Mengekspor peristiwa log ke Google Security Operations untuk memantau risiko pihak internal

Edisi yang didukung untuk fitur ini: Frontline Plus; Enterprise Standard dan Enterprise Plus; Education Standard dan Education Plus. Bandingkan edisi Anda

Anda dapat mengekspor peristiwa log Google Workspace ke Google Security Operations (Google SecOps), platform analisis keamanan yang membantu organisasi Anda mendeteksi, menyelidiki, dan merespons ancaman keamanan. Guna mengekspor peristiwa log ke Google SecOps, Anda harus menggunakan konsol Google Admin untuk menghubungkan Google Workspace ke Google SecOps.

Setelah Anda terhubung ke Google SecOps, peristiwa log Anda akan terus diekspor ke Google SecOps, tempat Anda dapat mengelola risiko pihak internal. Untuk mengelola risiko, Anda harus menggunakan aturan yang menghasilkan deteksi dan pemberitahuan. Aturan tersebut akan membantu mengidentifikasi perilaku pengguna yang berisiko dan anomali yang terkait dengan akses data dan pemindahan data yang tidak sah. Pelajari lebih lanjut Google SecOps.

Setelah Anda mengekspor peristiwa log

Setelah data Anda diekspor ke Google SecOps, Anda dapat login ke akun Google SecOps Anda untuk:

  • Menelusuri elemen apa pun dalam peristiwa log Anda, seperti nama pengguna, alamat IP, dan peristiwa login.
  • Melihat semua peringatan dan Indikator Gangguan (IOC) yang saat ini memengaruhi organisasi Anda.
  • Menganalisis salah satu notifikasi.

Sebelum memulai

  • Pastikan Anda memiliki akun Google SecOps. Jika Anda memerlukan akun, hubungi spesialis penjualan Google Cloud.
  • Anda memerlukan hak istimewa administrator super untuk menghubungkan Google Workspace ke Google SecOps.

Menghubungkan ke Google SecOps untuk mengekspor peristiwa log

  1. Di konsol Google Admin, buka Menu lalu Pelaporan laluIntegrasi data (atau BigQuery Export untuk admin Education, yang akan membuka halaman Integrasi data).

    Memerlukan hak istimewa administrator Laporan.

  2. Buka Ekspor Google Security Operations, lalu klik Edit .
  3. Ikuti langkah-langkah untuk:
    1. Salin ID Pelanggan dari halaman Profil organisasi Anda.
    2. Buka Google Security Operations, lalu klik Setelan laluGoogle Workspace. Masukkan ID pelanggan Google Workspace Anda, lalu klik Buat Token.
    3. Salin Token dan ID instance Google Security Operations Anda. (ID instance Anda sama dengan ID pelanggan Anda.)
    4. Kembali ke halaman Menghubungkan ke Google Security Operations di konsol Admin, lalu masukkan Token dan ID Instance.
  4. Klik Hubungkan.

Perlu waktu hingga 24 jam sebelum data diekspor ke Google SecOps. Setelah itu, peristiwa log organisasi Anda akan terus diekspor ke Google SecOps.

Jika Anda melihat pesan yang menyatakan bahwa koneksi tidak dapat dibuat, periksa terlebih dahulu apakah token Google SecOps dan ID instance sudah benar. Jika ya, coba hubungkan lagi ke Google SecOps setelah beberapa menit. Jika Anda masih tidak dapat terhubung, hubungi dukungan Google Workspace.

Memutuskan sambungan dari Google SecOps

Jika tidak ingin lagi mengekspor peristiwa log ke Google SecOps, Anda dapat memutuskan hubungan akun Google Workspace organisasi dari Google SecOps.

Catatan: Jika Anda memutuskan hubungan dari Google SecOps, peristiwa log Anda tidak otomatis dihapus dari Google SecOps. Gunakan Google SecOps untuk menghapus peristiwa log.

  1. Di konsol Google Admin, buka Menu lalu Pelaporan laluIntegrasi data (atau BigQuery Export untuk admin Education, yang akan membuka halaman Integrasi data).

    Memerlukan hak istimewa administrator Laporan.

  2. Buka ekspor Google Security Operations, lalu klik Putuskan hubungan dari Google Security Operations.

FAQ

Peristiwa log mana yang diekspor ke Google SecOps?

Berikut adalah data peristiwa log utama yang didukung:

  • Admin
  • Chrome
  • Classroom
  • Cloud Search
  • Ekspor data (admin)
  • Data Studio
  • Perangkat
  • Gmail
  • Google Kalender
  • Google Chat
  • Google Drive
  • Google Grup
  • Google Grup untuk Bisnis
  • Google Keep
  • Google Meet
  • Google Takeout
  • Google Voice
  • Login
  • OAuth
  • Aturan
  • SAML
  • Pengguna

Dapatkah saya memilih peristiwa log yang akan diekspor ke Google SecOps?

Tidak, semua peristiwa log yang didukung akan diekspor ke Google SecOps.

Kapan saya dapat menggunakan data peristiwa log setelah dicatat ke konsol Admin?

Setelah dibuat, data peristiwa log akan di-streaming ke Google SecOps.

Catatan: Untuk mengetahui informasi tentang waktu yang dibutuhkan hingga data tersedia untuk peristiwa log, lihat Waktu keterlambatan dan retensi data.

Apakah peristiwa log yang dibuat sebelum saya terhubung ke Google SecOps juga diekspor?

Tidak, hanya peristiwa log yang dibuat di konsol Admin setelah Anda terhubung ke Google SecOps yang diekspor.

Apakah peristiwa log yang diekspor dikonversi ke format lain di Google SecOps?

Ya, Google SecOps mengonversi semua peristiwa log yang diekspor ke Format Data Terpadu (UDM), yang memungkinkan Google SecOps menjalankan kueri dan aturan kompleks terhadap data Anda.

Aturan apa saja yang dapat saya gunakan di Google SecOps untuk menjalankan pengelolaan risiko?

Google SecOps menyediakan aturan bawaan, yang disebut Kumpulan Aturan Google SecOps, yang dapat Anda aktifkan satu per satu untuk mendeteksi ancaman terhadap organisasi Anda. Aturan ini menghasilkan deteksi, yang beberapa di antaranya mungkin berupa peringatan, dengan skor risiko. Set Aturan Google Workspace di Google SecOps membantu Anda menyelidiki risiko pihak internal dan pemindahan data yang tidak sah. Pelajari Kumpulan Aturan lebih lanjut.

Apakah ada biaya untuk mengekspor data peristiwa log ke Google SecOps?

Jika Anda menggunakan fitur ekspor, persyaratan dan harga standar Google SecOps akan berlaku. Untuk mengetahui detailnya, hubungi Sales Rep Anda.

Apakah fitur ekspor Google SecOps tercakup dalam Persyaratan Layanan Google Workspace?

Tidak, fitur ekspor Google SecOps tercakup dalam Perjanjian Layanan SecOps.