将日志事件导出至 Google Security Operations,以监控内部人员外泄风险

支持此功能的版本:一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版。 对比版本

您可以将 Google Workspace 日志事件导出到 Google Security Operations (Google SecOps),这是一个安全分析平台,可帮助贵组织检测、调查和应对安全威胁。如需将日志事件导出到 Google SecOps,您需要使用 Google 管理控制台将 Google Workspace 连接到 Google SecOps。

连接到 Google SecOps 后,您的日志事件会持续导出到 Google SecOps,您可以在其中管理内部人员外泄风险。为了管理风险,您可以使用规则生成检测和提醒,以帮助您识别与数据访问和渗漏相关的有风险的用户行为和异常情况。详细了解 Google SecOps

导出日志事件后

将数据导出到 Google SecOps 后,您可以登录 Google SecOps 账号执行以下操作:

  • 在日志事件中搜索任何元素,例如用户名、IP 地址和登录事件。
  • 查看目前影响您组织的所有提醒和失陷指标 (IOC)。
  • 分析任何提醒。

准备工作

  • 确保您拥有 Google SecOps 账号。如果您需要账号,请联系 Google Cloud 销售专员
  • 您需要拥有超级用户权限才能将 Google Workspace 连接到 Google SecOps。

连接到 Google SecOps 以导出日志事件

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后数据集成(对于教育机构管理员,请点击 BigQuery Export,这会打开“数据集成”页面)。

    需要拥有“报告”管理员权限。

  2. 前往 Google Security Operations 导出,然后点击“修改”图标
  3. 请按以下步骤操作:
    1. 从您组织的个人资料页面复制客户 ID
    2. 前往 Google Security Operations,然后依次点击设置 然后Google Workspace。输入您的 Google Workspace 客户 ID,然后点击生成令牌
    3. 复制令牌Google Security Operations 实例 ID。(您的实例 ID 与客户 ID 相同。)
    4. 返回管理控制台中的连接到 Google Security Operations 页面,然后输入令牌实例 ID
  4. 点击连接

数据最长可能需要 24 小时才能导出到 Google SecOps。之后,您组织的日志事件会持续导出到 Google SecOps。

如果您看到一条消息,提示无法建立连接,请先检查 Google SecOps 令牌和实例 ID 是否正确。如果正确,请在几分钟后尝试再次连接到 Google SecOps。如果您仍然无法连接,请与 Google Workspace 支持团队联系

断开与 Google SecOps 的连接

如果您不想再将日志事件导出到 Google SecOps,可以断开您组织的 Google Workspace 账号与 Google SecOps 的连接。

注意:断开与 Google SecOps 的连接后,您的日志事件不会自动从 Google SecOps 中删除。使用 Google SecOps 删除日志事件。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后数据集成(对于教育机构管理员,请点击 BigQuery Export,这会打开“数据集成”页面)。

    需要拥有“报告”管理员权限。

  2. 前往 Google Security Operations 导出,然后点击断开与 Google Security Operations 的连接

常见问题解答

哪些日志事件会导出到 Google SecOps?

以下是支持的主要日志事件数据:

  • 管理员
  • Chrome
  • 课堂
  • Cloud Search
  • 数据导出(管理员)
  • 数据洞察
  • 设备
  • Gmail
  • Google 日历
  • Google Chat
  • Google 云端硬盘
  • Google 群组
  • Google 群组企业版
  • Google Keep
  • Google Meet
  • Google Takeout
  • Google Voice
  • 登录
  • OAuth
  • 规则
  • SAML
  • 用户

我可以选择要将哪些日志事件导出到 Google SecOps 吗?

不会,所有受支持的日志事件都会导出到 Google SecOps。

日志事件数据在管理控制台中记录后,我何时可以使用这些数据?

日志事件数据创建后,会流式传输到 Google SecOps。

注意:如需了解需要等待多长时间才能使用日志事件的数据,请参阅数据保留和延迟时间

系统是否也会导出我在连接到 Google SecOps 之前创建的日志事件?

不会,系统只会导出您在连接到 Google SecOps 后在管理控制台中创建的日志事件。

导出的日志事件在 Google SecOps 中是否转换为其他格式?

会,Google SecOps 会将所有导出的日志事件转换为统一数据格式 (UDM),以便 Google SecOps 针对您的数据运行复杂的查询和规则。

我可以在 Google SecOps 中使用哪些规则来执行风险管理?

Google SecOps 提供预构建的规则(称为 Google SecOps 规则集),您可以单独启用这些规则来检测针对您组织的威胁。这些规则会生成检测结果,其中一些可能是带有风险评分的提醒。Google SecOps 中的 Google Workspace 规则集可帮助您调查内部人员外泄风险和数据渗漏。详细了解规则集

将日志事件数据导出到 Google SecOps 是否会产生费用?

如果您使用导出功能,则需遵循标准的 Google SecOps 条款和价格。如需了解详情,请联系您的销售代表

Google SecOps 导出功能是否在《Google Workspace 服务条款》的涵盖范围内?

不涵盖,Google SecOps 导出功能在 SecOps 服务协议涵盖范围内。