Envoyer des données Google Workspace à Google Security Operations

Compatible avec:

Vous pouvez utiliser Google Security Operations pour détecter les risques internes dans votre compte Google Workspace en configurant votre compte Google Workspace pour qu'il transfère les données vers votre instance Google Security Operations.

Ce document explique comment utiliser l'ingestion directe pour ingérer les journaux d'activité Google Workspace (WORKSPACE_ACTIVITIES) dans votre instance Google Security Operations à partir des types d'applications Google compatibles suivants:

  • Access Transparency
  • Comptes
  • Console d'administration Google
  • Google Agenda
  • Google Chat
  • Google Chrome
  • En salle
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Appareil
  • Google Drive
  • Gmail
  • Google Groupes
  • Gestion de Jamboard
  • LDAP
  • Connexion
  • Google Meet
  • OAuth
  • Sauvegarde des mots de passe
  • Journalisation des règles de pare-feu
  • SAML
  • Comptes utilisateur
  • Voice

Vous devez disposer de l'édition Google Workspace Enterprise Standard ou Enterprise Plus pour accéder à cette intégration. Si ce n'est pas le cas, vous pouvez utiliser la méthode d'ingestion de flux pour ingérer les journaux d'activité Google Workspace.

Avant de commencer

Avant de commencer, procédez comme suit:

  1. Si vous ne disposez pas d'une instance Google Security Operations, créez-en une. Pour en savoir plus, consultez Intégration et migration d'une instance Google Security Operations.

  2. Copiez votre numéro client Google Workspace dans la console d'administration Google Workspace.

Obtenir l'ID et le jeton de votre instance Google Security Operations

Pour obtenir l'ID et le jeton d'instance Google Security Operations, procédez comme suit dans votre compte Google Security Operations:

  1. Ouvrez votre instance Google Security Operations.
  2. Dans la barre de navigation, sélectionnez Paramètres.
  3. Cliquez sur Google Workspace.
  4. Saisissez votre numéro client Google Workspace.
  5. Cliquez sur Générer un jeton.
  6. Copiez le jeton et votre ID d'instance Google Security Operations (situé sur la même page).

Pour envoyer vos données Google Workspace à votre instance Google Security Operations, procédez comme suit dans la console d'administration Google Workspace:

  1. Ouvrez la console d'administration Google Workspace.
  2. Cliquez sur Création de rapports.
  3. Cliquez sur Intégrations de données.
  4. Sélectionnez Exportation Google Security Operations, puis cliquez sur Se connecter à Google Security Operations. La page Se connecter à Google Security Operations s'ouvre.
  5. Collez le jeton copié à partir de votre compte Google Security Operations dans le champ indiqué. Cliquez sur Se connecter. L'option Activé doit maintenant s'afficher pour l'exportation des données d'audit vers Google Security Operations. Votre compte Google Workspace est désormais associé à votre instance Google Security Operations et commencera à envoyer vos données Google Workspace.
  6. Cliquez sur Accéder à Google Security Operations pour ouvrir votre instance Google Security Operations et commencer à surveiller vos données Google Workspace depuis Google Security Operations. Pour en savoir plus, consultez le tableau de bord "Ingestion et état des données".

Déconnecter Google Workspace de Google Security Operations

Pour dissocier votre compte Google Workspace de votre instance Google Security Operations, procédez comme suit:

  1. Ouvrez la console d'administration Google Workspace.
  2. Cliquez sur Intégrations de données.
  3. Dans le panneau Exportation Google Security Operations, cliquez sur Se déconnecter de Google Security Operations. L'option Exporter les données d'audit vers Google Security Operations doit désormais afficher Désactivé.

Étape suivante

L'étape suivante consiste à activer les ensembles de règles de catégorie de menaces Cloud conçus pour vous aider à identifier les menaces à l'aide des données Google Workspace.