Enviar datos de Google Workspace a Operaciones de seguridad de Google

Puedes usar las operaciones de seguridad de Google para detectar riesgos relacionados con usuarios con información privilegiada en Google Workspace si configuras tu cuenta de Google Workspace para reenviar datos a una instancia de operaciones de seguridad de Google.

Solo se pueden transferir los registros de actividades de Google Workspace (WORKSPACE_ACTIVITY) a tu instancia de operaciones de seguridad de Google. Sin embargo, las operaciones de seguridad de Google permiten la transferencia de otros tipos de datos de Google Workspace (como WORKSPACE_USERS y WORKSPACE_GROUPS) mediante otros métodos de transferencia (por ejemplo, Administración de feeds). Si deseas obtener más información, consulta Configura un feed en las Operaciones de seguridad de Google para transferir registros de Google Workspace.

Debes tener la edición Google Workspace Enterprise Standard o Enterprise Plus para acceder a esta integración. De lo contrario, puedes usar el método de transferencia de feeds para transferir registros de actividad de Google Workspace.

Las operaciones de seguridad de Google transfieren los registros de Google Workspace de las siguientes aplicaciones de Google:

  • Transparencia de acceso
  • Cuentas
  • Consola del administrador de Google
  • Calendario de Google
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Dispositivo
  • Google Drive
  • Gmail
  • Grupos de Google
  • Administración de Jamboard
  • LDAP
  • Acceder
  • Google Meet
  • OAuth
  • Almacenamiento de contraseñas
  • Registro de reglas de firewall
  • SAML
  • Cuentas de usuario
  • Voice

Antes de comenzar

Completa los siguientes pasos antes de comenzar:

  1. Si no tienes una instancia de operaciones de seguridad de Google, crea una nueva. Para obtener más información, consulta Integra y migra una instancia de operaciones de seguridad de Google.

  2. Copia tu ID de cliente de Google Workspace desde la Consola del administrador de Google Workspace.

Obtén tu ID de instancia de Google Security Operations y el token

Para obtener el ID y el token de tu instancia de Operaciones de seguridad de Google, completa los siguientes pasos desde tu cuenta de Operaciones de seguridad de Google:

  1. Abre tu instancia de Operaciones de seguridad de Google.
  2. En la barra de navegación, selecciona Configuración.
  3. Haz clic en Google Workspace.
  4. Ingresa tu ID de cliente de Google Workspace.
  5. Haz clic en Generar token (Generate Token).
  6. Copia el token y el ID de la instancia de Operaciones de seguridad de Google (ubicado en la misma página).

Para enviar los datos de Google Workspace a tu instancia de Operaciones de seguridad de Google, sigue estos pasos desde la Consola del administrador de Google Workspace:

  1. Abre la Consola del administrador de Google Workspace.
  2. Haz clic en Informes.
  3. Haz clic en Data Integrations.
  4. Selecciona Exportación de Chronicle y, luego, haz clic en Conectar a Chronicle. Se abrirá la página Conectarse a Chronicle.
  5. Pega el token copiado de tu cuenta de operaciones de seguridad de Google en el campo indicado. Haz clic en Conectar. La exportación de datos de auditoría a las operaciones de seguridad de Google ahora debería mostrar Activado. Tu cuenta de Google Workspace ahora está vinculada a tu instancia de operaciones de seguridad de Google y comenzará a enviar tus datos de Google Workspace.
  6. Haz clic en Ir a Chronicle para abrir tu instancia de operaciones de seguridad de Google y comenzar a supervisar tus datos de Google Workspace desde las operaciones de seguridad de Google. Para obtener más información, consulta el panel Transferencia de datos y estado.

Desconecta Google Workspace de las operaciones de seguridad de Google

Para desconectar tu cuenta de Google Workspace de tu instancia de operaciones de seguridad de Google, completa los siguientes pasos:

  1. Abre la Consola del administrador de Google Workspace.
  2. Haz clic en Data Integrations.
  3. En el panel Exportación de Chronicle, haz clic en Desconectar de Chronicle. Ahora, la opción Exporta datos de auditoría a Chronicle debería aparecer como Desactivada.

¿Qué sigue?

El siguiente paso es habilitar los conjuntos de reglas de la categoría de amenazas de Cloud diseñados para ayudar a identificar amenazas mediante los datos de Google Workspace.