Эта функция доступна в версиях Frontline Plus и Enterprise Standard и Enterprise Plus. Сравнение версий
Вы можете экспортировать события журнала Google Workspace в Google Security Operations (Google SecOps) – платформу аналитики безопасности для обнаружения, анализа и реагирования на угрозы. Чтобы экспортировать события журнала в Google SecOps, нужно с помощью консоли администратора Google подключить Google Workspace к Google SecOps.
После подключения к Google SecOps события журнала будут постоянно экспортироваться в Google SecOps, где вы сможете управлять внутренними угрозами. Управлять угрозами можно с помощью правил, генерирующих данные о выявлении и оповещения, которые помогут вам определять поведение пользователей, представляющее риск, и отклонения, связанные с доступом к данным и их кражей. Подробнее о Google SecOps…
После экспорта событий журнала
После экспорта данных в Google SecOps вы можете войти в аккаунт Google SecOps и выполнить описанные ниже действия.
- Поиск любых элементов в событиях журналов, например имен пользователей, IP-адресов и событий входа.
- Просмотр всех оповещений и индикаторов компрометации (IOC), которые сейчас влияют на организацию.
- Анализ оповещений.
Подготовка
- У вас обязательно должен быть аккаунт Google SecOps. Если у вас его нет, обратитесь к специалисту по продажам Google Cloud.
- Для подключения Google Workspace к Google SecOps необходимы права суперадминистратора.
Как подключиться к Google SecOps для экспорта событий журнала
-
Войдите в аккаунт консоль администратора Google с правами суперадминистратора.
Эти шаги нельзя выполнить, если у вас нет прав суперадминистратора.
-
Нажмите на значок меню
Отчеты > Интеграция данных.
У вас должны быть права администратора с доступом к отчетам.
Администраторы Education: выберите
Экспорт в BigQuery, чтобы открыть страницу Интеграция данных.
- Выберите Экспорт в Google Security Operations и нажмите "Изменить"
.
- Следуйте инструкциям, чтобы:
- Скопировать идентификатор клиента со страницы Профиль организации.
- Выберите Google Security Operations и нажмите Настройки
- Скопируйте токен и идентификатор экземпляра Google Security Operations (совпадает с идентификатором клиента).
- Вернитесь на страницу Подключить Google Security Operations в консоли администратора и укажите значения Токен и Идентификатор экземпляра.
- Нажмите Подключиться.
Данные будут экспортированы в Google SecOps в течение 24 часов. После этого события журнала организации будут непрерывно экспортироваться в Google SecOps.
Если поступит сообщение о том, что подключение установить не удалось, сначала проверьте, правильно ли указаны токен и идентификатор экземпляра Google SecOps. Если они указаны правильно, подождите несколько минут и попробуйте снова подключиться к Google SecOps. Если подключиться все равно не получится, обратитесь в службу поддержки Google Workspace.
Как отключить Google SecOps
Если вашей организации больше не нужно экспортировать события журнала в Google SecOps, вы можете отключить ее аккаунт Google Workspace от Google SecOps.
Примечание. После отключения от Google SecOps события журнала больше не будут удаляться из Google SecOps автоматически. Удалить события можно будет вручную с помощью интерфейса Google SecOps.
-
Войдите в аккаунт консоль администратора Google с правами суперадминистратора.
Эти шаги нельзя выполнить, если у вас нет прав суперадминистратора.
-
Нажмите на значок меню
У вас должны быть права администратора с доступом к отчетам.
Администраторы Education: выберите
- Выберите Экспорт в Google Security Operations и нажмите Отключить Google Security Operations.
Часто задаваемые вопросы
Развернуть раздел | Свернуть все
Поддерживаются следующие ключевые данные о событиях журнала:
- администраторы;
- Chrome;
- Класс;
- Cloud Search;
- экспорт данных (для администратора);
- Студия данных;
- устройства;
- Gmail;
- Календарь;
- Chat;
- Диск;
- Группы;
- Группы для бизнеса;
- Keep;
- Meet;
- Архиватор;
- Google Voice;
- вход;
- OAuth;
- правила;
- SAML;
- пользователи.
