Google Workspace のデータを Google Security Operations に送信する

以下でサポートされています。

Google Security Operations を使用して Google Workspace の内部リスクを検出するには、Google Security Operations インスタンスにデータを転送するように Google Workspace アカウントを構成します。

このドキュメントでは、直接取り込みを使用して、サポートされている次の Google アプリケーション タイプから Google Workspace アクティビティ ログ(WORKSPACE_ACTIVITIES)を Google Security Operations インスタンスに取り込む方法について説明します。

  • アクセスの透明性
  • アカウント
  • Google 管理コンソール
  • Google カレンダー
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • デバイス
  • Google ドライブ
  • Gmail
  • Google グループ
  • Jamboard 管理
  • LDAP
  • ログイン
  • Google Meet
  • OAuth
  • Password Vault
  • ファイアウォール ルールのロギング
  • SAML
  • ユーザー アカウント
  • Voice

このインテグレーションにアクセスするには、Google Workspace Enterprise Standard または Enterprise Plus エディションが必要です。ない場合は、フィード取り込み方法を使用して Google Workspace アクティビティ ログを取り込むことができます。

始める前に

始める前に、次の手順を完了してください。

  1. Google Security Operations インスタンスがない場合は、新しいインスタンスを作成します。詳細については、Google Security Operations インスタンスのオンボーディングと移行をご覧ください。

  2. Google Workspace 管理コンソールから Google Workspace お客様 ID をコピーします。

Google Security Operations のインスタンス ID とトークンを取得する

Google Security Operations のインスタンス ID とトークンを取得するには、Google Security Operations アカウントで次の手順を行います。

  1. Google Security Operations インスタンスを開きます。
  2. ナビゲーション バーで、[設定] を選択します。
  3. [Google Workspace] をクリックします。
  4. Google Workspace のお客様 ID を入力します。
  5. [Generate Token] をクリックします。
  6. トークンと Google Security Operations インスタンス ID(同じページにあります)をコピーします。

Google Workspace データを Google Security Operations インスタンスに送信するには、Google Workspace 管理コンソールで次の手順を完了します。

  1. Google Workspace 管理コンソールを開く
  2. [レポート] をクリックします。
  3. [データ統合] をクリックします。
  4. [Google Security Operations エクスポート] を選択し、[Google Security Operations に接続] をクリックします。[Google Security Operations に接続] ページが開きます。
  5. Google Security Operations アカウントからコピーしたトークンを、指定されたフィールドに貼り付けます。[接続] をクリックします。Google Security Operations への監査データのエクスポートは、[オン] と表示されます。Google Workspace アカウントが Google Security Operations インスタンスにリンクされ、Google Workspace データの送信が開始されます。
  6. [Google Security Operations に移動] をクリックして Google Security Operations インスタンスを開き、Google Security Operations から Google Workspace データをモニタリングします。詳細については、Data Ingestion and Health ダッシュボードをご覧ください。

Google Workspace と Google Security Operations の接続を解除する

Google Workspace アカウントと Google Security Operations インスタンスの接続を解除する手順は次のとおりです。

  1. Google Workspace 管理コンソールを開く
  2. [データ統合] をクリックします。
  3. [Google Security Operations エクスポート] パネルで、[Google Security Operations からの接続を解除] をクリックします。Google Security Operations への監査データのエクスポートは、[オフ] と表示されます。

次のステップ

次のステップでは、Google Workspace データを使用して脅威を特定できるように設計された Cloud 脅威カテゴリのルールセットを有効にします。