Zdarzenia z dziennika Google Workspace możesz eksportować do Google Security Operations (Google SecOps) – platformy do analizy zabezpieczeń, która ułatwia organizacji wykrywanie i analizowanie zagrożeń bezpieczeństwa oraz reagowanie na nie. Aby wyeksportować zdarzenia z dziennika do Google SecOps, musisz połączyć Google Workspace z Google SecOps za pomocą konsoli administracyjnej Google.
Gdy połączysz się z Google SecOps, zdarzenia z dziennika będą tam stale eksportowane. W Google SecOps możesz zarządzać ryzykiem nieupoważnionego dostępu. Do zarządzania ryzykiem służą reguły generujące operacje wykrywania i alerty ułatwiające wykrywanie ryzykownych zachowań użytkowników i anomalii związanych z dostępem do danych i ich wydobyciem. Więcej informacji o Google SecOps
Po wyeksportowaniu zdarzeń z dziennika
Po wyeksportowaniu danych do Google SecOps możesz zalogować się na konto Google SecOps, aby:
- wyszukać w zdarzeniach z dziennika dowolne elementy, takie jak nazwy użytkowników, adresy IP czy zdarzenia logowania;
- sprawdzić wszystkie alerty i wskaźniki włamań (IOC), które mają obecnie wpływ na Twoją organizację;
- przeanalizować dowolne alerty.
Zanim zaczniesz
- Sprawdź, czy masz konto Google SecOps. Jeśli potrzebujesz konta, skontaktuj się ze specjalistą ds. sprzedaży Google Cloud.
- Aby połączyć Google Workspace z Google SecOps, musisz mieć uprawnienia superadministratora.
Łączenie się z Google SecOps w celu eksportowania zdarzeń z dziennika
-
W konsoli administracyjnej Google otwórz Menu
Raportowanie
Integracje danych (lub Eksportowanie danych z BigQuery w przypadku administratorów szkół i uczelni, co otwiera stronę Integracje danych).Wymaga uprawnień administratora Raporty.
- Przejdź do eksportu Google Security Operations i kliknij Edytuj
. - Wykonaj te czynności:
- Skopiuj identyfikator klienta ze strony Profil organizacji.
- Otwórz Google Security Operations i kliknij Ustawienia Google Workspace. Wpisz identyfikator klienta Google Workspace i kliknij Generate Token (Wygeneruj token).
- Skopiuj zawartość pól Token i Identyfikator instancji Google Security Operations. (identyfikator instancji jest taki sam jak identyfikator klienta).
- Wróć na stronę Połącz się z Google Security Operations w konsoli administracyjnej i wpisz token oraz identyfikator instancji.
- Kliknij Połącz.
Wyeksportowanie danych do Google SecOps może potrwać do 24 godzin. Po tym czasie zdarzenia z dziennika organizacji będą stale eksportowane do Google SecOps.
Jeśli zobaczysz komunikat, że nie udało się nawiązać połączenia, najpierw sprawdź, czy token i identyfikator instancji Google SecOps są prawidłowe. Jeśli tak, spróbuj ponownie połączyć się z Google SecOps po kilku minutach. Jeśli nadal nie możesz się połączyć, skontaktuj się z zespołem pomocy Google Workspace.
Odłączanie od Google SecOps
Jeśli nie chcesz już eksportować zdarzeń z dziennika do Google SecOps, możesz odłączyć konto Google Workspace swojej organizacji od Google SecOps.
Uwaga: po odłączeniu od Google SecOps zdarzenia z dziennika nie zostaną automatycznie usunięte z Google SecOps. Aby usunąć zdarzenia z dziennika, użyj Google SecOps.
-
W konsoli administracyjnej Google otwórz Menu
Raportowanie
Integracje danych (lub Eksportowanie danych z BigQuery w przypadku administratorów szkół i uczelni, co otwiera stronę Integracje danych).Wymaga uprawnień administratora Raporty.
- Otwórz Eksportowanie danych Google Security Operations i kliknij Odłącz się od Google Security Operations.
Najczęstsze pytania
Jakie zdarzenia z dziennika są eksportowane do Google SecOps?
Obsługiwane są te kluczowe dane zdarzenia z dziennika:
- Administratorzy
- Chrome
- Classroom
- Cloud Search
- Eksportowanie danych (administrator)
- Studio danych
- Urządzenia
- Gmail
- Kalendarz Google
- Google Chat
- Dysk Google
- Grupy dyskusyjne Google
- Grupy dyskusyjne Google dla Firm
- Google Keep
- Google Meet
- Google Takeout
- Google Voice
- Zaloguj się
- OAuth
- Reguły
- SAML
- Użytkownicy
Czy mogę wybrać zdarzenia z dziennika do wyeksportowania do Google SecOps?
Nie. Do Google SecOps są eksportowane wszystkie obsługiwane zdarzenia z dziennika.
Kiedy mogę używać danych zdarzeń z dziennika po ich zarejestrowaniu w konsoli administracyjnej?
Po utworzeniu danych zdarzenia z dziennika są one przesyłane strumieniowo do Google SecOps.
Uwaga: informacje o tym, po jakim czasie mogą być dostępne dane zdarzeń z dziennika, znajdziesz w artykule Czas przechowywania danych i opóźnienia.
Czy zdarzenia z dziennika utworzone przed połączeniem się z Google SecOps również są eksportowane?
Nie. Eksportowane są tylko zdarzenia z dziennika utworzone w konsoli administracyjnej po połączeniu się z Google SecOps.
Czy wyeksportowane zdarzenia z dziennika są konwertowane na inny format w Google SecOps?
Tak. Google SecOps konwertuje wszystkie wyeksportowane zdarzenia z dziennika na Unified Data Format (UDM), dzięki czemu może uruchamiać złożone zapytania i reguły dotyczące danych.
Jakich reguł mogę używać w Google SecOps do zarządzania ryzykiem?
Google SecOps udostępnia gotowe reguły o nazwie Google SecOps Rule Sets (Zestawy reguł Google SecOps), które możesz włączać pojedynczo w celu wykrywania zagrożeń dla organizacji. Reguły te generują operacje wykrywania, np. alerty z oceną ryzyka. Zestawy reguł Google Workspace w Google SecOps pomagają analizować ryzyko nieupoważnionego dostępu i wydobycia danych. Więcej informacji o zestawach reguł
Czy wyeksportowanie danych zdarzenia z dziennika do Google SecOps jest płatne?
Jeśli korzystasz z funkcji eksportu, obowiązują standardowe warunki i ceny Google SecOps. Aby uzyskać więcej informacji, skontaktuj się z przedstawicielem handlowym.
Czy funkcja eksportowania do Google SecOps jest objęta Warunkami korzystania z usługi Google Workspace?
Nie. Funkcja eksportowania do Google SecOps jest objęta umową o świadczenie usług SecOps.