Łącznik Google Workspace (G Suite) (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych usługi Google Workspace umożliwia pozyskiwanie zdarzeń działania obszaru roboczego Google do usługi Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik zapewnia możliwość pobierania zdarzeń , które pomagają badać potencjalne zagrożenia bezpieczeństwa, analizować wykorzystanie współpracy przez zespół, diagnozować problemy z konfiguracją, śledzić, kto loguje się i kiedy, analizować aktywność administratora, rozumieć, jak użytkownicy tworzą i udostępniają zawartość, a także przeglądają zdarzenia w organizacji.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
Atrybut łącznika | opis |
---|---|
Kod aplikacji funkcji platformy Azure | https://aka.ms/sentinel-GWorkspaceReportsAPI-functionapp |
Tabele usługi Log Analytics | GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Zdarzenia obszaru roboczego Google — wszystkie działania
GWorkspaceActivityReports
| sort by TimeGenerated desc
Zdarzenia obszaru roboczego Google — aktywność administratora
GWorkspace_ReportsAPI_admin_CL
| sort by TimeGenerated desc
Zdarzenia obszaru roboczego Google — działanie kalendarza
GWorkspace_ReportsAPI_calendar_CL
| sort by TimeGenerated desc
Zdarzenia obszaru roboczego Google — aktywność dysku
GWorkspace_ReportsAPI_drive_CL
| sort by TimeGenerated desc
Zdarzenia obszaru roboczego Google — działanie logowania
GWorkspace_ReportsAPI_login_CL
| sort by TimeGenerated desc
Zdarzenia obszaru roboczego Google — aktywność mobilna
GWorkspace_ReportsAPI_mobile_CL
| sort by TimeGenerated desc
Zdarzenia obszaru roboczego Google — działanie tokenu
GWorkspace_ReportsAPI_token_CL
| sort by TimeGenerated desc
Zdarzenia obszaru roboczego Google — aktywność kont użytkowników
GWorkspace_ReportsAPI_user_accounts_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować z usługą Google Workspace (G Suite) (przy użyciu usługi Azure Functions), upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST: interfejs GooglePickleString jest wymagany dla interfejsu API REST. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API. Zapoznaj się z instrukcjami dotyczącymi uzyskiwania poświadczeń w poniższej sekcji konfiguracji. Możesz również sprawdzić wszystkie wymagania i postępować zgodnie z instrukcjami podanymi tutaj.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do łączenia się z interfejsem API raportów Google w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias GWorkspaceReports i załaduj kod funkcji w drugim wierszu zapytania, wprowadź nazwy hostów urządzeń GWorkspaceReports i inne unikatowe identyfikatory dla strumienia dziennika. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.
KROK 1 . Upewnij się, że wymagania wstępne dotyczące uzyskania ciągu Pickel Firmy Google
- Jest zainstalowany język Python 3 lub nowszy .
- Narzędzie do zarządzania pakietami jest dostępne.
- Domena obszaru roboczego Google z włączonym dostępem do interfejsu API.
- Konto Google w tej domenie z uprawnieniami administratora.
KROK 2. Kroki konfiguracji interfejsu API raportów Google
- Zaloguj się do konsoli google cloud przy użyciu poświadczeń https://console.cloud.google.comadministratora obszaru roboczego.
- Korzystając z opcji wyszukiwania (dostępnej w górnej części), wyszukaj interfejsy API i usługi
- W obszarze Interfejsy API i usługi —> włączone interfejsy API i usługi włącz interfejs API zestawu SDK administratora dla tego projektu.
- Przejdź do pozycji Interfejsy API i usługi —> ekran zgody OAuth. Jeśli jeszcze nie skonfigurowano, utwórz ekran zgody OAuth, wykonując następujące czynności:
- Podaj nazwę aplikacji i inne obowiązkowe informacje.
- Dodaj autoryzowane domeny z włączonym dostępem do interfejsu API.
- W sekcji Zakresy dodaj zakres interfejsu API zestawu SDK administratora.
- W sekcji Użytkownicy testowi upewnij się, że dodano konto administratora domeny.
- Przejdź do pozycji Interfejsy API i usługi —> poświadczenia i utwórz identyfikator klienta OAuth 2.0
- Kliknij pozycję Utwórz poświadczenia u góry i wybierz pozycję Identyfikator klienta OAuth.
- Wybierz pozycję Aplikacja internetowa z listy rozwijanej Typ aplikacji.
- Podaj odpowiednią nazwę aplikacji internetowej i dodaj http://localhost:8081/ jako jeden z autoryzowanych identyfikatorów URI przekierowania.
- Po kliknięciu przycisku Utwórz pobierz kod JSON z wyświetlonego wyskakującego okienka. Zmień nazwę tego pliku na "credentials.json".
- Aby pobrać ciąg Google Pickel, uruchom skrypt języka Python z tego samego folderu, w którym credentials.json jest zapisywany.
- Po wyświetleniu się na potrzeby logowania użyj poświadczeń konta administratora domeny, aby się zalogować.
Uwaga: ten skrypt jest obsługiwany tylko w systemie operacyjnym Windows. 7. Z danych wyjściowych poprzedniego kroku skopiuj ciąg Google Pickle (zawarty w pojedynczych cudzysłowach) i zachowaj jego poręczność. Będzie on potrzebny w kroku wdrażania aplikacji funkcji.
KROK 3. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych obszaru roboczego należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także łatwo dostępny obszar roboczy GooglePickleString.
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do automatycznego wdrażania łącznika danych usługi Google Workspace przy użyciu szablonu usługi ARM.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, ciąg GooglePickleString i wdróż.
Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
Kliknij pozycję Kup , aby wdrożyć.
Opcja 2 — ręczne wdrażanie usługi Azure Functions
Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych usługi Google Workspace za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).
1. Wdrażanie aplikacji funkcji
UWAGA: Należy przygotować program VS Code do tworzenia funkcji platformy Azure.
Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.
Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.
Wybierz folder najwyższego poziomu z wyodrębnionych plików.
Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.
Podaj następujące informacje po wyświetleniu monitów:
a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.
b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.
c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)
d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. GWorkspaceXXXXX).
e. Wybierz środowisko uruchomieniowe: wybierz język Python 3.8.
f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.
Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.
Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.
2. Konfigurowanie aplikacji funkcji
W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
Na karcie Ustawienia aplikacji wybierz pozycję ** Nowe ustawienie aplikacji**.
Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (z uwzględnieniem wielkości liter): GooglePickleString WorkspaceID WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)
(Opcjonalnie) W razie potrzeby zmień domyślne opóźnienia.
UWAGA: Następujące wartości domyślne opóźnień pozyskiwania zostały dodane dla różnych zestawów dzienników z obszaru roboczego Google na podstawie dokumentacji firmy Google. Można je modyfikować na podstawie wymagań środowiskowych. Pobieranie opóźnienia — 10 minut Opóźnienie pobierania kalendarza — 6 godzin Opóźnienie pobierania czatu — 1 dzień Opóźnienia pobierania kont użytkowników — 3 godziny logowania — 6 godzin
Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie:
https://<CustomerId>.ods.opinsights.azure.us
.Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.