サポート対象エディション: Enterprise Standard、Enterprise Plus。 エディションの比較
Google Workspace の監査ログを、クラウドネイティブのセキュリティ分析プラットフォームである Google Chronicle にエクスポートできます。Google Chronicle を使用して、組織はセキュリティ上の脅威を検出、調査、対応することができます。ログを Chronicle にエクスポートするには、Google 管理コンソールを使用して Google Workspace を Chronicle に接続する必要があります。
Chronicle に接続すると、監査ログが Chronicle に継続的にエクスポートされ、インサイダー リスクを管理できます。リスクを管理するには、検出とアラートを生成するルールを使用します。これにより、データアクセスとデータの引き出しに関連する危険なユーザー行動と異常を特定できます。詳しくは、Chronicle の詳細をご覧ください。
ログのエクスポート後の流れ
データを Chronicle にエクスポートした後、Chronicle アカウントにログインして次のことができます。
- ログデータ内の要素(ユーザー名、IP アドレス、ログイン イベントなど)を検索する。
- 現在組織に影響を与えているすべてのアラートと不正使用インジケーター(IOC)を確認する。
- アラートを分析する。
始める前に
- Google Chronicle アカウントがあることを確認します。アカウントが必要な場合は、Google Cloud セールス スペシャリストまでお問い合わせください。
- Google Workspace を Chronicle に接続するには、特権管理者の権限が必要です。
Chronicle に接続してログをエクスポートする
-
-
管理コンソールで、メニューアイコン [レポート] [データ統合] に移動します。
- [Chronicle エクスポート] カードで、[Chronicle に接続] をクリックします。
- [Chronicle に接続] ページで、画面上の指示に沿って次の操作を行います。
- 管理コンソールで組織の [プロフィール] ページに移動し、[お客様 ID] をコピーします。
- Chronicle に移動し、[設定] > Google Workspace [接続] に移動します。Google Workspace のお客様 ID を入力し、[トークンを生成] をクリックします。
- [Google Workspace の接続] ページで、[トークン] と [Chronicle インスタンス ID] をコピーします(Chronicle インスタンス ID は Chronicle のお客様 ID と同じです)。
- 管理コンソールの [Chronicle に接続] ページに戻り、[トークン] と [Chronicle インスタンス ID] を入力します。
- [Connect] をクリックします。
Chronicle への接続が確立されてから、ログが Chronicle にエクスポートされるまでに最長で 24 時間ほどかかることがあります。その後は、組織の監査ログが継続的に Chronicle にエクスポートされます。
接続を確立できないというメッセージが表示された場合: まず、Chronicle のトークンとインスタンス ID が正しいかどうかを確認します。正しい場合は、数分後に Chronicle にもう一度接続してみてください。それでも接続できない場合は、Google Workspace サポートにお問い合わせください。
Chronicle との接続の解除
Chronicle への監査ログのエクスポートが不要になった場合は、組織の Google Workspace アカウントと Chronicle との接続を解除できます。
注: Google Workspace と Chronicle との接続を解除しても、監査ログは Chronicle から自動的に削除されません。Chronicle を使用してログを削除できます。
-
-
管理コンソールで、メニューアイコン [レポート] [データ統合] に移動します。
- [Chronicle エクスポート] カードで、[Chronicle との接続を解除] をクリックします。
よくある質問
サポートされているログデータは次のとおりです。
- アカウント
- 管理者
- カレンダー
- Chat
- Chrome
- Classroom
- データポータル
- デバイス
- ドライブ
- Gmail
- ビジネス向け Google グループ
- Jamboard 管理(キオスク向け)
- ログイン
- Meet
- OAuth
- ルール
- SAML