此页面由 Cloud Translation API 翻译。

将 Google Workspace 数据发送到 Google Security Operations

支持的平台：

Google SecOps SIEM

您可以将 Google Workspace 账号配置为将数据转发到 Google Security Operations 实例，以便使用 Google Security Operations 检测 Google Workspace 中的内部人员外泄风险。

本文档介绍了如何使用直接提取功能，将以下受支持的 Google 应用类型的 Google Workspace 活动日志 (WORKSPACE_ACTIVITIES) 提取到您的 Google 安全运营实例中：

您必须使用 Google Workspace 企业标准版或企业 Plus 版才能使用此集成。如果没有，您可以使用Feed 提取方法提取 Google Workspace 活动日志。

准备工作

在开始之前，请完成以下步骤：

如果您没有 Google Security Operations 实例，请创建一个新实例。如需了解详情，请参阅设置和迁移 Google Security Operations 实例。
从 Google Workspace 管理控制台复制您的 Google Workspace 客户 ID。

如需获取 Google Security Operations 实例 ID 和令牌，请在您的 Google Security Operations 账号中完成以下步骤：

如需将您的 Google Workspace 数据发送到 Google 安全运营实例，请在 Google Workspace 管理控制台中完成以下步骤：

打开 Google Workspace 管理控制台。
点击报告。
点击数据集成。
选择 Google Security Operations 导出，然后点击连接到 Google Security Operations。这会打开连接到 Google Security Operations 页面。
将从 Google Security Operations 账号复制的令牌粘贴到指定字段中。点击连接。“将审核数据导出到 Google Security Operations”现在应显示为开启。您的 Google Workspace 账号现已与您的 Google 安全运营实例相关联，并将开始发送您的 Google Workspace 数据。
点击前往 Google Security Operations 以打开您的 Google Security Operations 实例，然后开始通过 Google Security Operations 监控您的 Google Workspace 数据。如需了解详情，请参阅“数据提取和健康状况”信息中心。

如需将您的 Google Workspace 账号与 Google 安全运营实例断开关联，请完成以下步骤：

打开 Google Workspace 管理控制台。
点击数据集成。
在 Google Security Operations 导出面板中，点击与 Google Security Operations 断开连接。 将审核数据导出到 Google Security Operations 现在应显示为关闭。

下一步是启用Cloud Threats 类别规则集，该集旨在帮助您使用 Google Workspace 数据识别威胁。