收集 Chrome Enterprise 進階版情境存取權感知資料

本文說明如何將貴機構連結至 Google Security Operations、啟用 Identity-Aware Proxy (IAP) API，以及設定動態饋給，將下列資料擷取至 Google Security Operations。動態饋給包含 Chrome Enterprise 進階版內容，適用於 IAP 和情境存取感知資料。

• Google Cloud Logs
• Cloud Identity Devices
• Cloud Identity 裝置使用者

事前準備

設定動態饋給以擷取 Chrome Enterprise 進階版資料前，請先完成下列工作：

• 請完成下列各部分，將 Google Cloud 貴機構連結至 Google Security Operations：
  1. 啟用將遙測資料擷取至 Google Security Operations 的功能。
  2. 啟用匯出至 Google Security Operations 的功能 Google Cloud 。
• 啟用 Cloud Identity API，並建立服務帳戶來驗證 API。
• 建立全網域委派。
• 建立用於冒用身分的使用者。

啟用 Cloud Identity API 並建立服務帳戶

1. 在 Google Cloud 控制台中，選取要啟用 API 的 Google Cloud 專案，然後前往「API 和服務」頁面：

   前往「API 和服務」

2. 點選「啟用 API 和服務」。

3. 搜尋「Cloud Identity API」。

4. 在搜尋結果中，按一下「Cloud Identity API」。

5. 按一下「啟用」。

6. 建立服務帳戶：

   1. 在 Google Cloud 控制台中，依序選取「IAM & Admin」>「Service Accounts」。
   2. 按一下「建立服務帳戶」。
   3. 在「建立服務帳戶」頁面中，輸入服務帳戶的名稱。
   4. 按一下 [完成]。

7. 選取您建立的服務帳戶。

8. 複製並儲存「專屬 ID」欄位中顯示的 ID。建立全網域委派時，您會使用這個 ID。

9. 選取「金鑰」分頁標籤。

10. 依序點選「新增金鑰」>「建立新的金鑰」。

11. 選擇 [JSON] 做為金鑰類型。

12. 按一下 [建立]。

13. 複製並儲存 JSON 金鑰。設定動態饋給時，請使用這個金鑰。

詳情請參閱「啟用 Cloud Identity API，並建立服務帳戶來驗證 API」。

建立全網域委派

如要使用全網域委派功能控管服務帳戶的 API 存取權，請執行下列操作：

1. 在 Google 管理控制台首頁中，依序選取「安全性」>「存取權與資料控管」>「API 控制項」。
2. 依序選取「全網域委派」>「管理全網域委派設定」。
3. 按一下「新增」。
4. 輸入服務帳戶用戶端 ID。服務帳戶用戶端 ID 是您建立服務帳戶時取得的專屬 ID。
5. 在「OAuth 範圍」中輸入 https://www.googleapis.com/auth/cloud-identity.devices.readonly。
6. 按一下 [授權]。

詳情請參閱「使用全網域委派功能控管 API 存取權」

建立用於模擬的使用者

1. 在 Google 管理控制台首頁中，依序選取「目錄」>「使用者」。
2. 如要新增使用者，請按照下列步驟操作：
   1. 按一下 [新增使用者]。
   2. 輸入使用者名稱。
   3. 輸入與使用者相關聯的電子郵件地址。
   4. 依序點選「建立」和「完成」。
3. 如要建立新角色並指派權限，請按照下列步驟操作：
   1. 選取新建立的使用者名稱。
   2. 按一下 [管理員角色與權限]。
   3. 按一下 [建立自訂角色]。
   4. 按一下 [建立新角色]。
   5. 輸入角色名稱。
   6. 依序選取「服務」>「行動裝置管理」，然後選取「管理裝置和設定」權限。
   7. 按一下「繼續」。
4. 如要將角色指派給使用者，請執行下列操作：
   1. 按一下「指派使用者」。
   2. 前往新建立的使用者，然後按一下「指派角色」。

設定動態饋給

在 Google SecOps 平台中，有兩個不同的入口可用來設定動態消息：

• SIEM 設定 > 動態饋給
• 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」，設定動態饋給

如要設定動態饋給，請按照下列步驟操作：

1. 依序前往「SIEM 設定」>「動態」。
2. 按一下「新增動態消息」。
3. 在下一頁中，按一下「設定單一動態饋給」。
4. 在「欄位名稱」中輸入專屬名稱 (例如「Chrome Enterprise 進階版記錄」)。
5. 將「來源類型」設為「第三方 API」。
6. 在「記錄類型」清單中，選取「GCP Cloud Identity 裝置」或「GCP Cloud Identity 裝置使用者」。
7. 點選「下一步」。

8. 在「輸入參數」分頁中，指定下列詳細資料：

   • OAuth JWT 端點。輸入 https://oauth2.googleapis.com/token。
   • JWT 憑證附加資訊核發者。指定 <[email protected]>。這是您在「啟用 Cloud Identity API 並建立服務帳戶」一節中建立的服務帳戶。
   • JWT 憑證附加資訊主體。輸入您在「建立用於冒用身分的使用者」一節中建立的使用者電子郵件地址。
   • JWT 宣稱目標對象。輸入 https://oauth2.googleapis.com/token。
   • RSA 私密金鑰。輸入您在建立服務帳戶時建立的 JSON 金鑰，以便驗證 API。
   • API 版本。(選用步驟) 您可以將這個欄位留空。

9. 點選「下一步」。

10. 在「完成」分頁中，查看您輸入的值，然後按一下「提交」。

透過內容中心設定動態饋給

指定下列欄位的值：

• OAuth JWT 端點。輸入 https://oauth2.googleapis.com/token。
• JWT 憑證附加資訊核發者。指定 <[email protected]>。這是您在「啟用 Cloud Identity API 並建立服務帳戶」一節中建立的服務帳戶。
• JWT 憑證附加資訊主體。輸入您在「建立用於冒用身分的使用者」一節中建立的使用者電子郵件地址。
• JWT 宣稱目標對象。輸入 https://oauth2.googleapis.com/token。
• RSA 私密金鑰。輸入您在建立服務帳戶時建立的 JSON 金鑰，以便驗證 API。
• API 版本。(選用步驟) 您可以將這個欄位留空。

進階選項

• 動態饋給名稱：預先填入的值，用於識別動態饋給。
• 來源類型：用於收集記錄並匯入 Google SecOps 的方法。
• 素材資源命名空間：與動態饋給相關聯的命名空間。
• 攝入標籤：套用至這個動態饋給中所有事件的標籤。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。