将日志导出到 Chronicle 以监控内部风险

支持此功能的版本：企业标准版和企业 Plus 版。 比较您的版本

您可以将 Google Workspace 审核日志导出到 Google Chronicle，这是一个云原生安全分析平台，可帮助贵组织检测、调查和应对安全威胁。如需将日志导出到 Chronicle，您需要使用 Google 管理控制台将 Google Workspace 连接到 Chronicle。

连接到 Chronicle 后，您的审核日志会持续导出到 Chronicle，您可以在其中管理内部风险。为了管理风险，您将使用用于生成检测和提醒的规则，从而帮助您识别与数据访问和渗漏相关的有风险的用户行为和异常。详细了解 Chronicle。

导出日志后

将数据导出到 Chronicle 后，您可以登录您的 Chronicle 账号，以便：

• 搜索日志数据中的任何元素，例如用户名、IP 地址和登录事件。
• 查看目前影响您组织的所有提醒和失陷指标 (IOC)。
• 分析任意提醒。

准备工作

• 确保您拥有 Google Chronicle 账号。如果您需要账号，请与 Google Cloud 销售专员联系。
• 您需要超级用户权限才能将 Google Workspace 连接到 Chronicle。

连接到 Chronicle 以导出日志

1. 登录您的 Google 管理控制台。

   请使用拥有超级用户权限的帐号（不是以 @gmail.com 结尾）登录。

2. 在管理控制台中，点击“菜单”图标  报告数据集成。
3. 在 Chronicle 导出卡片中，点击连接到 Chronicle。
4. 在连接到 Chronicle 页面上，按照屏幕上的说明执行以下操作：
   1. 在管理控制台中转到贵组织的个人资料页面，然后复制您的客户 ID。
   2. 转到 Chronicle，然后转到设置 > Google Workspace 连接。输入您的 Google Workspace 客户 ID，然后点击生成令牌。
   3. 在 Google Workspace 连接页面上，复制令牌和 Chronicle 实例 ID。（请注意，您的 Chronicle 实例 ID 与您的 Chronicle 客户 ID 相同。）
   4. 返回管理控制台中的连接到 Chronicle 页面，然后输入令牌和您的 Chronicle 实例 ID。
5. 点击连接。

与 Chronicle 建立连接后，最长可能需要等待 24 小时才能将日志导出到 Chronicle。此后，贵组织的审核日志会持续导出到 Chronicle。

如果出现消息，提示无法建立连接：请先检查 Chronicle 令牌和实例 ID 是否正确。如果正确，请在几分钟后尝试再次连接到 Chronicle。如果您仍然无法连接，请与 Google Workspace 支持团队联系。

与 Chronicle 断开连接

如果您不想再将审核日志导出到 Chronicle，可以断开贵组织的 Google Workspace 账号与 Chronicle 的关联。

注意：如果您断开 Google Workspace 与 Chronicle 的连接，您的审核日志不会自动从 Chronicle 中删除。如需删除日志，您可以使用 Chronicle。

1. 登录您的 Google 管理控制台。

   请使用拥有超级用户权限的帐号（不是以 @gmail.com 结尾）登录。

2. 在管理控制台中，点击“菜单”图标  报告数据集成。
3. 在 Chronicle 导出卡片中，点击与 Chronicle 断开连接。

常见问题解答

打开此部分  |  全部收起