Envoyer des données Google Workspace à Google SecOps

Compatible avec :

Vous pouvez utiliser Google Security Operations pour détecter les risques internes dans votre compte Google Workspace en configurant ce dernier pour qu'il transfère les données vers votre instance Google SecOps.

Ce document explique comment utiliser l'ingestion directe pour ingérer les journaux d'activité Google Workspace (WORKSPACE_ACTIVITY) dans votre instance Google SecOps à partir des types d'applications Google compatibles suivants :

  • Access Transparency
  • Comptes
  • Console d'administration Google
  • Google Agenda
  • Google Chat
  • Google Chrome
  • Classroom
  • Google Cloud
  • Access Context Manager
  • Looker Studio
  • Appareil
  • Google Drive
  • Gmail
  • Google Groupes
  • Gestion de Jamboard
  • LDAP
  • Connexion
  • Google Meet
  • OAuth
  • Sauvegarde de mots de passe
  • Journalisation des règles de pare-feu
  • SAML
  • Comptes utilisateur
  • Voice

Vous devez disposer de l'édition Google Workspace Enterprise Standard ou Enterprise Plus pour accéder à cette intégration. Si ce n'est pas le cas, vous pouvez utiliser la méthode d'ingestion de flux pour ingérer les journaux d'activité Google Workspace.

Avant de commencer

Avant de commencer, procédez comme suit :

  1. Si vous n'avez pas d'instance Google SecOps, créez-en une. Pour en savoir plus, consultez Intégrer et migrer une instance Google SecOps.

  2. Copiez votre numéro client Google Workspace depuis la console d'administration Google Workspace.

Obtenir l'ID et le jeton de votre instance Google SecOps

Pour obtenir l'ID et le jeton de votre instance Google SecOps, procédez comme suit depuis votre compte Google SecOps :

  1. Ouvrez votre instance Google SecOps.
  2. Dans la barre de navigation, sélectionnez Paramètres.
  3. Cliquez sur Google Workspace.
  4. Saisissez votre numéro client Google Workspace.
  5. Cliquez sur Générer un jeton.
  6. Copiez le jeton et l'ID de votre instance Google SecOps (qui se trouve sur la même page).

Pour envoyer vos données Google Workspace à votre instance Google SecOps, procédez comme suit dans la console d'administration Google Workspace :

  1. Ouvrez la console d'administration Google Workspace.
  2. Cliquez sur Création de rapports.
  3. Cliquez sur Intégrations de données.
  4. Sélectionnez Exportation Google SecOps, puis cliquez sur Associer à Google SecOps. La page Connect to Google SecOps (Se connecter à Google SecOps) s'ouvre.
  5. Collez le jeton copié depuis votre compte Google SecOps dans le champ indiqué. Cliquez sur Se connecter. L'option "Exporter les données d'audit vers Google SecOps" doit maintenant être définie sur Activé. Votre compte Google Workspace est désormais associé à votre instance Google SecOps et commencera à envoyer vos données Google Workspace.
  6. Cliquez sur Accéder à Google SecOps pour ouvrir votre instance Google SecOps et commencer à surveiller vos données Google Workspace depuis Google SecOps. Pour en savoir plus, consultez le tableau de bord "Ingestion et état des données".

Déconnecter Google Workspace de Google SecOps

Pour dissocier votre compte Google Workspace de votre instance Google SecOps, procédez comme suit :

  1. Ouvrez la console d'administration Google Workspace.
  2. Cliquez sur Intégrations de données.
  3. Dans le panneau Exportation Google SecOps, cliquez sur Se déconnecter de Google SecOps. L'option Exporter les données d'audit vers Google SecOps doit maintenant afficher Désactivé.

Étapes suivantes

L'étape suivante consiste à activer les ensembles de règles de la catégorie "Menaces cloud" conçus pour identifier les menaces à l'aide des données Google Workspace.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.