適用於 Microsoft Sentinel 的 Google Workspace (G Suite) (使用 Azure Functions) 連接器

  • 發行項

Google Workspace 資料連接器提供透過 REST API 將 Google Workspace 活動事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您取得 事件 ,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題、追蹤登入的人員及何時、分析系統管理員活動、了解使用者如何建立和共享內容,以及更多檢閱組織中的事件。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Azure 函式應用程式程式代碼 https://aka.ms/sentinel-GWorkspaceReportsAPI-functionapp
Log Analytics 數據表(s) GWorkspace_ReportsAPI_admin_CL
GWorkspace_ReportsAPI_calendar_CL
GWorkspace_ReportsAPI_drive_CL
GWorkspace_ReportsAPI_login_CL
GWorkspace_ReportsAPI_mobile_CL
GWorkspace_ReportsAPI_token_CL
GWorkspace_ReportsAPI_user_accounts_CL
數據收集規則支援 目前不支援
支援者: Microsoft Corporation

查詢範例

Google 工作區事件 - 所有活動

GWorkspaceActivityReports

| sort by TimeGenerated desc

Google 工作區事件 - 管理員 活動

GWorkspace_ReportsAPI_admin_CL

| sort by TimeGenerated desc

Google 工作區事件 - 行事曆活動

GWorkspace_ReportsAPI_calendar_CL

| sort by TimeGenerated desc

Google 工作區事件 - 磁碟驅動器活動

GWorkspace_ReportsAPI_drive_CL

| sort by TimeGenerated desc

Google 工作區事件 - 登入活動

GWorkspace_ReportsAPI_login_CL

| sort by TimeGenerated desc

Google 工作區事件 - 行動活動

GWorkspace_ReportsAPI_mobile_CL

| sort by TimeGenerated desc

Google 工作區事件 - 令牌活動

GWorkspace_ReportsAPI_token_CL

| sort by TimeGenerated desc

Google 工作區事件 - 使用者帳戶活動

GWorkspace_ReportsAPI_user_accounts_CL

| sort by TimeGenerated desc

必要條件

若要與 Google Workspace (G Suite) 整合(使用 Azure Functions),請確定您有:

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 Google Reports API,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面

(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。

注意: 此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期般運作,這會部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,單擊 [函式],然後搜尋別名 GWorkspaceReports 並載入函式程式代碼,或單擊這裡,在查詢的第二行輸入 GWorkspaceReports 裝置的主機名(s)以及記錄數據流的任何其他唯一標識符。 在解決方案安裝/更新之後,函式通常需要 10-15 分鐘才能啟動。

步驟 1 - 確定取得 Google Pickel String 的必要條件

  1. 已安裝 Python 3 或更新版本
  2. pip 套件管理工具可供使用
  3. 已啟用 API 存取權的 Google Workspace 網域。
  4. 該網域中具有系統管理員許可權的 Google 帳戶。

步驟 2 - Google Reports API 的設定步驟

  1. 使用您的工作區 管理員 認證https://console.cloud.google.com登入Google雲端控制台。
  2. 使用搜尋選項(位於頂端中間),搜尋 API 與服務
  3. API 和 Services ->Enabled API 和 Services 中,啟用此項目的 管理員 SDK API。
  4. 移至 [API 與服務 -> OAuth 同意畫面]。 如果尚未設定,請使用下列步驟建立 OAuth 同意畫面:
    1. 提供應用程式名稱和其他必要資訊。
    2. 新增已啟用 API 存取權的授權網域。
    3. 在 [範圍] 區段中,新增 管理員 SDK API 範圍。
    4. 在 [測試使用者] 區段中,確定已新增網域系統管理員帳戶。
  5. 移至 API 和服務 ->Credentials,並建立 OAuth 2.0 用戶端標識符
    1. 按兩下頂端的 [建立認證],然後選取 [Oauth 用戶端標識符]。
    2. 從 [應用程式類型] 下拉式清單中選取 [Web 應用程式]。
    3. 提供適當的 Web 應用程式名稱,並新增 http://localhost:8081/ 為其中一個授權的重新導向 URI。
    4. 按兩下 [建立] 之後,請從出現的彈出視窗下載 JSON。 將此檔案重新命名為 「credentials.json」。
  6. 若要擷取 Google Pickel String,請從儲存credentials.json的相同資料夾中執行 python 腳本
    1. 當出現登入時,請使用網域系統管理員帳戶認證登入。

注意: 只有 Windows 作業系統才支援此腳本。 7. 從上一個步驟的輸出中,複製 Google Pickle String (包含在單引號內),並讓它方便使用。 函式應用程式部署步驟中將會需要它。

步驟 3 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式

重要事項: 在部署工作區數據連接器之前,請具有工作區標識符和工作區主鍵(可從下列內容複製),以及可供使用 Workspace GooglePickleString。

選項 1 - Azure Resource Manager (ARM) 範本

使用這個方法來使用ARM範本自動部署Google Workspace資料連接器。

  1. 按兩下下方的 [ 部署至 Azure ] 按鈕。

    部署至 Azure

  2. 選取慣用 的訂用帳戶資源群組位置

  3. 輸入工作區標識碼工作區密鑰GooglePickleString 和部署。

  4. 標示為 [我同意上述條款及條件] 的複選框。

  5. 按兩下 [ 購買 ] 以部署。

選項 2 - 手動部署 Azure Functions

使用下列逐步指示,使用 Azure Functions 手動部署 Google Workspace 資料連接器(透過 Visual Studio Code 部署)。

1.部署函式應用程式

注意: 您必須 準備 VS 程式代碼 以進行 Azure 函式開發。

  1. 下載 Azure 函式應用程式檔案。 將封存解壓縮到本機開發計算機。

  2. 啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。

  3. 從擷取的檔案中選取最上層資料夾。

  4. 選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [ 部署至函式應用程式 ] 按鈕。 如果您尚未登入,請選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [登入 Azure 如果您已經登入],請移至下一個步驟。

  5. 提示中會提供下列資訊:

    a. 選取資料夾:從您的工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。

    b. 選取 [訂用帳戶: 選擇要使用的訂用帳戶]。

    c. 在 Azure 中選取 [建立新的函式應用程式] (不要選擇 [進階] 選項)

    d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您輸入的名稱會進行驗證,以確定該名稱在 Azure Functions 中是唯一的。 (例如 GWorkspaceXXXXX)。

    e. 選取運行時間: 選擇 Python 3.8。

    f. 選取新資源的位置。 為了獲得更好的效能和較低的成本,請選擇 Microsoft Sentinel 所在的相同 區域

  6. 部署將會開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。

  7. 移至 Azure 入口網站以取得函式應用程式設定。

2.設定函式應用程式

  1. 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。

  2. 在 [ 應用程式設定] 索引標籤中,選取 [新增應用程式設定] 。

  3. 個別新增下列每個應用程式設定,其各自的字串值(區分大小寫):GooglePickleString WorkspaceID WorkspaceKey logAnalyticsUri (選擇性)

  4. (選擇性)視需要變更默認延遲。

    注意: 根據Google ,已針對來自Google Workspace的不同記錄集,新增下列擷取延遲的預設值。 您可以根據環境需求修改這些專案。 擷取延遲 - 10 分鐘行事歷擷取延遲 - 6 小時聊天擷取延遲 - 1 天使用者帳戶擷取延遲 - 3 小時登入擷取延遲 - 6 小時

  5. 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值: https://<CustomerId>.ods.opinsights.azure.us

  6. 輸入所有應用程式設定之後,按兩下 [ 儲存]。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案