Zendesk CRM-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Zendesk CRM-Logs (Customer Relationship Management) mit Google Cloud Storage in Google Security Operations aufnehmen. Zendesk CRM bietet Funktionen für Kundensupport und Ticketverwaltung. Die Plattform erfasst Kundeninteraktionen, Supporttickets und administrative Aktivitäten über Audit-Logs und Ticketdaten.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein GCP-Projekt mit aktivierter Cloud Storage API
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
  • Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
  • Berechtigungen zum Erstellen von Cloud Run-Funktionen, Pub/Sub-Themen und Cloud Scheduler-Jobs
  • Privilegierter Zugriff auf Zendesk (Administratorrolle für die Erstellung von API-Tokens erforderlich)
  • Zendesk Enterprise-Tarif (für den Zugriff auf die Audit Logs API erforderlich)

Zendesk-Voraussetzungen

Tarif und Rolle bestätigen

Sie müssen Zendesk-Administrator sein, um API-Tokens oder OAuth-Clients zu erstellen. Die Audit Logs API ist nur im Enterprise-Tarif verfügbar und gibt maximal 100 Einträge pro Seite zurück. Wenn Sie kein Enterprise-Konto haben, können Sie trotzdem Daten zu zusätzlichen Tickets erfassen.

API-Tokenzugriff aktivieren (einmalig)

  1. Gehen Sie im Admin Center zu Apps und Integrationen > „APIs“ > Zendesk API.
  2. Aktivieren Sie auf dem Tab Einstellungen die Option Token-Zugriff.

API-Token generieren (für die Basisauthentifizierung)

  1. Gehen Sie zu Apps und Integrationen > APIs > Zendesk-API.
  2. Klicken Sie auf die Schaltfläche API-Token hinzufügen.
  3. Fügen Sie optional eine Beschreibung des API-Tokens hinzu.
  4. Klicken Sie auf Erstellen.
  5. Kopieren und speichern Sie das API-Token jetzt. Sie können es sich später nicht noch einmal ansehen.

  6. Speichern Sie die Administrator-E‑Mail-Adresse, mit der dieses Token authentifiziert wird.

Optional: OAuth-Client erstellen (für die Bearer-Authentifizierung anstelle eines API-Tokens)

  1. Gehen Sie zu Apps und Integrationen > APIs > Zendesk-API.
  2. Klicken Sie auf den Tab OAuth-Clients.
  3. Klicken Sie auf OAuth-Client hinzufügen.
  4. Geben Sie den Client Name (Clientname), die Unique Identifier (Eindeutige Kennung) (automatisch) und die Redirect URLs (Weiterleitungs-URLs) an. Wenn Sie Tokens nur mit der API erstellen, kann hier ein Platzhalter verwendet werden.
  5. Klicken Sie auf Speichern.
  6. Erstellen Sie ein Zugriffstoken für die Integration und gewähren Sie die in dieser Anleitung erforderlichen Mindestbereiche:
    • tickets:read (für inkrementelle Tickets)
    • auditlogs:read (für Audit-Logs; nur Enterprise)
  7. Kopieren Sie das Zugriffstoken (fügen Sie es in die Umgebungsvariable ZENDESK_BEARER_TOKEN ein) und notieren Sie die Client-ID/den Clientschlüssel sicher (für zukünftige Token-Aktualisierungsabläufe).

Zendesk-Basis-URL aufzeichnen

Verwenden Sie https://<your_subdomain>.zendesk.com (fügen Sie sie in die Umgebungsvariable ZENDESK_BASE_URL ein).

Was Sie für später speichern können

  • Basis-URL (z. B. https://acme.zendesk.com)
  • E-Mail-Adresse des Administratornutzers (für die API-Token-Authentifizierung)
  • API-Token (bei Verwendung von AUTH_MODE=token) oder OAuth-Zugriffstoken (bei Verwendung von AUTH_MODE=bearer)
  • Optional: OAuth-Client-ID/‑Schlüssel für die Lebenszyklusverwaltung

Google Cloud Storage-Bucket erstellen

  1. Rufen Sie die Google Cloud Console auf.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. zendesk-crm-logs.
    Standorttyp Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Speicherort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffssteuerung Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

  1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name des Dienstkontos: Geben Sie zendesk-crm-collector-sa ein.
    • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Zendesk CRM logs ein.
  4. Klicken Sie auf Erstellen und fortfahren.
  5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
    1. Klicken Sie auf Rolle auswählen.
    2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
    3. Klicken Sie auf + Weitere Rolle hinzufügen.
    4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
    5. Klicken Sie auf + Weitere Rolle hinzufügen.
    6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

  • Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
  • Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
  • Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. zendesk-crm-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
  6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

  1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
  2. Klicken Sie auf Thema erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Themen-ID: Geben Sie zendesk-crm-trigger ein.
    • Übernehmen Sie die anderen Einstellungen.
  4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Protokolle von der Zendesk API abzurufen und in GCS zu schreiben.

  1. Rufen Sie in der GCP Console Cloud Run auf.
  2. Klicken Sie auf Dienst erstellen.
  3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

  4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Dienstname zendesk-crm-collector
    Region Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
    Laufzeit Wählen Sie Python 3.12 oder höher aus.

  5. Im Abschnitt Trigger (optional):

    1. Klicken Sie auf + Trigger hinzufügen.
    2. Wählen Sie Cloud Pub/Sub aus.
    3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema zendesk-crm-trigger aus.
    4. Klicken Sie auf Speichern.

  6. Im Abschnitt Authentifizierung:

    1. Wählen Sie Authentifizierung erforderlich aus.
    2. Identitäts- und Zugriffsverwaltung

  7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

  8. Rufen Sie den Tab Sicherheit auf:

    • Dienstkonto: Wählen Sie das Dienstkonto zendesk-crm-collector-sa aus.

  9. Rufen Sie den Tab Container auf:

    1. Klicken Sie auf Variablen und Secrets.
    2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:
    Variablenname Beispielwert Beschreibung
    GCS_BUCKET zendesk-crm-logs Name des GCS-Buckets
    GCS_PREFIX zendesk/crm/ Präfix für Protokolldateien
    STATE_KEY zendesk/crm/state.json Statusdateipfad
    ZENDESK_BASE_URL https://your_subdomain.zendesk.com Zendesk-Basis-URL
    AUTH_MODE token Authentifizierungsmodus (token oder bearer)
    ZENDESK_EMAIL analyst@example.com Administrator-E-Mail-Adresse für die API-Token-Authentifizierung
    ZENDESK_API_TOKEN <api_token> API-Token für die Authentifizierung
    ZENDESK_BEARER_TOKEN <leave empty unless using OAuth bearer> OAuth-Inhabertoken (optional)
    RESOURCES audit_logs,incremental_tickets Zu sammelnde Ressourcen
    MAX_PAGES 20 Maximale Anzahl von Seiten pro Ausführung
    LOOKBACK_SECONDS 3600 Erster Rückschauzeitraum
    HTTP_TIMEOUT 60 Zeitüberschreitung bei HTTP-Anforderung
    HTTP_RETRIES 3 HTTP-Wiederholungsversuche

  10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

  11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

  12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

  13. Klicken Sie auf Erstellen.

  14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

  15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

  1. Geben Sie main unter Funktionseinstiegspunkt ein.

  2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

    • Erste Datei: main.py::
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import base64
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Zendesk API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'zendesk/crm/')
    state_key = os.environ.get('STATE_KEY', 'zendesk/crm/state.json')

    base_url = os.environ.get('ZENDESK_BASE_URL', '').rstrip('/')
    auth_mode = os.environ.get('AUTH_MODE', 'token').lower()
    email = os.environ.get('ZENDESK_EMAIL', '')
    api_token = os.environ.get('ZENDESK_API_TOKEN', '')
    bearer = os.environ.get('ZENDESK_BEARER_TOKEN', '')

    resources = [r.strip() for r in os.environ.get('RESOURCES', 'audit_logs,incremental_tickets').split(',') if r.strip()]
    max_pages = int(os.environ.get('MAX_PAGES', '20'))
    lookback = int(os.environ.get('LOOKBACK_SECONDS', '3600'))
    http_timeout = int(os.environ.get('HTTP_TIMEOUT', '60'))
    http_retries = int(os.environ.get('HTTP_RETRIES', '3'))

    if not all([bucket_name, base_url]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state
        state = load_state(bucket, state_key)

        print(f'Processing resources: {resources}')

        summary = []

        if 'audit_logs' in resources:
            res = fetch_audit_logs(
                bucket, prefix, state.get('audit_logs', {}),
                base_url, auth_mode, email, api_token, bearer,
                max_pages, http_timeout, http_retries
            )
            state['audit_logs'] = {'next_url': res.get('next_url')}
            summary.append(res)

        if 'incremental_tickets' in resources:
            res = fetch_incremental_tickets(
                bucket, prefix, state.get('incremental_tickets', {}),
                base_url, auth_mode, email, api_token, bearer,
                max_pages, lookback, http_timeout, http_retries
            )
            state['incremental_tickets'] = {'cursor': res.get('cursor')}
            summary.append(res)

        # Save state
        save_state(bucket, state_key, state)

        print(f'Successfully processed logs: {summary}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def get_headers(auth_mode, email, api_token, bearer):
    """Get authentication headers."""
    if auth_mode == 'bearer' and bearer:
        return {
            'Authorization': f'Bearer {bearer}',
            'Accept': 'application/json'
        }
    if auth_mode == 'token' and email and api_token:
        auth_string = f'{email}/token:{api_token}'
        auth_bytes = auth_string.encode('utf-8')
        token = base64.b64encode(auth_bytes).decode('utf-8')
        return {
            'Authorization': f'Basic {token}',
            'Accept': 'application/json'
        }
    raise RuntimeError('Invalid auth settings: provide token (EMAIL + API_TOKEN) or BEARER')

def http_get_json(url, headers, timeout, retries):
    """Make HTTP GET request with retries and exponential backoff."""
    attempt = 0
    backoff = 1.0
    while True:
        try:
            response = http.request('GET', url, headers=headers, timeout=timeout)
            if response.status == 200:
                return json.loads(response.data.decode('utf-8'))
            elif response.status in (429, 500, 502, 503, 504) and attempt < retries:
                retry_after = int(response.headers.get('Retry-After', int(backoff)))
                print(f'HTTP {response.status}: Retrying after {retry_after}s (attempt {attempt + 1}/{retries})')
                time.sleep(max(1, retry_after))
                backoff = min(backoff * 2, 30.0)
                attempt += 1
                continue
            else:
                raise Exception(f'HTTP {response.status}: {response.data.decode("utf-8")}')
        except Exception as e:
            if attempt < retries:
                print(f'Request error: {e}. Retrying after {int(backoff)}s (attempt {attempt + 1}/{retries})')
                time.sleep(backoff)
                backoff = min(backoff * 2, 30.0)
                attempt += 1
                continue
            raise

def put_page(bucket, prefix, payload, resource):
    """Write page to GCS."""
    ts = datetime.now(timezone.utc)
    key = f'{prefix}{ts.strftime("%Y/%m/%d/%H%M%S")}-zendesk-{resource}.json'
    blob = bucket.blob(key)
    blob.upload_from_string(
        json.dumps(payload),
        content_type='application/json'
    )
    return key

def fetch_audit_logs(bucket, prefix, state, base_url, auth_mode, email, api_token, bearer, max_pages, timeout, retries):
    """Fetch audit logs with pagination."""
    headers = get_headers(auth_mode, email, api_token, bearer)
    next_url = state.get('next_url') or f'{base_url}/api/v2/audit_logs.json'

    pages = 0
    written = 0
    last_next = None

    while pages < max_pages and next_url:
        data = http_get_json(next_url, headers, timeout, retries)
        put_page(bucket, prefix, data, 'audit_logs')
        written += len(data.get('audit_logs', []))

        # Use next_page for pagination
        last_next = data.get('next_page')
        next_url = last_next
        pages += 1

        print(f'Audit logs page {pages}: Retrieved {len(data.get("audit_logs", []))} records')

    return {
        'resource': 'audit_logs',
        'pages': pages,
        'written': written,
        'next_url': last_next
    }

def fetch_incremental_tickets(bucket, prefix, state, base_url, auth_mode, email, api_token, bearer, max_pages, lookback, timeout, retries):
    """Fetch incremental tickets with cursor-based pagination."""
    headers = get_headers(auth_mode, email, api_token, bearer)
    cursor = state.get('cursor')

    if not cursor:
        start = int(time.time()) - lookback
        next_url = f'{base_url}/api/v2/incremental/tickets/cursor.json?start_time={start}'
    else:
        next_url = f'{base_url}/api/v2/incremental/tickets/cursor.json?cursor={cursor}'

    pages = 0
    written = 0
    last_cursor = None

    while pages < max_pages and next_url:
        data = http_get_json(next_url, headers, timeout, retries)
        put_page(bucket, prefix, data, 'incremental_tickets')
        written += len(data.get('tickets', []))

        # Extract cursor from after_cursor field
        last_cursor = data.get('after_cursor')
        if last_cursor:
            next_url = f'{base_url}/api/v2/incremental/tickets/cursor.json?cursor={last_cursor}'
        else:
            next_url = None

        pages += 1

        print(f'Incremental tickets page {pages}: Retrieved {len(data.get("tickets", []))} records')

    return {
        'resource': 'incremental_tickets',
        'pages': pages,
        'written': written,
        'cursor': last_cursor
    }

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {'audit_logs': {}, 'incremental_tickets': {}}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')
    • Zweite Datei: requirements.txt::
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

  4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

  1. Rufen Sie in der GCP Console Cloud Scheduler auf.
  2. Klicken Sie auf Job erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Name zendesk-crm-collector-hourly
    Region Dieselbe Region wie für die Cloud Run-Funktion auswählen
    Frequenz 0 * * * * (jede Stunde, zur vollen Stunde)
    Zeitzone Zeitzone auswählen (UTC empfohlen)
    Zieltyp Pub/Sub
    Thema Wählen Sie das Thema zendesk-crm-trigger aus.
    Nachrichtentext {} (leeres JSON-Objekt)

  4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

  • Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

    Häufigkeit Cron-Ausdruck Anwendungsfall
    Alle 5 Minuten */5 * * * * Hohes Volumen, niedrige Latenz
    Alle 15 Minuten */15 * * * * Mittleres Suchvolumen
    Stündlich 0 * * * * Standard (empfohlen)
    Alle 6 Stunden 0 */6 * * * Geringes Volumen, Batchverarbeitung
    Täglich 0 0 * * * Erhebung von Verlaufsdaten

Integration testen

  1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
  2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
  3. Warten Sie einige Sekunden.
  4. Rufen Sie Cloud Run > Dienste auf.
  5. Klicken Sie auf den Namen Ihrer Funktion zendesk-crm-collector.
  6. Klicken Sie auf den Tab Logs.

  7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Achten Sie auf Folgendes:

    Processing resources: ['audit_logs', 'incremental_tickets']
Audit logs page 1: Retrieved X records
Incremental tickets page 1: Retrieved X records
Successfully processed logs: [...]

  8. Rufen Sie Cloud Storage > Buckets auf.

  9. Klicken Sie auf den Namen Ihres Buckets.

  10. Rufen Sie den Präfixordner zendesk/crm/ auf.

  11. Prüfen Sie, ob neue .json-Dateien mit dem aktuellen Zeitstempel erstellt wurden.

Wenn in den Logs Fehler angezeigt werden, gehen Sie so vor:

  • HTTP 401: API-Anmeldedaten in Umgebungsvariablen prüfen
  • HTTP 403: Prüfen Sie, ob das Konto die erforderlichen Berechtigungen hat (Administratorrolle, Enterprise-Abo für Audit-Logs).
  • HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit exponentiellem Backoff wiederholt.
  • Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Zendesk CRM logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Zendesk CRM als Logtyp aus.

  7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

  6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Zendesk CRM-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Zendesk CRM logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Zendesk CRM als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://zendesk-crm-logs/zendesk/crm/

      • Ersetzen Sie:

        • zendesk-crm-logs: Der Name Ihres GCS-Buckets.
        • zendesk/crm/: Präfix/Ordnerpfad, in dem Logs gespeichert werden.

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.

      • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten