Exportera logghändelser till Google Security Operations för att övervaka insiderrisker

Utgåvor som stöds för den här funktionen: Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus. Jämför din utgåva

Du kan exportera dina Google Workspace-logghändelser till Google Security Operations (Google SecOps), en säkerhetsanalysplattform som hjälper din organisation att upptäcka, undersöka och reagera på säkerhetshot. För att exportera logghändelser till Google SecOps måste du använda Googles administratörskonsol för att ansluta Google Workspace till Google SecOps.

När du ansluter till Google SecOps exporteras dina logghändelser kontinuerligt till Google SecOps, där du kan hantera insiderrisker. För att hantera risker använder du regler som genererar detekteringar och varningar som hjälper dig att identifiera riskabla användarbeteenden och avvikelser relaterade till dataåtkomst och exfiltrering. Läs mer om Google SecOps .

När du har exporterat logghändelser

När dina data har exporterats till Google SecOps kan du logga in på ditt Google SecOps-konto för att:

  • Sök efter valfritt element i dina logghändelser, till exempel användarnamn, IP-adresser och inloggningshändelser.
  • Visa alla varningar och indikatorer på kompromisser (IOC) som för närvarande påverkar din organisation.
  • Analysera alla varningar.

Innan du börjar

  • Se till att du har ett Google SecOps-konto. Om du behöver ett konto kan du kontakta en Google Cloud-säljspecialist .
  • Du behöver behörighet som superadministratör för att ansluta Google Workspace till Google SecOps.

Anslut till Google SecOps för att exportera logghändelser

  1. I Googles administratörskonsol, gå till Meny och sedan Rapportering och sedan Dataintegrationer (eller Big Query-export för utbildningsadministratörer, vilket öppnar sidan Dataintegrationer).

    Kräver administratörsrättigheten Rapporter .

  2. Gå till export av Googles säkerhetsåtgärder och klicka på Redigera .
  3. Följ stegen för att:
    1. Kopiera kund-ID:t från din organisations profilsida .
    2. Gå till Googles säkerhetsåtgärder och klicka på Inställningar och sedan Google Workspace . Ange ditt Google Workspace-kund-ID och klicka på Generera token .
    3. Kopiera token och ditt instans-ID för Google Security Operations . (Ditt instans-ID är detsamma som ditt kund-ID.)
    4. Gå tillbaka till sidan Anslut till Googles säkerhetsåtgärder i administratörskonsolen och ange token och instans-ID .
  4. Klicka på Anslut .

Det kan ta upp till 24 timmar innan data exporteras till Google SecOps. Därefter exporteras organisationens logghändelser kontinuerligt till Google SecOps.

Om du ser ett meddelande om att en anslutning inte kunde upprättas kontrollerar du först om Google SecOps-token och instans-ID:t är korrekta. Om de är det försöker du ansluta till Google SecOps igen efter några minuter. Om du fortfarande inte kan ansluta kontaktar du Google Workspace-supporten .

Koppla bort från Google SecOps

Om du inte längre vill exportera logghändelser till Google SecOps kan du koppla bort din organisations Google Workspace-konto från Google SecOps.

Obs! När du kopplar bort från Google SecOps raderas inte dina logghändelser automatiskt från Google SecOps. Använd Google SecOps för att radera logghändelserna.

  1. I Googles administratörskonsol, gå till Meny och sedan Rapportering och sedan Dataintegrationer (eller Big Query-export för utbildningsadministratörer, vilket öppnar sidan Dataintegrationer).

    Kräver administratörsrättigheten Rapporter .

  2. Gå till exporten av Google Security Operations och klicka på Koppla bort från Google Security Operations .

Vanliga frågor

Vilka logghändelser exporteras till Google SecOps?

Följande är de händelsedata för nyckelloggen som stöds:

  • Administratörer
  • Krom
  • Klassrum
  • Molnsökning
  • Dataexport (admin)
  • Datastudio
  • Enheter
  • Gmail
  • Google Kalender
  • Google Chat
  • Google Drive
  • Google Grupper
  • Google Grupper för företag
  • Google Keep
  • Google Meet
  • Google Takeout
  • Google Voice
  • Inloggning
  • OAuth
  • Regler
  • SAML
  • Användare

Kan jag välja vilka logghändelser som ska exporteras till Google SecOps?

Nej, alla logghändelser som stöds exporteras till Google SecOps.

När kan jag använda logghändelsedata efter att den har loggats in i administratörskonsolen?

När logghändelsedata har skapats strömmas den till Google SecOps.

Obs! För information om hur lång tid det kan ta innan data är tillgängliga för logghändelser, se Datalagring och fördröjningstider .

Exporteras även logghändelser som skapades innan jag anslöt till Google SecOps?

Nej, endast logghändelser som skapades i administratörskonsolen efter att du anslöt till Google SecOps exporteras.

Konverteras exporterade logghändelser till ett annat format i Google SecOps?

Ja, Google SecOps konverterar alla exporterade logghändelser till Unified Data Format (UDM), vilket gör att Google SecOps kan köra komplexa frågor och regler mot dina data.

Vilka regler kan jag använda i Google SecOps för att utföra riskhantering?

Google SecOps tillhandahåller förbyggda regler, kallade Google SecOps-regeluppsättningar, som du kan aktivera individuellt för att upptäcka hot mot din organisation. Dessa regler genererar detektioner, varav vissa kan vara varningar, med riskpoäng. Google Workspace-regeluppsättningarna i Google SecOps hjälper dig att undersöka insiderrisker och datautvinning. Läs mer om regeluppsättningar .

Kostar det något att exportera logghändelsedata till Google SecOps?

Om du använder exportfunktionen gäller Googles standardvillkor och priser för SecOps. Kontakta din säljare för mer information.

Omfattas exportfunktionen för Google SecOps av Google Workspaces användarvillkor?

Nej, exportfunktionen för Google SecOps omfattas av SecOps-tjänsteavtalet .