Enviar dados do Google Workspace para as Operações de segurança do Google

Compatível com:

É possível usar as Operações de segurança do Google para detectar riscos de pessoas com informações privilegiadas no Google Workspace: configurando sua conta do Google Workspace para encaminhar dados para um Instância do Google Security Operations.

Somente os registros de atividades do Google Workspace (WORKSPACE_ACTIVITY) podem ser ingeridos à sua instância do Google Security Operations. No entanto, o Google Security Operations permite a ingestão de outros tipos de dados do Google Workspace (como WORKSPACE_USERS e WORKSPACE_GROUPS) usando outros métodos de ingestão (por exemplo, Gerenciamento de feeds). Para mais informações, consulte Configurar um feed no Google Security Operations para ingerir registros do Google Workspace.

Você precisa ter a edição Enterprise Standard ou Enterprise Plus do Google Workspace para acessar essa integração. Caso contrário, use o método de processamento de feed para processar os registros de atividades do Google Workspace.

O Google Security Operations processa registros do Google Workspace dos seguintes recursos do Google: aplicativos:

  • Transparência no acesso
  • Contas
  • Google Admin Console
  • Google Agenda
  • Google Chat
  • Google Chrome
  • Google Sala de Aula
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Dispositivo
  • Google Drive
  • Gmail
  • Grupos do Google
  • Gerenciamento do Jamboard
  • LDAP
  • Login
  • Google Meet
  • OAuth
  • Armazenamento de senhas
  • Geração de registros de regras de firewall
  • SAML
  • Contas de usuário
  • Voz

Antes de começar

Conclua as etapas a seguir antes de começar:

  1. Se você não tiver uma instância do Google Security Operations, crie uma nova. Para mais informações, consulte Como integrar e migrar instância.

  2. Copie seu ID de cliente do Google Workspace do administrador do Google Workspace no console do Google Cloud.

Receber o ID e o token da instância do Google Security Operations

Para receber o ID da instância e o token das Operações de segurança do Google, siga estas etapas na sua conta das Operações de segurança do Google:

  1. Abra sua instância do Google Security Operations.
  2. Na barra de navegação, selecione Configurações.
  3. Clique em Google Workspace.
  4. Insira seu ID de cliente do Google Workspace.
  5. Clique em Gerar token.
  6. Copie o token e o ID da instância do Google Security Operations (localizados no mesmo ).

Para enviar seus dados do Google Workspace à sua instância do Google Security Operations, siga estas etapas no Admin Console do Google Workspace:

  1. Abra o Admin Console do Google Workspace.
  2. Clique em Relatórios.
  3. Clique em Integrações de dados.
  4. Selecione Exportação do Chronicle e clique em Conectar ao Chronicle. Isso abre a página Conectar ao Chronicle.
  5. Cole o token copiado da sua conta do Google Security Operations no indicado. Clique em Conectar. A opção "Exportar dados de auditoria para o Google Security Operations" vai aparecer como Ativado. Sua conta do Google Workspace agora está vinculada à sua instância do Google Security Operations e vai começar a enviar os dados do Google Workspace.
  6. Clique em Acessar Chronicle para abrir sua instância do Google Security Operations e começar para monitorar seus dados do Google Workspace nas Operações de segurança do Google. Para mais informações, consulte o painel de integridade e ingestão de dados.

Desconectar o Google Workspace das Operações de segurança do Google

Para desconectar sua conta do Google Workspace da sua instância do Google Security Operations, siga estas etapas:

  1. Abra o Admin Console do Google Workspace.
  2. Clique em Integrações de dados.
  3. No painel de exportação do Chronicle, clique em Desconectar do Chronicle. A opção Exportar dados de auditoria para o Chronicle vai mostrar Desativado.

A seguir

A próxima etapa é ativar as regras da categoria do Cloud Threats conjuntos criada para ajudar a identificar ameaças usando os dados do Google Workspace.