Эта функция доступна в версиях Enterprise Standard и Enterprise Plus. Сравнение версий
Вы можете экспортировать свои журналы аудита Google Workspace в Google Chronicle. Это облачная платформа аналитики безопасности, которая поможет вашей организации выявлять и исследовать угрозы безопасности, а также реагировать на них. Чтобы экспортировать журналы в решение Chronicle, подключите к нему Google Workspace с помощью консоли администратора Google.
Когда вы подключитесь к Chronicle, ваши журналы аудита будут постоянно экспортироваться в Chronicle, где вы сможете управлять внутренними угрозами. Управлять угрозами можно с помощью правил, генерирующих данные о выявлении и оповещения, которые помогут вам определять поведение пользователей, представляющее риск, и отклонения, связанные с доступом к данными и их кражей. Подробнее о Chronicle…
После экспорта журналов
После экспорта данных в Chronicle вы можете войти в аккаунт Chronicle и выполнить описанные ниже действия.
- Поиск любых элементов в данных журналов, например имен пользователей, IP-адресов и событий входа.
- Просмотр всех оповещений и индикаторов компрометации (IOC), которые сейчас влияют на организацию.
- Анализ оповещений.
Подготовка
- У вас обязательно должен быть аккаунт Google Chronicle. Если у вас его нет, обратитесь к специалисту по продажам Google Cloud.
- Для подключения Google Workspace к Chronicle нужны права суперадминистратора.
Подключение к Chronicle для экспорта журналов
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ОтчетыИнтеграция данных.
- На карточке Экспорт в Chronicle нажмите Подключить.
- На странице подключения выполните инструкции на экране.
- Перейдите на страницу Профиль организации в консоли администратора и скопируйте свой идентификатор клиента.
- Откройте Chronicle и перейдите в раздел Настройки > Подключение Google Workspace. Введите свой идентификатор клиента Google Workspace и нажмите Создать токен.
- На странице Подключение Google Workspace скопируйте свой токен и идентификатор экземпляра Chronicle (обратите внимание, что ваш идентификатор экземпляра Chronicle такой же, как идентификатор клиента Chronicle).
- Вернитесь на страницу подключения в консоли администратора и введите токен и свой идентификатор экземпляра Chronicle.
- Нажмите Подключиться.
Между подключением к Chronicle и экспортом журналов может пройти до 24 часов. После этого журналы аудита вашей организации будут постоянно экспортироваться в Chronicle.
Если поступит сообщение о том, что подключение установить не удалось, сначала проверьте, правильно ли указаны токен и идентификатор экземпляра Chronicle. Если они указаны правильно, подождите несколько минут и попробуйте снова подключиться к Chronicle. Если подключиться по-прежнему не удается, обратитесь в службу поддержки Google Workspace.
Отключение от Chronicle
Если вы решили больше не экспортировать журналы в Chronicle, вы можете отключить аккаунт Google Workspace организации от Chronicle.
Примечание. Если вы отключите Google Workspace от Chronicle, ваши журналы аудита не будут автоматически удалены из Chronicle. Удалить журналы можно с помощью Chronicle.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ОтчетыИнтеграция данных.
- На карточке Экспорт в Chronicle нажмите Отключить.
Часто задаваемые вопросы
Развернуть раздел | Свернуть все
Поддерживаются следующие данные журнала:
- аккаунты;
- администраторы;
- Календарь;
- Chat;
- Chrome;
- Класс;
- Студия данных;
- устройства;
- Диск;
- Gmail;
- Группы для бизнеса;
- управление Jamboard (для киосков);
- вход;
- Meet;
- OAuth;
- правила;
- SAML.