Enviar dados do Google Workspace para as Operações de segurança do Google

É possível usar as Operações de segurança do Google para detectar riscos de pessoas com informações privilegiadas no Google Workspace configurando sua conta do Google Workspace para encaminhar dados para uma instância do Google Security Operations.

Somente os registros de atividades do Google Workspace (WORKSPACE_ACTIVITY) podem ser ingeridos na instância do Google Security Operations. No entanto, o Google Security Operations permite ingerir outros tipos de dados do Google Workspace, como WORKSPACE_USERS e WORKSPACE_GROUPS, usando outros métodos de ingestão, como o gerenciamento de feeds. Para mais informações, consulte Configurar um feed no Google Security Operations para ingerir registros do Google Workspace.

Você precisa ter o Google Workspace Enterprise Standard ou Enterprise Plus para acessar essa integração. Caso contrário, use o método de processamento de feed para processar os registros de atividades do Google Workspace.

O Google Security Operations processa registros do Google Workspace dos seguintes aplicativos do Google:

  • Transparência no acesso
  • Contas
  • Google Admin Console
  • Google Agenda
  • Google Chat
  • Google Chrome
  • Google Sala de Aula
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Dispositivo
  • Google Drive
  • Gmail
  • Grupos do Google
  • Gerenciamento do Jamboard
  • LDAP
  • Login
  • Google Meet
  • OAuth
  • Armazenamento de senhas
  • Geração de registros de regras de firewall
  • SAML
  • Contas de usuário
  • Voice

Antes de começar

Conclua as etapas a seguir antes de começar:

  1. Se você não tiver uma instância do Google Security Operations, crie uma nova. Para mais informações, consulte Como integrar e migrar uma instância do Google Security Operations.

  2. Copie seu ID de cliente do Google Workspace do Admin Console do Google Workspace.

Receber o ID e o token da instância do Google Security Operations

Para conseguir o ID e o token da instância do Google Security Operations, conclua as etapas a seguir na sua conta do Google Security Operations:

  1. Abra sua instância do Google Security Operations.
  2. Na barra de navegação, selecione Configurações.
  3. Clique em Google Workspace.
  4. Insira seu ID de cliente do Google Workspace.
  5. Clique em Gerar token.
  6. Copie o token e o ID da instância do Google Security Operations (localizado na mesma página).

Para enviar seus dados do Google Workspace à sua instância do Google Security Operations, siga estas etapas no Admin Console do Google Workspace:

  1. Abra o Admin Console do Google Workspace.
  2. Clique em Relatórios.
  3. Clique em Integrações de dados.
  4. Selecione Exportação do Chronicle e clique em Conectar ao Chronicle. Isso abre a página Conectar ao Chronicle.
  5. Cole o token copiado da sua conta do Google Security Operations no campo indicado. Clique em Conectar. A exportação de dados de auditoria para as Operações de segurança do Google agora exibe Ativado. Sua conta do Google Workspace agora está vinculada à instância do Google Security Operations e vai começar a enviar seus dados do Google Workspace.
  6. Clique em Acessar o Chronicle para abrir sua instância do Google Security Operations e começar a monitorar seus dados do Google Workspace pelas Operações de segurança do Google. Para mais informações, consulte o painel Ingestão de dados e integridade.

Desconectar o Google Workspace das Operações de segurança do Google

Para desconectar sua conta do Google Workspace da instância do Google Security Operations, siga estas etapas:

  1. Abra o Admin Console do Google Workspace.
  2. Clique em Integrações de dados.
  3. No painel de exportação do Chronicle, clique em Desconectar do Chronicle. A opção Exportar dados de auditoria para o Chronicle agora deve exibir Desativado.

A seguir

A próxima etapa é ativar os conjuntos de regras da categoria de ameaças do Cloud, projetados para ajudar a identificar ameaças usando os dados do Google Workspace.