将 Google Workspace 数据发送给 Google Security Operations

您可以通过以下方式使用 Google Security Operations 来检测 Google Workspace 中的内部风险: 配置您的 Google Workspace 账号,以将数据转发到 Google Security Operations 实例。

只能提取 Google Workspace 活动 (WORKSPACE_ACTIVITY) 日志 您的 Google Security Operations 实例然而,Google Security Operations 提取其他类型的 Google Workspace 数据(例如 WORKSPACE_USERS) 和 WORKSPACE_GROUPS)。Feed 管理)。有关 信息,请参阅在 Google Security Operations 中配置 Feed 以注入 Google Workspace 日志

您必须拥有 Google Workspace 企业标准版或企业 Plus 版才能访问此集成。如果没有,您可以使用 Feed 注入方法来注入 Google Workspace 活动日志。

Google Security Operations 会从以下 Google 产品中提取 Google Workspace 日志 应用:

  • Access Transparency
  • 账号
  • Google 管理控制台
  • Google 日历
  • Google Chat
  • Google Chrome
  • 课堂
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • 设备
  • Google 云端硬盘
  • Gmail
  • Google 群组
  • Jamboard 管理
  • LDAP
  • 登录
  • Google Meet
  • OAuth
  • 密码保险柜
  • 防火墙规则日志记录
  • SAML
  • 用户账号
  • 语音

准备工作

在开始之前,请完成以下步骤:

  1. 如果您没有 Google Security Operations 实例,请创建一个新实例。有关 请参阅开始使用和迁移 Google Security Operations 实例

  2. 从 Google Workspace 管理员复制 Google Workspace 客户 ID 控制台。

获取您的 Google Security Operations 实例 ID 和令牌

如需获取您的 Google Security Operations 实例 ID 和令牌,请完成以下步骤 步骤:

  1. 打开您的 Google Security Operations 实例。
  2. 从导航栏中选择设置
  3. 点击 Google Workspace
  4. 输入您的 Google Workspace 客户 ID。
  5. 点击 Generate Token(生成令牌)。
  6. 复制令牌和您的 Google Security Operations 实例 ID(位于同一 页面)。

如需将 Google Workspace 数据发送到 Google Security Operations 实例,请执行以下操作: 在 Google Workspace 管理控制台中完成以下步骤:

  1. 打开 Google Workspace 管理控制台。
  2. 点击报告
  3. 点击 Data Integrations(数据集成)。
  4. 选择 Chronicle 导出,然后点击连接到 Chronicle。这个 打开连接到 Chronicle 页面。
  5. 将从 Google Security Operations 账号复制的令牌粘贴到 指定字段。点击连接。将审核数据导出到 Google Security Operations 现在应显示为开启。您的 Google Workspace 账号现已关联至 您的 Google Security Operations 实例 Google Workspace 数据。
  6. 点击 Go to Chronicle 以打开 Google Security Operations 实例并开始 来监控您在 Google Security Operations 中的 Google Workspace 数据。有关 请参阅数据注入与运行状况 信息中心

断开 Google Workspace 与 Google Security Operations 的连接

解除您的 Google Workspace 账号与 Google Security Operations 之间的关联 请完成以下步骤:

  1. 打开 Google Workspace 管理控制台。
  2. 点击 Data Integrations(数据集成)。
  3. Chronicle 导出面板中,点击断开与 Chronicle 的连接将审核数据导出到 Chronicle 现在应该会显示关闭

后续步骤

下一步是启用 Cloud Threats 类别规则 集 使用 Google Workspace 数据帮助识别威胁。