Соединитель Google Workspace (G Suite) (с помощью Функции Azure) для Microsoft Sentinel

Соединитель данных Рабочей области Google предоставляет возможность приема событий действий Google Workspace в Microsoft Sentinel через REST API. Соединитель предоставляет возможность получать события , которые помогают изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации, отслеживать, кто входит и когда, анализировать действия администратора, понять, как пользователи создают и совместно используют содержимое, а также другие события проверки в организации.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя	Description
Код приложения-функции Azure	https://aka.ms/sentinel-GWorkspaceReportsAPI-functionapp
Таблицы Log Analytics	GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL
Поддержка правил сбора данных	В настоящий момент не поддерживается
Поддерживается	Корпорация Майкрософт

Примеры запросов

События рабочей области Google — все действия

GWorkspaceActivityReports

| sort by TimeGenerated desc

События Рабочей области Google — действие Администратор

GWorkspace_ReportsAPI_admin_CL

| sort by TimeGenerated desc

События рабочей области Google — действие календаря

GWorkspace_ReportsAPI_calendar_CL

| sort by TimeGenerated desc

События Рабочей области Google — действие диска

GWorkspace_ReportsAPI_drive_CL

| sort by TimeGenerated desc

События рабочей области Google — действие входа

GWorkspace_ReportsAPI_login_CL

| sort by TimeGenerated desc

События Рабочей области Google — мобильное действие

GWorkspace_ReportsAPI_mobile_CL

| sort by TimeGenerated desc

События рабочей области Google — действие токена

GWorkspace_ReportsAPI_token_CL

| sort by TimeGenerated desc

События Рабочей области Google — действия учетных записей пользователей

GWorkspace_ReportsAPI_user_accounts_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Google Workspace (G Suite) (с помощью Функции Azure), убедитесь, что у вас есть:

• Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
• Учетные данные и разрешения REST API: Для REST API требуется GooglePickleString . Дополнительные сведения об API см. в документации. Найдите инструкции по получению учетных данных в разделе конфигурации ниже. Вы можете проверка все требования и следовать инструкциям, приведенным здесь.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Отчетов Google для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним GWorkspaceReports и загрузите код функции или щелкните здесь, в второй строке запроса, введите имена узлов устройств GWorkspaceReports и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

ШАГ 1. Убедитесь, что необходимые условия для получения строки Google Pickel

1. Установлен Python 3 или более поздней версии.
2. Доступно средство управления пакетами pip.
3. Домен Рабочей области Google с включенным доступом к API.
4. Учетная запись Google в этом домене с правами администратора.

ШАГ 2. Действия по настройке ДЛЯ API Отчетов Google

1. Войдите в облачную консоль Google с помощью учетных https://console.cloud.google.comданных рабочей области Администратор.
2. Использование параметра поиска (доступно в верхней середине), поиск API и служб
3. Из API и служб с> поддержкой API и служб включите API пакета SDK Администратор для этого проекта.
4. Перейдите на экран согласия API и служб ->OAuth. Если оно еще не настроено, создайте экран согласия OAuth со следующими шагами:
   1. Укажите имя приложения и другие обязательные сведения.
   2. Добавьте авторизованные домены с включенным доступом к API.
   3. В разделе "Области" добавьте область API пакета SDK Администратор.
   4. В разделе "Тестовые пользователи" убедитесь, что учетная запись администратора домена добавлена.
5. Перейдите к API и службам ->Credentials и создайте идентификатор клиента OAuth 2.0
   1. Щелкните "Создать учетные данные" в верхней части и выберите идентификатор клиента Oauth.
   2. Выберите веб-приложение в раскрывающемся списке "Тип приложения".
   3. Укажите подходящее имя для веб-приложения и добавьте http://localhost:8081/ его в качестве одного из URI авторизованного перенаправления.
   4. После нажатия кнопки "Создать" скачайте JSON из всплывающего окна. Переименуйте этот файл в "credentials.json".
6. Чтобы получить Google Pickel String, запустите скрипт Python из той же папки, где сохранены credentials.json.
   1. При появлении входа используйте учетные данные учетной записи администратора домена для входа.

Примечание. Этот скрипт поддерживается только в операционной системе Windows. 7. Из выходных данных предыдущего шага скопируйте Google Pickle String (содержащиеся в отдельных кавычках) и сохраните его удобно. Он понадобится на этапе развертывания приложения-функции.

ШАГ 3. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure.

ВАЖНО. Прежде чем развертывать соединитель данных рабочей области, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела), а также доступную рабочую область GooglePickleString.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя данных Google Workspace с помощью шаблона ARM.

1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

   

2. Выберите предпочтительную подписку, группу ресурсов и расположение.

3. Введите идентификатор рабочей области, ключ рабочей области, GooglePickleString и развертывание.

4. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

5. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя данных Рабочей области Google вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

1. Развертывание приложения-функции

ПРИМЕЧАНИЕ. Вам потребуется подготовить VS Code для разработки функций Azure.

1. Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.

2. Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".

3. Выберите папку верхнего уровня из извлеченных файлов.

4. Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.

5. Введите следующие сведения по соответствующим запросам:

   a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.

   b. Выберите подписку: выберите используемую подписку.

   c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")

   d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, GWorkspaceXXXXX).

   д) Выберите среду выполнения: выберите Python 3.8.

   f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.

6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.

7. Перейдите на портал Azure для конфигурации приложения-функции.

2. Настройка приложения-функции

1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".

2. На вкладке "Параметры приложения" выберите ** Новый параметр приложения**.

3. Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): GooglePickleString WorkspaceID WorkspaceKey logAnalyticsUri (необязательно)

4. (Необязательно) При необходимости измените задержки по умолчанию.

   ПРИМЕЧАНИЕ. Следующие значения по умолчанию для задержек приема были добавлены для разного набора журналов из Google Workspace на основе документации Google. Их можно изменить на основе экологических требований. Получение задержки — 10 минут задержка получения календаря — 6 часов задержка получения чата — 1 день задержка получения учетных записей пользователей — 3 часа задержка получения входа в систему — 6 часов

5. Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us

6. После ввода всех параметров приложения нажмите кнопку "Сохранить".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.