ส่งออกเหตุการณ์บันทึกไปยังส่วนการรักษาความปลอดภัยของ Google เพื่อตรวจสอบความเสี่ยงจากบุคคลภายใน

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ

คุณสามารถส่งออกเหตุการณ์ในบันทึกของ Google Workspace ไปยังส่วนการรักษาความปลอดภัยของ Google (Google SecOps) ซึ่งเป็นแพลตฟอร์มการวิเคราะห์ความปลอดภัยที่จะช่วยให้องค์กรตรวจจับ ตรวจสอบ และตอบสนองต่อภัยคุกคามด้านความปลอดภัยได้ หากต้องการส่งออกเหตุการณ์ในบันทึกไปยัง Google SecOps คุณต้องใช้คอนโซลผู้ดูแลระบบของ Google เพื่อเชื่อมต่อ Google Workspace กับ Google SecOps

เมื่อเชื่อมต่อกับ Google SecOps แล้ว ระบบจะส่งออกเหตุการณ์ในบันทึกไปยัง Google SecOps อย่างต่อเนื่องเพื่อให้คุณจัดการความเสี่ยงจากบุคคลภายในได้ โดยวิธีจัดการความเสี่ยงคือให้ใช้กฎที่สร้างการตรวจจับและการแจ้งเตือน ซึ่งจะช่วยให้คุณระบุพฤติกรรมและความผิดปกติของผู้ใช้ที่มีความเสี่ยงซึ่งเกี่ยวข้องกับการเข้าถึงและการขโมยข้อมูล ดูข้อมูลเพิ่มเติมเกี่ยวกับ Google SecOps

หลังจากส่งออกเหตุการณ์บันทึกแล้ว

หลังจากส่งออกข้อมูลไปยัง Google SecOps แล้ว คุณสามารถลงชื่อเข้าใช้บัญชี Google SecOps เพื่อดำเนินการต่อไปนี้

  • ค้นหาองค์ประกอบใดก็ได้ในเหตุการณ์ในบันทึก เช่น ชื่อผู้ใช้ ที่อยู่ IP และเหตุการณ์การลงชื่อเข้าใช้
  • ดูการแจ้งเตือนและตัวบ่งชี้ถึงการถูกบุกรุก (IOC) ทั้งหมดที่มีผลกับองค์กรของคุณในปัจจุบัน
  • วิเคราะห์การแจ้งเตือนต่างๆ

ก่อนเริ่มต้น

  • ตรวจสอบว่าคุณมีบัญชี Google SecOps หากต้องการเปิดบัญชี โปรดติดต่อผู้เชี่ยวชาญจากฝ่ายขายของ Google Cloud
  • คุณต้องมีสิทธิ์ของผู้ดูแลระบบขั้นสูงจึงจะเชื่อมต่อ Google Workspace กับ Google SecOps ได้

เชื่อมต่อกับ Google SecOps เพื่อส่งออกเหตุการณ์ในบันทึก

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น การรายงาน จากนั้นการผสานรวมข้อมูล (หรือ BigQuery Export สำหรับผู้ดูแลระบบด้านการศึกษา ซึ่งจะเปิดหน้าการผสานรวมข้อมูล)

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับรายงาน

  2. ไปที่การส่งออกของส่วนการรักษาความปลอดภัยของ Google แล้วคลิกแก้ไข
  3. ทำตามขั้นตอนต่อไปนี้
    1. คัดลอกรหัสลูกค้าจากหน้าโปรไฟล์ขององค์กร
    2. ไปที่ส่วนการรักษาความปลอดภัยของ Google แล้วคลิกการตั้งค่า จากนั้นGoogle Workspace ป้อนรหัสลูกค้า Google Workspace แล้วคลิกสร้างโทเค็น
    3. คัดลอกโทเค็นและรหัสอินสแตนซ์ของส่วนการรักษาความปลอดภัยของ Google (รหัสอินสแตนซ์จะเหมือนกับรหัสลูกค้า)
    4. กลับไปที่หน้าเชื่อมต่อกับส่วนการรักษาความปลอดภัยของ Google ในคอนโซลผู้ดูแลระบบ แล้วป้อนโทเค็นและรหัสอินสแตนซ์
  4. คลิกเชื่อมต่อ

ระบบอาจใช้เวลาถึง 24 ชั่วโมงจึงจะส่งออกข้อมูลไปยัง Google SecOps หลังจากนั้นระบบจะส่งออกเหตุการณ์ในบันทึกขององค์กรไปยัง Google SecOps อย่างต่อเนื่อง

หากพบข้อความที่ระบุว่าสร้างการเชื่อมต่อไม่ได้ ให้ตรวจสอบก่อนว่าโทเค็นและรหัสอินสแตนซ์ของ Google SecOps ถูกต้องหรือไม่ หากถูกต้อง ให้ลองเชื่อมต่อกับ Google SecOps อีกครั้งในอีกสักครู่ หากยังเชื่อมต่อไม่ได้ โปรดติดต่อทีมสนับสนุนของ Google Workspace

ยกเลิกการเชื่อมต่อกับ Google SecOps

หากไม่ต้องการส่งออกเหตุการณ์บันทึกไปยัง Google SecOps อีกต่อไป คุณสามารถยกเลิกการเชื่อมต่อบัญชี Google Workspace ขององค์กรกับ Google SecOps ได้

หมายเหตุ: เมื่อยกเลิกการเชื่อมต่อจาก Google SecOps ระบบจะไม่ลบเหตุการณ์ในบันทึกออกจาก Google SecOps โดยอัตโนมัติ ใช้ Google SecOps เพื่อลบเหตุการณ์ในบันทึก

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น การรายงาน จากนั้นการผสานรวมข้อมูล (หรือ BigQuery Export สำหรับผู้ดูแลระบบด้านการศึกษา ซึ่งจะเปิดหน้าการผสานรวมข้อมูล)

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับรายงาน

  2. ไปที่การส่งออกของส่วนการรักษาความปลอดภัยของ Google แล้วคลิกยกเลิกการเชื่อมต่อกับส่วนการรักษาความปลอดภัยของ Google

คำถามที่พบบ่อย

ระบบจะส่งออกเหตุการณ์ในบันทึกรายการใดบ้างไปยัง Google SecOps

ระบบรองรับข้อมูลเหตุการณ์ในบันทึกที่สำคัญต่อไปนี้

  • ผู้ดูแลระบบ
  • Chrome
  • Classroom
  • Cloud Search
  • การส่งออกข้อมูล (ผู้ดูแลระบบ)
  • Data Studio
  • อุปกรณ์
  • Gmail
  • Google ปฏิทิน
  • Google Chat
  • Google ไดรฟ์
  • Google Groups
  • Google Groups สำหรับธุรกิจ
  • Google Keep
  • Google Meet
  • Google Takeout
  • Google Voice
  • การเข้าสู่ระบบ
  • OAuth
  • กฎ
  • SAML
  • ผู้ใช้

ฉันสามารถเลือกเหตุการณ์ในบันทึกที่จะส่งออกไปยัง Google SecOps ได้ไหม

ไม่ ระบบจะส่งออกเหตุการณ์ในบันทึกที่รองรับทั้งหมดไปยัง Google SecOps

ฉันจะใช้ข้อมูลเหตุการณ์ในบันทึกได้เมื่อใดหลังจากระบบบันทึกข้อมูลดังกล่าวลงในคอนโซลผู้ดูแลระบบแล้ว

เมื่อสร้างข้อมูลเหตุการณ์ในบันทึกแล้ว ระบบจะสตรีมข้อมูลดังกล่าวไปที่ Google SecOps

หมายเหตุ: โปรดดูระยะเวลาก่อนที่ข้อมูลสำหรับเหตุการณ์ในบันทึกจะใช้งานได้ที่หัวข้อการเก็บรักษาข้อมูลและเวลาล่าช้า

เหตุการณ์ในบันทึกที่สร้างไว้ก่อนเชื่อมต่อกับ Google SecOps จะได้รับการส่งออกด้วยไหม

ไม่ ระบบจะส่งออกเฉพาะเหตุการณ์ในบันทึกที่สร้างในคอนโซลผู้ดูแลระบบหลังจากที่คุณเชื่อมต่อกับ Google SecOps แล้วเท่านั้น

เหตุการณ์ในบันทึกที่ส่งออกจะได้รับการแปลงเป็นรูปแบบอื่นใน Google SecOps ไหม

ใช่ Google SecOps จะแปลงเหตุการณ์ในบันทึกที่ส่งออกทั้งหมดเป็นรูปแบบ Unified Data Format (UDM) ซึ่งช่วยให้ Google SecOps เรียกใช้การค้นหาและกฎที่ซับซ้อนกับข้อมูลของคุณได้

ฉันสามารถใช้กฎใดใน Google SecOps ได้เพื่อดำเนินการจัดการความเสี่ยง

Google SecOps มีกฎที่สร้างไว้ล่วงหน้าที่เรียกว่า "ชุดกฎ SecOps ของ Google" ซึ่งคุณสามารถเปิดใช้แต่ละรายการเพื่อตรวจหาภัยคุกคามต่อองค์กร โดยกฎดังกล่าวจะสร้างการตรวจจับ บางรายการอาจเป็นการแจ้งเตือนที่ระบุคะแนนความเสี่ยง ชุดกฎของ Google Workspace ใน Google SecOps จะช่วยคุณตรวจสอบความเสี่ยงจากบุคคลภายในและการขโมยข้อมูล ดูข้อมูลเพิ่มเติมเกี่ยวกับชุดกฎ

การส่งออกข้อมูลเหตุการณ์ในบันทึกไปยัง Google SecOps มีค่าใช้จ่ายไหม

การใช้ฟีเจอร์การส่งออกจะเป็นไปตามข้อกำหนดและราคามาตรฐานของ Google SecOps โปรดติดต่อตัวแทนฝ่ายขายเพื่อขอทราบรายละเอียด

ฟีเจอร์การส่งออกของ Google SecOps อยู่ภายใต้ข้อกำหนดในการให้บริการของ Google Workspace ไหม

ไม่ ฟีเจอร์การส่งออกของ Google SecOps อยู่ภายใต้ข้อตกลงการให้บริการของ SecOps