# Google Workspace 로그 ## 개요 Panther는 [Google Workspace](https://workspace.google.com/) 의 로그 이벤트를(이전 명칭: G Suite) 쿼리하여 가져올 수 있습니다 [Google Workspace Reports API](https://developers.google.com/admin-sdk/reports/v1/get-start/getting-started). Panther는 60초마다 Reports API를 쿌리하여 새 이벤트를 가져옵니다.
Panther가 로그를 가져오는 Google Workspace 애플리케이션 Panther는 다음 애플리케이션에 대한 Google Workspace 로그를 가져옵니다: * Access Transparency * Admin * Calendar * Chat * Chrome * Classroom * Context-Aware Access * Data Studio (Looker Studio) * Drive * GCP * Gemini for Workspace * Gmail * Groups * Groups Enterprise * Keep * Login * Meet * Mobile * 룰 * SAML * Token * 사용자 계정 * Vault
## Google Workspace 로그를 Panther에 온보딩하는 방법 Panther가 Google Workspace Reports API에 액세스하려면 Google Cloud 앱을 생성하고 구성한 다음 해당 자격 증명을 Panther에 제공해야 합니다. ### 사전 요구 사항 아래 단계를 완료하려면 Google 사용자에게 다음이 필요합니다: * 조직의 활동 기록을 읽을 수 있도록 권한이 부여되어 있어야 합니다 * 사용자에게 이 권한이 없는 경우 [이 Google Workspace 지침](https://support.google.com/a/answer/2406043) 에 따라 Reports 액세스 권한이 있는 새 역할을 만들고 해당 역할을 사용자에게 할당하세요. * (가져오기를 활성화할 계획이라면 [Google Workspace 사용자 프로필](https://docs.panther.com/ko/enrichment/google-workspace)) 사용자 읽기 권한이 있어야 합니다 ### 1단계: Panther에서 새 Google Workspace 소스 생성 1. Panther Console의 왼쪽 사이드바 메뉴에서 **구성** > **로그** **소스**. 2. 를 클릭합니다 **새로 만들기.** 3. “Google Workspace”를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 **설정 시작**. 5. 를 클릭합니다 **구성** 페이지에서 다음 필드를 구성합니다: * **이름**: 소스에 대한 설명이 포함된 이름을 입력합니다. 예: `내 Google Workspace 로그`. 6. 를 클릭합니다 **설정.** ### 2단계: Google Cloud 앱 생성 및 구성 Google Cloud 앱을 설정하기 전에 인증 방법을 선택해야 합니다. 다음을 사용할 수 있습니다 [서비스 계정](https://cloud.google.com/iam/docs/service-account-overview), [워크로드 아이덴티티 페더레이션](https://docs.cloud.google.com/iam/docs/workload-identity-federation), 또는 [OAuth](https://developers.google.com/identity/protocols/oauth2) —아래 최상위 탭을 참조하세요. {% tabs %} {% tab title="서비스 계정" %} 1. Google Cloud에서 새 앱 만들기: 1. 사용자의 [Google Cloud 콘솔](https://console.developers.google.com/project). 2. 를 클릭합니다 **+ 프로젝트 만들기.**\ ![In Google Cloud console, the "+Create Project" button appears at the top of the page under the search bar. In this image, there is a teal circle around it.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-c43fb53088f6c69eaeb43ab5f82a55412b9c0c6e%2FScreenshot%202023-04-05%20at%202.50.53%20PM.png?alt=media) 3. 설명이 포함된 **프로젝트 이름** 을 입력합니다 (예: `Panther 통합`) 그리고 **위치**. 4. 를 클릭합니다 **만들기**. * 프로젝트를 만드는 데 몇 초 정도 걸립니다. 생성이 완료되면 페이지에 알림이 표시됩니다. 5. 왼쪽 사이드바 메뉴에서 세 줄 아이콘을 클릭한 다음 **Cloud 개요** > **대시보드**. 6. 페이지 상단의 드롭다운에서 방금 만든 프로젝트가 이미 선택되어 있지 않다면 드롭다운을 열고 선택하세요.\ ![At the top of the Google Cloud dashboard, there is a dropdown. "Panther integration test" has been selected, and the select box is circled.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-8c0192e4432c6082484eff972a2c724ced5bec94%2FScreenshot%202023-04-05%20at%202.59.39%20PM.png?alt=media) 2. Admin SDK API 활성화: 1. 검색창에 "Admin SDK API"를 입력하고 **Admin SDK API**. 2. 를 클릭합니다 **Admin SDK API** 페이지를 선택한 다음 **활성화**\ ![In the Google Cloud console, an Admin SDK API page is shown. An Enable button is circled.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-1a3d03a30efc5e03d47b2e8b00bcc3b3cdbe4d00%2FScreenshot%202023-04-05%20at%203.48.52%20PM.png?alt=media) * 를 클릭합니다. 새 화면으로 리디렉션됩니다. 3. [새 Google Cloud 서비스 계정 만들기](https://cloud.google.com/iam/docs/creating-managing-service-accounts). 4. [JSON 키 파일 생성](https://cloud.google.com/iam/docs/creating-managing-service-account-keys) 서비스 계정용: 1. 에서 **IAM 및 관리자** 섹션을 클릭한 다음 **서비스 계정**. 2. 방금 만든 서비스 계정의 행에서 **작업**을 클릭한 다음 **키 관리**.
3. 를 클릭합니다 **키 추가** > **새 키 만들기**.
4. 에서 **키 유형**을 선택한 다음 **JSON**을 선택하고 **만들기**. * 를 클릭합니다. JSON 파일이 다운로드됩니다.

이 파일에는 이 서비스 계정의 자격 증명이 포함되어 있으므로 안전한 곳에 보관하세요.

5. 도메인 전체 위임 활성화: 1. 방금 만든 서비스 계정의 행에서 **작업**을 클릭한 다음 **세부정보 관리**.
2. 를 클릭합니다 **고급 설정**, 그런 다음 **클라이언트 ID**.
3. 를 클릭합니다 **Google Workspace 관리 콘솔 보기**. 4. 관리자 계정으로 로그인합니다. 5. 를 클릭합니다 **보안** → **액세스 및 데이터 제어** → **API 제어**. 6. 를 클릭합니다 **도메인 전체 위임 관리**. 7. 를 클릭합니다 **새로 추가**.\ ![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2F0iobNGp1aRMdvXsQz459%2Fimage.png?alt=media\&token=83e3cf5a-32a1-4e01-8d5b-b776a3c5e3fd) 8. 필드를 입력합니다: 1. **클라이언트 ID**: 위에서 복사한 클라이언트 ID를 입력합니다. 2. **OAuth 범위** (쉼표로 구분, 공백 없음): 다음을 입력합니다 `https://www.googleapis.com/auth/admin.reports.audit.readonly` * (선택 사항) 사용자 프로필이 필요한 경우 다음도 입력합니다(쉼표로 구분) `https://www.googleapis.com/auth/admin.directory.user.readonly` 9. 를 클릭합니다 **승인**. 6. 데이터를 검색할 때 가장할 **Google 관리 사용자** 를 선택합니다. 두 가지 옵션이 있습니다: * SuperAdmin 계정 사용: 설정은 더 간단하지만 엄격히 필요한 것보다 더 넓은 권한을 부여합니다. * 최소 권한 원칙 따르기(권장): 필요한 권한만 가진 전용 Google Workspace 사용자를 생성하여 사용합니다 1. [최소 권한만 가진 맞춤 관리자 역할을 Google Workspace에서 생성합니다](https://support.google.com/a/answer/9807615?hl=en). 2. 역할에 최소 필수 권한을 부여합니다: 1. 필수: Reports → Audit/Usage 읽기 액세스
2. 선택 사항: Directory → Users 읽기 액세스(사용자 프로필을 사용하는 경우)
3. 선택 사항: Vault → Google Vault 모든 로그 액세스
3. 이 맞춤 역할을 전용 Google Workspace 사용자에게 할당합니다. 7. Panther에서 소스 설정 완료: 1. 에서 **가져오기 구성 및 JSON 키 파일 제공,** JSON 키 파일을 업로드합니다.\ ![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2FqZWHBbMYSm37NrI8UhOm%2Fimage.png?alt=media\&token=12395709-2dcf-4fc8-8b3d-fec36bbe303d) 2. 에서 **관리 사용자 이메일** 필드에 **Google 관리 사용자** 의 이메일 주소를 입력합니다. 서비스 계정이 이를 가장하게 됩니다(이전 단계에서 선택).
3. 를 클릭합니다 **보강** 페이지에서 [Google Workspace 사용자 프로필](https://docs.panther.com/ko/enrichment/google-workspace)을 활성화하려면 **사용자 프로필**의 오른쪽에서 토글을 클릭하여 `켜기`. * 다음을 참고하세요 [Google Workspace 프로필 활성화의 사전 요구 사항](https://docs.panther.com/ko/enrichment/google-workspace#prerequisites-for-google-workspace-user-profiles). * 토글을 켠 경우 **사용자 프로필** `켜기`, 또한 **새로 고침 주기(분)**를 설정합니다. 이는 Panther가 Google Workspace에 저장된 내용으로 프로필 데이터를 업데이트하는 주기를 의미합니다.\ ![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fnf7ZW3JOwKJMymgkqmX1%2Fimage.png?alt=media\&token=6fd5601f-a262-43ec-ab9e-f1f285fd675c) 4. 를 클릭합니다 **설정**. 성공 화면으로 이동합니다:
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs). * 을 활성화할 수 있습니다. 아직 하지 않았다면 **스키마 연결 또는 추론** 을 클릭하여 하나 이상의 스키마를 소스에 연결하세요. * " **이벤트가 처리되지 않을 때 알러트 트리거** " 설정의 기본값은 **예**입니다. 일정 기간 후 로그 소스에서 데이터 흐름이 중지되면 알림을 받을 수 있으므로 이 설정을 활성화한 상태로 두는 것을 권장합니다. 기간은 구성 가능하며 기본값은 24시간입니다. {% endtab %} {% tab title="워크로드 아이덴티티 페더레이션" %} 1. Google Cloud에서 새 앱 만들기: 1. 사용자의 [Google Cloud 콘솔](https://console.developers.google.com/project). 2. 를 클릭합니다 **+ 프로젝트 만들기.**\ ![In Google Cloud console, the "+Create Project" button appears at the top of the page under the search bar. In this image, there is a teal circle around it.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-c43fb53088f6c69eaeb43ab5f82a55412b9c0c6e%2FScreenshot%202023-04-05%20at%202.50.53%20PM.png?alt=media) 3. 설명이 포함된 **프로젝트 이름** 을 입력합니다 (예: `Panther 통합`) 그리고 **위치**. 4. 를 클릭합니다 **만들기**. * 프로젝트를 만드는 데 몇 초 정도 걸립니다. 생성이 완료되면 페이지에 알림이 표시됩니다. 5. 왼쪽 사이드바 메뉴에서 세 줄 아이콘을 클릭한 다음 **Cloud 개요** > **대시보드**. 6. 페이지 상단의 드롭다운에서 방금 만든 프로젝트가 이미 선택되어 있지 않다면 드롭다운을 열고 선택하세요.\ ![At the top of the Google Cloud dashboard, there is a dropdown. "Panther integration test" has been selected, and the select box is circled.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-8c0192e4432c6082484eff972a2c724ced5bec94%2FScreenshot%202023-04-05%20at%202.59.39%20PM.png?alt=media) 2. Admin SDK API 활성화: 1. 검색창에 "Admin SDK API"를 입력하고 선택합니다 **Admin SDK API**. 2. 를 클릭합니다 **Admin SDK API** 페이지를 선택한 다음 **활성화**\ ![In the Google Cloud console, an Admin SDK API page is shown. An Enable button is circled.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-1a3d03a30efc5e03d47b2e8b00bcc3b3cdbe4d00%2FScreenshot%202023-04-05%20at%203.48.52%20PM.png?alt=media) * 를 클릭합니다. 새 화면으로 리디렉션됩니다. 3. [새 Google Cloud 서비스 계정 만들기](https://cloud.google.com/iam/docs/creating-managing-service-accounts). 1. 방금 만든 서비스 계정의 행에서 **이메일**을 적어 두세요. 다음 단계에서 필요합니다. 4. 다음 문서를 따라 AWS와 함께 Workload Identity Federation을 구성합니다 [AWS 또는 Azure와 함께 Workload Identity Federation 구성](https://cloud.google.com/iam/docs/workload-identity-federation-with-other-clouds) 문서. 1. 다음을 [속성 매핑 및 조건을 정의](https://cloud.google.com/iam/docs/workload-identity-federation-with-other-clouds#mappings-and-conditions)할 때 다음 예시를 참고하세요: * 예시 [속성 매핑](https://cloud.google.com/iam/docs/workload-identity-federation#mapping):
GoogleAWS
google.subjectassertion.arn.extract('arn:aws:sts::{account_id}:')+":"+assertion.arn.extract('assumed-role/{role_and_session}').extract('/{session}')
attribute.accountassertion.account
* 예시 [속성 조건](https://cloud.google.com/iam/docs/workload-identity-federation#conditions):\ `attribute.account==""`

" google.subject attribute "의 값은 127자를 초과할 수 없습니다. 다음을 사용할 수 있습니다 Common Expression Language (CEL) 표현식 을 사용하여 AWS가 발급한 토큰의 속성을 변환하거나 결합할 수 있습니다. 위 표에서 제안된 표현식은 이 제한을 고려하며, ARN을 Panther 엔터티를 고유하게 식별하는 값으로 변환하려는 시도입니다. AWS 속성에 대한 자세한 내용은 이 AWS 문서 페이지.

2. 의 "Example 2 - Called by user created with AssumeRole"를 참조하세요. 다음을 [아이덴티티 풀에 공급자를 추가](https://cloud.google.com/iam/docs/workload-identity-federation-with-other-clouds#aws)을 선택한 다음 **AWS**. 3. 할 때 **IAM 및 관리자** → **Workload Identity Federation으로 이동합니다.** 1. 방금 만든 Workload Identity Pool의 표시 이름을 클릭합니다. 2. 이 페이지에 표시된 **IAM 주체** 를 적어 두세요. 다음 단계에서 필요합니다. 5. IAM 권한 부여 1. 할 때 **IAM 및 관리자** → **서비스 계정** 2. 방금 만든 서비스 계정의 행에서 **이메일** 3. "로 이동**액세스 권한이 있는 주체**" 탭 4. "를 클릭**액세스 권한 부여**"
5. "새 주체" 필드에는 **두 개의 항목**. 1. 을 추가해야 합니다. 첫 번째 주체: Workload Identity 주체 1. 앞서 복사한 IAM 주체는 다음과 유사한 형태입니다: 
principal://iam.googleapis.com/projects/<PROJECT_NUMBER>/locations/global/workloadIdentityPools/<POOL_ID>/subject/SUBJECT_ATTRIBUTE_VALUE
2. **이** 값을 다음과 같이 수정합니다: * 바꾸기 `principal://` 를 `principalSet://` * /subject/부터 시작하는 모든 내용을 제거 * 하고 /\*로 바꾸기 3. 변경 후에는 **다음과 같이 보여야 합니다:** 
principalSet://iam.googleapis.com/projects/<PROJECT_NUMBER>/locations/global/workloadIdentityPools/<POOL_ID>/*
4. 수정된 이 값을 **새 주체** 필드에 붙여넣습니다. 2. 두 번째 주체: 서비스 계정 이메일 1. 이전에 적어 둔 **서비스 계정 이메일** 주소를 붙여넣습니다. 1. 예시 형식: 
my-service-account@my-project.iam.gserviceaccount.com
3. 다음을 확인하세요 **두 항목 모두** 존재하는지. 6. "역할 할당" 필드에서 `서비스 계정 토큰 생성자` 역할을 선택합니다
1. "를 클릭**저장**" 6. [자격 증명 구성 파일 다운로드](https://docs.cloud.google.com/iam/docs/workload-download-cred-and-grant-access#download-configuration), 이 파일은 Panther에서 Google Workspace 로그 API에 인증하는 데 사용됩니다. 7. 도메인 전체 위임 활성화: 1. 할 때 **IAM 및 관리자** → **서비스 계정** 2. 방금 만든 서비스 계정의 행에서 **작업**을 클릭한 다음 **세부정보 관리**.
3. 를 클릭합니다 **고급 설정**, 그런 다음 **클라이언트 ID**.
4. 를 클릭합니다 **Google Workspace 관리 콘솔 보기**. 5. 관리자 계정으로 로그인합니다. 6. 를 클릭합니다 **보안** → **액세스 및 데이터 제어** → **API 제어**. 7. 를 클릭합니다 **도메인 전체 위임 관리**. 8. 를 클릭합니다 **새로 추가**.\ ![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2F0iobNGp1aRMdvXsQz459%2Fimage.png?alt=media\&token=83e3cf5a-32a1-4e01-8d5b-b776a3c5e3fd) 9. 필드를 입력합니다: 1. **클라이언트 ID**: 위에서 복사한 클라이언트 ID를 입력합니다. 2. **OAuth 범위** (쉼표로 구분, 공백 없음): 다음을 입력합니다 `https://www.googleapis.com/auth/admin.reports.audit.readonly` * (선택 사항) 사용자 프로필이 필요한 경우 다음도 입력합니다(쉼표로 구분) `https://www.googleapis.com/auth/admin.directory.user.readonly` 10. 를 클릭합니다 **승인**. 8. 데이터를 검색할 때 서비스 계정이 가장할 Google 관리 사용자 계정을 선택합니다. 자세한 내용은 [가장에 관리자 사용자 이메일이 필요한 이유는 무엇인가요?](https://help.panther.com/articles/6633569239-why-does-setting-up-google-workspace-with-workload-identity-federation-in-panther-require-an-admin-user-email-for-impersonation?lang=en) 를 참조하세요.\ 두 가지 옵션이 있습니다: * SuperAdmin 계정 사용: 설정은 더 간단하지만 엄격히 필요한 것보다 더 넓은 권한을 부여합니다. * 최소 권한 원칙 따르기(권장): 필요한 권한만 가진 전용 Google Workspace 사용자를 생성하여 사용합니다. 1. [최소 권한만 가진 맞춤 관리자 역할을 Google Workspace에서 생성합니다](https://support.google.com/a/answer/9807615?hl=en). 2. 역할에 최소 필수 권한을 부여합니다: 1. 필수: Reports → Audit/Usage 읽기 액세스
2. 선택 사항: Directory → Users 읽기 액세스(사용자 프로필을 사용하는 경우)
3. 선택 사항: Vault → Google Vault 모든 로그 액세스
3. 이 맞춤 역할을 전용 Google Workspace 사용자에게 할당합니다. 9. Panther에서 소스 설정 완료: 1. 에서 **가져오기 구성 및 자격 증명 구성 파일 제공,** 자격 증명 구성 파일을 업로드합니다.
2. 에서 **관리 사용자 이메일** 필드에 **Google 관리 사용자** 의 이메일 주소를 입력합니다. 서비스 계정이 이를 가장하게 됩니다(이전 단계에서 선택).
3. 를 클릭합니다 **보강** 페이지에서 [Google Workspace 사용자 프로필](https://docs.panther.com/ko/enrichment/google-workspace)을 활성화하려면 **사용자 프로필**의 오른쪽에서 토글을 클릭하여 `켜기`. * 다음을 참고하세요 [Google Workspace 프로필 활성화의 사전 요구 사항](https://docs.panther.com/ko/enrichment/google-workspace#prerequisites-for-google-workspace-user-profiles). * 토글을 켠 경우 **사용자 프로필** `켜기`, 또한 **새로 고침 주기(분)**를 설정합니다. 이는 Panther가 Google Workspace에 저장된 내용으로 프로필 데이터를 업데이트하는 주기를 의미합니다.\ ![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fnf7ZW3JOwKJMymgkqmX1%2Fimage.png?alt=media\&token=6fd5601f-a262-43ec-ab9e-f1f285fd675c) 4. 를 클릭합니다 **설정**. 성공 화면으로 이동합니다:
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs). * 을 활성화할 수 있습니다. 아직 하지 않았다면 **스키마 연결 또는 추론** 을 클릭하여 하나 이상의 스키마를 소스에 연결하세요. * " **이벤트가 처리되지 않을 때 알러트 트리거** " 설정의 기본값은 **예**입니다. 일정 기간 후 로그 소스에서 데이터 흐름이 중지되면 알림을 받을 수 있으므로 이 설정을 활성화한 상태로 두는 것을 권장합니다. 기간은 구성 가능하며 기본값은 24시간입니다. {% endtab %} {% tab title="OAuth" %} 1. 를 클릭합니다 **자격 증명** 페이지에서 리디렉션 URL을 복사하여 안전한 위치에 저장합니다. 다음 단계에서 필요합니다.
2. Google Cloud에서 새 앱 만들기: 1. 사용자의 [Google Cloud 콘솔](https://console.developers.google.com/project). 2. 를 클릭합니다 **+ 프로젝트 만들기.**\ ![In Google Cloud console, the "+Create Project" button appears at the top of the page under the search bar. In this image, there is a teal circle around it.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-c43fb53088f6c69eaeb43ab5f82a55412b9c0c6e%2FScreenshot%202023-04-05%20at%202.50.53%20PM.png?alt=media) 3. 설명이 포함된 **프로젝트 이름** 을 입력합니다 (예: `Panther 통합`) 그리고 **위치**. 4. 를 클릭합니다 **만들기**. * 프로젝트를 만드는 데 몇 초 정도 걸립니다. 생성이 완료되면 페이지에 알림이 표시됩니다. 5. 왼쪽 사이드바 메뉴에서 세 줄 아이콘을 클릭한 다음 **Cloud 개요** > **대시보드**. 6. 페이지 상단의 드롭다운에서 방금 만든 프로젝트가 이미 선택되어 있지 않다면 드롭다운을 열고 선택하세요.\ ![At the top of the Google Cloud dashboard, there is a dropdown. "Panther integration test" has been selected, and the select box is circled.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-8c0192e4432c6082484eff972a2c724ced5bec94%2FScreenshot%202023-04-05%20at%202.59.39%20PM.png?alt=media) 7. 상단 검색창에서 "OAuth consent screen"을 검색한 다음 일치하는 결과를 선택합니다.\ ![The search bar at the top of Google Cloud Console has the search term "oauth consent screen" typed in it. the first result, "OAuth consent screen," is circled](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-501ba2e3b4a36148483200083c4a07f52030a980%2FScreenshot%202023-04-05%20at%203.01.36%20PM.png?alt=media) 8. 를 클릭합니다 **OAuth 동의 화면** 페이지를 선택한 다음 **시작하기**. 3. 새 Google Cloud 앱을 구성하고 Admin SDK API를 활성화합니다: 1. 를 클릭합니다 **OAuth 동의 화면** > **브랜딩** 페이지에서 다음 정보를 입력합니다: * **앱 이름**: 프로젝트 이름 또는 프로젝트 ID를 입력합니다. * **사용자 지원 이메일**: 이메일 주소를 선택합니다. * **대상:** 다음을 선택합니다 `내부`. * **개발자 연락처 정보**: 이메일 주소를 입력합니다. * 다른 필드는 비워 둡니다. 2. 를 클릭합니다 **저장 후 계속**. 3. 를 클릭합니다 **데이터 액세스** > **범위** 페이지를 선택한 다음 **범위 추가 또는 제거**. 4. 에서 **수동으로 범위 추가** 섹션에 다음을 입력합니다 `https://www.googleapis.com/auth/admin.reports.audit.readonly` * (선택 사항) 사용자 프로필이 필요한 경우 다음도 입력합니다 \ `https://www.googleapis.com/auth/admin.directory.user.readonly` 5. 를 클릭합니다 **표에 추가** 및 **업데이트**.\ ![In the Manually add scopes section of the Google Cloud page, a URL has been entered. There is an arrow pointing from the Add to table button to the Update button.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-0a0d67c8d083b30fcf4b2d19d561b565aed03ada%2FScreenshot%202023-04-05%20at%203.38.15%20PM.png?alt=media) 6. 를 클릭합니다 **저장.** 7. 검색창에서 "Admin SDK API"를 검색한 다음 선택합니다 **Admin SDK API**. 8. 를 클릭합니다 **Admin SDK API** 페이지를 선택한 다음 **활성화**\ ![In the Google Cloud console, an Admin SDK API page is shown. An Enable button is circled.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-1a3d03a30efc5e03d47b2e8b00bcc3b3cdbe4d00%2FScreenshot%202023-04-05%20at%203.48.52%20PM.png?alt=media) * 를 클릭합니다. 새 화면으로 리디렉션됩니다. 4. 새 Google Cloud 앱용 OAuth 자격 증명 생성: 1. 왼쪽 탐색 메뉴에서 **자격 증명** 2. 페이지 상단에서 **+자격 증명 만들기**. 3. 를 클릭합니다 **OAuth 클라이언트 ID.**\ ![In Google Cloud console, the Credentials link in the left sidebar is highlighted. There is an arrow pointing from it to the "+ Create Credentials" link. There is an arrow pointing from "+ Create Credentials" to one of the dropdown options, "OAuth Client ID"](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-5631229c63ee45d456e44e07aaa6197a0b05b11b%2FScreenshot%202023-04-05%20at%203.55.26%20PM.png?alt=media) * 다른 페이지로 리디렉션됩니다. 4. 를 클릭합니다 **OAuth 클라이언트 ID 만들기** 페이지에서 **애플리케이션 유형** 필드에서 **웹 애플리케이션** 을 선택하고 알아보기 쉬운 **이름**을 입력합니다. 예: `Panther`. 5. 아래로 스크롤하여 **승인된 리디렉션 URI** 섹션으로 이동한 다음 **+ URI 추가**. 6. 에서 **URI 1** 필드에 위의 2.1단계에서 복사한 리디렉션 URL을 붙여넣습니다. 이 URL은 Panther Console의 로그 소스 **자격 증명 설정** 페이지에서 찾을 수 있습니다.\ ![There is an "Authorized Redirect URIs" header. There is a field labeled "URIs 1". At the bottom, there is a blue "Create" button.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-9804aeb66a2eace80ac0c055c07ae73bf6d630ff%2FScreenshot%202023-04-05%20at%204.06.12%20PM.png?alt=media) 7. 를 클릭합니다 **만들기**. 8. 팝업 모달에 **클라이언트 ID** 및 **클라이언트 시크릿**이 표시됩니다. 안전한 방법으로 ClientID와 Client Secret을 기록해 두세요. 보고서를 가져오려면 Panther Console에 이를 제공해야 합니다. 5. Panther에서 Google Workspace 소스 설정 완료: 1. 이 문서의 앞부분에서 [Panther Console에서 로그 소스 설정을 시작했던 브라우저 창 또는 탭](#step-1-create-a-new-google-workspace-source-in-panther). 2. 를 클릭합니다 **자격 증명** 페이지를 열고 **클라이언트 ID** 및 **클라이언트 시크릿** 에 Google Cloud 콘솔에서 제공된 값을 입력합니다.
* 이전 단계에서 이 값을 저장하지 않았다면 Google Cloud 콘솔의 다음 위치에서 찾을 수 있습니다 **API 및 서비스** > **자격 증명** > **OAuth 2.0 클라이언트 ID**. 3. 를 클릭합니다 **계속**. 4. 를 클릭합니다 **보강** 페이지에서 [Google Workspace 사용자 프로필](https://docs.panther.com/ko/enrichment/google-workspace)을 활성화하려면 **사용자 프로필**의 오른쪽에서 토글을 클릭하여 `켜기`. * 다음을 참고하세요 [Google Workspace 프로필 활성화의 사전 요구 사항](https://docs.panther.com/ko/enrichment/google-workspace#prerequisites-for-google-workspace-user-profiles). * 토글을 켠 경우 **사용자 프로필** `켜기`, 또한 **새로 고침 주기(분)**를 설정합니다. 이는 Panther가 Google Workspace에 저장된 내용으로 프로필 데이터를 업데이트하는 주기를 의미합니다.\ ![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2FFWBHXfuLcozI88Wakvih%2Fimage.png?alt=media\&token=30aa6322-2eeb-46d1-974d-1998380410f1) 5. 를 클릭합니다 **설정**. 6. 를 클릭합니다 **검증** 페이지를 선택한 다음 **액세스 권한 부여**. * 그러면 앞서 생성한 Google Workspace 앱이 계정에서 Google Workspace 로그를 가져오도록 승인하라는 메시지가 표시됩니다. * 를 클릭합니다 **허용**.
Google 프롬프트의 제목은 "Panther integration app wants to access your Google Account."입니다. 그 아래에는 "This will allow Panther integration app to: View audit reports for your G Suite domain."라고 표시됩니다. 그 아래에 허용 및 취소 버튼이 있습니다.
7. Panther Console로 다시 이동되며 성공 화면이 표시됩니다:
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs). * " **이벤트가 처리되지 않을 때 알러트 트리거** " 설정의 기본값은 **예**입니다. 일정 기간 후 로그 소스에서 데이터 흐름이 중지되면 알림을 받을 수 있으므로 이 설정을 활성화한 상태로 두는 것을 권장합니다. 기간은 구성 가능하며 기본값은 24시간입니다.
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
{% endtab %} {% endtabs %} ## Panther 관리형 디택션 참조 [Panther 관리형](https://docs.panther.com/ko/detections/panther-managed) Google Workspace용 룰은 [panther-analysis GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/master/rules) (접두사 `gsuite_`). ## 지원되는 로그 유형 Panther는 Google의 [Reports Activities API](https://developers.google.com/admin-sdk/reports/reference/rest/v1/activities) 에서 데이터를 가져오며, 여기에는 관리자 활동, 로그인 활동, 토큰 활동, Google Drive 활동 등이 포함됩니다. 이 데이터는 [`GSuite.ActivityEvent`](#gsuite.activityevent) 및 [`및 GSuite.Reports`](#gsuite.reports) 로그 유형으로 모두 저장됩니다. 이 두 스키마는 동일한 데이터를 포함하지만, `Gsuite.ActivityEvent` 를 사용하는 것이 권장됩니다. 이벤트를 평탄화하여 쿼리와 디택션에서 필드를 더 쉽게 참조할 수 있기 때문입니다. 두 스키마 모두 동일한 데이터를 캡처하지만 데이터 레이크에는 서로 다르게 저장됩니다. 예를 들어, `및 GSuite.Reports` 는 여러 이벤트가 하나의 페이로드에 래핑되므로 데이터 레이크에서 로그 수가 약간 더 적을 수 있습니다. 그러나 `GSuite.ActivityEvent`에서는 각 이벤트가 Panther에서 단일 이벤트가 됩니다. 이 동작에 대한 자세한 정보는 다음 기술 자료 문서에서 확인할 수 있습니다: [Panther 로그 유형 GSuite.Reports와 GSuite.ActivityEvent의 차이점은 무엇인가요?](https://help.panther.com/articles/4763221133-what-is-the-difference-between-the-panther-log-types-gsuite-reports-and-gsuite-activityevent) {% hint style="info" %} Google Workspace 로그는 데이터 레이크의 두 `GSuite.ActivityEvent` 및 `및 GSuite.Reports` 테이블 모두에 저장되지만 데이터는 수집 할당량에 대해 한 번만 계산됩니다. {% endhint %} ### GSuite.ActivityEvent 관리 콘솔 애플리케이션 또는 Google Drive 애플리케이션과 같이 특정 계정 및 애플리케이션의 활동 이벤트를 포함합니다. 참조: [Reports API Activities List에 대한 Google Workspace 문서.](https://developers.google.com/admin-sdk/reports/v1/reference/activities/list#response) ```yaml 필드: - name: id required: true description: 각 활동 레코드의 고유 식별자. type: object 필드: - name: applicationName description: 이벤트가 속한 애플리케이션 이름. type: string - name: customerId description: Google Workspace 계정의 고유 식별자. type: string - name: time description: 활동이 발생한 시간. type: timestamp timeFormat: rfc3339 isEventTime: true - name: uniqueQualifier description: 여러 이벤트의 시간이 같을 경우의 고유 한정자. type: string - name: actor description: 작업을 수행하는 사용자. type: object 필드: - name: email description: 행위자의 기본 이메일 주소. 행위자와 연결된 이메일 주소가 없으면 없을 수 있습니다. type: string indicators: - email - name: profileId description: 행위자의 고유 Google Workspace 프로필 ID. 행위자가 Google Workspace 사용자가 아닌 경우 없을 수 있습니다. type: string - name: callerType description: 행위자 유형. type: string - name: key description: callerType이 KEY일 때만 존재합니다. OAuth 2LO API 요청의 요청자 consumer_key이거나 로봇 계정의 식별자일 수 있습니다. type: string - name: kind required: true description: API 리소스 유형. 활동 보고서의 경우 값은 reports#activities입니다. type: string - name: ownerDomain description: 보고서 이벤트의 영향을 받는 도메인입니다. 예를 들어 관리 콘솔의 도메인 또는 Drive 애플리케이션 문서 소유자의 도메인입니다. type: string indicators: - domain - name: ipAddress description: 작업을 수행하는 사용자의 IP 주소. 이는 Google Workspace에 로그인할 때 사용자의 인터넷 프로토콜(IP) 주소이며, 사용자의 실제 위치를 반영할 수도 있고 반영하지 않을 수도 있습니다. 예를 들어 IP 주소는 사용자의 프록시 서버 주소 또는 가상 사설망(VPN) 주소일 수 있습니다. API는 IPv4 및 IPv6를 지원합니다. type: string indicators: - ip - name: type description: 이벤트 유형. 관리자가 변경하는 Google Workspace 서비스 또는 기능은 eventName 속성을 사용해 이벤트를 식별하는 type 속성에서 식별됩니다. API의 type 카테고리 전체 목록은 위 applicationName의 다양한 애플리케이션에 대한 이벤트 이름 목록을 참조하세요. type: string - name: name description: 이벤트 이름. 이는 API가 보고하는 활동의 구체적인 이름입니다. 각 eventName은 API가 이벤트 유형으로 구성하는 특정 Google Workspace 서비스 또는 기능과 관련이 있습니다. type: string - name: parameters description: 다양한 애플리케이션에 대한 매개변수 값 쌍. eventName 매개변수에 대한 자세한 내용은 위 applicationName의 다양한 애플리케이션에 대한 이벤트 이름 목록을 참조하세요. type: json ``` ### 및 GSuite.Reports {% hint style="warning" %} 다음을 사용하는 것을 권장합니다 [`GSuite.ActivityEvent`](#gsuite.activityevent) 대신에 `및 GSuite.Reports`. 두 스키마 모두 동일한 데이터를 포함하지만, 의 구조는 `GSuite.ActivityEvent` 더 평평하므로 쿼리와 디택션에서 참조하기가 더 쉽습니다. {% endhint %} 관리 콘솔 애플리케이션 또는 Google Drive 애플리케이션과 같이 특정 계정 및 애플리케이션의 활동 이벤트를 포함합니다. 참조: [Reports API Activities List에 대한 Google Workspace 문서.](https://developers.google.com/admin-sdk/reports/v1/reference/activities/list#response) 
schema: GSuite.Reports
description: 
referenceURL: https://developers.google.com/admin-sdk/reports/v1/reference/activities/list#response
필드:
    - name: id
      required: true
      description: 각 활동 레코드의 고유 식별자.
      type: object
      필드:
        - name: applicationName
          description: 이벤트가 속한 애플리케이션 이름.
          type: string
        - name: customerId
          description: Google Workspace 계정의 고유 식별자.
          type: string
        - name: time
          description: 활동이 발생한 시간.
          type: timestamp
          timeFormat: rfc3339
          isEventTime: true
        - name: uniqueQualifier
          description: 여러 이벤트의 시간이 같을 경우의 고유 한정자.
          type: string
    - name: actor
      description: 작업을 수행하는 사용자.
      type: object
      필드:
        - name: email
          description: 행위자의 기본 이메일 주소. 행위자와 연결된 이메일 주소가 없으면 없을 수 있습니다.
          type: string
          indicators:
            - email
        - name: profileId
          description: 행위자의 고유 Google Workspace 프로필 ID. 행위자가 Google Workspace 사용자가 아닌 경우 없을 수 있습니다.
          type: string
        - name: callerType
          description: 행위자 유형.
          type: string
        - name: key
          description: callerType이 KEY일 때만 존재합니다. OAuth 2LO API 요청의 요청자 consumer_key이거나 로봇 계정의 식별자일 수 있습니다.
          type: string
    - name: kind
      required: true
      description: API 리소스 유형. 활동 보고서의 경우 값은 reports#activities입니다.
      type: string
    - name: ownerDomain
      description: 보고서 이벤트의 영향을 받는 도메인입니다. 예를 들어 관리 콘솔의 도메인 또는 Drive 애플리케이션 문서 소유자의 도메인입니다.
      type: string
      indicators:
        - domain
    - name: ipAddress
      description: 작업을 수행하는 사용자의 IP 주소. 이는 Google Workspace에 로그인할 때 사용자의 인터넷 프로토콜(IP) 주소이며, 사용자의 실제 위치를 반영할 수도 있고 반영하지 않을 수도 있습니다. 예를 들어 IP 주소는 사용자의 프록시 서버 주소 또는 가상 사설망(VPN) 주소일 수 있습니다. API는 IPv4 및 IPv6를 지원합니다.
      type: string
      indicators:
        - ip
    - name: events
      description: 보고서의 활동 이벤트입니다.
      type: array
      element:
        type: object
        필드:
            - name: type
              description: 이벤트 유형. 관리자가 변경하는 Google Workspace 서비스 또는 기능은 eventName 속성을 사용해 이벤트를 식별하는 type 속성에서 식별됩니다. API의 type 카테고리 전체 목록은 위 applicationName의 다양한 애플리케이션에 대한 이벤트 이름 목록을 참조하세요.
              type: string
            - name: name
              description: 이벤트 이름. 이는 API가 보고하는 활동의 구체적인 이름입니다. 각 eventName은 API가 이벤트 유형으로 구성하는 특정 Google Workspace 서비스 또는 기능과 관련이 있습니다.
              type: string
            - name: parameters
              description: 다양한 애플리케이션에 대한 매개변수 값 쌍. eventName 매개변수에 대한 자세한 내용은 위 applicationName의 다양한 애플리케이션에 대한 이벤트 이름 목록을 참조하세요.
              type: array
              element:
                type: object
                필드:
                    - name: name
                      description: 매개변수의 이름입니다.
                      type: string
                    - name: value
                      description: 매개변수의 문자열 값입니다.
                      type: string
                    - name: intValue
                      description: 매개변수의 정수 값입니다.
                      type: bigint
                    - name: boolValue
                      description: 매개변수의 불리언 값입니다.
                      type: boolean
                    - name: multiValue
                      description: 매개변수의 문자열 값들입니다.
                      type: array
                      element:
                        type: string
                    - name: multiIntValue
                      description: 매개변수의 정수 값들입니다.
                      type: array
                      element:
                        type: bigint
                    - name: messageValue
                      description: '이 매개변수와 연결된 중첩된 매개변수 값 쌍입니다. 매개변수의 복합 값 유형은 매개변수 값 목록으로 반환됩니다. 예를 들어, address 매개변수는 [{parameter: [{name: city, value: abc}]}]와 같은 값일 수 있습니다]'
                      type: json
                    - name: multiMessageValue
                      description: messageValue 객체의 목록입니다.
                      type: array
                      element:
                        type: json