Google Workspace のデータを Google Security Operations に送信する

以下でサポートされています。

Google Security Operations を使用して Google Workspace のインサイダー リスクを検出するには、Google Security Operations インスタンスにデータを転送するように Google Workspace アカウントを構成します。

Google Security Operations インスタンスに取り込むことができるのは、Google Workspace アクティビティ(WORKSPACE_ACTIVITY)ログのみです。ただし、Google Security Operations では、他の取り込み方法(フィード管理など)を使用して、他の種類の Google Workspace データ(WORKSPACE_USERSWORKSPACE_GROUPS など)の取り込みが可能です。詳細については、Google Workspace ログを取り込むように Google Security Operations でフィードを構成するをご覧ください。

このインテグレーションにアクセスするには、Google Workspace Enterprise Standard または Enterprise Plus エディションが必要です。ない場合は、フィード取り込み方法を使用して Google Workspace アクティビティ ログを取り込むことができます。

Google Security Operations は、次の Google アプリケーションから Google Workspace ログを取り込みます。

  • アクセスの透明性
  • アカウント
  • Google 管理コンソール
  • Google カレンダー
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • デバイス
  • Google ドライブ
  • Gmail
  • Google グループ
  • Jamboard 管理
  • LDAP
  • ログイン
  • Google Meet
  • OAuth
  • Password Vault
  • ファイアウォール ルールのロギング
  • SAML
  • ユーザー アカウント
  • Voice

準備

始める前に、次の手順を完了してください。

  1. Google Security Operations インスタンスがない場合は、新しいインスタンスを作成します。詳細については、Google Security Operations インスタンスのオンボーディングと移行をご覧ください。

  2. Google Workspace 管理コンソールから Google Workspace お客様 ID をコピーします。

Google Security Operations のインスタンス ID とトークンを取得する

Google Security Operations のインスタンス ID とトークンを取得するには、Google Security Operations アカウントで次の手順を行います。

  1. Google Security Operations インスタンスを開きます。
  2. ナビゲーション バーで、[設定] を選択します。
  3. [Google Workspace] をクリックします。
  4. Google Workspace のお客様 ID を入力します。
  5. [Generate Token] をクリックします。
  6. トークンと Google Security Operations インスタンス ID(同じページにあります)をコピーします。

Google Workspace データを Google Security Operations インスタンスに送信するには、Google Workspace 管理コンソールで次の手順を完了します。

  1. Google Workspace 管理コンソールを開く
  2. [レポート] をクリックします。
  3. [データ統合] をクリックします。
  4. [Chronicle エクスポート] を選択し、[Chronicle に接続] をクリックします。これにより、[Chronicle に接続] ページが開きます。
  5. Google Security Operations アカウントからコピーしたトークンを、指定されたフィールドに貼り付けます。[接続] をクリックします。Google Security Operations への監査データのエクスポートは、[オン] と表示されます。Google Workspace アカウントが Google Security Operations インスタンスにリンクされ、Google Workspace データの送信が開始されます。
  6. [Chronicle に移動] をクリックして Google Security Operations インスタンスを開き、Google Security Operations から Google Workspace データをモニタリングします。詳細については、データの取り込みとヘルスのダッシュボードをご覧ください。

Google Workspace と Google Security Operations の接続を解除する

Google Workspace アカウントを Google Security Operations インスタンスから切断する手順は次のとおりです。

  1. Google Workspace 管理コンソールを開く
  2. [データ統合] をクリックします。
  3. [Chronicle エクスポート] カードで、[Chronicle との接続を解除] をクリックします。[監査データを Chronicle にエクスポートする] が [オフ] と表示されます。

次のステップ

次のステップでは、Google Workspace データを使用して脅威を特定できるように設計された Cloud 脅威カテゴリのルールセットを有効にします。