Envoyer des données Google Workspace à Google Security Operations

Vous pouvez utiliser Google Security Operations pour détecter les risques internes dans Google Workspace en configurant votre compte Google Workspace pour qu'il transfère les données vers une instance Google Security Operations.

Seuls les journaux des activités Google Workspace (WORKSPACE_ACTIVITY) peuvent être ingérés dans votre instance Google Security Operations. Toutefois, Google Security Operations permet d'ingérer d'autres types de données Google Workspace (tels que WORKSPACE_USERS et WORKSPACE_GROUPS) par le biais d'autres méthodes (par exemple, la gestion de flux). Pour en savoir plus, consultez Configurer un flux dans Google Security Operations pour ingérer des journaux Google Workspace.

Vous devez disposer de l'édition Google Workspace Enterprise Standard ou Enterprise Plus pour accéder à cette intégration. Si vous ne le faites pas, vous pouvez utiliser la méthode d'ingestion de flux pour ingérer les journaux d'activité Google Workspace.

Google Security Operations ingère les journaux Google Workspace à partir des applications Google suivantes:

  • Access Transparency
  • Comptes
  • Console d'administration Google
  • Google Agenda
  • Google Chat
  • Google Chrome
  • Classroom
  • Accès IAP
  • Access Context Manager
  • Looker Studio
  • Appareil
  • Google Drive
  • Gmail
  • Google Groupes
  • Gestion de Jamboard
  • LDAP
  • Connexion
  • Google Meet
  • OAuth
  • Sauvegarde des mots de passe
  • Journalisation des règles de pare-feu
  • SAML
  • Comptes utilisateur
  • Voice

Avant de commencer

Avant de commencer, effectuez les étapes suivantes:

  1. Si vous ne disposez pas d'une instance Google Security Operations, créez-en une. Pour en savoir plus, consultez la page Intégrer et migrer une instance Google Security Operations.

  2. Copiez votre numéro client Google Workspace depuis la console d'administration Google Workspace.

Obtenir votre ID d'instance et votre jeton Google Security Operations

Pour obtenir votre ID d'instance et votre jeton Google Security Operations, procédez comme suit depuis votre compte Google Security Operations:

  1. Ouvrez votre instance Google Security Operations.
  2. Dans la barre de navigation, sélectionnez Paramètres.
  3. Cliquez sur Google Workspace.
  4. Saisissez votre numéro client Google Workspace.
  5. Cliquez sur Générer un jeton.
  6. Copiez le jeton et l'ID de votre instance Google Security Operations (situés sur la même page).

Pour envoyer vos données Google Workspace à votre instance Google Security Operations, procédez comme suit depuis la console d'administration Google Workspace:

  1. Ouvrez la console d'administration Google Workspace.
  2. Cliquez sur Création de rapports.
  3. Cliquez sur Intégrations de données.
  4. Sélectionnez Exportation Chronicle, puis cliquez sur Se connecter à Chronicle. La page Se connecter à Chronicle s'ouvre.
  5. Collez le jeton copié à partir de votre compte Google Security Operations dans le champ indiqué. Cliquez sur Connect (Se connecter). Les données d'audit exportées vers Google Security Operations doivent maintenant afficher On (Activé). Votre compte Google Workspace est désormais associé à votre instance Google Security Operations et commence à envoyer vos données Google Workspace.
  6. Cliquez sur Accéder à Chronicle pour ouvrir votre instance Google Security Operations et commencer à surveiller vos données Google Workspace à partir de Google Security Operations. Pour en savoir plus, consultez le tableau de bord sur l'ingestion et l'état des données.

Déconnecter Google Workspace de Google Security Operations

Pour déconnecter votre compte Google Workspace de votre instance Google Security Operations, procédez comme suit:

  1. Ouvrez la console d'administration Google Workspace.
  2. Cliquez sur Intégrations de données.
  3. Dans le panneau Exportation Chronicle, cliquez sur Se déconnecter de Chronicle. L'option Exporter les données d'audit vers Chronicle devrait maintenant afficher Désactivé.

Étapes suivantes

L'étape suivante consiste à activer les ensembles de règles de catégorie Cloud Threats conçus pour aider à identifier les menaces à l'aide des données Google Workspace.