次の方法で共有


Microsoft Sentinel 用 Google Workspace (G Suite) (Azure Functions を使用) コネクタ

Google Workspace データ コネクタは、REST API を通じて Microsoft Sentinel に Google Workspace アクティビティ イベントを取り込む機能を提供します。 このコネクタを使用すると、イベントを取得できます。これにより、潜在的なセキュリティ リスクの調査、チームによるコラボレーションの使用の分析、構成の問題の診断、いつ誰がサインインしたかについての追跡、管理者のアクティビティの分析、ユーザーがコンテンツを作成および共有する方法についての理解、組織内の、より多くのイベントの確認が可能になります。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Azure 関数アプリのコード https://aka.ms/sentinel-GWorkspaceReportsAPI-functionapp
Log Analytics テーブル GWorkspace_ReportsAPI_admin_CL
GWorkspace_ReportsAPI_calendar_CL
GWorkspace_ReportsAPI_drive_CL
GWorkspace_ReportsAPI_login_CL
GWorkspace_ReportsAPI_mobile_CL
GWorkspace_ReportsAPI_token_CL
GWorkspace_ReportsAPI_user_accounts_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

Google Workspace イベント - すべてのアクティビティ

GWorkspaceActivityReports

| sort by TimeGenerated desc

Google Workspace イベント - 管理アクティビティ

GWorkspace_ReportsAPI_admin_CL

| sort by TimeGenerated desc

Google Workspace イベント - カレンダー アクティビティ

GWorkspace_ReportsAPI_calendar_CL

| sort by TimeGenerated desc

Google Workspace イベント - ドライブ アクティビティ

GWorkspace_ReportsAPI_drive_CL

| sort by TimeGenerated desc

Google Workspace イベント - ログイン アクティビティ

GWorkspace_ReportsAPI_login_CL

| sort by TimeGenerated desc

Google Workspace イベント - モバイル アクティビティ

GWorkspace_ReportsAPI_mobile_CL

| sort by TimeGenerated desc

Google Workspace イベント - トークン アクティビティ

GWorkspace_ReportsAPI_token_CL

| sort by TimeGenerated desc

Google Workspace イベント - ユーザー アカウント アクティビティ

GWorkspace_ReportsAPI_user_accounts_CL

| sort by TimeGenerated desc

前提条件

(Azure Functions を使用して) Google Workspace (G Suite) と統合するには、次のものがあることを確認します。

ベンダーのインストール手順

注意

このコネクタでは Azure Functions を使って Google Reports API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

メモ: このデータ コネクタは、Kusto 関数に基づくパーサーに依存し、ソリューションの一部としてデプロイされる想定どおりに動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、[関数] をクリックし、エイリアス GWorkspaceReports を検索して関数コードを読み込み、クエリの 2 行目で、GWorkspaceReports デバイスのホスト名とログストリームの他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

手順 1 - Google Pickel String を取得するための前提条件を確認する

  1. Python 3 以降 がインストールされている。
  2. pip パッケージ管理ツールが使用できる。
  3. API アクセスが有効になっている Google Workspace ドメイン。
  4. そのドメイン内の、管理者特権を持つ Google アカウント。

手順 2 - Google Reports API の構成手順

  1. ワークスペース管理者資格情報 https://console.cloud.google.com を使用して Google クラウド コンソールにログインします。
  2. 検索オプション (上部中央で使用できます) を使って [API とサービス] を検索します
  3. [API とサービス] ->[有効な API とサービス] から、このプロジェクトに対して Admin SDK API を有効にします。
  4. [API とサービス] ->[OAuth 同意画面] に移動します。 OAuth 同意画面がまだ構成されていない場合は、次の手順を使用して作成します。
    1. アプリ名とその他の必須情報を指定します。
    2. API アクセスが有効になっている承認済みドメインを追加します。
    3. [スコープ] セクションで、Admin SDK API スコープを追加します。
    4. [テスト ユーザー] セクションで、ドメイン管理者アカウントが追加されていることを確認します。
  5. [API とサービス] ->[認証情報] に移動し、OAuth 2.0 クライアント ID を作成します
    1. 上部にある [認証情報を作成] をクリックし、[OAuth クライアント ID] を選択します。
    2. [アプリケーションの種類] ドロップダウンから [Web アプリケーション] を選択します。
    3. Web アプリに適切な名前を付け、承認されたリダイレクト URI の 1 つとして http://localhost:8081/ を追加します。
    4. [作成] をクリックした後、表示されるポップアップから JSON をダウンロードします。 このファイルの名前を "credentials.json" に変更します。
  6. Google Pickel String をフェッチするには、credentials.json が保存されているのと同じフォルダーから python スクリプトを実行します。
    1. サインインのポップアップ表示されたら、ドメイン管理者アカウントの資格情報を使用してログインします。

注: このスクリプトは、Windows オペレーティング システムでのみサポートされています。 7. 前のステップの出力から、Google Pickle String (単一引用符で囲まれている) をコピーし、すぐに使えるようにしておきます。 関数アプリのデプロイ手順で必要になります。

手順 3 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要: Workspace データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピーできます)、および Workspace GooglePickleString をすぐに使用できるようにしておいてください。

オプション 1 - Azure Resource Manager (ARM) テンプレート

ARM テンプレートを使用して Google Workspace データ コネクタを自動的にデプロイするには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. ご希望の [サブスクリプション][リソース グループ][場所] を選択します。

  3. ワークスペース IDワークスペース キーGooglePickleString を入力し、デプロイします。

  4. [上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。

  5. [購入] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

Azure Functions を使用して Google Workspace データ コネクタを手動でデプロイするには、次の詳細な手順を使用してください (Visual Studio Code によるデプロイ)。

1. 関数アプリをデプロイする

注: Azure 関数の開発には VS Code を準備する必要があります。

  1. Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。

  2. VS Code を起動します。 メイン メニューで [ファイル] を選び、[フォルダーを開く] を選択します。

  3. 展開されたファイルから最上位のフォルダーを選択します。

  4. アクティビティ バーで Azure アイコンを選択し、[Azure: Functions] 領域の [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの Azure アイコンを選択し、[Azure: Functions] 領域で [Azure にサインイン] を選択します。既にサインインしている場合は、次の手順に進みます。

  5. プロンプトで、次の情報を入力します。

    a. フォルダーの選択: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。

    b. サブスクリプションの選択: 使用するサブスクリプションを選択します。

    c. [Azure で新しい関数アプリを作成する] を選択します ([詳細設定] オプションは選ばないでください)

    d. 関数アプリのグローバルに一意の名前を入力: URL パスで有効な名前を入力します 入力した名前は、Azure Functions 内での一意性を確保するために検証されます。 (例: GWorkspaceXXXXX)。

    e. ランタイムの選択: [Python 3.8] を選びます。

    f. 新しいリソースの場所を選択してください パフォーマンスを向上させ、コストを下げるために、Microsoft Sentinel が配置されているのと同じリージョンを選びます。

  6. デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。

  7. 関数アプリを構成するために、Azure portal に移動します。

2. 関数アプリを構成する

  1. 関数アプリで、関数アプリ名を選択し、[構成] を選択します。

  2. [アプリケーションの設定] タブで、**[新しいアプリケーション設定]** を選択します。

  3. 次の各アプリケーション設定を、それぞれの文字列値で個別に追加します (大文字と小文字を区別): GooglePickleString WorkspaceID WorkspaceKey logAnalyticsUri (省略可能)

  4. (省略可能) 必要に応じて、既定の延期期間を変更します。

    注: Google のドキュメントに基づき、Google Workspace からのさまざまなログ セットに対して、インジェストの延期期間の既定値が次のように追加されています。 これらは、環境要件に基づいて変更できます。 フェッチの延期期間 - 10 分、カレンダーのフェッチの延期期間 - 6 時間、Chat のフェッチの延期期間 - 1 日、ユーザー アカウントのフェッチの延期期間 - 3 時間、ログインのフェッチの延期期間 - 6 時間。

  5. 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。

  6. すべてのアプリケーション設定を入力したら、[保存] をクリックします。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。