Versioni supportate per questa funzionalità: Enterprise Standard ed Enterprise Plus. Confronta la tua versione
Puoi esportare gli eventi dei log di Google Workspace in Google Security Operations (Google SecOps), una piattaforma di analisi della sicurezza che aiuta la tua organizzazione a rilevare, analizzare e rispondere alle minacce alla sicurezza. Per esportare gli eventi del log in Google SecOps, devi utilizzare la Console di amministrazione Google per collegare Google Workspace a Google SecOps.
Una volta stabilita la connessione a Google SecOps, gli eventi dei log vengono esportati continuamente in Google SecOps, dove puoi gestire i rischi legati agli addetti ai lavori. Per gestire i rischi, utilizzi regole che generano rilevamenti e avvisi, utili per identificare comportamenti rischiosi e anomalie degli utenti relativi all'accesso e all'esfiltrazione dei dati.Scopri di più su Google SecOps.
Dopo l'esportazione degli eventi dei log
Dopo aver esportato i dati in Google SecOps, puoi accedere al tuo account Google SecOps per:
- Cerca qualsiasi elemento negli eventi dei log, come nomi utente, indirizzi IP ed eventi di accesso.
- Visualizzare tutti gli avvisi e gli indicatori di compromissione (IOC) che interessano attualmente la tua organizzazione.
- Analizzare tutti gli avvisi.
Prima di iniziare
- Assicurati di avere un account Google SecOps. Se hai bisogno di un account, contatta un esperto delle vendite di Google Cloud.
- Devi disporre dei privilegi di super amministratore per connettere Google Workspace a Google SecOps.
Collegati a Google SecOps per esportare gli eventi dei log
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu ReportingIntegrazioni dei dati.
- Vai a Esportazione di Google Security Operations e fai clic su Modifica .
- Segui questi passaggi per:
- Copia l'ID cliente dalla pagina Profilo dell'organizzazione.
- Vai a Google Security Operations e fai clic su Settings (Impostazioni)Google Workspace. Inserisci il tuo ID cliente Google Workspace e fai clic su Genera token.
- Copia il token e il tuo ID istanza di Google Security Operations. (L'ID istanza è uguale all'ID cliente).
- Torna alla pagina Connetti a Google Security Operations nella Console di amministrazione e inserisci il token e l'ID istanza.
- Fai clic su Connetti.
Possono trascorrere fino a 24 ore prima che i dati vengano esportati in Google SecOps. Successivamente, gli eventi dei log della tua organizzazione vengono esportati continuamente in Google SecOps.
Se visualizzi un messaggio che indica che non è stato possibile stabilire una connessione, controlla innanzitutto che il token Google SecOps e l'ID istanza siano corretti. In caso affermativo, riprova a collegarti a Google SecOps dopo qualche minuto. Se non riesci ancora a collegarti, contatta l'assistenza Google Workspace.
Disconnettiti da Google SecOps
Se non vuoi più esportare gli eventi dei log in Google SecOps, puoi scollegare l'account Google Workspace della tua organizzazione da Google SecOps.
Nota: quando ti disconnetti da Google SecOps, gli eventi dei log non vengono eliminati automaticamente da Google SecOps. Utilizza Google SecOps per eliminare gli eventi dei log.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu ReportingIntegrazioni dei dati.
- Vai all'esportazione di Google Security Operations e fai clic su Disconnetti da Google Security Operations.
Domande frequenti
Di seguito sono riportati i dati sugli eventi del log chiave supportati:
- Amministratori
- Chrome
- Classroom
- Cloud Search
- Esportazione dei dati (amministratore)
- Data Studio
- Dispositivi
- Gmail
- Google Calendar
- Google Chat
- Google Drive
- Google Gruppi
- Google Groups for Work
- Google Keep
- Google Meet
- Google Takeout
- Google Voice
- Gestione Jamboard
- Accesso
- OAuth
- Regole
- SAML
- Utenti