Exporter des événements de journaux vers Google Security Operations pour surveiller les risques internes

Éditions compatibles avec cette fonctionnalité : Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus. Comparer votre édition

Vous pouvez exporter vos événements de journaux Google Workspace vers Google Security Operations (Google SecOps), une plate-forme d'analyse de la sécurité qui aide votre organisation à détecter les menaces de sécurité, à les examiner et à y répondre. Pour exporter des événements de journaux vers Google SecOps, vous devez associer Google Workspace à Google SecOps dans la console d'administration Google.

Une fois que vous vous êtes connecté à Google SecOps, vos événements de journaux sont exportés en continu vers Google SecOps, où vous pouvez gérer les risques internes. Pour gérer les risques, vous utilisez des règles qui génèrent des détections et des alertes, ce qui vous aide à identifier les comportements à risque des utilisateurs et les anomalies liées à l'accès aux données et à leur exfiltration. En savoir plus sur Google SecOps

Après avoir exporté les événements de journaux

Une fois vos données exportées vers Google SecOps, vous pouvez vous connecter à votre compte Google SecOps pour effectuer les actions suivantes :

  • Recherchez n'importe quel élément dans vos événements de journaux, comme des noms d'utilisateur, des adresses IP ou des événements de connexion.
  • Consulter toutes les alertes et tous les indicateurs de compromission qui affectent votre organisation.
  • Analyser les alertes.

Avant de commencer

  • Assurez-vous de disposer d'un compte Google SecOps. Si vous avez besoin d'un compte, contactez un spécialiste des ventes Google Cloud.
  • Vous devez disposer des droits de super-administrateur pour associer Google Workspace à Google SecOps.

Se connecter à Google SecOps pour exporter des événements de journaux

  1. Dans la console d'administration Google, accédez à Menu  puis Rapports puisIntégrations de données (ou Exportation BigQuery pour les administrateurs Education, ce qui ouvre la page "Intégrations de données").

    Vous devez disposer du droit d'administrateur Rapports.

  2. Accédez à Exportation Google Security Operations, puis cliquez sur Modifier .
  3. Suivez les instructions pour ces étapes :
    1. Copiez le numéro client sur la page Profil de votre organisation.
    2. Accédez à Google Security Operations, puis cliquez sur Paramètres puisGoogle Workspace. Saisissez votre numéro client Google Workspace, puis cliquez sur Générer un jeton.
    3. Copiez le jeton et votre ID d'instance Google Security Operations. (Votre ID d'instance est identique à votre numéro client.)
    4. Revenez à la page Se connecter à Google Security Operations dans la console d'administration, puis saisissez le jeton et l'ID d'instance.
  4. Cliquez sur Se connecter.

L'exportation des données vers Google SecOps peut prendre jusqu'à 24 heures. Les événements de journaux de votre organisation sont ensuite exportés en continu vers Google SecOps.

Si vous recevez un message indiquant qu'une connexion n'a pas pu être établie, vérifiez d'abord que le jeton Google SecOps et l'ID d'instance sont corrects. Si tel est le cas, réessayez de vous connecter à Google SecOps au bout de quelques minutes. Si vous ne parvenez toujours pas à vous connecter, contactez l'assistance Google Workspace.

Se déconnecter de Google SecOps

Si vous ne souhaitez plus exporter d'événements de journaux vers Google SecOps, vous pouvez dissocier le compte Google Workspace de votre organisation de Google SecOps.

Remarque : Lorsque vous vous déconnectez de Google SecOps, vos événements de journaux ne sont pas automatiquement supprimés de Google SecOps. Supprimez les événements de journaux à l'aide de Google SecOps.

  1. Dans la console d'administration Google, accédez à Menu  puis Rapports puisIntégrations de données (ou Exportation BigQuery pour les administrateurs Education, ce qui ouvre la page "Intégrations de données").

    Vous devez disposer du droit d'administrateur Rapports.

  2. Accédez à Exportation Google Security Operations, puis cliquez sur Se déconnecter de Google Security Operations.

Questions fréquentes

Quels événements de journaux sont exportés vers Google SecOps ?

Voici les données d'événement des journaux principales compatibles :

  • Administrateurs
  • Chrome
  • En salle
  • Cloud Search
  • Exportation de données (administrateur)
  • Data Studio
  • Appareils
  • Gmail
  • Google Agenda
  • Google Chat
  • Google Drive
  • Google Groupes
  • Google Groups for Business
  • Google Keep
  • Google Meet
  • Google Takeout
  • Google Voice
  • Connexion
  • OAuth
  • Règles
  • SAML
  • Utilisateurs

Puis-je sélectionner les événements de journaux à exporter vers Google SecOps ?

Non, tous les événements de journaux compatibles sont exportés vers Google SecOps.

Quand puis-je utiliser les données des événements de journaux une fois qu'elles ont été enregistrées dans la console d'administration ?

Une fois les données d'événement des journaux créées, elles sont transmises à Google SecOps.

Remarque : Pour savoir combien de temps peut s'écouler avant que les données ne soient disponibles pour les événements de journaux, consultez Conservation des données et temps de latence.

Les événements de journaux créés avant ma connexion à Google SecOps sont-ils également exportés ?

Non, seuls les événements de journaux créés dans la console d'administration après votre connexion à Google SecOps sont exportés.

Les événements de journaux exportés sont-ils convertis dans un autre format dans Google SecOps ?

Oui, Google SecOps convertit tous les événements de journaux exportés au format UDM (Unified Data Model), ce qui lui permet d'exécuter des requêtes et des règles complexes sur vos données.

Quelles règles puis-je utiliser dans Google SecOps pour gérer les risques ?

Google SecOps fournit des règles prédéfinies, appelées "ensembles de règles Google SecOps", que vous pouvez activer individuellement pour détecter les menaces qui pèsent sur votre organisation. Ces règles génèrent des détections, dont certaines peuvent être des alertes, avec des scores de risque. Les ensembles de règles Google Workspace dans Google SecOps vous aident à examiner les risques internes et l'exfiltration de données. En savoir plus sur les ensembles de règles

L'exportation des données des événements de journaux vers Google SecOps est-elle payante ?

Si vous utilisez la fonctionnalité d'exportation, les conditions et tarifs standards de Google SecOps s'appliquent. Pour en savoir plus, contactez votre conseiller commercial.

La fonctionnalité d'exportation Google SecOps est-elle couverte par les conditions d'utilisation de Google Workspace ?

Non. La fonctionnalité d'exportation de Google SecOps est couverte par le Contrat de services SecOps.