NetScaler-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie die NetScaler-Logs mithilfe eines Google Security Operations-Forwarders erfassen können.
Weitere Informationen finden Sie unter Übersicht über die Datenaufnahme in Google Security Operations.
Mit einem Erfassungslabel wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label CITRIX_NETSCALER.
NetScaler VPX konfigurieren
So konfigurieren Sie den NetScaler VPX, damit Protokolle an den Google Security Operations-Forwarder gesendet werden:
- Hostname-Konfiguration prüfen
- Auditing-Server erstellen
- Binden Sie die erstellte Audit-Richtlinie an den Server.
Hostname-Konfiguration prüfen
- Melden Sie sich mit Administratoranmeldedaten in der NetScaler-Weboberfläche an.
- Wählen Sie Konfiguration > Einstellungen aus.
- Klicken Sie auf Hostname, DNS IP address, and Time zone (Hostname, DNS-IP-Adresse und Zeitzone).
- Wenn das Feld Hostname leer ist, geben Sie den Hostnamen ein. Fügen Sie keine Leerzeichen ein. Wenn dieses Feld bereits konfiguriert ist, sind keine Maßnahmen erforderlich.
- Prüfen Sie im Feld DNS-IP-Adresse, ob die lokale DNS-IP-Adresse angegeben ist.
- Geben Sie im Feld Zeitzone Ihre Zeitzone ein.
Audit-Server erstellen
- Wählen Sie in der NetScaler-Weboberfläche Configuration > System > Auditing > Syslog > Servers aus.
- Geben Sie die Syslog-Details in den folgenden Feldern an:
- Name
- Servertyp
- IP-Adresse
- Port
- Wählen Sie Logebenen als Benutzerdefiniert aus.
- Wählen Sie in der Konfiguration alle Kästchen außer der Ebene DEBUG aus.
- Wählen Sie in der Liste Log-Einrichtung die Option LOCAL0 aus.
- Wählen Sie in der Liste Datumsformat die Option MMDDYYYY aus.
- Wählen Sie Zeitzone als GMT aus.
- Entfernen Sie die Häkchen aus den folgenden Kästchen:
- TCP-Logging
- ACL-Logging
- Vom Nutzer konfigurierbare Log-Nachrichten
- AppFlow-Logging
- NAT-Logging im großen Maßstab
- ALG-Nachrichten-Logging
- Abonnenten-Logging
- DNS
- SSL-Abfangen
- URL-Filterung
- Protokollierung der Inhaltsprüfung
- Klicken Sie auf Ok, um den Auditing-Server zu erstellen.
Erstellte Audit-Richtlinie an den Server binden
- Wählen Sie in der NetScaler-Weboberfläche Configuration> System> Auditing> Syslog aus.
- Klicken Sie auf den Tab Richtlinien.
- Geben Sie im Feld Name einen Namen für die Richtlinie ein.
- Wählen Sie in der Liste Server die Richtlinie aus dem vorherigen Abschnitt aus.
- Klicken Sie auf Erstellen.
- Klicken Sie mit der rechten Maustaste auf die erstellte Überwachungsrichtlinie und wählen Sie Aktion > Globale Bindungen aus.
- Klicken Sie auf Bindung hinzufügen.
- Führen Sie im Fenster Policy binding (Richtlinienbindung) die folgenden Schritte aus:
- Geben Sie im Feld Richtlinie auswählen die erstellte Prüfrichtlinie ein.
- Geben Sie im Bereich Binding details (Bindungsdetails) im Feld Priority (Priorität) den Wert 120 ein, da dies die Standardpriorität ist.
- Klicken Sie auf Bind.
NetScaler SDX konfigurieren
So konfigurieren Sie NetScaler SDX, damit Logs an den Google Security Operations-Forwarder gesendet werden:
- Hostname-Konfiguration für NetScaler SDX überprüfen
- Syslog-Server konfigurieren
- Syslog-Parameter konfigurieren
Hostname-Konfiguration für NetScaler SDX prüfen
- Melden Sie sich mit Administratoranmeldedaten in der NetScaler-Weboberfläche an.
- Wählen Sie in der NetScaler-Weboberfläche System > Systemeinstellungen aus.
- Wenn das Feld Hostname leer ist, geben Sie den Hostnamen ein. Fügen Sie keine Leerzeichen ein. Wenn dieses Feld bereits konfiguriert ist, sind keine Maßnahmen erforderlich.
- Wählen Sie im Feld Zeitzone die Option UTC oder GMT aus.
Syslog-Server konfigurieren
- Wählen Sie in der NetScaler-Weboberfläche System> Benachrichtigungen> Syslog-Server aus.
- Klicken Sie im Bereich Details auf Hinzufügen.
- Geben Sie im Fenster Syslog-Server erstellen Werte für die folgenden Syslog-Serverparameter an:
- Geben Sie im Feld Name einen Namen ein.
- Geben Sie im Feld IP-Adresse die Google Security Operations-Forwarder-IP-Adresse ein.
- Geben Sie im Feld Port die Portnummer ein.
- Wählen Sie Logebenen als Benutzerdefiniert aus.
- Wählen Sie alle Logebenen außer Debug aus.
- Klicken Sie auf Erstellen.
Syslog-Parameter konfigurieren
- Wählen Sie in der NetScaler-Weboberfläche System> Benachrichtigungen> Syslog-Server aus.
- Klicken Sie im Bereich Details auf Syslog-Parameter.
- Wählen Sie auf der Seite Syslog-Parameter konfigurieren als Datumsformat die Option MMDDYYYY und als Zeitzone die Option GMT aus.
- Klicken Sie auf OK.
Google Security Operations-Forwarder für die Aufnahme von NetScaler-Logs konfigurieren
- Wählen Sie SIEM-Einstellungen > Forwarder aus.
- Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
- Geben Sie im Feld Name des Forwarders einen eindeutigen Namen für den Forwarder ein.
- Klicken Sie auf Senden und dann auf Bestätigen. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
- Wählen Sie Citrix NetScaler als Logtyp aus.
- Wählen Sie im Feld Collector-Typ die Option Syslog aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwendet, um auf Syslog-Daten zu warten.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google Security Operations-Forwardern finden Sie unter Forwarder-Konfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz zur Feldzuordnung
Dieser Parser verarbeitet Citrix Netscaler-SYSLOG-Logs im Schlüssel/Wert-Format, extrahiert JSON-formatierte Daten aus dem Feld message und reichert das UDM mit Informationen aus anderen Feldern wie host.hostname und user_agent.original an, nachdem diese bereinigt wurden. Es werden Fälle behandelt, in denen die primäre Nachricht leer ist, indem auf die ursprüngliche Log-Nachricht zurückgegriffen wird.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung |
|---|---|
aaa_info_flags |
additional.fields |
aaa_trans_id |
security_result.detection.fields |
aaad_flags |
additional.fields |
aaad_resp |
additional.fields |
aaaFlags |
additional.fields |
aaaFlags2 |
additional.fields |
act |
securtiy_result.action_details,security_result.action |
action |
security_result.action |
ADM_User |
additional.fields |
allowed_interface |
security_result.detection.fields |
applicationname |
target.application |
auth_type |
additional.fields |
authActionLen |
security_result.detection_fields |
AuthAgent |
additional.fields |
AuthDuration |
network.session_duration.seconds |
authnvs |
additional.fields |
authorizationStatus |
security_result.detection.fields |
AuthStage |
additional.fields |
Authtype |
additional.fields |
C |
principal.location.country_or_region |
caseId |
additional.fields |
cfg_limit |
additional.fields |
cgp_tag |
sec_result.detection_fields |
channel_id_X |
additional.fields |
channel_id_X_val |
additional.fields |
channel_update_begin |
additional.fields |
channel_update_end |
additional.fields |
cipher_suite |
network.tls.cipher |
client_fip |
target.ip target.asset.ip |
client_fport |
target.port |
client_ip |
principal.ip,principal.asset.ip |
client_port |
principal.port |
Client_security_expression |
additional.fields |
client_type |
additional.fields |
client_version |
network.tls.version |
client.nat.ip |
principal.nat_ip,principal.asset.nat_ip |
clientside_jitter |
additional.fields |
clientside_packet_retransmits |
additional.fields |
clientside_rtt |
additional.fields |
clientside_rxbytes |
network.sent_bytes |
clientside_txbytes |
network.received_bytes |
ClientVersion |
network.tls.version_protocol |
CN |
principal.resource.attribute.labels |
cn1 |
additional.fields |
cn2 |
additional.fields |
code |
additional.fields |
commandExecutionStatus |
security_result.action_details |
Compression_ratio_recv |
additional.fields |
Compression_ratio_send |
additional.fields |
configurationCmd |
security_result.detection.fields |
connectionId |
network.session_id |
copied_nsb |
sec_result.detection_fields |
core_id |
additional.fields |
core_refmask |
additional.fields |
cs1 |
additional.fields |
cs2 |
additional.fields |
cs4 |
additional.fields |
cs5 |
additional.fields |
cs6 |
additional.fields |
CSappid |
additional.fields |
CSAppname |
- |
csg_flags |
additional.fields |
ctx_flags |
additional.fields |
cur_attempts |
additional.fields |
CurfactorPolname |
additional.fields |
customername |
additional.fields |
days_for_pwd_exp |
additional.fields |
days_for_pwd_exp_STR |
additional.fields |
delinkTime |
additional.fields |
Denied_by_policy |
security_result.rule_name |
desc |
metadata.description |
destination.ip |
target.ip,target.asset.ip |
destination.port |
target.resource.attribute.labels |
device_event_class_id |
metadata.product_event_type |
device_version |
metadata.product_version |
Deviceid |
target.resource.product_object_id |
Devicetype |
additional.fields |
dht_delete_status |
additional.fields |
diagnostic_info |
additional.fields |
digestSignatureAlgorithm |
security_result.detection_fields |
dns_additional_count |
additional.fields |
dns_answer_count |
additional.fields |
dns_authority_count |
additional.fields |
dns_flags |
additional.fields |
dns_flags_raw |
network.dns.recursion_desired |
dns_flags_raw |
network.dns.recursion_available |
dns_id |
network.dns.id |
dns_question_count |
additional.fields |
dns_question_name |
network.dns.question.name |
domain |
security_result.detection.fields,additional.fields |
domain |
target.administrative_domain |
ecs_version |
additional.fields |
encrypt_status |
security_result.detection_fields |
end_time |
additional.fields |
End_time |
additional.fields |
entityName |
target.resource.name |
Error Code |
additional.fields |
event_id |
metadata.product_log_id |
event_name |
metadata.product_event_type |
event_type |
sec_result.summary |
expired_refmask |
additional.fields |
factor |
security_result.detection.fields |
flags |
additional.fields |
flags2 |
additional.fields |
flags3 |
additional.fields |
flags4 |
additional.fields |
func |
security_result.detection_fields |
geolocation |
location.country_region |
Group(s) |
target.user.group_identifiers |
Group(s) |
target.user.group.identifiers |
handshake_time |
network.session_duration.seconds |
HandshakeTime |
additional.fields |
host_hostname |
principal.hostname |
host_ip |
principal.ip principal.asset.ip |
host.name |
target.hostname,target.asset.hostname |
hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
hostname_1 |
target.hostname,target.asset.hostname |
http_method |
network.http.method |
Http_resources_accessed |
security_result.detection.fields |
http_uri |
target.url |
HTTPS |
network.application_protocol |
ica_conn_owner_refmask |
sec_result.detection_fields |
ica_rtt |
additional.fields |
ica_uuid |
network.session_id |
ICAUUID |
network.session_id |
id |
metadata.id |
init_icamode_homepage |
additional.fields |
inter_hostname |
intermediary.hostname |
interfaceKind |
security_result.detection.fields |
ip |
intermediary.asset.ip |
ip_x |
principal.ip principal.asset.ip |
ipaddress |
target.ip,target.asset.ip |
is_post |
additional.fields |
IssuerName |
network.tls.server.certificate.issuer |
L |
principal.location.city |
last_contact |
additional.fields |
loc |
target.url |
localdate |
additional.fields |
lock_duration |
additional.fields |
log_action |
sec_result.detection_fields |
log_action |
security_result.detection.fields |
log_category |
additional.fields |
log_data |
additional.fields |
log_format |
additional.fields |
log_timestamp |
additional.fields |
log_type |
additional.fields |
log.syslog.priority |
additional.fields |
login_count |
sec_result.detection_fields |
login_count |
security_result.detection_fields |
LogoutMethod |
additional.fields |
max_attempts |
additional.fields |
message_content |
security_result.summary |
message_id |
metadata.product_log_id |
message_status_code |
additional.fields |
method |
network.http.method |
monitored_resource |
additional.fields |
msg |
metadata.description |
msi_client_cookie |
additional.fields |
msticks |
additional.fields |
Nat_ip |
additional.fields,principal.nat_ip,principal.asset.nat_ip(Wenn Nat_ip keine IP-Adresse ist, befindet sie sich in additional.fields.) |
netscaler_principal_ip_context |
principal.resource.attribute.labels |
netscaler_tag |
intermediary.asset.product_object_id |
netscaler_target_ip_context |
target.resource.attribute.labels |
new_webview |
additional.fields |
newWebview |
additional.fields |
NonHttp_services_accessed |
security_result.detection.fields |
nsPartitionName |
additional.fields |
on_port |
additional.fields |
Organization |
principal.resource.attribute.labels |
OU |
principal.resource.attribute.labels |
owner_from |
additional.fields |
owner_id |
additional.fields |
pcb_devno |
additional.fields |
pcbdevno |
additional.fields |
Policyname |
security_result.rule_name |
port |
principal.port |
port_details |
principal.port |
prin_ip |
principal.ip principal.asset.ip |
prin_user |
principal.user.userid |
principal_ip |
principal.ip,principal.asset.ip |
principal_port |
principal.port |
prod_event_type |
metadata.product_event_type |
protocol |
network.ip_protocol |
protocol_feature |
security_result.detection.fields |
ProtocolVersion |
network.tls.protocol_version |
pwdlen |
additional.fields |
pwdlen2 |
additional.fields |
q_flags |
additional.fields |
reason_val |
security_result.description |
receiver_version |
additional.fields |
record_type |
network.dns.question.type |
refmask |
additional.fields |
remote_ip |
principal.ip principal.asset.ip |
remote_port |
principal.port |
request |
target.url |
ReqURL |
additional.fields |
resource_cmd |
target.resource.name |
resource_name |
principal.resource.name |
response |
additional.fields |
response_code |
additional.fields |
rule_id |
security_result.rule.id |
rule_name |
security_result.rule_name |
SerialNumber |
network.tls.server.certificate.serial |
server_authenticated |
additional.fields |
serverside_jitter |
additional.fields |
serverside_packet_retransmits |
additional.fields |
serverside_rtt |
additional.fields |
service_name |
principal.applications |
sess_flags2: |
additional.fields |
sess_seq |
network.session_id |
sessFlags2 |
additional.fields |
Session |
additional.fields |
session_cookie |
security_result.detection_fields |
session_guid |
network.session_id |
session_id_label |
network.session_id |
session_setup_time |
additional.fields |
session_type |
sec_result.description |
SessionId |
network.session_id |
skip_code |
additional.fields |
source_file |
additional.fields |
source_hostname |
principal.hostname,principal.asset.hostname |
source_line |
additional.fields |
source.ip |
principal.ip,principal.asset.ip |
source.port |
principal.resource.attribute.labels |
spcb_id |
security_result.detecrion.fields |
SPCBId |
sec_result.detection_fields |
spt |
principal.port |
src |
principal.ip principal.asset.ip |
src_hostname |
principal.hostname principal.asset.hostname |
src_ip |
principal.ip principal.asset.ip |
src_ip1 |
src.ip,src.asset.ip |
src_port |
principal.port |
ssid |
network.session_id |
SSLVPN_client_type |
additional.fields |
SSO |
additional.fields |
sso |
additional.fields |
sso_auth_type |
additional.fields |
sso_flags |
security_result.detection_fields |
sso_state |
additional.fields |
SSOduration |
additional.fields |
SSOurl |
additional.fields |
ssoUsername |
additional.fields |
ssoUsername2 |
additional.fields |
ST |
principal.location.state |
sta_port |
additional.fields |
sta_ticket |
additional.fields |
start_time |
additional.fields |
Start_time |
additional.fields |
State |
security_result.action_details |
state |
additional.fields |
state_value |
additional.fields |
StatusCode |
additional.fields |
SubjectName |
network.tls.client.certificate.subject |
summ |
security_result.summary |
summary |
security_result.summary |
sysCmdPolLen |
security_result.detection.fields |
syslog_priority |
additional.fields |
tags |
additional.fields |
tar_ip |
target.ip target.asset.ip |
tar_port |
target.port |
target_id |
target.resource.id |
target_port |
target.port |
TCP |
network.ip_protocol |
timeout_ms |
additional.fields |
timestamp |
metadata.event_timestamp |
Total_bytes_send |
network.sent_bytes |
Total_compressedbytes_recv |
additional.fields |
Total_compressedbytes_send |
additional.fields |
Total_policies_allowed |
security_result.detection.fields |
Total_policies_denied |
security_result.detection.fields |
Total_TCP_connections |
security_result.detection.fields |
Total_UDP_flows |
security_result.detection.fields |
track_flags |
additional.fields |
trans_id |
- |
tt |
metadata.event_timestamp |
User |
principal.user.userid |
user_agent.original |
network.http.user_agent |
user_email |
principal.user.email_addresses |
user_id |
principal.user.userid |
user.domain |
target.administrative_domain |
user.name |
principal.user.user_display_name |
userids |
target.user.userid |
ValidFrom |
network.tls.server.certificate.not_before |
ValidTo |
network.tls.server.certificate.not_after |
version |
additional.fields |
VPNexportState |
additional.fields |
Vport |
target.port |
Vserver Timestamp |
additional.fields |
vserver_id |
target.resource.product_object_id |
Vserver_ip |
target.ip,target.asset.ip |
vserver_port |
target.port |
Vserver_port |
target.port |
vserver_timestamp |
additional.fields |
vserver.ip |
target.ip,target.asset.ip |
wirep |
additional.fields |
wirep_name |
additional.fields |
wirep_ref_cnt |
additional.fields |
UDM-Abgleichsdelta-Referenz
Am 3. Februar 2026 hat Google SecOps eine neue Version des NetScaler-Parsers veröffentlicht, die erhebliche Änderungen bei der Zuordnung von NetScaler-Logfeldern zu UDM-Feldern und Änderungen bei der Zuordnung von Ereignistypen enthält.
Delta der Zuordnung von Logfeldern
In der folgenden Tabelle ist das Mapping-Delta für NetScaler-Log-zu-UDM-Felder aufgeführt, die vor dem 3. Februar 2026 und danach verfügbar gemacht wurden (in den Spalten Altes Mapping bzw. Aktuelles Mapping):
| Logfeld | Alte Zuordnung | Aktuelle Zuordnung |
|---|---|---|
act |
securit_.result.detetction_fields |
securtiy_result.action_details,security_result.action |
client_ip |
additional.fields |
principal.ip,principal.asset.ip |
ClientVersion |
network.tls.version |
network.tls.version_protocol |
connectionId |
security_result.detection_fields |
network.session_id |
CSAppname |
- |
- |
domain |
target.user.administrative_domain |
security_result.detection.fields,additional.fields |
end_time |
security_result.detection.fields security_result.last_discovered_time |
additional.fields |
event_id |
additional.fields |
metadata.product_log_id |
geolocation |
location.city |
location.country_region |
Group(s) |
target.user.group_display_name |
target.user.group_identifiers |
HandshakeTime |
network.session_duration.seconds |
additional.fields |
host.name |
intermediary.hostname |
target.hostname,target.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
principal.hostname,principal.asset.hostname |
target.hostname,target.asset.hostname |
ipaddress |
principal.ip,principal.asset.ip |
target.ip,target.asset.ip |
Nat_ip |
principal.ip,principal.asset.ip |
principal.nat_ip,principal.nat_ip |
port_details |
principal.labels |
principal.port |
principal_ip |
target.ip,target.asset.ip |
principal.ip,principal.asset.ip |
request |
security_result.summary |
target.url |
sess_seq |
additional.fields |
network.session_id |
session_guid |
metadata.product_log_id |
network.session_id |
source_hostname |
target.hostname,target.asset.hostname |
principal.hostname,principal.asset.hostname |
spcb_id |
additional.fields |
security_result.detecrion.fields |
ssid |
additional.fields |
network.session_id |
start_time |
security_result.detection.fields security_result.first_discovered_time |
additional.fields |
SubjectName |
principal.resource.attribute.labels |
network.tls.client.certificate.subject |
summary |
metadata.descritption |
security_result.summary |
target_port |
principal.port |
target.port |
trans_id |
security_result.detection.fields |
- |
user_id |
target.user.userid |
principal.user.userid |
Delta der Ereignistypzuordnung
In der folgenden Tabelle ist das Delta für die Verarbeitung von NetScaler-Ereignistypen vor dem 3. Februar 2026 und danach aufgeführt (in den Spalten Old event_type und Current event-type).
| Alter event_type | Aktueller event_type | Grund |
|---|---|---|
NETWORK_CONNECTION |
NETWORK_DNS |
Wenn message_type DNS_QUERY ist oder benannt wird, wenn has_network_dns true ist. |
NETWORK_CONNECTION |
NETWORK_HTTP |
Wenn message_type SSLVPN HTTPREQUEST ist. |
STATUS_UPDATE |
NETWORK_CONNECTION |
Einem geeigneten, spezifischen Ereignistyp zugeordnet. |
STATUS_UPDATE |
USER_RESOURCE_UPDATE_CONTENT |
Wenn message_type = SNMP TRAP_SENT und has_target_resource = true, wird dies einem entsprechenden, spezifischen Ereignistyp zugeordnet. |
STATUS_UPDATE |
USER_UNCATEGORIZED |
Wird einem geeigneten, spezifischen Ereignistyp zugeordnet, wenn der Haupt-userid vorhanden ist. |
USER_RESOURCE_ACCESS |
NETWORK_HTTP |
Wenn message_type SSLVPN HTTPREQUEST ist |
USER_STATS |
GENERIC_EVENT |
USER_STATS wurde eingestellt. Daher wird es einem geeigneten, spezifischen Ereignistyp zugeordnet. |
USER_STATS |
NETWORK_CONNECTION |
USER_STATS wurde eingestellt. Daher wird es einem geeigneten, spezifischen Ereignistyp zugeordnet. |
USER_STATS |
USER_LOGIN |
USER_STATS wurde eingestellt. Daher wird es einem geeigneten, spezifischen Ereignistyp zugeordnet. |
USER_STATS |
USER_LOGOUT |
USER_STATS ist veraltet. Wenn message_type gleich LOGOUT ist, wird es daher einem entsprechenden, spezifischen Ereignistyp zugeordnet. |
USER_UNCATEGORIZED |
GENERIC_EVENT |
Das Protokoll enthält kein Hauptmaschinenfeld, das zugeordnet werden kann. |
USER_UNCATEGORIZED |
NETWORK_CONNECTION |
Einem geeigneten, spezifischen Ereignistyp zugeordnet. |
USER_UNCATEGORIZED |
USER_LOGIN |
Einem geeigneten, spezifischen Ereignistyp zugeordnet. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten