Puoi esportare gli eventi dei log di Google Workspace in Google Security Operations (Google SecOps), una piattaforma di analisi della sicurezza che aiuta la tua organizzazione a rilevare, analizzare e rispondere alle minacce alla sicurezza. Per esportare gli eventi dei log in Google SecOps, devi utilizzare la Console di amministrazione Google per collegare Google Workspace a Google SecOps.
Una volta stabilita la connessione a Google SecOps, gli eventi dei log vengono esportati continuamente in Google SecOps, dove puoi gestire i rischi legati agli addetti ai lavori. Per gestire i rischi, utilizzi regole che generano rilevamenti e avvisi, utili per identificare comportamenti rischiosi e anomalie degli utenti relativi all'accesso e all'esfiltrazione dei dati. Scopri di più su Google SecOps.
Dopo aver esportato gli eventi dei log
Dopo che i dati sono stati esportati in Google SecOps, puoi accedere al tuo account Google SecOps per:
- Cercare qualsiasi elemento negli eventi dei log, come nomi utente, indirizzi IP ed eventi di accesso.
- Visualizzare tutti gli avvisi e gli indicatori di compromissione (IOC) che interessano attualmente la tua organizzazione.
- Analizzare tutti gli avvisi.
Prima di iniziare
- Assicurati di avere un account Google SecOps. Se hai bisogno di un account, contatta un esperto delle vendite di Google Cloud.
- Per collegare Google Workspace a Google SecOps, devi disporre dei privilegi di super amministratore.
Collegarsi a Google SecOps per esportare gli eventi dei log
-
Nella Console di amministrazione Google, vai a Menu
Report
Integrazioni dei dati (o BigQuery Export per gli amministratori della scuola, che apre la pagina Integrazioni dei dati).È necessario disporre del privilegio di amministratore Report.
- Vai a Esportazione di Google Security Operations e fai clic su Modifica
. - Segui i passaggi per:
- Copia l'ID cliente dalla pagina Profilo della tua organizzazione.
- Vai a Google Security Operations e fai clic su Impostazioni
Google Workspace. Inserisci il tuo ID cliente Google Workspace e fai clic su Genera token.
- Copia il token e l'ID istanza Google Security Operations. L'ID istanza corrisponde al tuo ID cliente.
- Torna alla pagina Collegati a Google Security Operations nella Console di amministrazione e inserisci il token e l'ID istanza.
- Fai clic su Connetti.
Potrebbero essere necessarie fino a 24 ore prima che i dati vengano esportati in Google SecOps. Dopodiché, gli eventi dei log della tua organizzazione vengono esportati continuamente in Google SecOps.
Se viene visualizzato un messaggio che indica che non è stato possibile stabilire una connessione, verifica innanzitutto che il token Google SecOps e l'ID istanza siano corretti. In questo caso, prova a collegarti di nuovo a Google SecOps dopo qualche minuto. Se non riesci ancora a connetterti, contatta l'assistenza Google Workspace.
Scollegarsi da Google SecOps
Se non vuoi più esportare gli eventi dei log in Google SecOps, puoi scollegare l'account Google Workspace della tua organizzazione da Google SecOps.
Nota:quando ti disconnetti da Google SecOps, gli eventi dei log non vengono eliminati automaticamente da Google SecOps. Utilizza Google SecOps per eliminare gli eventi dei log.
-
Nella Console di amministrazione Google, vai a Menu
Report
Integrazioni dei dati (o BigQuery Export per gli amministratori della scuola, che apre la pagina Integrazioni dei dati).È necessario disporre del privilegio di amministratore Report.
- Vai a Esportazione in Google Security Operations e fai clic su Disconnettiti da Google Security Operations.
Domande frequenti
Quali eventi dei log vengono esportati in Google SecOps?
Di seguito sono riportati i dati principali sugli eventi dei log supportati:
- Amministratori
- Chrome
- Classroom
- Cloud Search
- Esportazione dei dati (amministratore)
- Data Studio
- Dispositivi
- Gmail
- Google Calendar
- Google Chat
- Google Drive
- Google Gruppi
- Google Groups for Business
- Google Keep
- Google Meet
- Google Takeout
- Google Voice
- Accedi
- OAuth
- Regole
- SAML
- Utenti
Posso selezionare gli eventi dei log da esportare in Google SecOps?
No, tutti gli eventi dei log supportati vengono esportati in Google SecOps.
Quando posso utilizzare i dati sugli eventi dei log dopo aver eseguito l'accesso nella Console di amministrazione?
Una volta creati, i dati sugli eventi del log vengono trasmessi a Google SecOps.
Nota:per informazioni sul tempo necessario prima che i dati siano disponibili per gli eventi del log, vedi Conservazione dei dati e tempi di attesa.
Vengono esportati anche gli eventi dei log creati prima della connessione a Google SecOps?
No, vengono esportati solo gli eventi dei log creati nella Console di amministrazione dopo il collegamento a Google SecOps.
Gli eventi dei log esportati vengono convertiti in un formato diverso in Google SecOps?
Sì, Google SecOps converte tutti gli eventi di log esportati in un formato UDM (Unified Data Format), il che consente a Google SecOps di eseguire query e regole complesse sui tuoi dati.
Quali regole posso utilizzare in Google SecOps per eseguire la gestione dei rischi?
Google SecOps fornisce regole predefinite, chiamate Set di regole di Google SecOps che puoi attivare singolarmente per rilevare minacce alla tua organizzazione. Queste regole generano rilevamenti, alcuni dei quali potrebbero essere avvisi, con punteggi di rischio. I set di regole di Google Workspace in Google SecOps ti aiutano a esaminare i rischi legati agli addetti ai lavori e l'esfiltrazione di dati. Scopri di più sui set di regole.
È previsto un costo per esportare i dati sugli eventi dei log in Google SecOps?
Se utilizzi la funzionalità di esportazione, si applicano i termini e i prezzi standard di Google SecOps. Per maggiori dettagli, contatta il tuo rappresentante di vendita.
La funzionalità di esportazione di Google SecOps è coperta dai Termini di servizio di Google Workspace?
No, la funzionalità di esportazione di Google SecOps è coperta dal contratto di servizio SecOps.