Konektor Google Workspace (G Suite) (menggunakan Azure Functions) untuk Microsoft Azure Sentinel

Konektor data Google Workspace menyediakan kemampuan untuk menyerap peristiwa Aktivitas Ruang Kerja Google ke Microsoft Azure Sentinel melalui REST API. Konektor ini menyediakan kemampuan untuk mendapatkan peristiwa yang membantu memeriksa potensi risiko keamanan, menganalisis penggunaan kolaborasi tim Anda, mendiagnosis masalah konfigurasi, melacak siapa yang masuk dan kapan, menganalisis aktivitas administrator, memahami cara pengguna membuat dan berbagi konten, dan lebih banyak meninjau peristiwa di organisasi Anda.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor	Deskripsi
Kode aplikasi fungsi Azure	https://aka.ms/sentinel-GWorkspaceReportsAPI-functionapp
Tabel Log Analytics	GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL
Dukungan aturan pengumpulan data	Saat ini tidak didukung
Didukung oleh	Microsoft Corporation

Kueri sampel

Acara Google Workspace - Semua Aktivitas

GWorkspaceActivityReports

| sort by TimeGenerated desc

Peristiwa Ruang Kerja Google - Aktivitas Admin

GWorkspace_ReportsAPI_admin_CL

| sort by TimeGenerated desc

Acara Google Workspace - Aktivitas Kalender

GWorkspace_ReportsAPI_calendar_CL

| sort by TimeGenerated desc

Peristiwa Ruang Kerja Google - Aktivitas Drive

GWorkspace_ReportsAPI_drive_CL

| sort by TimeGenerated desc

Peristiwa Ruang Kerja Google - Aktivitas Login

GWorkspace_ReportsAPI_login_CL

| sort by TimeGenerated desc

Peristiwa Ruang Kerja Google - Aktivitas Seluler

GWorkspace_ReportsAPI_mobile_CL

| sort by TimeGenerated desc

Peristiwa Ruang Kerja Google - Aktivitas Token

GWorkspace_ReportsAPI_token_CL

| sort by TimeGenerated desc

Peristiwa Ruang Kerja Google - Aktivitas Akun Pengguna

GWorkspace_ReportsAPI_user_accounts_CL

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan Google Workspace (G Suite) (menggunakan Azure Functions) pastikan Anda memiliki:

• Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
• Kredensial/izin REST API: GooglePickleString diperlukan untuk REST API. Lihat dokumentasi untuk mempelajari selengkapnya tentang API. Temukan instruksi untuk mendapatkan kredensial di bagian konfigurasi di bawah ini. Anda juga dapat memeriksa semua persyaratan dan mengikuti instruksi dari sini.

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk terhubung ke Google Reports API untuk menarik lognya ke Microsoft Azure Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

CATATAN: Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan yang disebarkan sebagai bagian dari solusi. Untuk melihat kode fungsi di Log Analytics, buka bilah Log Analytics/Microsoft Sentinel Logs, klik Functions dan cari alias GWorkspaceReports dan muat kode fungsi, pada baris kedua kueri, masukkan nama host perangkat GWorkspaceReports Anda dan pengidentifikasi unik lainnya untuk logstream. Fungsi ini biasanya membutuhkan waktu 10-15 menit untuk diaktifkan setelah penginstalan/pembaruan solusi.

LANGKAH 1 - Pastikan prasyarat untuk mendapatkan String Google Pickel

1. Python 3 atau lebih tinggi diinstal.
2. Alat manajemen paket pip tersedia.
3. Domain Google Workspace dengan akses API diaktifkan.
4. Akun Google di domain tersebut dengan hak istimewa administrator.

LANGKAH 2 - Langkah konfigurasi untuk Google Reports API

1. Masuk ke konsol cloud Google dengan kredensial https://console.cloud.google.comAdmin Ruang Kerja Anda .
2. Menggunakan opsi pencarian (tersedia di tengah atas), Cari API & Layanan
3. Dari API & Layanan &> API &Layanan yang diaktifkan, aktifkan ADMIN SDK API untuk proyek ini.
4. Buka API & Layanan ->Layar Persetujuan OAuth. Jika belum dikonfigurasi, buat Layar Persetujuan OAuth dengan langkah-langkah berikut:
   1. Berikan Nama Aplikasi dan informasi wajib lainnya.
   2. Tambahkan domain resmi dengan Akses API Diaktifkan.
   3. Di bagian Cakupan, tambahkan cakupan ADMIN SDK API .
   4. Di bagian Uji Pengguna, pastikan akun admin domain ditambahkan.
5. Buka API & Layanan ->Kredensial dan buat ID Klien OAuth 2.0
   1. Klik Buat Kredensial di bagian atas dan pilih Id klien Oauth.
   2. Pilih Aplikasi Web dari menu drop-down Jenis Aplikasi.
   3. Berikan nama yang sesuai ke Aplikasi Web dan tambahkan http://localhost:8081/ sebagai salah satu URI pengalihan resmi.
   4. Setelah Anda mengklik Buat, unduh JSON dari pop-up yang muncul. Ganti nama file ini menjadi "credentials.json".
6. Untuk mengambil String Google Pickel, jalankan skrip python dari folder yang sama tempat credentials.json disimpan.
   1. Saat muncul untuk masuk, gunakan kredensial akun admin domain untuk masuk.

Catatan: Skrip ini hanya didukung pada sistem operasi Windows. 7. Dari output langkah sebelumnya, salin Google Pickle String (terkandung dalam tanda kutip tunggal) dan tetap berguna. Ini akan diperlukan pada langkah penyebaran Aplikasi Fungsi.

LANGKAH 3 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait

PENTING: Sebelum menyebarkan konektor data Ruang Kerja, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta Workspace GooglePickleString yang tersedia dengan mudah.

Opsi 1 - Templat Azure Resource Manager (ARM)

Gunakan metode ini untuk penyebaran otomatis konektor data Google Workspace menggunakan Templat ARM.

1. Klik tombol Sebarkan ke Azure di bawah ini.

   

2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

3. Masukkan ID Ruang Kerja, Kunci Ruang Kerja, GooglePickleString, dan sebarkan.

4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.

5. Klik Beli untuk menyebarkan.

Opsi 2 - Penyebaran Manual Azure Functions

Gunakan petunjuk langkah demi langkah berikut untuk menyebarkan konektor data Google Workspace secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).

1. Menyebarkan Aplikasi Fungsi

CATATAN: Anda harus menyiapkan kode VS untuk pengembangan fungsi Azure.

1. Unduh file Aplikasi Fungsi Azure. Ekstrak arsip ke komputer pengembangan lokal Anda.

2. Jalankan VS Code. Pilih File di menu utama dan pilih Buka Folder.

3. Pilih folder tingkat atas dari file yang diekstrak.

4. Pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih tombol Sebarkan ke aplikasi fungsi. Jika Anda belum masuk, pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih Masuk ke Azure Jika Anda sudah masuk, buka langkah berikutnya.

5. Berikan informasi berikut pada permintaan:

   a. Pilih folder: Pilih folder dari ruang kerja Anda atau telusuri ke folder yang berisi aplikasi fungsi Anda.

   b. Pilih Langganan: Pilih langganan yang akan digunakan.

   c. Pilih Buat Aplikasi Fungsi baru di Azure (Jangan pilih opsi Tingkat Lanjut)

   d. Masukkan nama unik global untuk aplikasi fungsi :Ketikkan nama yang valid di jalur URL. Nama yang Anda ketik akan divalidasi untuk memastikan bahwa nama tersebut bersifat unik di Azure Functions. (misalnya GWorkspaceXXXXXX).

   e. Pilih runtime: Pilih Python 3.8.

   f. Pilih lokasi untuk sumber daya baru. Untuk performa yang lebih baik dan biaya yang lebih rendah, pilih wilayah yang sama tempat Microsoft Azure Sentinel berada.

6. Penyebaran akan dimulai. Notifikasi ditampilkan setelah aplikasi fungsi Anda dibuat dan paket penyebaran diterapkan.

7. Buka Portal Microsoft Azure untuk konfigurasi Aplikasi Fungsi.

2. Mengonfigurasi Aplikasi Fungsi

1. Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.

2. Di tab Pengaturan aplikasi, pilih ** Pengaturan aplikasi baru**.

3. Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil): GooglePickleString WorkspaceID WorkspaceID WorkspaceID logAnalyticsUri (opsional)

4. (Opsional) Ubah penundaan default jika diperlukan.

   CATATAN: Nilai default berikut untuk penundaan penyerapan telah ditambahkan untuk serangkaian log yang berbeda dari Google Workspace berdasarkan dokumentasi Google. Ini dapat dimodifikasi berdasarkan persyaratan lingkungan. Penundaan Pengambilan - Penundaan Pengambilan Kalender 10 menit - Penundaan Pengambilan Obrolan 6 jam - Penundaan Pengambilan Akun Pengguna 1 hari - 3 jam Penundaan Pengambilan Login - 6 jam

5. Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://<CustomerId>.ods.opinsights.azure.us.

6. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.