Google Workspace のデータを Google Security Operations に送信する

Google Security Operations を使用して Google Workspace のインサイダー リスクを検出するには、Google Security Operations インスタンスにデータを転送するように Google Workspace アカウントを構成します。

Google Security Operations インスタンスに取り込むことができるのは、Google Workspace のアクティビティ(WORKSPACE_ACTIVITY)ログのみです。ただし、Google Security Operations では、他の取り込み方法(フィード管理など)を使用して、他の種類の Google Workspace データ(WORKSPACE_USERSWORKSPACE_GROUPS など)の取り込みが可能です。詳細については、Google Security Operations でフィードを構成して Google Workspace ログを取り込むをご覧ください。

このインテグレーションにアクセスするには、Google Workspace Enterprise Standard または Enterprise Plus エディションが必要です。そうでない場合は、フィードの取り込み方法を使用して Google Workspace のアクティビティ ログを取り込むことができます。

Google Security Operations では、次の Google アプリケーションから Google Workspace のログが取り込まれます。

  • アクセスの透明性
  • アカウント
  • Google 管理コンソール
  • Google カレンダー
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • デバイス
  • Google ドライブ
  • Gmail
  • Google グループ
  • Jamboard 管理
  • LDAP
  • ログイン
  • Google Meet
  • OAuth
  • パスワード保管機能
  • ファイアウォール ルールのロギング
  • SAML
  • ユーザー アカウント
  • Voice

準備

開始する前に、次の手順を完了してください。

  1. Google Security Operations インスタンスがない場合は、新しいインスタンスを作成してください。詳細については、Google Security Operations インスタンスのオンボーディングと移行をご覧ください。

  2. Google Workspace 管理コンソールから Google Workspace お客様 ID をコピーします。

Google Security Operations のインスタンス ID とトークンを取得する

Google Security Operations のインスタンス ID とトークンを取得するには、Google Security Operations アカウントから次の手順を実行します。

  1. Google Security Operations インスタンスを開きます。
  2. ナビゲーション バーで、[設定] を選択します。
  3. [Google Workspace] をクリックします。
  4. Google Workspace お客様 ID を入力します。
  5. [Generate Token] をクリックします。
  6. トークンと Google Security Operations インスタンス ID(同じページにあります)をコピーします。

Google Workspace のデータを Google Security Operations インスタンスに送信するには、Google Workspace 管理コンソールから次の手順を行います。

  1. Google Workspace 管理コンソールを開く
  2. [レポート] をクリックします。
  3. [データ統合] をクリックします。
  4. [Chronicle export] を選択し、[Chronicle に接続] をクリックします。[Chronicle に接続] ページが開きます。
  5. Google Security Operations アカウントからコピーしたトークンを、指定されたフィールドに貼り付けます。[接続] をクリックします。Google Security Operations への監査データのエクスポートは、[オン] と表示されます。これで、Google Workspace アカウントが Google Security Operations インスタンスにリンクされ、Google Workspace データの送信が開始されます。
  6. [Chronicle に移動] をクリックして Google Security Operations インスタンスを開き、Google Security Operations から Google Workspace データのモニタリングを開始します。詳細については、[Data Ingestion and Health] ダッシュボードをご覧ください。

Google Workspace と Google Security Operations の接続を解除する

Google Workspace アカウントと Google Security Operations インスタンスとの接続を解除するには、次の手順を行います。

  1. Google Workspace 管理コンソールを開く
  2. [データ統合] をクリックします。
  3. [Chronicle エクスポート] カードで、[Chronicle との接続を解除] をクリックします。監査データを Chronicle にエクスポートする次のように表示されます。オフ

次のステップ

次のステップでは、Google Workspace データを使用して脅威を特定するように設計された Cloud 脅威カテゴリルールセットを有効にします。