Google Workspace 로그
Panther는 Google Workspace에서 직접 로그를 가져오는 것을 지원합니다
개요
Panther는 가져올 수 있습니다 Google Workspace (이전 명칭 G Suite) 로그 이벤트를 Google Workspace Reports API. Panther는 새 이벤트를 60초마다 Reports API에 쿼리합니다.
Panther가 로그를 가져오는 Google Workspace 애플리케이션
Panther는 다음 애플리케이션에 대해 Google Workspace 로그를 가져옵니다:
액세스 투명성
관리자
캘린더
채팅
Chrome
Classroom
컨텍스트 인식 액세스
Data Studio (Looker Studio)
드라이브
GCP
Gemini for Workspace
Gmail
그룹
그룹 엔터프라이즈
Keep
로그인
Meet
모바일
룰
SAML
토큰
사용자 계정
Vault
Google Workspace 로그를 Panther에 온보딩하는 방법
Panther가 Google Workspace Reports API에 액세스하려면 Google Cloud 앱을 생성 및 구성하고 해당 자격 증명을 Panther에 제공해야 합니다.
사전 요구 조건
아래 단계를 완료하려면 귀하의 Google 사용자는 다음을 수행할 수 있어야 합니다:
조직의 활동 기록을 읽을 수 있는 권한이 부여되어야 합니다
사용자에게 이 권한이 없는 경우, 다음 지침을 따르십시오 이 Google Workspace 지침 새 역할을 만들어 Reports 액세스 권한을 부여하고 해당 역할을 사용자에게 할당하십시오.
(다음 기능을 활성화할 계획이라면 Google Workspace 사용자 프로필) 사용자 읽기 권한을 보유해야 합니다
1단계: Panther에서 새 Google Workspace 소스 생성
Panther 콘솔의 왼쪽 사이드바 메뉴에서 클릭하세요 구성 > 로그 소스.
클릭 새로 만들기.
“Google Workspace”를 검색한 다음 해당 타일을 클릭합니다.
슬라이드 아웃 패널에서 클릭하세요 설정 시작.
에서 구성 페이지에서 다음 필드를 구성합니다:
이름: 소스에 대한 설명적인 이름을 입력하세요. 예:
내 Google Workspace 로그.
클릭 설정.
2단계: Google Cloud 앱 생성 및 구성
Google Cloud 앱을 설정하기 전에 인증 방법을 선택해야 합니다. 다음 중 하나를 사용할 수 있습니다: 서비스 계정, Workload Identity Federation또는 OAuth —아래 최상단 탭을 참조하세요.
Google Cloud에서 새 앱을 생성합니다:
에 로그인하세요 Google Cloud 콘솔.
클릭 + 프로젝트 생성.
설명적인 프로젝트 이름 (예:
Panther 통합) 및 위치.클릭 생성.
프로젝트 생성에는 몇 초가 걸립니다. 생성되면 페이지에 알림이 표시됩니다.
왼쪽 사이드바 메뉴에서 세 줄 아이콘을 클릭한 다음 클라우드 개요 > 대시보드.
방금 생성한 프로젝트가 페이지 상단 드롭다운에 선택되어 있지 않다면 드롭다운을 열어 선택하세요.
Admin SDK API를 활성화하세요:
검색창에 "Admin SDK API"를 입력하고 선택합니다 Admin SDK API.
에서 Admin SDK API 페이지에서 클릭하세요 사용 설정.
새 화면으로 리디렉션됩니다.
JSON 키 파일 생성 서비스 계정용:
에서 IAM 및 관리자 섹션에서 클릭하세요 서비스 계정.
방금 생성한 서비스 계정의 행에서 클릭하세요 작업, 그런 다음 키 관리.
클릭 키 추가 > 새 키 생성.
에서 키 유형, 선택하세요 JSON, 그런 다음 클릭하세요 생성.
JSON 파일이 다운로드됩니다.
이 파일은 서비스 계정의 자격 증명을 포함하고 있으므로 안전한 장소에 보관하세요.
도메인 전체 위임 활성화:
방금 생성한 서비스 계정의 행에서 클릭하세요 작업, 그런 다음 세부정보 관리.
클릭 고급 설정, 그런 다음 클라이언트 ID.
클릭 보기 Google Workspace 관리자 콘솔.
관리자 계정으로 로그인하세요.
클릭 보안 → 액세스 및 데이터 제어 → API 컨트롤.
클릭 도메인 전체 위임 관리.
클릭 새로 추가.
필드를 작성하세요:
클라이언트 ID: 위에서 복사한 클라이언트 ID를 입력하세요.
OAuth 범위 (쉼표로 구분, 공백 없음): 다음을 입력하세요
https://www.googleapis.com/auth/admin.reports.audit.readonly(선택 사항) 사용자 프로필을 원하면 (쉼표로 구분하여) 또한 입력하세요
https://www.googleapis.com/auth/admin.directory.user.readonly
클릭 승인.
데이터를 검색할 때 대리할 Google 관리자 사용자 를 선택하세요. 두 가지 옵션이 있습니다 :
SuperAdmin 계정 사용: 설정이 더 간단하지만 필요한 것보다 더 넓은 권한을 부여합니다.
최소 권한 원칙을 따르세요(권장): 필요한 권한만 가진 전용 Google Workspace 사용자를 생성하고 사용합니다
역할에 최소한의 권한을 부여하세요:
필수: Reports → 감사/사용량 읽기 권한
선택 사항: 디렉터리 → 사용자 읽기 권한(사용자 프로필 사용 시)
선택 사항: Vault → Google Vault 모든 로그 액세스
이 사용자 지정 역할을 전용 Google Workspace 사용자에게 할당하세요.
Panther에서 소스 설정 마무리:
에서 가져오기 구성 및 JSON 키 파일 제공, JSON 키 파일을 업로드하세요.
에서 관리자 사용자 이메일 필드에 서비스 계정이 대리할 Google 관리자 사용자 (이전 단계에서 선택한)의 이메일 주소를 입력하세요.
에서 보강 페이지에서 Google Workspace 사용자 프로필을 활성화하려면, 사용자 프로필의 오른쪽에서 토글을 클릭하세요
켬.다음의 사전 요구 조건을 참고하세요 Google Workspace 프로필 활성화에 대한.
토글을 켰다면 사용자 프로필
켬또한 새로고침 주기(분)을 설정하세요. 이는 Panther가 Google Workspace에 저장된 데이터로 프로필 데이터를 업데이트하는 주기를 나타냅니다.
클릭 설정. 성공 화면으로 이동됩니다:
선택적으로 하나 이상의 디택션 팩.
을 활성화할 수 있습니다 아직 수행하지 않았다면 클릭하세요 스키마 연결 또는 추론
소스에 하나 이상의 스키마를 연결하려면. 설정 이벤트가 처리되지 않을 때 알러트를 트리거하기 설정의 기본값은예
Google Cloud에서 새 앱을 생성합니다:
에 로그인하세요 Google Cloud 콘솔.
클릭 + 프로젝트 생성.
설명적인 프로젝트 이름 (예:
Panther 통합) 및 위치.클릭 생성.
프로젝트 생성에는 몇 초가 걸립니다. 생성되면 페이지에 알림이 표시됩니다.
왼쪽 사이드바 메뉴에서 세 줄 아이콘을 클릭한 다음 클라우드 개요 > 대시보드.
방금 생성한 프로젝트가 페이지 상단 드롭다운에 선택되어 있지 않다면 드롭다운을 열어 선택하세요.
Admin SDK API를 활성화하세요:
. 데이터가 일정 기간 후에 로그 소스에서 흐르지 않으면 알림을 받으므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 프레임은 구성 가능하며 기본값은 24시간입니다. Admin SDK API.
에서 Admin SDK API 페이지에서 클릭하세요 사용 설정.
새 화면으로 리디렉션됩니다.
검색창에 "Admin SDK API"를 입력하고 선택합니다 방금 생성한 서비스 계정의 행에서이메일
을 기록해 두세요. 다음 단계에서 필요합니다. Workload Identity Federation을 AWS와 구성하려면 다음을 따르세요 AWS 또는 Azure와 Workload Identity Federation 구성
문서. 속성 매핑 및 조건을정의하는 동안 다음 예시를 참고하세요:
예시 속성 매핑:
GoogleAWSgoogle.subjectassertion.arn.extract('arn:aws:sts::{account_id}:')+":"+assertion.arn.extract('assumed-role/{role_and_session}').extract('/{session}')attribute.accountassertion.account예시 속성 조건:
attribute.account=="<PANTHER_AWS_ACCOUNT_ID>"
다음의 값
google.subject속성 은 127자를 초과할 수 없습니다. AWS가 발행한 토큰의 속성을 변환하거나 결합하려면 공통 표현 언어(CEL) 식 을 사용할 수 있습니다. 위 표에 제안된 식은 이 제한을 고려한 것으로, ARN을 Panther 엔터티를 고유하게 식별하는 값으로 변환하려는 시도입니다. AWS 속성에 대한 자세한 내용은 "Example 2 - Called by user created with AssumeRole"을 참조하세요 이 AWS 문서 페이지.당신이 아이덴티티 풀에 공급자를 추가할 때, 선택하세요 AWS.
로 이동하세요 IAM 및 관리자 → 워크로드 아이덴티티 페더레이션.
방금 생성한 Workload Identity Pool의 표시 이름을 클릭하세요.
다음을 적어두세요 IAM 프린시펄 이 페이지에 표시됩니다. 다음 단계에서 필요합니다.
IAM 권한 부여
로 이동하세요 IAM 및 관리자 → 서비스 계정
방금 생성한 서비스 계정 행에서 방금 생성한 서비스 계정의 행에서
로 이동하세요 “액세스 권한이 있는 프린시펄” 탭
클릭 “액세스 권한 부여”
“새 프린시펄” 필드에, 반드시 다음을 추가해야 합니다 두 개의 항목.
첫 번째 프린시펄: Workload Identity 프린시펄
앞에서 복사한 IAM 프린시펄은 다음과 유사하게 보입니다:
이 값을 다음과 같이 수정하세요:
/subject/부터 시작하는 모든 내용을 제거합니다
대신 /*로 바꿉니다
변경 후, 다음과 같이 보여야 합니다:
이 수정된 값을 새 프린시펄 필드에 붙여넣으세요.
두 번째 프린시펄: 서비스 계정 이메일
다음 내용을 붙여넣으세요 서비스 계정 이메일 주소는 이전 단계에서 메모한 것입니다.
예시 형식:
확인하세요 두 항목 저장하기 전에 모두 존재하는지.
클릭 “저장”
자격 증명 구성 파일 다운로드, 이는 Panther에서 Google Workspace 로그 API에 인증하는 데 사용됩니다.
도메인 전체 위임 활성화:
로 이동하세요 IAM 및 관리자 → 서비스 계정
방금 생성한 서비스 계정의 행에서 클릭하세요 작업, 그런 다음 세부정보 관리.
클릭 고급 설정, 그런 다음 클라이언트 ID.
클릭 보기 Google Workspace 관리자 콘솔.
관리자 계정으로 로그인하세요.
클릭 보안 → 액세스 및 데이터 제어 → API 컨트롤.
클릭 도메인 전체 위임 관리.
클릭 새로 추가.
필드를 작성하세요:
클라이언트 ID: 위에서 복사한 클라이언트 ID를 입력하세요.
OAuth 범위 (쉼표로 구분, 공백 없음): 다음을 입력하세요
https://www.googleapis.com/auth/admin.reports.audit.readonly(선택 사항) 사용자 프로필을 원하면 (쉼표로 구분하여) 또한 입력하세요
https://www.googleapis.com/auth/admin.directory.user.readonly
클릭 승인.
서비스 계정이 데이터를 검색할 때 가장하여 사용할 Google 관리자 사용자 계정을 선택하세요. 선택지는 두 가지입니다:
SuperAdmin 계정 사용: 설정이 더 간단하지만 필요한 것보다 더 넓은 권한을 부여합니다.
최소 권한 원칙을 따르세요(권장): 필수 권한만 가진 전용 Google Workspace 사용자를 생성하고 사용합니다.
역할에 최소한의 권한을 부여하세요:
필수: Reports → 감사/사용량 읽기 권한
선택 사항: 디렉터리 → 사용자 읽기 권한(사용자 프로필 사용 시)
선택 사항: Vault → Google Vault 모든 로그 액세스
이 사용자 지정 역할을 전용 Google Workspace 사용자에게 할당하세요.
Panther에서 소스 설정 마무리:
에서 풀링 구성 및 자격 증명 구성 파일 제공, 자격 증명 구성 파일을 업로드하세요.
에서 관리자 사용자 이메일 필드에 서비스 계정이 대리할 Google 관리자 사용자 (이전 단계에서 선택한)의 이메일 주소를 입력하세요.
에서 보강 페이지에서 Google Workspace 사용자 프로필을 활성화하려면, 사용자 프로필의 오른쪽에서 토글을 클릭하세요
켬.다음의 사전 요구 조건을 참고하세요 Google Workspace 프로필 활성화에 대한.
토글을 켰다면 사용자 프로필
켬또한 새로고침 주기(분)을 설정하세요. 이는 Panther가 Google Workspace에 저장된 데이터로 프로필 데이터를 업데이트하는 주기를 나타냅니다.
클릭 설정. 성공 화면으로 이동됩니다:
선택적으로 하나 이상의 디택션 팩.
을 활성화할 수 있습니다 아직 수행하지 않았다면 클릭하세요 스키마 연결 또는 추론
소스에 하나 이상의 스키마를 연결하려면. 설정 이벤트가 처리되지 않을 때 알러트를 트리거하기 설정의 기본값은예
에서 자격 증명 페이지에서 리디렉션 URL을 복사하여 안전한 위치에 보관하세요. 다음 단계에서 필요합니다.
Google Cloud에서 새 앱을 생성합니다:
에 로그인하세요 Google Cloud 콘솔.
클릭 + 프로젝트 생성.
설명적인 프로젝트 이름 (예:
Panther 통합) 및 위치.클릭 생성.
프로젝트 생성에는 몇 초가 걸립니다. 생성되면 페이지에 알림이 표시됩니다.
왼쪽 사이드바 메뉴에서 세 줄 아이콘을 클릭한 다음 클라우드 개요 > 대시보드.
방금 생성한 프로젝트가 페이지 상단 드롭다운에 선택되어 있지 않다면 드롭다운을 열어 선택하세요.
최상단 검색창에 "OAuth consent screen"을 검색한 다음 일치하는 결과를 선택하세요.
에서 OAuth 동의 화면 페이지에서 클릭하세요 시작하기.
새 Google Cloud 앱을 구성하고 Admin SDK API를 활성화하세요:
에서 OAuth 동의 화면 > 브랜딩 페이지에서 다음 정보를 입력하세요:
앱 이름: 프로젝트 이름 또는 프로젝트 ID를 입력하세요.
사용자 지원 이메일: 이메일 주소를 선택하세요.
대상: 선택
내부.개발자 연락처 정보: 이메일 주소를 입력하세요.
다른 필드는 비워 두세요.
클릭 저장하고 계속.
에서 데이터 액세스 > 범위 페이지에서 클릭하세요 범위 추가 또는 제거.
에서 범위 수동 추가 섹션에, 다음을 입력하세요
https://www.googleapis.com/auth/admin.reports.audit.readonly(선택 사항) 사용자 프로필이 필요한 경우, 또한 입력하세요
https://www.googleapis.com/auth/admin.directory.user.readonly
클릭 테이블에 추가 및 업데이트.
클릭 저장.
검색창에서 "Admin SDK API"를 검색하고 선택하세요 Admin SDK API.
에서 Admin SDK API 페이지에서 클릭하세요 사용 설정.
새 화면으로 리디렉션됩니다.
새 Google Cloud 앱용 OAuth 자격 증명 생성:
왼쪽 탐색 메뉴에서 클릭하세요 자격 증명.
페이지 상단에서 클릭하세요 +자격 증명 만들기.
클릭 OAuth 클라이언트 ID.
다른 페이지로 리디렉션됩니다.
에서 OAuth 클라이언트 ID 생성 페이지에서, 애플리케이션 유형 필드에서 선택하세요 웹 애플리케이션 그리고 친숙한 이름을 입력하세요 이름, 예:
Panther.아래로 스크롤하여 권한 있는 리디렉션 URI 섹션으로 이동하고, 클릭하세요 + URI 추가.
에서 URI 1 필드에, 2.1단계에서 복사한 리디렉션 URL을 붙여넣으세요. 이는 Panther 콘솔의 로그 소스의 자격 증명 설정 페이지에서 찾을 수 있습니다.
클릭 생성.
팝업 모달에 클라이언트 ID 및 클라이언트 시크릿이 표시됩니다. 안전한 방법으로 Client ID와 Client Secret을 기록해 두세요. Panther 콘솔에 보고서를 불러오기 위해 제공해야 합니다.
Panther에서 Google Workspace 소스 설정 마무리:
이 문서에서 이전에 Panther 콘솔에서 로그 소스 설정을 시작한 브라우저 창이나 탭을 여세요 페이지에서, 다음을 입력하세요.
에서 자격 증명 Google Cloud 콘솔에 제공된 값. 클라이언트 ID 및 클라이언트 시크릿 이전 단계에서 이러한 값을 저장하지 않았다면, Google Cloud 콘솔의 다음 위치에서 찾을 수 있습니다
API 및 서비스 OAuth 2.0 클라이언트 ID > 자격 증명 > 계속.
클릭 검증.
에서 보강 페이지에서 Google Workspace 사용자 프로필을 활성화하려면, 사용자 프로필의 오른쪽에서 토글을 클릭하세요
켬.다음의 사전 요구 조건을 참고하세요 Google Workspace 프로필 활성화에 대한.
토글을 켰다면 사용자 프로필
켬또한 새로고침 주기(분)을 설정하세요. 이는 Panther가 Google Workspace에 저장된 데이터로 프로필 데이터를 업데이트하는 주기를 나타냅니다.
클릭 설정.
에서 액세스 권한 부여 페이지에서 클릭하세요 이 작업은 앞서 생성한 Google Workspace 앱이 계정에서 Google Workspace 로그를 가져오도록 승인하도록 요청합니다..
허용
클릭 Google 프롬프트의 제목은 "Panther integration app이(가) 귀하의 Google 계정에 접근하려고 합니다." 아래에는 "이 작업으로 Panther integration app이 귀하의 G Suite 도메인에 대한 감사 보고서를 볼 수 있습니다."라고 표시됩니다. 아래에 허용 및 취소 버튼이 있습니다..
이후 Panther 콘솔로 되돌아가면 성공 화면이 표시됩니다: Panther 관리 디텍션
선택적으로 하나 이상의 디택션 팩.
소스에 하나 이상의 스키마를 연결하려면. 설정 이벤트가 처리되지 않을 때 알러트를 트리거하기 설정의 기본값은예
보기
Panther 관리 Google Workspace용 룰은 panther-analysis GitHub 리포지토리에서 (디렉터리 이름 앞에 gsuite_ 가 붙은 곳에)).
지원되는 로그 유형
Panther는 Google의 Reports Activities API 에서 데이터를 가져옵니다. 여기에는 관리자 활동, 로그인 활동, 토큰 활동, Google Drive 활동 등이 포함됩니다.
이 데이터는 다음 두 가지 로그 유형으로 저장됩니다 GSuite.ActivityEvent 및 GSuite.Reports —이 두 스키마는 동일한 데이터를 포함하지만, 쿼리와 디텍션에서 필드를 참조하기 쉽게 이벤트를 평탄화하므로 Gsuite.ActivityEvent 를 사용하는 것을 권장합니다.
두 스키마가 동일한 데이터를 캡처하지만 데이터 레이크에 저장되는 방식은 다릅니다. 예를 들어, GSuite.Reports 데이터 레이크에 약간 적은 수의 로그가 있을 수 있습니다. 여러 이벤트가 하나의 페이로드로 래핑되기 때문입니다. 반면에 GSuite.ActivityEvent에서는 각 이벤트가 Panther에서 단일 이벤트가 됩니다. 이 동작에 대한 자세한 내용은 지식 기반 문서에서 확인할 수 있습니다: Panther 로그 유형 GSuite.Reports와 GSuite.ActivityEvent의 차이점은 무엇인가요?
Google Workspace 로그가 둘 다 GSuite.ActivityEvent 및 GSuite.Reports 데이터 레이크의 테이블에 저장되지만, 해당 데이터는 인제스션 할당량에 대해 한 번만 계산됩니다.
GSuite.ActivityEvent
특정 계정 및 애플리케이션(예: 관리자 콘솔 애플리케이션 또는 Google Drive 애플리케이션)에 대한 활동 이벤트를 포함합니다.
참고: Reports API Activities List에 대한 Google Workspace 문서.
GSuite.Reports
다음 대신 사용을 권장합니다 GSuite.ActivityEvent 대신 GSuite.Reports. 두 스키마가 동일한 데이터를 포함하지만, GSuite.ActivityEvent 의 구조가 더 평탄화되어 있어 쿼리와 디텍션에서 참조하기 더 쉽습니다.
특정 계정 및 애플리케이션(예: 관리자 콘솔 애플리케이션 또는 Google Drive 애플리케이션)에 대한 활동 이벤트를 포함합니다.
마지막 업데이트
도움이 되었나요?