相關聯的專案)。
- 依序按一下「建立憑證」>「API 金鑰」。
- 系統會建立 API 金鑰,並在對話方塊中顯示。
- 按一下「編輯 API 金鑰」即可限制金鑰。
在「API 金鑰」設定頁面中:
- 名稱:輸入描述性名稱 (例如
Chronicle Chrome Enterprise API Key)
- 名稱:輸入描述性名稱 (例如
在「API 限制」下方:
- 選取「Restrict key」(限制金鑰)。
- 在「選取 API」下拉式選單中,搜尋並選取「Google SecOps API」 (或「Chronicle API」)。
按一下 [儲存]。
從頁面頂端的「API key」(API 金鑰) 欄位複製 API 金鑰值。
安全儲存 API 金鑰。
判斷擷取端點主機名稱
主機名稱取決於 Google SecOps 執行個體區域:
- 美國客戶:
malachiteingestion-pa.googleapis.com - 歐洲客戶:
europe-malachiteingestion-pa.googleapis.com - 東南亞客戶:
asia-southeast1-malachiteingestion-pa.googleapis.com
如需其他地區,請參閱地區端點說明文件。
設定 Chrome Enterprise 報告連接器
新增 Google SecOps 供應商設定
使用超級管理員帳戶登入 Google 管理控制台。
如果不是使用超級管理員帳戶,就無法完成這些步驟。
依序點選「選單」>「裝置」>「Chrome」>「連接器」。
選用:如果您是第一次設定 Chrome Enterprise 連接器,請按照提示開啟「Chrome Enterprise 連接器」。
按一下頂端的「+ 新增供應商設定」。
在右側顯示的面板中,找出「Google SecOps」設定。
按一下「設定」。
輸入下列設定詳細資料:
- 設定 ID:輸入說明名稱 (例如
Chronicle Chrome Enterprise Connector)。這個 ID 會顯示在「使用者與瀏覽器設定」和「連接器」頁面。 - API 金鑰:貼上您在上一個章節中建立的 API 金鑰。
- 主機名稱:輸入您所在區域的擷取 API 端點主機名稱 (例如,美國客戶請輸入
malachiteingestion-pa.googleapis.com)。
- 設定 ID:輸入說明名稱 (例如
點按「測試連線」來驗證設定詳細資料。
如果驗證失敗,請檢查設定詳細資料並重新測試。請確認:
- API 金鑰正確且未過期
- 主機名稱與 Google SecOps 執行個體區域相符
- API 金鑰已套用 Chronicle API 限制
如果驗證成功,請按一下「新增設定」。
系統會為整個機構新增設定,並在任何機構單位中使用。
啟用事件回報功能
在 Google 管理控制台中,依序前往「選單」>「裝置」>「Chrome」>「設定」。
根據預設,「使用者與瀏覽器設定」頁面會隨即開啟。
如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;假如只要顯示部分裝置,請選取子機構單位。
點選「瀏覽器報告功能」。
按一下「事件回報功能」。
選取「啟用事件回報功能」。
選用:調整其他設定。您可以根據要送交分析的內容類型,選擇所需的回報事件類型:
- 預設事件類型:Chrome 威脅與資料保護事件包含了轉移惡意軟體、重複使用密碼,以及造訪不安全的網站
- 瀏覽器當機:瀏覽器當機事件
- 內容轉移:檔案上傳和下載事件
- 資料存取權控管:資料存取權控管事件
- 擴充功能安裝:瀏覽器擴充功能安裝事件
- 擴充功能遙測:擴充功能遙測事件
- Google 登入活動:Google 帳戶登入事件
- 轉移惡意軟體:轉移惡意軟體事件
- 密碼外洩:密碼外洩事件
- 密碼已變更:密碼變更事件
- 密碼重複使用:密碼重複使用事件
- 機密資料移轉:機密資料移轉事件
- 可疑網址:可疑網址事件
- 造訪不安全的網站:造訪不安全的網站事件
- 網址篩選插頁式:網址篩選插頁式事件
- 網址導覽:網址導覽事件
按一下 [儲存]。
如果是機構單位,您也可以按一下「覆寫」。如要日後還原沿用的值,請按一下「沿用」。
將機構單位連結至連接器
設定 Chrome Enterprise 報表連接器後,請務必為要收集記錄的特定機構單位啟用連接器。
在 Google 管理控制台中,依序前往「選單」>「裝置」>「Chrome」>「設定」。
系統預設會選取「使用者和瀏覽器」分頁。
在「機構單位」面板中,選取要收集記錄的機構單位。
在主要設定清單中,前往「Chrome Enterprise 報告連接器」設定。
將狀態設為「已啟用」,然後選取您在上個步驟中建立的設定。
按一下 [儲存]。
針對需要擷取記錄的其他 OU 重複上述步驟。
設定 ChromeOS 裝置回報功能
選用:如要收集 ChromeOS 裝置事件和 Chrome 瀏覽器事件,請啟用 ChromeOS 裝置報告。
- 在 Google 管理控制台中,依序前往「選單」>「裝置」>「Chrome」>「設定」>「裝置設定」。
- 選用:如要為特定部門或團隊套用設定,請選取側邊的「機構單位」。
- 前往「使用者和裝置回報功能」。
- 在「回報擴展式偵測及回應 (XDR) 事件」旁邊,選取「回報擴展式偵測及回應 (XDR) 事件的相關資訊」。
按一下 [儲存]。
驗證資料流程
如要確認 Chrome Enterprise 記錄是否已匯入 Google SecOps,請按照下列步驟操作:
- 開啟 Google SecOps 執行個體。
- 依序前往「選單」>「搜尋」。
執行下列搜尋查詢,尋找 Chrome 管理事件:
metadata.log_type = "CHROME_MANAGEMENT"設定完成後,您應該會在幾分鐘內看到事件。如果沒有顯示任何事件:
- 確認 Google 管理控制台中已啟用事件報告
- 確認連接器已連結至正確的機構單位
- 確認 Chrome 瀏覽器已註冊雲端管理服務
- 確認 API 金鑰有效且未過期
- 確認主機名稱與 Google SecOps 執行個體區域相符
支援的記錄類型
Chrome Enterprise 報表連接器會將下列事件類型轉送至 Google SecOps:
Chrome 瀏覽器事件
| 事件類型 | 說明 | 安全類別 |
|---|---|---|
| badNavigationEvent | 使用者前往惡意或可疑網址 | SOFTWARE_MALICIOUS、SOCIAL_ENGINEERING、NETWORK_SUSPICIOUS |
| browserCrashEvent | Chrome 瀏覽器當機 | STATUS_UPDATE |
| browserExtensionInstallEvent | 已安裝瀏覽器擴充功能 | USER_RESOURCE_UPDATE_CONTENT |
| contentTransferEvent | 檔案已上傳或下載 | SCAN_FILE |
| dangerousDownloadEvent | 下載的檔案有危險 | SOFTWARE_PUA、SOFTWARE_MALICIOUS |
| extensionTelemetryEvent | 擴充功能遙測資料 | USER_RESOURCE_ACCESS、NETWORK_HTTP |
| loginEvent | 使用者已登入 Google 帳戶 | USER_LOGIN |
| malwareTransferEvent | 轉移惡意軟體 | SOFTWARE_MALICIOUS |
| passwordBreachEvent | 密碼在資料侵害事件中外洩 | USER_RESOURCE_ACCESS |
| passwordChangedEvent | 使用者變更密碼 | USER_CHANGE_PASSWORD |
| passwordReuseEvent | 在未授權的網站上重複使用密碼 | POLICY_VIOLATION、AUTH_VIOLATION、PHISHING |
| sensitiveDataEvent | 偵測到機密資料 | DATA_EXFILTRATION |
| sensitiveDataTransferEvent | 機密資料已轉移 | DATA_EXFILTRATION |
| suspiciousUrlEvent | 存取可疑網址 | SOFTWARE_SUSPICIOUS |
| unsafeSiteVisitEvent | 使用者造訪了不安全的網站 | SOFTWARE_MALICIOUS, NETWORK_SUSPICIOUS |
| urlFilteringInterstitialEvent | 顯示網址篩選插頁式 | POLICY_VIOLATION |
| urlNavigationEvent | 使用者前往某個網址 | NETWORK_HTTP |
ChromeOS 裝置事件
| 事件類型 | 說明 | 安全類別 |
|---|---|---|
| CHROME_OS_LOGIN_EVENT | 使用者登入 ChromeOS 裝置 | USER_LOGIN |
| CHROME_OS_LOGIN_FAILURE_EVENT | Chrome OS 登入失敗 | USER_LOGIN |
| CHROME_OS_LOGOUT_EVENT | 使用者已登出 ChromeOS 裝置 | USER_LOGOUT |
| CHROME_OS_ADD_USER | 使用者已新增至 ChromeOS 裝置 | USER_CREATION |
| CHROME_OS_REMOVE_USER | 使用者已從 ChromeOS 裝置移除 | USER_DELETION |
| CHROMEOS_AFFILIATED_LOCK_SUCCESS | ChromeOS 裝置已鎖定 | USER_LOGOUT |
| CHROMEOS_AFFILIATED_UNLOCK_SUCCESS | ChromeOS 裝置已解鎖 | USER_LOGIN |
| CHROMEOS_AFFILIATED_UNLOCK_FAILURE | ChromeOS 解鎖失敗 | USER_LOGIN |
| CHROMEOS_DEVICE_BOOT_STATE_CHANGE | 已變更裝置啟動狀態 | SETTING_MODIFICATION |
| CHROMEOS_PERIPHERAL_ADDED | 已新增 USB 裝置 | USER_RESOURCE_ACCESS |
| CHROMEOS_PERIPHERAL_REMOVED | 已移除 USB 裝置 | USER_RESOURCE_DELETION |
| CHROMEOS_PERIPHERAL_STATUS_UPDATED | USB 裝置狀態已變更 | USER_RESOURCE_UPDATE_CONTENT |
| CHROME_OS_CRD_HOST_STARTED | Chrome 遠端桌面主機已開始 | STATUS_STARTUP |
| CHROME_OS_CRD_CLIENT_CONNECTED | Chrome 遠端桌面用戶端已連線 | USER_LOGIN |
| CHROME_OS_CRD_CLIENT_DISCONNECTED | Chrome 遠端桌面用戶端已中斷連線 | USER_LOGOUT |
| CHROME_OS_CRD_HOST_ENDED | Chrome 遠端桌面主機已停止 | STATUS_STARTUP |
UDM 對應表
下表顯示 Chrome 管理記錄欄位如何對應至 Google SecOps 整合式資料模型 (UDM) 欄位:
| Chrome 記錄欄位 | UDM 欄位 | 說明 |
|---|---|---|
| 事件 | metadata.product_event_type | 事件類型 ID |
| 時間 | metadata.event_timestamp | 事件時間戳記 |
| device_id | principal.asset.product_object_id | 裝置 ID |
| device_name | principal.hostname | 裝置主機名稱 |
| device_user | principal.user.user_display_name | 裝置使用者 |
| profile_user | principal.user.email_addresses | 設定檔中的使用者電子郵件地址 |
| os_platform | principal.platform | 作業系統平台 |
| os_version | principal.platform_version | 作業系統版本 |
| browser_version | target.resource.attributes.labels[browser_version] | 瀏覽器版本 |
| user_agent | network.http.user_agent | HTTP 使用者代理程式 |
| 網址 | target.url | 目標網址 |
| 原因 | security_result.category_details | 事件原因 |
| result | security_result.action_details | 事件結果 |
| content_name | target.file.full_path | 檔案名稱 |
| content_type | target.file.mime_type | 檔案 MIME 類型 |
| content_hash | target.file.sha256 | 檔案 SHA256 雜湊 |
| content_size | target.file.size | 檔案大小 |
| extension_id | target.resource.product_object_id | 擴充功能 ID |
| extension_name | target.resource.name | 擴充功能名稱 |
| extension_version | target.resource.attribute.labels[extension_version] | 擴充功能版本 |
如需完整的欄位對應參考資料,請參閱 Chrome 管理剖析器說明文件。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。