Konektor Google Workspace (G Suite) (pomocí Azure Functions) pro Microsoft Sentinel

Datový konektor Google Workspace poskytuje možnost ingestovat události aktivity Google Workspace do Služby Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor poskytuje možnost získat události , které pomáhají zkoumat potenciální rizika zabezpečení, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací, sledovat, kdo se přihlašuje a kdy, analyzovat aktivitu správce, pochopit, jak uživatelé vytvářejí a sdílejí obsah, a další kontroly událostí ve vaší organizaci.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru	Popis
Kód aplikace funkcí Azure	https://aka.ms/sentinel-GWorkspaceReportsAPI-functionapp
Tabulky Log Analytics	GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL
Podpora pravidel shromažďování dat	V současnosti není podporováno
Podporováno	Microsoft Corporation

Ukázky dotazů

Události Google Workspace – Všechny aktivity

GWorkspaceActivityReports

| sort by TimeGenerated desc

Události Pracovního prostoru Google – aktivita správce

GWorkspace_ReportsAPI_admin_CL

| sort by TimeGenerated desc

Události Pracovního prostoru Google – Aktivita kalendáře

GWorkspace_ReportsAPI_calendar_CL

| sort by TimeGenerated desc

Události Pracovního prostoru Google – Aktivita řízení

GWorkspace_ReportsAPI_drive_CL

| sort by TimeGenerated desc

Události Google Workspace – Aktivita přihlášení

GWorkspace_ReportsAPI_login_CL

| sort by TimeGenerated desc

Události Google Workspace – mobilní aktivita

GWorkspace_ReportsAPI_mobile_CL

| sort by TimeGenerated desc

Události pracovního prostoru Google – Aktivita tokenu

GWorkspace_ReportsAPI_token_CL

| sort by TimeGenerated desc

Události Google Workspace – Aktivita uživatelských účtů

GWorkspace_ReportsAPI_user_accounts_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete integrovat s Google Workspace (G Suite) (pomocí Azure Functions), ujistěte se, že máte:

• Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
• Přihlašovací údaje nebo oprávnění rozhraní REST API: Pro rozhraní REST API se vyžaduje GooglePickleString . Další informace o rozhraní API najdete v dokumentaci. Pokyny k získání přihlašovacích údajů najdete v následující části konfigurace. Můžete také zkontrolovat všechny požadavky a postupovat podle pokynů .

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní Google Reports API k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias GWorkspaceReports a načtěte kód funkce, na druhém řádku dotazu zadejte názvy hostitelů zařízení GWorkspaceReports a všechny další jedinečné identifikátory pro protokolový stream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

KROK 1 : Zajištění požadavků na získání řetězce Google Pickel

1. Nainstaluje se Python 3 nebo novější .
2. K dispozici je nástroj pro správu balíčků pip.
3. Doména Google Workspace s povoleným přístupem k rozhraní API
4. Účet Google v této doméně s oprávněními správce.

KROK 2 : Kroky konfigurace pro rozhraní GOOGLE Reports API

1. Přihlaste se ke cloudové konzole Google pomocí přihlašovacích údajů https://console.cloud.google.comsprávce pracovního prostoru .
2. Pomocí možnosti hledání (dostupné v horní části uprostřed) vyhledejte rozhraní API a služby.
3. V rozhraníCH API a službách –> Povolená rozhraní API a služby povolte rozhraní API sady Admin SDK pro tento projekt.
4. Přejděte na obrazovku souhlasu rozhraní API &Services ->OAuth. Pokud ještě není nakonfigurovaná, vytvořte obrazovku souhlasu OAuth pomocí následujících kroků:
   1. Zadejte název aplikace a další povinné informace.
   2. Přidejte autorizované domény s povoleným přístupem k rozhraní API.
   3. V části Obory přidejte obor rozhraní API sady Admin SDK.
   4. V části Test Users se ujistěte, že je přidaný účet správce domény.
5. Přejděte do rozhraní API a služeb –> Přihlašovací údaje a vytvořte ID klienta OAuth 2.0.
   1. V horní části klikněte na Vytvořit přihlašovací údaje a vyberte ID klienta OAuth.
   2. V rozevíracím seznamu Typ aplikace vyberte webovou aplikaci.
   3. Zadejte vhodný název webové aplikace a přidejte http://localhost:8081/ ho jako jeden z identifikátorů URI autorizovaného přesměrování.
   4. Po kliknutí na Vytvořit stáhněte JSON z automaticky otevíraných oken, které se zobrazí. Přejmenujte tento soubor na credentials.json.
6. Pokud chcete načíst řetězec Pickel Google, spusťte skript Pythonu ze stejné složky, ve které je uložen credentials.json.
   1. Po zobrazení přihlašovacích údajů se přihlaste pomocí přihlašovacích údajů účtu správce domény.

Poznámka: Tento skript je podporován pouze v operačním systému Windows. 7. Z výstupu předchozího kroku zkopírujte řetězec Google Pickle (obsažený v jednoduchých uvozovkách) a nechte ho po ruce. Bude potřeba v kroku nasazení aplikace funkcí.

KROK 3: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením datového konektoru pracovního prostoru získáte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také snadno dostupný GooglePickleString pracovního prostoru.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení datového konektoru Google Workspace pomocí šablony ARM.

1. Klikněte níže na tlačítko Nasadit do Azure .

   

2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

3. Zadejte ID pracovního prostoru, klíč pracovního prostoru, GooglePickleString a nasazení.

4. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

5. Kliknutím na Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte datový konektor Google Workspace ručně se službou Azure Functions (nasazení přes Visual Studio Code).

1. Nasazení aplikace funkcí

POZNÁMKA: Budete muset připravit VS Code pro vývoj funkcí Azure.

1. Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.

2. Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.

3. Vyberte složku nejvyšší úrovně z extrahovaných souborů.

4. Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.

5. Podle pokynů na obrazovce zadejte tyto informace:

   a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.

   b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.

   c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).

   d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (např. GWorkspaceXXXXX).

   e. Vyberte modul runtime: Zvolte Python 3.8.

   f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.

6. Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.

7. Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.

2. Konfigurace aplikace funkcí

1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.

2. Na kartě Nastavení aplikace vyberte ** Nové nastavení aplikace**.

3. Přidejte jednotlivá nastavení aplikace s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena): GooglePickleString WorkspaceID WorkspaceKey logAnalyticsUri (volitelné)

4. (Volitelné) V případě potřeby změňte výchozí zpoždění.

   POZNÁMKA: Následující výchozí hodnoty zpoždění příjmu dat byly přidány pro různé sady protokolů z Google Workspace na základě dokumentace Google. Lze je upravit na základě požadavků na životní prostředí. Zpoždění načítání – 10 minut Zpoždění načítání kalendáře – 6 hodin Zpoždění načítání chatu – 1 den Zpoždění načítání uživatelských účtů – 3 hodiny Zpoždění načítání přihlášení – 6 hodin

5. K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us.

6. Po zadání všech nastavení aplikace klikněte na Uložit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.