Google Workspace 관리 콘솔에서 Google Workspace 고객 ID를 복사합니다.
Google SecOps 인스턴스 ID 및 토큰 가져오기
Google SecOps 인스턴스 ID 및 토큰을 가져오려면 Google SecOps 계정에서 다음 단계를 완료합니다.
Google SecOps 인스턴스를 엽니다.
탐색 메뉴에서 설정을 선택합니다.
Google Workspace를 클릭합니다.
Google Workspace 고객 ID를 입력합니다.
토큰 생성을 클릭합니다.
토큰과 Google SecOps 인스턴스 ID (같은 페이지에 있음)를 복사합니다.
Google Workspace를 Google SecOps 인스턴스에 연결
Google Workspace 데이터를 Google SecOps 인스턴스로 전송하려면 Google Workspace 관리 콘솔에서 다음 단계를 완료합니다.
Google Workspace 관리자 콘솔을 엽니다.
보고를 클릭합니다.
데이터 통합을 클릭합니다.
Google SecOps 내보내기를 선택한 다음 Google SecOps에 연결을 클릭합니다. 그러면 Google SecOps에 연결 페이지가 열립니다.
Google SecOps 계정에서 복사한 토큰을 표시된 필드에 붙여넣습니다. 연결을 클릭합니다. 이제 Google SecOps로 감사 데이터 내보내기가 사용으로 표시됩니다. 이제 Google Workspace 계정이 Google SecOps 인스턴스에 연결되고 Google Workspace 데이터를 전송하기 시작합니다.
Google SecOps로 이동을 클릭하여 Google SecOps 인스턴스를 열고 Google SecOps에서 Google Workspace 데이터를 모니터링합니다. 자세한 내용은 데이터 수집 및 상태 대시보드를 참고하세요.
Google SecOps에서 Google Workspace 연결 해제하기
Google SecOps 인스턴스에서 Google Workspace 계정 연결을 해제하려면 다음 단계를 완료합니다.
Google Workspace 관리자 콘솔을 엽니다.
데이터 통합을 클릭합니다.
Google SecOps 내보내기 패널에서 Google SecOps에서 연결 해제를 클릭합니다.
Google SecOps로 감사 데이터 내보내기가 이제 사용 안함으로 표시될 것입니다.
다음 단계
다음 단계는 Google Workspace 데이터를 사용하여 위협을 식별하는 데 도움이 되도록 설계된 클라우드 위협 카테고리 규칙 집합을 사용 설정하는 것입니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[],[],null,["Send Google Workspace data to Google SecOps \nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nYou can use Google Security Operations to detect insider\nrisks in your Google Workspace by configuring your Google Workspace account\nto forward data to your Google SecOps instance.\n\nThis document describes how to use *direct ingestion* to ingest Google Workspace Activity\nlogs (`WORKSPACE_ACTIVITY`) into your Google SecOps instance\nfrom the following supported Google application types:\n\n- Access Transparency\n- Accounts\n- Google Admin console\n- Google Calendar\n- Google Chat\n- Google Chrome\n- Classroom\n- Google Cloud\n- Access Context Manager\n- Looker Studio\n- Device\n- Google Drive\n- Gmail\n- Google Groups\n- Jamboard management\n- LDAP\n- Login\n- Google Meet\n- OAuth\n- Password Vault\n- Firewall Rules Logging\n- SAML\n- User accounts\n- Voice\n\n| **Note:** *Direct ingestion* collects a wider range of workspace data compared to [*other feed methods*](/chronicle/docs/administration/feed-management). For example, other feed methods cannot ingest `gmail` application logs. \n| However, you can still use these *other feed methods* to ingest subsets of Google Workspace data, for example, to ingest `WORKSPACE_USERS` and `WORKSPACE_GROUPS` into your Google SecOps instance. For more information, see [Configure a feed in Google SecOps to ingest\n| Google Workspace logs](/chronicle/docs/ingestion/default-parsers/collect-workspace-logs#configure_a_feed_in_to_ingest_logs).\n\nBefore you begin\n\nComplete the following steps before you begin:\n\n1. If you don't have a Google SecOps instance, create a new one. For more\n information, see [Onboarding and migrating a Google SecOps\n instance](/chronicle/docs/onboard).\n\n2. Copy your Google Workspace Customer ID from the Google Workspace Admin\n console.\n\nObtain your Google SecOps instance ID and token\n\nTo obtain your Google SecOps instance ID and token, complete the following\nsteps from your Google SecOps account:\n\n1. Open your Google SecOps instance.\n2. From the navigation bar, select **Settings**.\n3. Click **Google Workspace**.\n4. Enter your Google Workspace Customer ID.\n5. Click **Generate Token**.\n6. Copy the token and your Google SecOps instance ID (located on the same page).\n\nLink Google Workspace to your Google SecOps instance\n\nTo send your Google Workspace data to your Google SecOps instance,\ncomplete the following steps from the Google Workspace Admin console:\n\n1. Open the Google Workspace Admin console.\n2. Click **Reporting**.\n3. Click **Data Integrations**.\n4. Select **Google SecOps export** , and then click **Connect to\n Google SecOps** . This opens the **Connect to Google SecOps** page.\n5. Paste the token copied from your Google SecOps account into the indicated field. Click **Connect** . Export audit data to Google SecOps should now display *On*. Your Google Workspace account is now linked to your Google SecOps instance and will begin sending your Google Workspace data.\n6. Click **Go to Google SecOps** to open your Google SecOps instance and begin to monitor your Google Workspace data from Google SecOps. For more information, see the [Data Ingestion and Health dashboard](/chronicle/docs/investigation/dashboards-user-guide#data_ingestion_and_health).\n\nDisconnect Google Workspace from Google SecOps\n\nTo disconnect your Google Workspace account from your Google SecOps\ninstance, complete the following steps:\n\n1. Open the Google Workspace Admin console.\n2. Click **Data Integrations**.\n3. In the **Google SecOps export** panel, click **Disconnect from Google SecOps** . **Export audit data to Google SecOps** should now display *Off*.\n\nWhat's next\n\nThe next step is to enable the [Cloud Threats category rules\nsets](/chronicle/docs/detection/cloud-threats-category)\ndesigned to help identify threats using Google Workspace data.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]