支援這項功能的版本:Enterprise Standard 和 Enterprise Plus。 版本比較
您可以將 Google Workspace 記錄事件匯出至 Google Security Operations (Google SecOps),後者是一種安全性數據分析平台,可協助貴機構偵測、調查及因應安全性威脅。如要將記錄事件匯出至 Google SecOps,請使用 Google 管理控制台將 Google Workspace 與 Google SecOps 建立連線。
與 Google SecOps 連線後,您的記錄事件會持續匯出至 Google SecOps,您可以在其中管理內部風險。為了控管風險,您可以使用規則產生偵測和快訊,有效找出有風險的使用者行為,以及與資料存取和竊取行為相關的異常狀況。進一步瞭解 Google SecOps。
匯出記錄事件之後
將資料匯出至 Google SecOps 後,您就可以登入 Google SecOps 帳戶,執行以下操作:
- 搜尋記錄事件中的任何元素,例如使用者名稱、IP 位址和登入事件。
- 查看目前正影響您機構的所有快訊和入侵指標 (IOC)。
- 分析任何快訊。
事前準備
- 確認您有 Google SecOps 帳戶。如需建立帳戶,請與 Google Cloud 銷售專員聯絡。
- 您必須具備超級管理員權限,才能將 Google Workspace 連線至 Google SecOps。
連線至 Google SecOps 以匯出記錄事件
-
-
在管理控制台中,依序點選「選單」圖示 「報告」「資料整合」。
- 前往「Google Security Operations 匯出功能」,然後按一下「編輯」圖示 。
- 按照以下步驟操作:
- 從貴機構的「個人資料」頁面複製客戶 ID。
- 前往「Google Security Operations」,然後依序點選「設定」「Google Workspace」。輸入您的 Google Workspace 客戶 ID,然後按一下「產生權杖」。
- 複製權杖和您的 Google Security Operations 執行個體 ID (執行個體 ID 與客戶 ID 相同)。
- 返回管理控制台的「連線至 Google Security Operations」頁面,然後輸入權杖和執行個體 ID。
- 按一下「連線」。
資料最多需要 24 小時才能匯出至 Google SecOps。之後,貴機構的記錄事件就會持續匯出至 Google SecOps。
如果系統顯示無法建立連線的訊息,請先檢查 Google SecOps 權杖和執行個體 ID 是否正確。如果正確,請過幾分鐘後再嘗試連線至 Google SecOps。若仍然無法連線,請聯絡 Google Workspace 支援團隊。
中斷與 Google SecOps 的連線
如果不想再將記錄事件匯出至 Google SecOps,您可以中斷貴機構的 Google Workspace 帳戶與 Google SecOps 之間的連線。
注意:中斷與 Google SecOps 的連線後,您的記錄事件並不會從 Google SecOps 中自動刪除。請使用 Google SecOps 刪除記錄事件。
-
-
在管理控制台中,依序點選「選單」圖示 「報告」「資料整合」。
- 前往「Google Security Operations 匯出功能」,然後按一下「與 Google Security Operations 中斷連線」。
常見問題
以下是支援的重要記錄事件資料:
- 管理員
- Chrome
- Classroom
- Cloud Search
- 資料匯出 (管理員)
- 數據分析
- 裝置
- Gmail
- Google 日曆
- Google Chat
- Google 雲端硬碟
- Google 網路論壇
- Google Groups for Business
- Google Keep
- Google Meet
- Google Takeout
- Google Voice
- Jamboard 管理
- 登入
- OAuth
- 規則
- SAML
- 使用者