ייצוא של אירועים ביומן אל Google Security Operations כדי לעקוב אחרי סיכונים פנימיים

התכונה הזו נתמכת במהדורות הבאות: Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus. השוואה בין מהדורות

אתם יכולים לייצא את אירועי היומן של Google Workspace אל Google Security Operations‏ (Google SecOps), פלטפורמה לניתוח אבטחה שעוזרת לארגון שלכם לזהות איומי אבטחה, לחקור אותם ולהגיב להם. כדי לייצא אירועים ביומן ל-Google SecOps, צריך להשתמש במסוף Google Admin כדי לקשר את Google Workspace ל-Google SecOps.

אחרי שמתחברים ל-Google SecOps, אירועים ביומן מיוצאים באופן רציף ל-Google SecOps, שם אפשר לנהל סיכונים פנימיים. כדי לנהל את הסיכון, אתם משתמשים בכללים שמייצרים זיהויים והתראות שעוזרים לכם לזהות התנהגויות מסוכנות של משתמשים ואנומליות שקשורות לגישה לנתונים ולזליגת נתונים. מידע נוסף על Google SecOps

אחרי שמייצאים אירועים ביומן

אחרי שהנתונים מיוצאים אל Google SecOps, אתם יכולים להיכנס לחשבון Google SecOps כדי:

  • חיפוש של רכיב כלשהו באירועים ביומן, כמו שמות משתמשים, כתובות IP ואירועי כניסה.
  • צפייה בכל ההתראות והאינדיקטורים לפריצה (IOC) שמשפיעים כרגע על הארגון שלכם.
  • לנתח את ההתראות.

לפני שמתחילים

  • מוודאים שיש לכם חשבון Google SecOps. אם אתם צריכים חשבון, אתם יכולים לפנות למומחה מכירות של Google Cloud.
  • כדי לקשר את Google Workspace ל-Google SecOps, צריך הרשאות של סופר-אדמין.

התחברות ל-Google SecOps כדי לייצא אירועים ביומן

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח ואז שילוב נתונים (או ייצוא ל-BigQuery לאדמינים של מהדורות Education, שפותח את הדף 'שילוב נתונים').

    כדי לעשות את זה נדרשת הרשאת אדמין לדוחות.

  2. עוברים אל ייצוא של Google Security Operations ולוחצים על סמל העריכה .
  3. פועלים לפי השלבים כדי:
    1. מעתיקים את מספר הלקוח מדף הפרופיל של הארגון.
    2. עוברים אל Google Security Operations ולוחצים על הגדרות ואז Google Workspace. מזינים את מספר הלקוח ב-Google Workspace ולוחצים על יצירת טוקן.
    3. מעתיקים את האסימון ואת מזהה המכונה של Google Security Operations. (מספר המופע זהה למספר הלקוח).
    4. חוזרים לדף Connect to Google Security Operations במסוף Admin ומזינים את הטוקן ואת מזהה המכונה.
  4. לוחצים על חיבור.

יכול להיות שיחלפו עד 24 שעות לפני שהנתונים ייוצאו אל Google SecOps. לאחר מכן, אירועי היומן של הארגון שלכם מיוצאים באופן רציף אל Google SecOps.

אם מוצגת הודעה שלא ניתן ליצור חיבור, קודם צריך לבדוק אם הטוקן ומזהה המופע של Google SecOps נכונים. אם כן, נסו להתחבר שוב ל-Google SecOps אחרי כמה דקות. אם עדיין לא מצליחים להתחבר, פונים לתמיכה של Google Workspace.

התנתקות מ-Google SecOps

אם אתם לא רוצים יותר לייצא אירועים ביומן ל-Google SecOps, אתם יכולים לנתק את חשבון Google Workspace של הארגון מ-Google SecOps.

הערה: כשמתנתקים מ-Google SecOps, אירועי היומן לא נמחקים באופן אוטומטי מ-Google SecOps. משתמשים ב-Google SecOps כדי למחוק את אירועי היומן.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח ואז שילוב נתונים (או ייצוא ל-BigQuery לאדמינים של מהדורות Education, שפותח את הדף 'שילוב נתונים').

    כדי לעשות את זה נדרשת הרשאת אדמין לדוחות.

  2. עוברים אל ייצוא ל-Google Security Operations ולוחצים על התנתקות מ-Google Security Operations.

שאלות נפוצות

אילו אירועים ביומן מיוצאים ל-Google SecOps?

אלה נתוני האירועים ביומן שנתמכים:

  • אדמינים
  • Chrome
  • Classroom
  • Cloud Search
  • ייצוא נתונים (אדמין)
  • Data Studio
  • מכשירים
  • Gmail
  • יומן Google
  • Google Chat
  • Google Drive
  • קבוצות Google
  • Google Groups for Business
  • Google Keep
  • Google Meet
  • Google Takeout
  • Google Voice
  • התחברות
  • OAuth
  • כללים
  • SAML
  • משתמשים

האם אפשר לבחור אילו אירועים ביומן לייצא ל-Google SecOps?

לא, כל אירועי היומן הנתמכים מיוצאים אל Google SecOps.

מתי אפשר להשתמש בנתוני אירועים ביומן אחרי שהם נרשמים במסוף Admin?

אחרי שנוצרים נתוני אירועים ביומן, הם מועברים בסטרימינג אל Google SecOps.

הערה: מידע על משך הזמן שעובר עד שהנתונים זמינים לאירועים ביומן זמין במאמר בנושא שמירת נתונים וזמני השהיה.

האם אירועים ביומן שנוצרו לפני שהתחברתי אל Google SecOps מיוצאים גם הם?

לא, רק אירועים ביומן שנוצרו במסוף Admin אחרי שמתחברים ל-Google SecOps מיוצאים.

האם אירועים ביומן שמיוצאים מומרים לפורמט אחר ב-Google SecOps?

כן, Google SecOps ממיר את כל אירועי היומן המיוצאים לפורמט נתונים מאוחד (UDM), שמאפשר ל-Google SecOps להריץ שאילתות וכללים מורכבים על הנתונים שלכם.

באילו כללים אפשר להשתמש ב-Google SecOps כדי לבצע ניהול סיכונים?

‫Google SecOps מספקת כללים מוכנים מראש, שנקראים Google SecOps Rule Sets, שאפשר להפעיל בנפרד כדי לזהות איומים על הארגון. הכללים האלה יוצרים זיהויים, שחלקם עשויים להיות התראות, עם ציוני סיכון. ערכות הכללים של Google Workspace ב-Google SecOps עוזרות לכם לחקור סיכונים פנימיים וזליגת נתונים. מידע נוסף על קבוצות כללים

האם יש עלות לייצוא נתוני אירועים ביומן ל-Google SecOps?

אם משתמשים בתכונת הייצוא, חלים התנאים והתמחור הרגילים של Google SecOps. לקבלת פרטים, פנו לנציג המכירות שלכם.

האם תכונת הייצוא של Google SecOps נכללת בתנאים ובהגבלות של Google Workspace?

לא, תכונת הייצוא של Google SecOps מכוסה על ידי הסכם השירות של SecOps.