ייצוא של אירועים ביומן אל Google Security Operations כדי לעקוב אחרי סיכונים פנימיים

התכונה הזו נתמכת במהדורות הבאות: Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus. השוואה בין מהדורות

אתם יכולים לייצא את אירועי היומן של Google Workspace אל Google Security Operations ‏ (Google SecOps), פלטפורמה לניתוח אבטחה שעוזרת לארגון שלכם לזהות איומי אבטחה, לחקור אותם ולהגיב להם. כדי לייצא אירועים ביומן ל-Google SecOps, צריך להשתמש במסוף Google Admin כדי לחבר את Google Workspace ל-Google SecOps.

אחרי שמתחברים ל-Google SecOps, אירועים ביומן מיוצאים באופן רציף ל-Google SecOps, שבה אפשר לנהל סיכונים פנימיים. כדי לנהל את הסיכון, אתם משתמשים בכללים שמייצרים זיהויים והתראות שעוזרים לכם לזהות התנהגויות מסוכנות של משתמשים ואנומליות שקשורות לגישה לנתונים ולזליגת נתונים. מידע נוסף על Google SecOps

אחרי שמייצאים אירועים ביומן

אחרי שהנתונים מיוצאים אל Google SecOps, אתם יכולים להיכנס לחשבון Google SecOps שלכם כדי:

  • חיפוש של רכיב כלשהו באירועים ביומן, כמו שמות משתמשים, כתובות IP ואירועי כניסה.
  • צפייה בכל ההתראות והאינדיקטורים לפריצה (IOC) שמשפיעים כרגע על הארגון.
  • מנתחים את ההתראות.

לפני שמתחילים

  • מוודאים שיש לכם חשבון Google SecOps. אם אתם צריכים חשבון, אתם יכולים לפנות למומחה מכירות של Google Cloud.
  • כדי לקשר את Google Workspace ל-Google SecOps, צריך הרשאות סופר-אדמין.

התחברות ל-Google SecOps כדי לייצא אירועים ביומן

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח ואזשילובים של נתונים (או ייצוא ל-BigQuery לאדמינים של מהדורת Education, ואז נפתח הדף 'שילובים של נתונים').

    כדי לעשות את זה נדרשת הרשאת אדמין לדוחות.

  2. עוברים אל ייצוא אל Google Security Operations ולוחצים על סמל העריכה .
  3. פועלים לפי השלבים כדי:
    1. מעתיקים את מזהה הלקוח מדף הפרופיל של הארגון.
    2. עוברים אל Google Security Operations ולוחצים על הגדרות ואזGoogle Workspace. מזינים את מזהה הלקוח ב-Google Workspace ולוחצים על יצירת טוקן.
    3. מעתיקים את הטוקן ואת מזהה המכונה של Google Security Operations. (מספר המופע זהה למספר הלקוח).
    4. חוזרים לדף Connect to Google Security Operations במסוף Admin ומזינים את הטוקן ואת מזהה המכונה.
  4. לוחצים על חיבור.

יכול להיות שיחלפו עד 24 שעות לפני שהנתונים ייוצאו אל Google SecOps. לאחר מכן, אירועי היומן של הארגון שלכם ייוצאו באופן רציף אל Google SecOps.

אם מופיעה הודעה שלא ניתן ליצור חיבור, קודם צריך לבדוק אם הטוקן ומזהה המופע של Google SecOps נכונים. אם כן, נסו להתחבר שוב ל-Google SecOps אחרי כמה דקות. אם עדיין לא הצלחת להתחבר, אפשר לפנות לתמיכה של Google Workspace.

התנתקות מ-Google SecOps

אם אתם לא רוצים יותר לייצא אירועים ביומן ל-Google SecOps, אתם יכולים לנתק את חשבון Google Workspace של הארגון מ-Google SecOps.

הערה: כשמתנתקים מ-Google SecOps, אירועי היומן לא נמחקים אוטומטית מ-Google SecOps. משתמשים ב-Google SecOps כדי למחוק את האירועים ביומן.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח ואזשילובים של נתונים (או ייצוא ל-BigQuery לאדמינים של מהדורת Education, ואז נפתח הדף 'שילובים של נתונים').

    כדי לעשות את זה נדרשת הרשאת אדמין לדוחות.

  2. עוברים אל ייצוא ל-Google Security Operations ולוחצים על התנתקות מ-Google Security Operations.

שאלות נפוצות

אילו אירועים ביומן מיוצאים אל Google SecOps?

אלה נתוני האירועים ביומן שנתמכים:

  • אדמינים
  • Chrome
  • Classroom
  • Cloud Search
  • ייצוא נתונים (אדמין)
  • Data Studio
  • מכשירים
  • Gmail
  • יומן Google
  • Google Chat
  • Google Drive
  • קבוצות Google
  • Google Groups for Business
  • Google Keep
  • Google Meet
  • Google Takeout
  • Google Voice
  • התחברות
  • OAuth
  • כללים
  • SAML
  • משתמשים

האם אפשר לבחור אילו אירועים ביומן לייצא ל-Google SecOps?

לא, כל אירועי היומן הנתמכים מיוצאים אל Google SecOps.

מתי אפשר להשתמש בנתוני אירועים ביומן אחרי שהם נרשמים במסוף Admin?

אחרי שנוצרים נתוני אירועים ביומן, הם מועברים בסטרימינג אל Google SecOps.

הערה: מידע על משך הזמן שעובר עד שהנתונים זמינים לאירועים ביומן זמין במאמר בנושא שמירת נתונים וזמני השהיה.

האם אירועים ביומן שנוצרו לפני שהתחברתי ל-Google SecOps מיוצאים גם הם?

לא, רק אירועים ביומן שנוצרו במסוף Admin אחרי שמתחברים ל-Google SecOps מיוצאים.

האם אירועים ביומן שמיוצאים מומרים לפורמט אחר ב-Google SecOps?

כן, Google SecOps ממירה את כל אירועי היומן המיוצאים לפורמט נתונים מאוחד (UDM), שמאפשר ל-Google SecOps להריץ שאילתות וכללים מורכבים על הנתונים שלכם.

באילו כללים אפשר להשתמש ב-Google SecOps כדי לבצע ניהול סיכונים?

‫Google SecOps מספקת כללים מוכנים מראש, שנקראים Google SecOps Rule Sets, שאפשר להפעיל בנפרד כדי לזהות איומים על הארגון. הכללים האלה יוצרים זיהויים, שחלקם עשויים להיות התראות, עם ציוני סיכון. ערכות הכללים של Google Workspace ב-Google SecOps עוזרות לכם לחקור סיכונים פנימיים וזליגת נתונים. מידע נוסף על קבוצות כללים

האם יש עלות לייצוא נתוני אירועים ביומן ל-Google SecOps?

אם משתמשים בתכונת הייצוא, חלים התנאים והתמחור הרגילים של Google SecOps. לקבלת פרטים, פנו לנציג המכירות שלכם.

האם תכונת הייצוא של Google SecOps נכללת בתנאים ובהגבלות של Google Workspace?

לא, תכונת הייצוא של Google SecOps מכוסה על ידי הסכם השירות של SecOps.