Envía datos de Google Workspace a Google Security Operations

Puedes usar Google Security Operations para detectar riesgos relacionados con usuarios con información privilegiada en Google Workspace si configuras tu cuenta de Google Workspace para que reenvíe datos a una instancia de Google Security Operations.

Solo se pueden transferir los registros de actividades de Google Workspace (WORKSPACE_ACTIVITY) a tu instancia de Google Security Operations. Sin embargo, Google Security Operations permite la transferencia de otros tipos de datos de Google Workspace (como WORKSPACE_USERS y WORKSPACE_GROUPS) mediante otros métodos de transferencia (por ejemplo, Administración de feeds). Si quieres obtener más información, consulta Configura un feed en Google Security Operations para transferir registros de Google Workspace.

Debes tener la edición Google Workspace Enterprise Standard o Enterprise Plus para acceder a esta integración. De lo contrario, puedes usar el método de transferencia de feeds para transferir los registros de actividad de Google Workspace.

Google Security Operations transfiere los registros de Google Workspace de las siguientes aplicaciones de Google:

  • Transparencia de acceso
  • Cuentas
  • Consola del administrador de Google
  • Calendario de Google
  • Google Chat
  • Google Chrome
  • Aula
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Dispositivo
  • Google Drive
  • Gmail
  • Grupos de Google
  • Administración de Jamboards
  • LDAP
  • Acceder
  • Google Meet
  • OAuth
  • Almacenamiento de contraseñas
  • Registro de reglas de firewall
  • SAML
  • Cuentas de usuario
  • Voice

Antes de comenzar

Completa los siguientes pasos antes de comenzar:

  1. Si no tienes una instancia de Google Security Operations, crea una nueva. Para obtener más información, consulta Integra y migra una instancia de Google Security Operations.

  2. Copia tu ID de cliente de Google Workspace desde la Consola del administrador de Google Workspace.

Obtén tu ID y token de instancia de Google Security Operations

Para obtener el ID y el token de instancia de Google Security Operations, completa los siguientes pasos desde tu cuenta de Google Security Operations:

  1. Abre tu instancia de Google Security Operations.
  2. En la barra de navegación, selecciona Configuración.
  3. Haz clic en Google Workspace.
  4. Ingresa tu ID de cliente de Google Workspace.
  5. Haz clic en Generate Token.
  6. Copia el token y tu ID de instancia de Google Security Operations (ubicado en la misma página).

Para enviar datos de Google Workspace a tu instancia de Google Security Operations, completa los siguientes pasos en la Consola del administrador de Google Workspace:

  1. Abre la Consola del administrador de Google Workspace.
  2. Haga clic en Informes.
  3. Haz clic en Data Integrations.
  4. Selecciona Exportación de Chronicle y, luego, haz clic en Conectarse a Chronicle. Se abrirá la página Conectarse a Chronicle.
  5. Pega el token que copiaste de tu cuenta de Google Security Operations en el campo indicado. Haz clic en Conectar. Ahora, la exportación de datos de auditoría a Google Security Operations debería aparecer como Activada. Tu cuenta de Google Workspace ahora está vinculada a tu instancia de Google Security Operations y comenzará a enviar tus datos de Google Workspace.
  6. Haz clic en Ir a Chronicle para abrir tu instancia de Google Security Operations y comenzar a supervisar los datos de Google Workspace desde Google Security Operations. Para obtener más información, consulta el panel de Transferencia y estado de datos.

Desconectar Google Workspace de Google Security Operations

Para desconectar tu cuenta de Google Workspace de la instancia de Google Security Operations, completa los siguientes pasos:

  1. Abre la Consola del administrador de Google Workspace.
  2. Haz clic en Data Integrations.
  3. En el panel Exportación de Chronicle, haz clic en Desconectar de Chronicle. Ahora, Exportar datos de auditoría a Chronicle debería mostrar Desactivado.

¿Qué sigue?

El siguiente paso es habilitar los conjuntos de reglas de la categoría de amenazas de Cloud diseñados para ayudar a identificar amenazas con datos de Google Workspace.