موصل مساحة عمل Google (G Suite) (باستخدام Azure Functions) ل Microsoft Sentinel

يوفر موصل بيانات Google Workspace القدرة على استيعاب أحداث نشاط مساحة عمل Google في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. يوفر الموصل القدرة على الحصول على الأحداث التي تساعد على فحص المخاطر الأمنية المحتملة، وتحليل استخدام فريقك للتعاون، وتشخيص مشكلات التكوين، وتتبع من يسجل الدخول ومتى، وتحليل نشاط المسؤول، وفهم كيفية إنشاء المستخدمين للمحتوى ومشاركته، والمزيد من أحداث المراجعة في مؤسستك.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل	‏‏الوصف
التعليمات البرمجية لتطبيق وظائف Azure	https://aka.ms/sentinel-GWorkspaceReportsAPI-functionapp
جدول (جداول) Log Analytics	GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL
دعم قواعد جمع البيانات	غير مدعوم حاليًا
مدعومة من قبل	Microsoft Corporation

عينات الاستعلام

أحداث مساحة عمل Google - جميع الأنشطة

GWorkspaceActivityReports

| sort by TimeGenerated desc

أحداث مساحة عمل Google - نشاط مسؤول

GWorkspace_ReportsAPI_admin_CL

| sort by TimeGenerated desc

أحداث مساحة عمل Google - نشاط التقويم

GWorkspace_ReportsAPI_calendar_CL

| sort by TimeGenerated desc

أحداث مساحة عمل Google - نشاط محرك الأقراص

GWorkspace_ReportsAPI_drive_CL

| sort by TimeGenerated desc

أحداث مساحة عمل Google - نشاط تسجيل الدخول

GWorkspace_ReportsAPI_login_CL

| sort by TimeGenerated desc

أحداث مساحة عمل Google - نشاط الجوال

GWorkspace_ReportsAPI_mobile_CL

| sort by TimeGenerated desc

أحداث مساحة عمل Google - نشاط الرمز المميز

GWorkspace_ReportsAPI_token_CL

| sort by TimeGenerated desc

أحداث مساحة عمل Google - نشاط حسابات المستخدمين

GWorkspace_ReportsAPI_user_accounts_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع Google Workspace (G Suite) (باستخدام Azure Functions) تأكد من أن لديك:

• أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
• بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب GooglePickleString لواجهة برمجة تطبيقات REST. راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات. يرجى العثور على الإرشادات للحصول على بيانات الاعتماد في قسم التكوين أدناه. يمكنك التحقق من جميع المتطلبات واتباع التعليمات من هنا أيضا.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال بواجهة برمجة تطبيقات تقارير Google لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظة: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للدالة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار GWorkspaceReports وقم بتحميل التعليمات البرمجية للدالة أو انقر هنا، في السطر الثاني من الاستعلام، أدخل اسم المضيف (أسماء) جهاز (أجهزة) GWorkspaceReports وأي معرفات فريدة أخرى ل logstream. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.

الخطوة 1 - التأكد من المتطلبات الأساسية للحصول على سلسلة Google Pickel

1. تم تثبيت Python 3 أو أعلى .
2. تتوفر أداة إدارة حزمة pip.
3. مجال مساحة عمل Google مع تمكين الوصول إلى واجهة برمجة التطبيقات.
4. حساب Google في هذا المجال مع امتيازات المسؤول.

الخطوة 2 - خطوات التكوين لواجهة برمجة تطبيقات تقارير Google

1. قم بتسجيل الدخول إلى وحدة تحكم Google السحابية باستخدام بيانات اعتماد https://console.cloud.google.comمسؤول مساحة العمل الخاصة بك .
2. باستخدام خيار البحث (متوفر في الجزء العلوي الأوسط)، ابحث عن واجهات برمجة التطبيقات والخدمات
3. من واجهات برمجة التطبيقات والخدمات ->تمكين واجهات برمجة التطبيقات والخدمات، قم بتمكين مسؤول SDK API لهذا المشروع.
4. انتقل إلى واجهات برمجة التطبيقات والخدمات ->شاشة موافقة OAuth. إذا لم يكن قد تم تكوينه بالفعل، فبادر بإنشاء شاشة موافقة OAuth بالخطوات التالية:
   1. توفير اسم التطبيق ومعلومات إلزامية أخرى.
   2. أضف المجالات المعتمدة مع تمكين الوصول إلى واجهة برمجة التطبيقات.
   3. في قسم Scopes، أضف نطاق واجهة برمجة تطبيقات SDK مسؤول.
   4. في قسم Test Users، تأكد من إضافة حساب مسؤول المجال.
5. انتقل إلى واجهات برمجة التطبيقات والخدمات ->بيانات الاعتماد وأنشئ معرف عميل OAuth 2.0
   1. انقر فوق Create Credentials في الأعلى وحدد Oauth client Id.
   2. حدد تطبيق ويب من القائمة المنسدلة نوع التطبيق.
   3. أدخل اسما مناسبا لتطبيق الويب وأضفه http://localhost:8081/ كأحد معرفات URI المعتمدة لإعادة التوجيه.
   4. بمجرد النقر فوق Create، قم بتنزيل JSON من النافذة المنبثقة التي تظهر. أعد تسمية هذا الملف إلى "credentials.json".
6. لإحضار Google Pickel String، قم بتشغيل البرنامج النصي python من نفس المجلد حيث يتم حفظ credentials.json.
   1. عند ظهور تسجيل الدخول، استخدم بيانات اعتماد حساب مسؤول المجال لتسجيل الدخول.

ملاحظة: هذا البرنامج النصي مدعوم فقط على نظام التشغيل Windows. 7. من مخرجات الخطوة السابقة، انسخ Google Pickle String (المضمنة ضمن علامات اقتباس مفردة) واحتفظ بها في متناول يدك. ستكون هناك حاجة إليها في خطوة توزيع Function App.

الخطوة 3 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل بيانات مساحة العمل، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مساحة العمل GooglePickleString المتوفرة بسهولة.

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات مساحة عمل Google باستخدام قالب ARM.

1. انقر فوق الزر Deploy to Azure أدناه.

   

2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

3. أدخل معرف مساحة العمل، ومفتاح مساحة العمل، وGooglePickleString وانشر.

4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات مساحة عمل Google يدويا باستخدام Azure Functions (النشر عبر Visual Studio Code).

1. نشر تطبيق الوظائف

ملاحظة: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

1. قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

2. ابدأ تشغيل رمز VS. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

4. اختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر الزر Deploy to function app . إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر تسجيل الدخول إلى Azure إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.

5. قدِّم المعلومات التالية في المطالبات:

   أ. تحديد المجلد: تحديد مجلد من مساحة عملك أو استعراض مجلد يتضمن تطبيق الدوال.

   ب. حدد الاشتراك: اختر الاشتراك الذي تريد استخدامه.

   جـ. حدد Create new Function App في Azure (لا تحدد الخيار Advanced)

   د. أدخل اسمًا فريدًا عالميًا لتطبيق الوظائف:اكتب اسمًا صالحًا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال GWorkspaceXXXXX).

   هـ. حدد وقت التشغيل: اختر Python 3.8.

   و. حدد موقعًا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

6. ستبدأ عملية التوزيع. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.

7. انتقل إلى مدخل Microsoft Azure لتكوين Function App.

2. تكوين تطبيق الوظائف

1. في Function App، حدد Function App Name وحدد Configuration.

2. في علامة التبويب Application settings ، حدد ** New application setting**.

3. أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): GooglePickleString WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)

4. (اختياري) قم بتغيير التأخيرات الافتراضية إذا لزم الأمر.

   ملاحظة: تمت إضافة القيم الافتراضية التالية لتأخيرات الاستيعاب لمجموعة مختلفة من السجلات من Google Workspace استنادا إلى وثائق Google. ويمكن تعديلها بناء على المتطلبات البيئية. تأخير الإحضار - تأخير إحضار التقويم لمدة 10 دقائق - تأخير إحضار الدردشة لمدة 6 ساعات - تأخير إحضار حسابات المستخدمين لمدة يوم واحد - تأخير إحضار تسجيل الدخول لمدة 3 ساعات - 6 ساعات

5. استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.

6. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.