適用於 Microsoft Sentinel 的 Google Workspace (G Suite) (使用 Azure Functions) 連接器
Google Workspace 資料連接器提供透過 REST API 將 Google Workspace 活動事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您取得 事件 ,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題、追蹤登入的人員及何時、分析系統管理員活動、了解使用者如何建立和共享內容,以及更多檢閱組織中的事件。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
連線 or 屬性 | 描述 |
---|---|
Azure 函式應用程式程式代碼 | https://aka.ms/sentinel-GWorkspaceReportsAPI-functionapp |
Log Analytics 數據表(s) | GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL |
數據收集規則支援 | 目前不支援 |
支援者: | Microsoft Corporation |
查詢範例
Google 工作區事件 - 所有活動
GWorkspaceActivityReports
| sort by TimeGenerated desc
Google 工作區事件 - 管理員 活動
GWorkspace_ReportsAPI_admin_CL
| sort by TimeGenerated desc
Google 工作區事件 - 行事曆活動
GWorkspace_ReportsAPI_calendar_CL
| sort by TimeGenerated desc
Google 工作區事件 - 磁碟驅動器活動
GWorkspace_ReportsAPI_drive_CL
| sort by TimeGenerated desc
Google 工作區事件 - 登入活動
GWorkspace_ReportsAPI_login_CL
| sort by TimeGenerated desc
Google 工作區事件 - 行動活動
GWorkspace_ReportsAPI_mobile_CL
| sort by TimeGenerated desc
Google 工作區事件 - 令牌活動
GWorkspace_ReportsAPI_token_CL
| sort by TimeGenerated desc
Google 工作區事件 - 使用者帳戶活動
GWorkspace_ReportsAPI_user_accounts_CL
| sort by TimeGenerated desc
必要條件
若要與 Google Workspace (G Suite) 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- REST API 認證/許可權: REST API 需要GooglePickleString 。 請參閱檔以深入瞭解 API。 請在下方的組態區段中尋找取得認證的指示。 您也可以檢查所有 需求,並遵循此處的 指示。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Google Reports API,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
注意: 此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期般運作,這會部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,單擊 [函式],然後搜尋別名 GWorkspaceReports 並載入函式程式代碼,或單擊這裡,在查詢的第二行輸入 GWorkspaceReports 裝置的主機名(s)以及記錄數據流的任何其他唯一標識符。 在解決方案安裝/更新之後,函式通常需要 10-15 分鐘才能啟動。
步驟 1 - 確定取得 Google Pickel String 的必要條件
- 已安裝 Python 3 或更新版本 。
- pip 套件管理工具可供使用。
- 已啟用 API 存取權的 Google Workspace 網域。
- 該網域中具有系統管理員許可權的 Google 帳戶。
步驟 2 - Google Reports API 的設定步驟
- 使用您的工作區 管理員 認證https://console.cloud.google.com登入Google雲端控制台。
- 使用搜尋選項(位於頂端中間),搜尋 API 與服務
- 從 API 和 Services ->Enabled API 和 Services 中,啟用此項目的 管理員 SDK API。
- 移至 [API 與服務 -> OAuth 同意畫面]。 如果尚未設定,請使用下列步驟建立 OAuth 同意畫面:
- 提供應用程式名稱和其他必要資訊。
- 新增已啟用 API 存取權的授權網域。
- 在 [範圍] 區段中,新增 管理員 SDK API 範圍。
- 在 [測試使用者] 區段中,確定已新增網域系統管理員帳戶。
- 移至 API 和服務 ->Credentials,並建立 OAuth 2.0 用戶端標識符
- 按兩下頂端的 [建立認證],然後選取 [Oauth 用戶端標識符]。
- 從 [應用程式類型] 下拉式清單中選取 [Web 應用程式]。
- 提供適當的 Web 應用程式名稱,並新增 http://localhost:8081/ 為其中一個授權的重新導向 URI。
- 按兩下 [建立] 之後,請從出現的彈出視窗下載 JSON。 將此檔案重新命名為 「credentials.json」。
- 若要擷取 Google Pickel String,請從儲存credentials.json的相同資料夾中執行 python 腳本 。
- 當出現登入時,請使用網域系統管理員帳戶認證登入。
注意: 只有 Windows 作業系統才支援此腳本。 7. 從上一個步驟的輸出中,複製 Google Pickle String (包含在單引號內),並讓它方便使用。 函式應用程式部署步驟中將會需要它。
步驟 3 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 在部署工作區數據連接器之前,請具有工作區標識符和工作區主鍵(可從下列內容複製),以及可供使用 Workspace GooglePickleString。
選項 1 - Azure Resource Manager (ARM) 範本
使用這個方法來使用ARM範本自動部署Google Workspace資料連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入工作區標識碼、工作區密鑰、GooglePickleString 和部署。
標示為 [我同意上述條款及條件] 的複選框。
按兩下 [ 購買 ] 以部署。
選項 2 - 手動部署 Azure Functions
使用下列逐步指示,使用 Azure Functions 手動部署 Google Workspace 資料連接器(透過 Visual Studio Code 部署)。
1.部署函式應用程式
注意: 您必須 準備 VS 程式代碼 以進行 Azure 函式開發。
下載 Azure 函式應用程式檔案。 將封存解壓縮到本機開發計算機。
啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。
從擷取的檔案中選取最上層資料夾。
選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [ 部署至函式應用程式 ] 按鈕。 如果您尚未登入,請選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [登入 Azure 如果您已經登入],請移至下一個步驟。
提示中會提供下列資訊:
a. 選取資料夾:從您的工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。
b. 選取 [訂用帳戶: 選擇要使用的訂用帳戶]。
c. 在 Azure 中選取 [建立新的函式應用程式] (不要選擇 [進階] 選項)
d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您輸入的名稱會進行驗證,以確定該名稱在 Azure Functions 中是唯一的。 (例如 GWorkspaceXXXXX)。
e. 選取運行時間: 選擇 Python 3.8。
f. 選取新資源的位置。 為了獲得更好的效能和較低的成本,請選擇 Microsoft Sentinel 所在的相同 區域 。
部署將會開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。
移至 Azure 入口網站以取得函式應用程式設定。
2.設定函式應用程式
在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。
在 [ 應用程式設定] 索引標籤中,選取 [新增應用程式設定] 。
個別新增下列每個應用程式設定,其各自的字串值(區分大小寫):GooglePickleString WorkspaceID WorkspaceKey logAnalyticsUri (選擇性)
(選擇性)視需要變更默認延遲。
注意: 根據Google 檔,已針對來自Google Workspace的不同記錄集,新增下列擷取延遲的預設值。 您可以根據環境需求修改這些專案。 擷取延遲 - 10 分鐘行事歷擷取延遲 - 6 小時聊天擷取延遲 - 1 天使用者帳戶擷取延遲 - 3 小時登入擷取延遲 - 6 小時
使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us
。輸入所有應用程式設定之後,按兩下 [ 儲存]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。