Connector Google Workspace (G Suite) (mit Azure Functions) für Microsoft Sentinel

Der Google Workspace-Datenconnector bietet die Möglichkeit, Google Workspace-Aktivitätsereignisse über die REST-API in Microsoft Sentinel zu erfassen. Der Connector kann diese Ereignisse abrufen, was Ihnen hilft, potenzielle Sicherheitsrisiken zu untersuchen, die Zusammenarbeit im Team zu analysieren, Konfigurationsprobleme zu diagnostizieren, Anmeldungen nachzuverfolgen, Administratoraktivitäten zu analysieren, die Inhaltserstellung und -nutzung durch die Benutzer und weitere Überprüfungsereignisse in Ihrer Organisation zu verstehen.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut	BESCHREIBUNG
Azure-Funktions-App-Code	https://aka.ms/sentinel-GWorkspaceReportsAPI-functionapp
Log Analytics-Tabellen	GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL
Unterstützung für Datensammlungsregeln	Derzeit nicht unterstützt
Unterstützt von	Microsoft Corporation

Abfragebeispiele

Google Workspace-Ereignisse – Alle Aktivitäten

GWorkspaceActivityReports

| sort by TimeGenerated desc

Google Workspace-Ereignisse – Administratoraktivität

GWorkspace_ReportsAPI_admin_CL

| sort by TimeGenerated desc

Google Workspace-Ereignisse – Kalenderaktivität

GWorkspace_ReportsAPI_calendar_CL

| sort by TimeGenerated desc

Google Workspace-Ereignisse – Laufwerkaktivität

GWorkspace_ReportsAPI_drive_CL

| sort by TimeGenerated desc

Google Workspace-Ereignisse – Anmeldeaktivität

GWorkspace_ReportsAPI_login_CL

| sort by TimeGenerated desc

Google Workspace-Ereignisse – Mobile Aktivität

GWorkspace_ReportsAPI_mobile_CL

| sort by TimeGenerated desc

Google Workspace-Ereignisse – Tokenaktivität

GWorkspace_ReportsAPI_token_CL

| sort by TimeGenerated desc

Google Workspace-Ereignisse – Benutzerkontoaktivität

GWorkspace_ReportsAPI_user_accounts_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration mit Google Workspace (G Suite) (mit Azure Functions) sicher, dass Folgendes vorhanden ist:

• Microsoft.Web/sites-Berechtigungen: Sie benötigen Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
• REST-API-Anmeldeinformationen/-Berechtigungen: GooglePickleString ist für die REST-API erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation. Die Anweisungen zum Abrufen der Anmeldeinformationen finden Sie weiter unten im Konfigurationsabschnitt. Sie können dort alle -Anforderungen überprüfen und auch die Anweisungen befolgen.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verbindet sich über Azure Functions mit der Google Reports-API, um deren Protokolle in Microsoft Sentinel abzurufen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

HINWEIS: Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt „Log Analytics-/Microsoft Sentinel-Protokolle“, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „GWorkspaceReports“, und laden Sie den Funktionscode, oder klicken Sie hier. Geben Sie in der zweiten Zeile der Abfrage die Hostnamen Ihrer GWorkspaceReports-Geräte und alle anderen eindeutigen Bezeichner für den Protokollstream ein. Die Aktivierung der Funktion dauert nach der Installation/Aktualisierung der Lösung in der Regel zehn bis 15 Minuten.

SCHRITT 1: Sicherstellen der Voraussetzungen zum Abrufen der Google Pickel-Zeichenfolge

1. Python 3 oder höher ist installiert.
2. Das Pip-Paketverwaltungstool ist verfügbar.
3. Eine Google Workspace-Domäne mit aktiviertem API-Zugriff.
4. Ein Google-Konto in dieser Domäne mit Administratorrechten.

SCHRITT 2: Konfigurationsschritte für die Google Reports-API

1. Melden Sie sich bei Google Cloud Console (https://console.cloud.google.com) als Arbeitsbereichsadministrator*in an.
2. Suchen Sie mithilfe der Suchoption (oben in der Mitte) nach APIs und Dienste
3. Aktivieren Sie unter APIs und Dienste ->Aktivierte APIs und Dienste, Admin SDK-API für dieses Projekt aktivieren.
4. Wechseln Sie zu APIs und Dienste ->OAuth-Genehmigungsbildschirm. Falls noch nicht konfiguriert, erstellen Sie mit den folgenden Schritten einen OAuth-Zustimmungsbildschirm:
   1. Geben Sie den App-Namen und andere obligatorische Informationen an.
   2. Fügen Sie autorisierte Domänen mit aktiviertem API-Zugriff hinzu.
   3. Fügen Sie im Abschnitt „Bereiche“ Admin SDK-API-Bereich hinzu.
   4. Stellen Sie im Abschnitt „Testbenutzer“ sicher, dass das Domänenadministratorkonto hinzugefügt wurde.
5. Wechseln Sie zu APIs und Dienste ->Anmeldeinformationen und erstellen Sie die OAuth 2.0-Client-ID
   1. Klicken Sie oben auf „Anmeldeinformationen erstellen“, und wählen Sie die Oauth-Client-ID aus.
   2. Wählen Sie in der Dropdownliste „Anwendungstyp“ die Option „Webanwendung“ aus.
   3. Geben Sie der Web-App einen geeigneten Namen an, und fügen Sie http://localhost:8081/ als eine der autorisierten Umleitungs-URIs hinzu.
   4. Nachdem Sie auf „Erstellen“ geklickt haben, laden Sie den JSON-Code aus dem angezeigten Popupfenster herunter. Benennen Sie diese Datei in „credentials.json“ um.
6. Um die Google Pickel-Zeichenfolge abzurufen, führen Sie das Python-Skript aus demselben Ordner aus, in dem credentials.json gespeichert ist.
   1. Wenn ein Fenster für die Anmeldung angezeigt wird, verwenden Sie die Anmeldeinformationen des Domänenadministratorkontos, um sich anzumelden.

Hinweis: Dieses Skript wird nur unter dem Windows-Betriebssystem unterstützt. 7. Kopieren Sie aus der Ausgabe des vorherigen Schritts die Google Pickle-Zeichenfolge (in einfachen Anführungszeichen enthalten), und halten Sie sie bereit. Diese wird im Bereitstellungsschritt der Funktions-App benötigt.

SCHRITT 3 – Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen

WICHTIG: Vor der Bereitstellung des Workspace-Datenconnectors müssen Sie die Workspace-ID und den Workspace-Primärschlüssel (können von Folgendem kopiert werden) sowie die Anmeldeinformationen der Workspace GooglePickle-Zeichenfolge bereithalten.

Option 1 – Azure Resource Manager (ARM)-Vorlage

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Google Workspace-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Speicherort aus.

3. Geben Sie die Arbeitsbereichs-ID, den Workspace-Schlüssel, die GooglePickle-Zeichenfolge ein, und stellen Sie sie bereit.

4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2 – Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittanleitungen, um den Google Workspace-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.

3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.

5. Geben Sie nach entsprechender Aufforderung Folgendes ein:

   a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).

   d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. GWorkspaceXXXXX)

   e. Runtime auswählen: Wählen Sie Python 3.8 aus.

   f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.

7. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2. Konfigurieren der Funktions-App

1. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.

2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option **Neue Anwendungseinstellung** aus.

3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): GooglePickleString WorkspaceID WorkspaceKey logAnalyticsUri (optional).

4. (Optional) Ändern Sie bei Bedarf die Standardverzögerungen.

   HINWEIS: Die folgenden Standardwerte für Erfassungsverzögerungen wurden für verschiedene Protokolle aus Google Workspace basierend auf der Google-Dokumentation hinzugefügt. Diese können je nach Umgebungsanforderungen geändert werden. Abrufverzögerung: 10 Minuten; Kalenderabrufverzögerung: 6 Stunden; Chatabrufverzögerung: 1 Tag; Benutzerkonten-Abrufverzögerung: 3 Stunden, Anmeldungsabrufverzögerung: 6 Stunden

5. Verwenden Sie „logAnalyticsUri“, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

6. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.