Bạn có thể xuất các sự kiện trong nhật ký Google Workspace sang Google Security Operations (Google SecOps), một nền tảng phân tích bảo mật giúp tổ chức của bạn phát hiện, điều tra và ứng phó với các mối đe doạ bảo mật. Để xuất các sự kiện nhật ký sang Google SecOps, bạn cần sử dụng Bảng điều khiển dành cho quản trị viên của Google để kết nối Google Workspace với Google SecOps.
Sau khi kết nối với Google SecOps, các sự kiện nhật ký của bạn sẽ liên tục được xuất sang Google SecOps, nơi bạn có thể quản lý rủi ro nội bộ. Để quản lý rủi ro, bạn sử dụng các quy tắc tạo ra thông tin phát hiện và cảnh báo giúp bạn xác định hành vi rủi ro của người dùng và các điểm bất thường liên quan đến việc truy cập và đánh cắp dữ liệu. Tìm hiểu thêm về Google SecOps.
Sau khi bạn xuất sự kiện trong nhật ký
Sau khi xuất dữ liệu sang Google SecOps, bạn có thể đăng nhập vào tài khoản Google SecOps của mình để:
- Tìm kiếm mọi phần tử trong sự kiện nhật ký, chẳng hạn như tên người dùng, địa chỉ IP và sự kiện đăng nhập.
- Xem tất cả các cảnh báo và Chỉ báo xâm nhập (IOC) hiện đang ảnh hưởng đến tổ chức của bạn.
- Phân tích mọi cảnh báo.
Trước khi bắt đầu
- Đảm bảo bạn có tài khoản Google SecOps. Nếu bạn cần có tài khoản, hãy liên hệ với một chuyên viên bán hàng của Google Cloud.
- Bạn cần có đặc quyền quản trị viên cấp cao để kết nối Google Workspace với Google SecOps.
Kết nối với Google SecOps để xuất các sự kiện nhật ký
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn
Báo cáo
Tích hợp dữ liệu (hoặc Xuất dữ liệu BigQuery đối với quản trị viên của Education, thao tác này sẽ mở trang Tích hợp dữ liệu).Bạn phải có đặc quyền của quản trị viên đối với Báo cáo.
- Chuyển đến mục Xuất dữ liệu sang Google Security Operations, rồi nhấp vào biểu tượng Chỉnh sửa
. - Làm theo các bước để:
- Sao chép Mã khách hàng trên trang Hồ sơ của tổ chức.
- Chuyển đến Google Security Operations rồi nhấp vào Cài đặt
Google Workspace. Nhập mã khách hàng Google Workspace rồi nhấp vào Tạo mã thông báo.
- Sao chép Mã thông báo và mã thực thể Google Security Operations. (Mã phiên bản của bạn giống với mã khách hàng.)
- Quay lại trang Kết nối với Google Security Operations trong Bảng điều khiển dành cho quản trị viên rồi nhập Mã thông báo và Mã thực thể.
- Nhấp vào Kết nối.
Có thể mất đến 24 giờ để dữ liệu được xuất sang Google SecOps. Sau đó, các sự kiện trong nhật ký của tổ chức bạn sẽ liên tục được xuất sang Google SecOps.
Nếu bạn thấy thông báo cho biết không thể thiết lập kết nối, trước tiên, hãy kiểm tra xem mã thông báo Google SecOps và mã nhận dạng phiên bản có chính xác hay không. Nếu có, hãy thử kết nối lại với Google SecOps sau vài phút. Nếu bạn vẫn không kết nối được, hãy liên hệ với nhóm hỗ trợ Google Workspace.
Ngắt kết nối khỏi Google SecOps
Nếu không muốn xuất các sự kiện nhật ký sang Google SecOps nữa, bạn có thể ngắt kết nối tài khoản Google Workspace của tổ chức với Google SecOps.
Lưu ý: Khi bạn ngắt kết nối với Google SecOps, các sự kiện nhật ký của bạn sẽ không tự động bị xoá khỏi Google SecOps. Sử dụng Google SecOps để xoá các sự kiện nhật ký.
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn
Báo cáo
Tích hợp dữ liệu (hoặc Xuất dữ liệu BigQuery đối với quản trị viên của Education, thao tác này sẽ mở trang Tích hợp dữ liệu).Bạn phải có đặc quyền của quản trị viên đối với Báo cáo.
- Chuyển đến phần Xuất dữ liệu sang Google Security Operations rồi nhấp vào Ngắt kết nối khỏi Google Security Operations.
Câu hỏi thường gặp
Những sự kiện nhật ký nào được xuất sang Google SecOps?
Sau đây là dữ liệu sự kiện nhật ký chính được hỗ trợ:
- Quản trị viên
- Chrome
- Lớp học
- Cloud Search
- Xuất dữ liệu (quản trị viên)
- Data Studio
- Thiết bị
- Gmail
- Lịch Google
- Google Chat
- Google Drive
- Google Groups
- Google Groups for Business
- Google Keep
- Google Meet
- Google Takeout
- Google Voice
- Đăng nhập
- OAuth
- Quy tắc
- SAML
- Người dùng
Tôi có thể chọn những sự kiện nhật ký cần xuất sang Google SecOps không?
Không, tất cả sự kiện nhật ký được hỗ trợ đều được xuất sang Google SecOps.
Khi nào tôi có thể sử dụng dữ liệu sự kiện trong nhật ký sau khi dữ liệu đó được ghi lại trong Bảng điều khiển dành cho quản trị viên?
Sau khi dữ liệu sự kiện nhật ký được tạo, dữ liệu đó sẽ được truyền trực tuyến đến Google SecOps.
Lưu ý: Để biết thông tin về khoảng thời gian có thể mất trước khi dữ liệu có sẵn cho các sự kiện trong nhật ký, hãy xem phần Thời gian lưu giữ dữ liệu và độ trễ.
Các sự kiện nhật ký được tạo trước khi tôi kết nối với Google SecOps có được xuất không?
Không, chỉ những sự kiện trong nhật ký được tạo trong Bảng điều khiển dành cho quản trị viên sau khi bạn kết nối với Google SecOps mới được xuất.
Các sự kiện trong nhật ký được xuất có được chuyển đổi sang một định dạng khác trong Google SecOps không?
Có. Google SecOps chuyển đổi tất cả sự kiện nhật ký đã xuất sang Định dạng dữ liệu hợp nhất (UDM). Nhờ đó, Google SecOps có thể chạy các truy vấn và quy tắc phức tạp dựa trên dữ liệu của bạn.
Tôi có thể sử dụng những quy tắc nào trong Google SecOps để quản lý rủi ro?
Google SecOps cung cấp các quy tắc được tạo sẵn (gọi là Bộ quy tắc Google SecOps) mà bạn có thể bật riêng lẻ để phát hiện các mối đe doạ đối với tổ chức của mình. Các quy tắc này tạo ra thông tin phát hiện, một số thông tin có thể là cảnh báo, kèm theo điểm số rủi ro. Bộ quy tắc Google Workspace trong Google SecOps giúp bạn điều tra rủi ro nội bộ và hành vi đánh cắp dữ liệu. Tìm hiểu thêm về Nhóm quy tắc.
Có mất phí khi xuất dữ liệu sự kiện nhật ký sang Google SecOps không?
Nếu bạn sử dụng tính năng xuất, các điều khoản và mức giá tiêu chuẩn của Google SecOps sẽ được áp dụng. Để biết thông tin chi tiết, hãy liên hệ với người đại diện bán hàng của bạn.
Tính năng xuất dữ liệu của Google SecOps có thuộc phạm vi điều chỉnh của Điều khoản dịch vụ của Google Workspace không?
Không, tính năng xuất dữ liệu của Google SecOps chịu sự điều chỉnh của Thoả thuận dịch vụ của SecOps.