Вы можете экспортировать события журналов Google Workspace в Google Security Operations (Google SecOps) — платформу анализа безопасности, которая помогает вашей организации обнаруживать, расследовать и реагировать на угрозы безопасности. Для экспорта событий журналов в Google SecOps необходимо использовать консоль администратора Google для подключения Google Workspace к Google SecOps.
После подключения к Google SecOps ваши журналы событий постоянно экспортируются в Google SecOps, где вы можете управлять внутренними рисками. Для управления рисками вы используете правила, которые генерируют обнаружения и оповещения, помогающие выявлять рискованное поведение пользователей и аномалии, связанные с доступом к данным и их утечкой. Узнайте больше о Google SecOps .
После экспорта событий журнала
После экспорта данных в Google SecOps вы можете войти в свою учетную запись Google SecOps, чтобы:
- Найдите в журналах событий любой элемент, например, имена пользователей, IP-адреса и события входа в систему.
- Просмотрите все оповещения и индикаторы компрометации (IOC), которые в настоящее время влияют на вашу организацию.
- Проанализируйте любое из оповещений.
Прежде чем начать
- Убедитесь, что у вас есть учетная запись Google SecOps. Если вам нужна учетная запись, свяжитесь со специалистом по продажам Google Cloud .
- Для подключения Google Workspace к Google SecOps необходимы права суперадминистратора.
Подключитесь к Google SecOps для экспорта событий журнала.
В консоли администратора Google перейдите в меню.
Отчетность Интеграция данных (или экспорт в Big Query для администраторов образовательных учреждений, который открывает страницу интеграции данных).Для этого требуются права администратора отчетов .
- Перейдите в раздел «Экспорт данных операций безопасности Google» и нажмите «Редактировать».
. - Выполните следующие шаги:
- Скопируйте идентификатор клиента со страницы профиля вашей организации.
- Перейдите в раздел «Операции безопасности Google» и нажмите «Настройки» . Google Workspace . Введите свой идентификатор клиента Google Workspace и нажмите «Сгенерировать токен» .
- Скопируйте токен и идентификатор вашего экземпляра Google Security Operations . (Идентификатор вашего экземпляра совпадает с идентификатором клиента.)
- Вернитесь на страницу «Подключение к операциям безопасности Google» в консоли администратора и введите токен и идентификатор экземпляра .
- Нажмите «Подключиться» .
Экспорт данных в Google SecOps может занять до 24 часов. После этого журналы событий вашей организации будут непрерывно экспортироваться в Google SecOps.
Если вы видите сообщение о том, что соединение не удалось установить, сначала проверьте правильность токена Google SecOps и идентификатора экземпляра. Если они верны, попробуйте подключиться к Google SecOps снова через несколько минут. Если подключение по-прежнему не удается, обратитесь в службу поддержки Google Workspace .
Отключитесь от Google SecOps
Если вы больше не хотите экспортировать события журналов в Google SecOps, вы можете отключить учетную запись Google Workspace вашей организации от Google SecOps.
Примечание: При отключении от Google SecOps ваши события журнала не удаляются автоматически из Google SecOps. Для удаления событий журнала используйте Google SecOps.
В консоли администратора Google перейдите в меню.
Отчетность Интеграция данных (или экспорт в Big Query для администраторов образовательных учреждений, который открывает страницу интеграции данных).Для этого требуются права администратора отчетов .
- Перейдите в раздел «Экспорт данных Google Security Operations» и нажмите « Отключиться от Google Security Operations» .
Часто задаваемые вопросы
Какие события из журналов экспортируются в Google SecOps?
Ниже перечислены основные данные событий журнала, которые поддерживаются:
- Администраторы
- Хром
- Классная комната
- Облачный поиск
- Экспорт данных (администратор)
- Data Studio
- Устройства
- Гмайл
- Календарь Google
- Google Чат
- Google Диск
- Google Группы
- Google Groups для бизнеса
- Google Keep
- Google Meet
- Google Takeout
- Google Голос
- Авторизоваться
- OAuth
- Правила
- SAML
- Пользователи
Могу ли я выбрать, какие события журнала экспортировать в Google SecOps?
Нет, все поддерживаемые события журналов экспортируются в Google SecOps.
Когда можно использовать данные событий журнала после их регистрации в консоли администратора?
После создания данных журнала событий они передаются в Google SecOps.
Примечание: Информацию о том, сколько времени может потребоваться до получения данных о событиях журнала, см. в разделе «Хранение данных и задержки» .
Экспортируются ли также события журналов, созданные до подключения к Google SecOps?
Нет, экспортируются только события журнала, созданные в консоли администратора после подключения к Google SecOps.
Преобразуются ли экспортированные события журналов в другой формат в Google SecOps?
Да, Google SecOps преобразует все экспортированные события журналов в унифицированный формат данных (UDM), что позволяет Google SecOps выполнять сложные запросы и правила к вашим данным.
Какие правила можно использовать в Google SecOps для управления рисками?
Google SecOps предоставляет предварительно созданные правила, называемые наборами правил Google SecOps, которые можно включать по отдельности для обнаружения угроз вашей организации. Эти правила генерируют обнаружения, некоторые из которых могут быть оповещениями, с оценками риска. Наборы правил Google Workspace в Google SecOps помогают расследовать внутренние риски и утечку данных. Узнайте больше о наборах правил .
Взимается ли плата за экспорт данных журналов событий в Google SecOps?
При использовании функции экспорта действуют стандартные условия и цены Google SecOps. Для получения более подробной информации обратитесь к своему торговому представителю.
Распространяются ли условия использования Google Workspace на функцию экспорта данных из Google SecOps?
Нет, функция экспорта данных из Google SecOps регулируется Соглашением об оказании услуг SecOps .