ログイベントを Google Security Operations にエクスポートしてインサイダー リスクをモニタリングする

サポート対象エディション: Enterprise Standard、Enterprise Plus。エディションの比較

Google Workspace のログイベントは、Google Security Operations(Google SecOps)にエクスポートできます。Google SecOps は、組織によるセキュリティ上の脅威の検出、調査、対応に役立つセキュリティ分析プラットフォームです。ログイベントを Google SecOps にエクスポートするには、Google 管理コンソールを使用して Google Workspace を Google SecOps に接続する必要があります。

Google SecOps に接続すると、ログイベントが Google SecOps に継続的にエクスポートされ、そこでインサイダー リスクを管理できます。リスクを管理するには、検出とアラートを生成するルールを使用します。これにより、データアクセスとデータの引き出しに関連する危険なユーザー行動と異常を特定できます。Google SecOps の詳細

ログイベントのエクスポート後

データを Google SecOps にエクスポートした後、Google SecOps アカウントにログインして次のことができます。

  • ログイベント内の要素(ユーザー名、IP アドレス、ログイン イベントなど)を検索する。
  • 現在組織に影響を与えているすべてのアラートと不正使用インジケーター(IOC)を確認する。
  • アラートを分析する。

始める前に

  • Google SecOps アカウントがあることを確認します。アカウントが必要な場合は、Google Cloud セールス スペシャリストまでお問い合わせください。
  • Google Workspace を Google SecOps に接続するには、特権管理者の権限が必要です。

Google SecOps に接続してログイベントをエクスポートする

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニューアイコン 次に [レポート] 次に [データ統合] に移動します。

    Education administrators go to Menu 次にReporting次にBigQuery export, which opens the Data integrations page.

  3. [Google Security Operations へのエクスポート] に移動し、編集アイコン  をクリックします。
  4. 以下の手順を行います。
    1. 組織の [プロフィール] ページからお客様 IDをコピーします。
    2. [Google Security Operations] に移動し、[設定] 次に [Google Workspace] をクリックします。Google Workspace のお客様 ID を入力し、[トークンを生成] をクリックします。
    3. トークンGoogle Security Operations のインスタンス ID をコピーします(インスタンス ID はお客様 ID と同じです)。
    4. 管理コンソールの [Google Security Operations に接続] ページに戻り、トークンインスタンス ID を入力します。
  5. [Connect] をクリックします。

データが Google SecOps にエクスポートされるまでに、最長で 24 時間ほどかかることがあります。その後は、組織のログイベントが Google SecOps に継続的にエクスポートされます。

接続を確立できないことを知らせるメッセージが表示された場合は、まず Google SecOps トークンとインスタンス ID が正しいかどうかを確認します。正しい場合は、数分後に Google SecOps への接続を再試行します。それでも接続できない場合は、Google Workspace サポートにお問い合わせください。

Google SecOps との接続を解除する

ログイベントを Google SecOps にエクスポートする必要がなくなった場合は、組織の Google Workspace アカウントと Google SecOps との接続を解除できます。

注: Google SecOps との接続を解除しても、ログイベントは Google SecOps から自動的に削除されません。ログイベントを削除するには、Google SecOps を使用してください。

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニューアイコン 次に [レポート] 次に [データ統合] に移動します。

    Education administrators go to Menu 次にReporting次にBigQuery export, which opens the Data integrations page.

  3. [Google Security Operations へのエクスポート] に移動し、[Google Security Operations との接続を解除] をクリックします。

よくある質問

セクションを開く  |  すべて閉じる

どのログイベントが Google SecOps にエクスポートされますか?

サポートされている主なログイベントのデータは次のとおりです。

  • 管理者
  • Chrome
  • Classroom
  • Cloud Search
  • データ エクスポート(管理者)
  • データポータル
  • デバイス
  • Gmail
  • Google カレンダー
  • Google Chat
  • Google ドライブ
  • Google グループ
  • ビジネス向け Google グループ
  • Google Keep
  • Google Meet
  • Google データ エクスポート
  • Google Voice
  • Jamboard 管理
  • ログイン
  • OAuth
  • ルール
  • SAML
  • ユーザー
Google SecOps にエクスポートするログイベントを選択できますか?
いいえ。サポートされているすべてのログイベントが Google SecOps にエクスポートされます。
管理コンソールに記録されたログイベントのデータは、いつ使用できるようになりますか?
作成されたログイベントのデータは、Google SecOps にストリーミングされます。
注: ログイベントのデータを利用できるようになるまでの所要時間については、データの保持期間とタイムラグをご覧ください。
Google SecOps に接続する前に作成したログイベントもエクスポートされますか?
いいえ。Google SecOps への接続後に管理コンソールで作成されたログイベントのみがエクスポートされます。
エクスポートしたログイベントは Google SecOps で別の形式に変換されますか?
はい。Google SecOps は、エクスポートされたすべてのログイベントを Unified Data Format(UDM)に変換します。これにより、Google SecOps はお客様のデータに対して複雑なクエリとルールを実行できます。
Google SecOps でのリスク管理にどのようなルールを使用できますか?
Google SecOps には Google SecOps ルールセットと呼ばれる事前構築済みのルールが用意されており、組織に対する脅威を検出するために個別に有効にできます。これらのルールによって検出が生成され、その一部はアラートとなる場合もあります。また、リスクスコアも付加されます。Google SecOps の Google Workspace ルールセットを使用すると、インサイダー リスクとデータの引き出しを調査できます。詳しくは、ルールセットの詳細をご覧ください。
ログイベントのデータを Google SecOps にエクスポートするのに費用はかかりますか?
エクスポート機能を使用する場合は、Google SecOps 標準の利用規約と料金が適用されます。詳しくは、営業担当者にお問い合わせください
Google SecOps のエクスポート機能は Google Workspace の利用規約の対象ですか?
いいえ。Google SecOps のエクスポート機能には SecOps サービス契約が適用されます。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
16731503103078959866
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false