共用方式為

適用於 Microsoft Sentinel 的 Google Workspace (G Suite) (使用 Azure Functions) 連接器

  • 發行項

Google Workspace 資料連接器提供透過 REST API 將 Google Workspace 活動事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您取得 事件 ,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題、追蹤登入的人員及何時、分析系統管理員活動、了解使用者如何建立和共享內容,以及更多檢閱組織中的事件。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
Azure 函式應用程式程式代碼 https://aka.ms/sentinel-GWorkspaceReportsAPI-functionapp
記錄分析資料表 GWorkspace_ReportsAPI_admin_CL
GWorkspace_ReportsAPI_calendar_CL
GWorkspace_ReportsAPI_drive_CL
GWorkspace_ReportsAPI_login_CL
GWorkspace_ReportsAPI_mobile_CL
GWorkspace_ReportsAPI_token_CL
GWorkspace_ReportsAPI_user_accounts_CL
資料收集規則支援 目前不支援
支援者 Microsoft Corporation

查詢範例

Google 工作區事件 - 所有活動

GWorkspaceActivityReports

| sort by TimeGenerated desc

Google 工作區事件 - 管理員 活動

GWorkspace_ReportsAPI_admin_CL

| sort by TimeGenerated desc

Google 工作區事件 - 行事曆活動

GWorkspace_ReportsAPI_calendar_CL

| sort by TimeGenerated desc

Google 工作區事件 - 磁碟驅動器活動

GWorkspace_ReportsAPI_drive_CL

| sort by TimeGenerated desc

Google 工作區事件 - 登入活動

GWorkspace_ReportsAPI_login_CL

| sort by TimeGenerated desc

Google 工作區事件 - 行動活動

GWorkspace_ReportsAPI_mobile_CL

| sort by TimeGenerated desc

Google 工作區事件 - 令牌活動

GWorkspace_ReportsAPI_token_CL

| sort by TimeGenerated desc

Google 工作區事件 - 使用者帳戶活動

GWorkspace_ReportsAPI_user_accounts_CL

| sort by TimeGenerated desc

必要條件

若要與 Google Workspace (G Suite) 整合(使用 Azure Functions),請確定您有:

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 Google Reports API,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面

(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。

注意:此資料連接器取決於以 Kusto 函數為基礎的剖析器,如預期般運作,部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,單擊 [函式],然後搜尋別名 GWorkspaceReports 並載入函式程式代碼,然後在查詢的第二行輸入 GWorkspaceReports 裝置的主機名(s),以及記錄數據流的任何其他唯一標識符。 在解決方案安裝/更新之後,函數通常需要 10-15 分鐘才能啟動。

步驟 1 - 確定取得 Google Pickel String 的必要條件

  1. 已安裝 Python 3 或更新版本
  2. pip 套件管理工具可供使用
  3. 已啟用 API 存取權的 Google Workspace 網域。
  4. 該網域中具有系統管理員許可權的 Google 帳戶。

步驟 2 - Google Reports API 的設定步驟

  1. 使用您的工作區 管理員 認證https://console.cloud.google.com登入Google雲端控制台。
  2. 使用搜尋選項(位於頂端中間),搜尋 API 與服務
  3. API 和 Services ->Enabled API 和 Services 中,啟用此項目的 管理員 SDK API。
  4. 移至 [API 與服務 -> OAuth 同意畫面]。 如果尚未設定,請使用下列步驟建立 OAuth 同意畫面:
    1. 提供應用程式名稱和其他必要資訊。
    2. 新增已啟用 API 存取權的授權網域。
    3. 在 [範圍] 區段中,新增 管理員 SDK API 範圍。
    4. 在 [測試使用者] 區段中,確定已新增網域系統管理員帳戶。
  5. 移至 API 和服務 ->Credentials,並建立 OAuth 2.0 用戶端標識符
    1. 按兩下頂端的 [建立認證],然後選取 [Oauth 用戶端標識符]。
    2. 從 [應用程式類型] 下拉式清單中選取 [Web 應用程式]。
    3. 提供適當的 Web 應用程式名稱,並新增 http://localhost:8081/ 為其中一個授權的重新導向 URI。
    4. 按兩下 [建立] 之後,請從出現的彈出視窗下載 JSON。 將此檔案重新命名為 「credentials.json」。
  6. 若要擷取 Google Pickel String,請從儲存credentials.json的相同資料夾中執行 python 腳本
    1. 當出現登入時,請使用網域系統管理員帳戶認證登入。

注意: 只有 Windows 作業系統才支援此腳本。 7. 從上一個步驟的輸出中,複製 Google Pickle String (包含在單引號內),並讓它方便使用。 函式應用程式部署步驟中將會需要它。

步驟 3 - 從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure Function

重要事項: 在部署工作區數據連接器之前,請具有工作區標識符和工作區主鍵(可從下列內容複製),以及可供使用 Workspace GooglePickleString。

選項 1 - Azure Resource Manager (ARM) 範本

使用這個方法來使用ARM範本自動部署Google Workspace資料連接器。

  1. 按一下下方的 [部署至 Azure] 按鈕。

    部署至 Azure

  2. 選取偏好的訂用帳戶資源群組位置

  3. 輸入工作區標識碼工作區密鑰GooglePickleString 和部署。

  4. 選取標示著 [我同意上方所述的條款及條件] 的核取方塊。

  5. 按一下 [購買] 以部署。

選項 2 - Azure Functions 手動部署

使用下列逐步指示,使用 Azure Functions 手動部署 Google Workspace 資料連接器(透過 Visual Studio Code 部署)。

1.部署 Function App

注意:您需要為 Azure 函式開發準備 VS Code

  1. 下載 Azure Function App 檔案。 將封存解壓縮至本機開發電腦。

  2. 啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。

  3. 從解壓縮的檔案中選取最上層的資料夾。

  4. 選擇活動列中的 Azure 圖示,然後在 [Azure:Functions] 區域中,選擇 [部署至函數應用程式] 按鈕。 如果您尚未登入,請選擇活動列中的 [Azure] 圖示,然後在 [Azure:Functions] 區域中,選擇 [登入 Azure]。如果您已經登入,請移至下一個步驟。

  5. 提示中會提供下列資訊:

    a. 選取資料夾:從您的工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。

    b. 選取訂用帳戶:選擇要使用的訂用帳戶。

    c. 選取 [在 Azure 中建立新的 Function App] (不要選擇 [進階] 選項)

    d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您鍵入的名稱會經過驗證,確定其在 Azure Functions 中是唯一。 (例如 GWorkspaceXXXXX)。

    e. 選取執行階段:選擇 Python 3.8。

    f. 選取新資源的位置。 為了獲得更好的效能和更低的成本,請選擇 Microsoft Sentinel 所在的相同區域

  6. 部署即將開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。

  7. 移至 Azure 入口網站來進行 Function App 設定。

2.設定 Function App

  1. 在 Function App 中,選取 [Function App 名稱],然後選取 [設定]

  2. 在 [ 應用程式設定] 索引標籤中,選取 [新增應用程式設定] 。

  3. 個別新增下列每個應用程式設定,其各自的字串值(區分大小寫):GooglePickleString WorkspaceID WorkspaceKey logAnalyticsUri (選擇性)

  4. (選擇性)視需要變更默認延遲。

    注意: 根據Google ,已針對來自Google Workspace的不同記錄集,新增下列擷取延遲的預設值。 您可以根據環境需求修改這些專案。 擷取延遲 - 10 分鐘行事歷擷取延遲 - 6 小時聊天擷取延遲 - 1 天使用者帳戶擷取延遲 - 3 小時登入擷取延遲 - 6 小時

  5. 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,對於公有雲,請將該值留空;對於 Azure GovUS 雲端環境,請依下列格式指定值:https://<CustomerId>.ods.opinsights.azure.us

  6. 輸入所有應用程式設定之後,請按一下 [儲存]

下一步

如需詳細資訊,請前往 Azure Marketplace 中的 相關解決方案