Google Security Operations로 Google Workspace 데이터 보내기
Google Security Operations를 사용하여 데이터를 Google Security Operations 인스턴스로 전달하도록 Google Workspace 계정을 구성해 Google Workspace에서 내부자 위험을 감지할 수 있습니다.
Google Workspace 활동(WORKSPACE_ACTIVITY
) 로그만 Google Security Operations 인스턴스에 수집할 수 있습니다. 하지만 Google Security Operations는 다른 수집 방법(예: 피드 관리)을 사용하여 다른 종류의 Google Workspace(예: WORKSPACE_USERS
및 WORKSPACE_GROUPS
) 데이터를 수집할 수 있습니다. 자세한 내용은 Google Workspace 로그를 수집하도록 Google Security Operations에서 피드 구성을 참조하세요.
이 통합에 액세스하려면 Google Workspace Enterprise Standard 또는 Enterprise Plus 버전이 있어야 합니다. 없는 경우 피드 수집 방법을 사용하여 Google Workspace 활동 로그를 수집할 수 있습니다.
Google Security Operations는 다음 Google 애플리케이션에서 Google Workspace 로그를 수집합니다.
- 액세스 투명성
- 계정
- Google 관리 콘솔
- Google Calendar
- Google Chat
- Chrome
- 클래스룸
- Google Cloud
- Access Context Manager
- Looker Studio
- 기기
- Google Drive
- Gmail
- Google 그룹스
- Jamboard 관리
- LDAP
- 로그인
- Google Meet
- OAuth
- 비밀번호 보관함
- 방화벽 규칙 로깅
- SAML
- 사용자 계정
- Voice
시작하기 전에
시작하기 전에 다음 단계를 완료합니다.
Google Security Operations 인스턴스가 없으면 새 인스턴스를 만듭니다. 자세한 내용은 Google Security Operations 인스턴스 온보딩 및 마이그레이션을 참조하세요.
Google Workspace 관리 콘솔에서 Google Workspace 고객 ID를 복사합니다.
Google Security Operations 인스턴스 ID 및 토큰 가져오기
Google Security Operations 인스턴스 ID 및 토큰을 가져오려면 Google Security Operations 계정에서 다음 단계를 완료합니다.
- Google Security Operations 인스턴스를 엽니다.
- 탐색 메뉴에서 설정을 선택합니다.
- Google Workspace를 클릭합니다.
- Google Workspace 고객 ID를 입력합니다.
- 토큰 생성을 클릭합니다.
- 토큰과 Google Security Operations 인스턴스 ID(같은 페이지에 있음)를 복사합니다.
Google Workspace를 Google Security Operations 인스턴스에 연결
Google Workspace 데이터를 Google Security Operations 인스턴스로 전송하려면 Google Workspace 관리 콘솔에서 다음 단계를 완료합니다.
- Google Workspace 관리자 콘솔을 엽니다.
- 보고를 클릭합니다.
- 데이터 통합을 클릭합니다.
- Chronicle 내보내기를 선택한 후 Chronicle에 연결을 클릭합니다. 그러면 Chronicle에 연결 페이지가 열립니다.
- Google Security Operations 계정에서 복사한 토큰을 표시된 필드에 붙여넣습니다. 연결을 클릭합니다. 이제 Google Security Operations로 감사 데이터 내보내기가 사용으로 표시됩니다. 이제 Google Workspace 계정이 Google Security Operations 인스턴스에 연결되고 Google Workspace 데이터를 전송하기 시작합니다.
- Chronicle로 이동을 클릭하여 Google Security Operations 인스턴스를 열고 Google Security Operations에서 Google Workspace 데이터를 모니터링합니다. 자세한 내용은 데이터 수집 및 상태 대시보드를 참조하세요.
Google Security Operations에서 Google Workspace 연결 해제
Google Security Operations 인스턴스에서 Google Workspace 계정 연결을 해제하려면 다음 단계를 완료합니다.
- Google Workspace 관리자 콘솔을 엽니다.
- 데이터 통합을 클릭합니다.
- Chronicle 내보내기 패널에서 Chronicle에서 연결 해제를 클릭합니다. Chronicle로 감사 데이터 내보내기가 이제 사용 안함으로 표시될 것입니다.
다음 단계
다음 단계에서는 Google Workspace 데이터를 사용하여 위협을 식별할 수 있도록 설계된 Cloud 위협 카테고리 규칙 집합을 사용 설정합니다.