Экспорт журналов в Chronicle для мониторинга внутренних угроз

Эта функция доступна в версиях Enterprise Standard и Enterprise Plus. Сравнение версий

Вы можете экспортировать свои журналы аудита Google Workspace в Google Chronicle. Это облачная платформа аналитики безопасности, которая поможет вашей организации выявлять и исследовать угрозы безопасности, а также реагировать на них. Чтобы экспортировать журналы в решение Chronicle, подключите к нему Google Workspace с помощью консоли администратора Google.

Когда вы подключитесь к Chronicle, ваши журналы аудита будут постоянно экспортироваться в Chronicle, где вы сможете управлять внутренними угрозами. Управлять угрозами можно с помощью правил, генерирующих данные о выявлении и оповещения, которые помогут вам определять поведение пользователей, представляющее риск, и отклонения, связанные с доступом к данными и их кражей. Подробнее о Chronicle…

После экспорта журналов

После экспорта данных в Chronicle вы можете войти в аккаунт Chronicle и выполнить описанные ниже действия.

Поиск любых элементов в данных журналов, например имен пользователей, IP-адресов и событий входа.
Просмотр всех оповещений и индикаторов компрометации (IOC), которые сейчас влияют на организацию.
Анализ оповещений.

Подготовка

У вас обязательно должен быть аккаунт Google Chronicle. Если у вас его нет, обратитесь к специалисту по продажам Google Cloud.
Для подключения Google Workspace к Chronicle нужны права суперадминистратора.

Подключение к Chronicle для экспорта журналов

Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню ОтчетыИнтеграция данных.
На карточке Экспорт в Chronicle нажмите Подключить.
На странице подключения выполните инструкции на экране.
1. Перейдите на страницу Профиль организации в консоли администратора и скопируйте свой идентификатор клиента.
2. Откройте Chronicle и перейдите в раздел Настройки > Подключение Google Workspace. Введите свой идентификатор клиента Google Workspace и нажмите Создать токен.
3. На странице Подключение Google Workspace скопируйте свой токен и идентификатор экземпляра Chronicle (обратите внимание, что ваш идентификатор экземпляра Chronicle такой же, как идентификатор клиента Chronicle).
4. Вернитесь на страницу подключения в консоли администратора и введите токен и свой идентификатор экземпляра Chronicle.
Нажмите Подключиться.

Между подключением к Chronicle и экспортом журналов может пройти до 24 часов. После этого журналы аудита вашей организации будут постоянно экспортироваться в Chronicle.

Если поступит сообщение о том, что подключение установить не удалось, сначала проверьте, правильно ли указаны токен и идентификатор экземпляра Chronicle. Если они указаны правильно, подождите несколько минут и попробуйте снова подключиться к Chronicle. Если подключиться по-прежнему не удается, обратитесь в службу поддержки Google Workspace.

Отключение от Chronicle

Если вы решили больше не экспортировать журналы в Chronicle, вы можете отключить аккаунт Google Workspace организации от Chronicle.

Примечание. Если вы отключите Google Workspace от Chronicle, ваши журналы аудита не будут автоматически удалены из Chronicle. Удалить журналы можно с помощью Chronicle.

Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню ОтчетыИнтеграция данных.
На карточке Экспорт в Chronicle нажмите Отключить.

Часто задаваемые вопросы

Развернуть раздел | Свернуть все

Какие журналы аудита экспортируются в Chronicle?

Поддерживаются следующие данные журнала:

аккаунты;
администраторы;
Календарь;
Chat;
Chrome;
Класс;
Студия данных;
устройства;
Диск;
Gmail;
Группы для бизнеса;
управление Jamboard (для киосков);
вход;
Meet;
OAuth;
правила;
SAML.

Можно ли выбрать журналы для экспорта в Chronicle?

Нет, в Chronicle экспортируются все поддерживаемые журналы.

Когда можно использовать данные аудита после их регистрации в журнале в консоли администрирования Google?

Потоковая передача данных в Chronicle выполняется сразу после создания журнала аудита.

Примечание. Сведения о том, через какое время данные становятся доступными для событий журналов, можно найти в статье Задержки при обновлении отчетов и сроки хранения данных.

Экспортируются ли журналы за предыдущие периоды, которые были созданы до подключения к Chronicle?

Нет, экспортируются только журналы аудита, созданные в консоли администратора после подключения к Chronicle.

Преобразуются ли экспортированные в Chronicle журналы в другой формат?

Да, Chronicle преобразует все экспортированные журналы в формат Unified Data Format (UDM). Это позволяет Chronicle выполнять сложные запросы ваших данных и применять к ним сложные правила.

С помощью каких правил в Chronicle можно управлять рисками?

В Chronicle предварительно встроены правила, которые называются наборами правил Chronicle. Их можно включать отдельно для выявления угроз в организации. Эти правила генерируют данные обнаружения, в частности оповещения, с оценками риска. Наборы правил Google Workspace в Chronicle помогают исследовать внутренние угрозы и кражу данных. Подробнее о наборах правил…

Нужно ли платить за экспорт данных в Chronicle?

Для функции экспорта действуют стандартные условия и цены Chronicle. Чтобы получить дополнительные сведения, обратитесь к своему представителю отдела продаж.

Распространяются ли на функцию экспорта Chronicle Условия использования Google Workspace?

Нет, функция экспорта Chronicle регулируется соглашением о предоставлении услуг SecOps.

Эта информация оказалась полезной?

Как можно улучшить эту статью?