Esportare i log su Chronicle per monitorare i rischi provenienti da addetti ai lavori

Versioni supportate per questa funzionalità: Enterprise Standard ed Enterprise Plus. Confronta la tua versione

Puoi esportare i log di controllo di Google Workspace in Google Chronicle, una piattaforma di analisi della sicurezza cloud-native che aiuta la tua organizzazione a rilevare, analizzare e rispondere alle minacce alla sicurezza. Per esportare i log in Chronicle, devi utilizzare la Console di amministrazione Google per connettere Google Workspace a Chronicle.

Una volta stabilita la connessione a Chronicle, i tuoi log di controllo vengono esportati continuamente in Chronicle, dove puoi gestire i rischi legati agli addetti ai lavori. Per gestire i rischi, utilizzi regole che generano rilevamenti e avvisi, utili per identificare comportamenti rischiosi e anomalie relative all'accesso e all'esfiltrazione dei dati da parte degli utenti.Scopri di più su Chronicle

Dopo l'esportazione dei log

Una volta esportati i tuoi dati su Chronicle, potrai accedere al tuo account Chronicle per:

Cercare qualsiasi elemento nei dati dei log, come nomi utente, indirizzi IP ed eventi di accesso.
Visualizzare tutti gli avvisi e gli indicatori di compromissione (IOC) che interessano attualmente la tua organizzazione.
Analizzare tutti gli avvisi.

Prima di iniziare

Assicurati di avere un account Google Chronicle. Se hai bisogno di un account, contatta un esperto delle vendite di Google Cloud.
Devi disporre dei privilegi di super amministratore per connettere Google Workspace a Chronicle.

Collegarsi a Chronicle per esportare i log

Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu ReportingIntegrazioni dei dati.
Nella scheda Esportazione in Chronicle, fai clic su Connetti a Chronicle.
Nella pagina Collegati a Chronicle, segui le istruzioni sullo schermo per:
1. Andare alla pagina Profilo dell'organizzazione nella Console di amministrazione e copiare il tuo ID cliente.
2. Andare a Chronicle, quindi a Impostazioni > Google Workspace Allega. Inserire il tuo ID cliente Google Workspace e fare clic su Genera token.
3. Nella pagina Allega Google Workspace, copiare il tuo token e l'ID istanza Chronicle. Tieni presente che l'ID istanza Chronicle corrisponde all'ID cliente Chronicle.
4. Tornare alla pagina Connetti a Chronicle nella Console di amministrazione e inserire il Token e il tuo ID istanza Chronicle.
Fai clic su Connetti.

Una volta stabilita una connessione a Chronicle, potrebbe essere necessario attendere fino a 24 ore prima che i log vengano esportati in Chronicle. Successivamente, i log di controllo della tua organizzazione vengono esportati continuamente in Chronicle.

Se viene visualizzato un messaggio che indica che non è stato possibile stabilire una connessione: verifica innanzitutto che il token Chronicle e l'ID istanza siano corretti. Se lo sono, prova a connetterti di nuovo a Chronicle dopo qualche minuto. Se non riesci ancora a collegarti, contatta l'assistenza Google Workspace.

Disconnettiti da Chronicle

Se non vuoi più esportare i log di controllo in Chronicle, puoi disconnettere l'account Google Workspace della tua organizzazione da Chronicle.

Nota: se scolleghi Google Workspace da Chronicle, i tuoi log di controllo non vengono eliminati automaticamente da Chronicle. Per eliminare i log, puoi utilizzare Chronicle.

Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu ReportingIntegrazioni dei dati.
Nella scheda Esportazione in Chronicle, fai clic su Disconnetti da Chronicle.

Domande frequenti

Apri sezione | Comprimi tutto

Quali log di controllo vengono esportati in Chronicle?

Sono supportati i seguenti dati di log:

Account
Amministratori
Calendar
Chat
Chrome
Classroom
Data Studio
Dispositivi
Drive
Gmail
Groups for Business
Gestione di Jamboard (per kiosk)
Accesso
Meet
OAuth
Regole
SAML

Posso selezionare i log di controllo da esportare in Chronicle?

No, tutti i log supportati vengono esportati in Chronicle.

Quando posso utilizzare i dati di controllo dopo aver eseguito l'accesso nella Console di amministrazione Google?

Una volta creato un log di controllo, i relativi dati vengono trasmessi a Chronicle.

Nota: per informazioni sul tempo necessario prima che i dati siano disponibili per gli eventi del log, vedi Conservazione dei dati e tempi di attesa.

Vengono esportati anche i log storici creati prima della connessione a Chronicle?

No, vengono esportati solo i log di controllo creati nella Console di amministrazione dopo la connessione a Chronicle.

I log esportati vengono convertiti in un formato diverso in Chronicle?

Sì, Chronicle converte tutti i log esportati in formato UDM (Unified Data Format), che consente a Chronicle di eseguire query e regole complesse sui tuoi dati.

Quali regole posso utilizzare in Chronicle per eseguire la gestione dei rischi?

Chronicle fornisce regole predefinite, chiamate set di regole Chronicle, che puoi attivare singolarmente per rilevare le minacce alla tua organizzazione. Queste regole generano rilevamenti, alcuni dei quali potrebbero essere avvisi, con punteggi di rischio. I set di regole Google Workspace in Chronicle ti consentono di esaminare i rischi provenienti dagli addetti ai lavori e l'esfiltrazione dei dati. Ulteriori informazioni sulle serie di regole.

È previsto un costo per esportare i dati dei log in Chronicle?

Se utilizzi la funzionalità di esportazione, si applicano i termini e i prezzi standard di Chronicle.Per informazioni dettagliate, contatta il tuo rappresentante di vendita.

La funzionalità di esportazione di Chronicle è coperta dai Termini di servizio di Google Workspace?

No, la funzionalità di esportazione di Chronicle è coperta dal Contratto per i servizi SecOps.

È stato utile?

Come possiamo migliorare l'articolo?