您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

将 Google 工作区连接到 Azure Sentinel

重要

Google 工作区连接器当前为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Google 工作区(以前称为 G Suite)数据连接器提供通过 REST API 将 Google 工作区活动事件引入 Azure Sentinel 的功能。 连接器在 SOC 中为这些事件提供可见性,帮助你检查潜在的安全风险、分析你的团队的协作情况、诊断配置问题、跟踪登录人员和登录时间、分析管理员活动、了解用户创建和共享内容的方式,以及查看组织中的更多事件。

备注

数据将存储在运行 Azure Sentinel 的工作区的地理位置。

先决条件

要收集 Google 工作区数据,必须具有以下权限和凭据:

配置并连接 Google 工作区

Google 工作区可以使用 Azure 函数应用将日志直接集成和导出到 Azure Sentinel。

备注

此连接器使用 Azure Functions 连接到 Google 报表 API,以将活动事件拉取到 Azure Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。

  1. 在 Azure Sentinel 门户中,单击“数据连接器”。

  2. 从连接器库中选择“Google 工作区 (G Suite)(预览版)”,然后选择“打开连接器”页。

  3. 按照连接器页的“配置”部分中所述的步骤进行操作。

验证连接和查找数据

可能需要长达 20 分钟的时间,才能在 Azure Sentinel 中看到引入的数据。

成功建立连接后,数据将显示在下列各表的“自定义日志”部分下的“日志”中:

  • GWorkspace_ReportsAPI_admin_CL
  • GWorkspace_ReportsAPI_calendar_CL
  • GWorkspace_ReportsAPI_drive_CL
  • GWorkspace_ReportsAPI_login_CL
  • GWorkspace_ReportsAPI_mobile_CL
  • GWorkspace_ReportsAPI_token_CL
  • GWorkspace_ReportsAPI_user_accounts_CL

此数据连接器依赖于基于 Kusto 函数的分析程序来按预期方式工作。 按照以下步骤创建“GWorkspaceActivityReports”Kusto 函数别名。

请参阅连接器页中的“后续步骤”选项卡,了解一些有用的示例查询。

后续步骤

在本文档中,你已了解如何将 Google 工作区连接到 Azure Sentinel。 要详细了解 Azure Sentinel,请参阅以下文章: