Envoyer des données Google Workspace à Google Security Operations

Compatible avec :

Vous pouvez utiliser Google Security Operations pour détecter les risques internes dans Google Workspace en configurant votre compte Google Workspace pour qu'il transfère les données vers une instance Google Security Operations.

Seuls les journaux des activités Google Workspace (WORKSPACE_ACTIVITY) peuvent être ingérés à votre instance Google Security Operations. Toutefois, Google Security Operations permet d'ingérer d'autres types de données Google Workspace (telles que WORKSPACE_USERS et WORKSPACE_GROUPS) à l'aide d'autres méthodes d'ingestion (par exemple, la gestion des flux). Pour en savoir plus, consultez Configurer un flux dans Google Security Operations pour ingérer les journaux Google Workspace.

Vous devez disposer de l'édition Google Workspace Enterprise Standard ou Enterprise Plus pour accéder à cette intégration. Si ce n'est pas le cas, vous pouvez utiliser la méthode d'ingestion de flux pour ingérer les journaux d'activité Google Workspace.

Google Security Operations ingère les journaux Google Workspace à partir des ressources applications:

  • Access Transparency
  • Comptes
  • Console d'administration Google
  • Google Agenda
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Appareil
  • Google Drive
  • Gmail
  • Google Groupes
  • Gestion de Jamboard
  • LDAP
  • Connexion
  • Google Meet
  • OAuth
  • Sauvegarde de mots de passe
  • Journalisation des règles de pare-feu
  • SAML
  • Comptes utilisateur
  • Voice

Avant de commencer

Avant de commencer, effectuez les étapes suivantes:

  1. Si vous ne disposez pas d'instance Google Security Operations, créez-en une. Pour en savoir plus, consultez Intégration et migration d'une instance Google Security Operations.

  2. Copiez votre numéro client Google Workspace dans la console d'administration Google Workspace.

Obtenir votre ID d'instance et votre jeton Google Security Operations

Pour obtenir votre ID d'instance et votre jeton Google Security Operations, procédez comme suit : à partir de votre compte Google Security Operations:

  1. Ouvrez votre instance Google Security Operations.
  2. Dans la barre de navigation, sélectionnez Paramètres.
  3. Cliquez sur Google Workspace.
  4. Saisissez votre numéro client Google Workspace.
  5. Cliquez sur Générer un jeton.
  6. Copiez le jeton et l'ID de votre instance Google Security Operations (situés sur le même ).

Pour envoyer vos données Google Workspace à votre instance Google Security Operations, procédez comme suit depuis la console d'administration Google Workspace:

  1. Ouvrez la console d'administration Google Workspace.
  2. Cliquez sur Création de rapports.
  3. Cliquez sur Intégrations de données.
  4. Sélectionnez Exportation vers Chronicle, puis cliquez sur Se connecter à Chronicle. La page Se connecter à Chronicle s'ouvre.
  5. Collez le jeton copié à partir de votre compte Google Security Operations dans le champ indiqué. Cliquez sur Se connecter. Exporter les données d'audit vers Google Security Operations doit maintenant afficher Activé. Votre compte Google Workspace est désormais associé à votre instance Google Security Operations et commencera à envoyer vos données Google Workspace.
  6. Cliquez sur Accéder à Chronicle pour ouvrir votre instance Google Security Operations et commencer à surveiller vos données Google Workspace depuis Google Security Operations. Pour plus consultez la page Data Ingestion and Health tableau de bord.

Déconnecter Google Workspace de Google Security Operations

Pour dissocier votre compte Google Workspace de votre instance Google Security Operations, procédez comme suit :

  1. Ouvrez la console d'administration Google Workspace.
  2. Cliquez sur Intégrations de données.
  3. Dans le panneau Exportation Chronicle, cliquez sur Se déconnecter de Chronicle. L'option Exporter les données d'audit vers Chronicle doit maintenant afficher Désactivé.

Étape suivante

L'étape suivante consiste à activer les ensembles de règles de catégorie de menaces Cloud conçus pour vous aider à identifier les menaces à l'aide des données Google Workspace.