Bạn có thể xuất các sự kiện trong nhật ký Google Workspace sang Google Security Operations (Google SecOps) – một nền tảng phân tích bảo mật giúp tổ chức của bạn phát hiện, điều tra và ứng phó với các mối đe doạ bảo mật. Để xuất các sự kiện trong nhật ký sang Google SecOps, bạn cần sử dụng Bảng điều khiển dành cho quản trị viên của Google để kết nối Google Workspace với Google SecOps.
Sau khi bạn kết nối với Google SecOps, các sự kiện trong nhật ký sẽ liên tục được xuất sang Google SecOps. Tại đây, bạn có thể quản lý rủi ro nội bộ. Để quản lý rủi ro, bạn sử dụng các quy tắc tạo ra thông tin phát hiện và cảnh báo giúp bạn xác định các hành vi rủi ro của người dùng và các điểm bất thường liên quan đến quyền truy cập dữ liệu và đánh cắp dữ liệu. Tìm hiểu thêm về Google SecOps.
Sau khi bạn xuất các sự kiện trong nhật ký
Sau khi dữ liệu của bạn được xuất sang Google SecOps, bạn có thể đăng nhập vào tài khoản Google SecOps để:
- Tìm kiếm mọi thành phần trong các sự kiện trong nhật ký, chẳng hạn như tên người dùng, địa chỉ IP và sự kiện đăng nhập.
- Xem tất cả các cảnh báo và Chỉ số xâm phạm (IOC) hiện đang ảnh hưởng đến tổ chức của bạn.
- Phân tích mọi cảnh báo.
Trước khi bắt đầu
- Đảm bảo bạn có tài khoản Google SecOps. Nếu bạn cần có tài khoản, hãy liên hệ với một chuyên gia bán hàng của Google Cloud.
- Bạn cần có đặc quyền của quản trị viên cấp cao để kết nối Google Workspace với Google SecOps.
Kết nối với Google SecOps để xuất các sự kiện trong nhật ký
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn
Báo cáo Tích hợp dữ liệu (hoặc Xuất BigQuery đối với quản trị viên Education, thao tác này sẽ mở trang Tích hợp dữ liệu).Bạn phải có đặc quyền của quản trị viên đối với Báo cáo.
- Chuyển đến phần Xuất Google Security Operations rồi nhấp vào biểu tượng Chỉnh sửa
. - Làm theo các bước để:
- Sao chép Mã khách hàng từ trang Hồ sơ của tổ chức.
- Chuyển đến Google Security Operations rồi nhấp vào Cài đặt
Google Workspace. Nhập mã khách hàng Google Workspace rồi nhấp vào Tạo mã thông báo.
- Sao chép Mã thông báo và mã thực thể Google Security Operations. (Mã thực thể của bạn giống với mã khách hàng.)
- Quay lại trang Kết nối với Google Security Operations trong Bảng điều khiển dành cho quản trị viên rồi nhập Mã thông báo và Mã thực thể.
- Nhấp vào Kết nối.
Có thể mất đến 24 giờ trước khi dữ liệu được xuất sang Google SecOps. Sau đó, các sự kiện trong nhật ký của tổ chức sẽ liên tục được xuất sang Google SecOps.
Nếu bạn thấy thông báo cho biết không thể thiết lập kết nối, trước tiên, hãy kiểm tra xem mã thông báo và mã thực thể Google SecOps có chính xác hay không. Nếu đúng, hãy thử kết nối lại với Google SecOps sau vài phút. Nếu bạn vẫn không thể kết nối, hãy liên hệ với nhóm hỗ trợ Google Workspace.
Ngắt kết nối khỏi Google SecOps
Nếu không còn muốn xuất các sự kiện trong nhật ký sang Google SecOps nữa, bạn có thể ngắt kết nối tài khoản Google Workspace của tổ chức khỏi Google SecOps.
Lưu ý: Khi bạn ngắt kết nối khỏi Google SecOps, các sự kiện trong nhật ký sẽ không tự động bị xoá khỏi Google SecOps. Hãy sử dụng Google SecOps để xoá các sự kiện trong nhật ký.
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn
Báo cáo Tích hợp dữ liệu (hoặc Xuất BigQuery đối với quản trị viên Education, thao tác này sẽ mở trang Tích hợp dữ liệu).Bạn phải có đặc quyền của quản trị viên đối với Báo cáo.
- Chuyển đến phần Xuất Google Security Operations rồi nhấp vào Ngắt kết nối khỏi Google Security Operations.
Câu hỏi thường gặp
Những sự kiện trong nhật ký nào được xuất sang Google SecOps?
Sau đây là dữ liệu chính về sự kiện trong nhật ký được hỗ trợ:
- Quản trị viên
- Chrome
- Lớp học
- Cloud Search
- Xuất dữ liệu (quản trị viên)
- Data Studio
- Thiết bị
- Gmail
- Lịch Google
- Google Chat
- Google Drive
- Google Groups
- Google Groups for Business
- Google Keep
- Google Meet
- Google Takeout
- Google Voice
- Đăng nhập
- OAuth
- Quy tắc
- SAML
- Người dùng
Tôi có thể chọn những sự kiện trong nhật ký cần xuất sang Google SecOps không?
Không, tất cả các sự kiện trong nhật ký được hỗ trợ đều được xuất sang Google SecOps.
Khi nào tôi có thể sử dụng dữ liệu sự kiện sau khi dữ liệu đó được ghi lại trong Bảng điều khiển dành cho quản trị viên?
Sau khi dữ liệu sự kiện trong nhật ký được tạo, dữ liệu đó sẽ được truyền trực tuyến đến Google SecOps.
Lưu ý: Để biết thông tin về thời gian có thể mất trước khi dữ liệu có sẵn cho các sự kiện trong nhật ký, hãy xem bài viết Thời gian giữ lại dữ liệu và thời gian trễ.
Các sự kiện trong nhật ký được tạo trước khi tôi kết nối với Google SecOps có được xuất không?
Không, chỉ những sự kiện trong nhật ký được tạo trong Bảng điều khiển dành cho quản trị viên sau khi bạn kết nối với Google SecOps mới được xuất.
Các sự kiện trong nhật ký được xuất có được chuyển đổi sang một định dạng khác trong Google SecOps không?
Có, Google SecOps chuyển đổi tất cả các sự kiện trong nhật ký được xuất sang Định dạng dữ liệu hợp nhất (UDM). Định dạng này cho phép Google SecOps chạy các truy vấn và quy tắc phức tạp đối với dữ liệu của bạn.
Tôi có thể sử dụng những quy tắc nào trong Google SecOps để quản lý rủi ro?
Google SecOps cung cấp các quy tắc dựng sẵn (được gọi là Bộ quy tắc Google SecOps) mà bạn có thể bật riêng lẻ để phát hiện các mối đe doạ đối với tổ chức của mình. Các quy tắc này tạo ra thông tin phát hiện (một số thông tin có thể là cảnh báo) kèm theo điểm số rủi ro. Bộ quy tắc Google Workspace trong Google SecOps giúp bạn điều tra rủi ro nội bộ và hành vi đánh cắp dữ liệu. Tìm hiểu thêm về Bộ quy tắc.
Việc xuất dữ liệu sự kiện trong nhật ký sang Google SecOps có tốn phí không?
Nếu bạn sử dụng tính năng xuất, các điều khoản và mức giá tiêu chuẩn của Google SecOps sẽ được áp dụng. Để biết thông tin chi tiết, hãy liên hệ với người đại diện bán hàng của bạn.
Tính năng xuất của Google SecOps có thuộc phạm vi điều chỉnh của Điều khoản dịch vụ của Google Workspace không?
Không, tính năng xuất của Google SecOps thuộc phạm vi điều chỉnh của Thoả thuận dịch vụ của SecOps.