search
Knowledge BaseRelease NotesRequest Demo

Google Workspace 로그

Panther는 Google Workspace에서 로그를 직접 가져오는 것을 지원합니다

hashtag
개요

Panther는 가져올 수 있습니다 Google Workspacearrow-up-right (이전 명칭 G Suite) 로그 이벤트를 쿼리하여 Google Workspace 보고서 APIarrow-up-right. Panther는 새 이벤트를 가져오기 위해 보고서 API를 60초마다 쿼리합니다.

chevron-rightPanther가 로그를 가져오는 Google Workspace 애플리케이션hashtag

Panther는 다음 애플리케이션에 대해 Google Workspace 로그를 가져옵니다:

  • access_transparency

  • admin

  • calendar

  • chat

  • drive

  • groups

  • groups_enterprise

  • jamboard

  • login

  • meet

  • mobile

  • 폴더 설정(Folder setup)

  • saml

  • token

  • user_accounts

  • gcp

  • gmail

  • gplus

  • context_aware_access

  • chrome

  • data_studio

  • keep

hashtag
Google Workspace 로그를 Panther에 온보딩하는 방법

Panther가 Google Workspace 보고서 API에 액세스하려면 Google Cloud 애플리케이션을 생성 및 구성하고 해당 자격 증명을 Panther에 제공해야 합니다.

circle-info

아래 단계가 성공적인 통합을 위해 작동하려면 귀하의 Google 사용자가 조직의 활동 기록을 읽을 수 있는 권한이 있어야 합니다. 사용자가 이 권한이 없는 경우 다음을 따르세요 이 Google Workspace 안내서arrow-up-right 새로운 Reports 접근 권한이 있는 역할을 생성하고 해당 역할을 사용자에게 할당하려면. 로그 수집을 활성화할 계획이라면 Google Workspace 사용자 프로필을(를) 사용하려면 사용자 역할에 사용자 읽기 권한도 있어야 합니다.

hashtag
1단계: Panther에서 새 Google Workspace 소스 생성

  1. Panther 콘솔의 왼쪽 사이드바 메뉴에서 클릭 구성 > 로그 소스.

  2. 를 클릭하세요 새로 만들기.

  3. “Google Workspace”를 검색한 다음 해당 타일을 클릭합니다.

  4. 슬라이드아웃 패널에서 클릭합니다 설정 시작.

  5. 에 있는 구성 페이지에서 다음 필드를 구성합니다:

    • 이름(Name): 소스에 대한 설명 이름을 입력하세요 예: 내 Google Workspace 로그.

  6. 를 클릭하세요 설정.

  7. 에 있는 자격 증명 페이지에서 리디렉션 URL을 복사하여 안전한 위치에 보관하세요. 다음 단계에서 이 값이 필요합니다. The top of the screen says "Set up the App credentials." Below, a link is provided, and the Copy button next to it is circled. The associated text reads, "Use the link below as the redirect URL in your App settings."

hashtag
2단계: Google Cloud에서 새 앱 생성

  1. 에 로그인하세요 Google Cloud 콘솔arrow-up-right.

  2. 를 클릭하세요 + 프로젝트 생성. In Google Cloud console, the "+Create Project" button appears at the top of the page under the search bar. In this image, there is a teal circle around it.

  3. 설명적인 프로젝트 이름 (예: Panther 통합) 및 위치.

  4. 를 클릭하세요 생성.

    • 프로젝트 생성에는 몇 초가 걸립니다. 생성되면 페이지에 알림이 표시됩니다.

  5. 왼쪽 사이드바 메뉴에서 세 줄 아이콘을 클릭한 다음 클라우드 개요 > 대시보드.

  6. 방금 생성한 프로젝트가 페이지 상단의 드롭다운에 이미 선택되어 있지 않다면 드롭다운을 열어 선택하세요. At the top of the Google Cloud dashboard, there is a dropdown. "Panther integration test" has been selected, and the select box is circled.

  7. 상단 검색창에서 "OAuth 동의 화면"을 검색한 다음 일치하는 결과를 선택하세요. The search bar at the top of Google Cloud Console has the search term "oauth consent screen" typed in it. the first result, "OAuth consent screen," is circled

  8. 에 있는 OAuth 동의 화면 페이지에서 클릭 시작하기.

hashtag
3단계: 새 Google Cloud 앱을 구성하고 API를 활성화

  1. 에 있는 OAuth 동의 화면 > 브랜딩 페이지에서 다음 정보를 작성하세요:

    • 앱 이름: 프로젝트 이름 또는 프로젝트 ID를 입력하세요.

    • 사용자 지원 이메일: 이메일 주소를 선택하세요.

    • 대상: 다음 선택: 내부.

    • 개발자 연락처 정보: 이메일 주소를 입력하세요.

    • 다른 필드는 비워두세요.

  2. 를 클릭하세요 저장하고 계속.

  3. 에 있는 데이터 액세스 > 범위(Scopes) 페이지에서 클릭 범위 추가 또는 제거.

  4. 에서 수동으로 범위 추가 섹션에 붙여넣기 https://www.googleapis.com/auth/admin.reports.audit.readonly

  5. (선택) 사용자 프로필이 필요하면 다음 범위도 붙여넣기: https://www.googleapis.com/auth/admin.directory.user.readonly

  6. 를 클릭하세요 테이블에 추가업데이트. In the Manually add scopes section of the Google Cloud page, a URL has been entered. There is an arrow pointing from the Add to table button to the Update button.

  7. 를 클릭하세요 저장.

  8. 상단 검색창에서 "API 및 서비스 사용 설정"을 검색한 다음 일치하는 결과를 선택하세요.

  9. 검색창에서 "Admin SDK API"를 검색하고 다음을 선택하세요 Admin SDK API.\

  10. 에 있는 Admin SDK API 페이지에서 클릭 사용 설정. In the Google Cloud console, an Admin SDK API page is shown. An Enable button is circled.

    • 다른 화면으로 리디렉션됩니다.

hashtag
4단계: 새 Google Cloud 앱에 대한 OAuth 자격 증명 생성

  1. 왼쪽 탐색 메뉴에서 클릭 자격 증명.

  2. 페이지 상단에서 클릭 +자격 증명 생성.

  3. 를 클릭하세요 OAuth 클라이언트 ID. In Google Cloud console, the Credentials link in the left sidebar is highlighted. There is an arrow pointing from it to the "+ Create Credentials" link. There is an arrow pointing from "+ Create Credentials" to one of the dropdown options, "OAuth Client ID"

    • 다른 페이지로 리디렉션됩니다.

  4. 에 있는 OAuth 클라이언트 ID 만들기 페이지에서, 애플리케이션 유형 필드에서 선택하세요 웹 애플리케이션 그리고 친숙한 이름(Name)이름을 입력하세요 예: Panther.

  5. 아래로 스크롤하여 승인된 리디렉션 URI 섹션에서 클릭 + URI 추가.

  6. 에서 URI 1 필드에 Panther 콘솔의 로그 소스 자격 증명 설정 페이지에 제공된 리디렉션 URL을 붙여넣으세요. 이 값을 앞서 문서에서 로그 소스를 생성할 때 얻었어야 합니다 이전 단계에서. Panther 콘솔. There is an "Authorized Redirect URIs" header. There is a field labeled "URIs 1". At the bottom, there is a blue "Create" button.

  7. 를 클릭하세요 생성.

  8. 팝업 모달에 클라이언트 ID클라이언트 시크릿가 표시됩니다. 보안된 방법으로 ClientID와 Client Secret을 기록해 두세요. 보고서를 가져오기 위해 Panther 콘솔에 이 값을 제공해야 합니다.

hashtag
5단계: Panther에서 Google Workspace 소스 설정 완료

  1. 이 문서에서 이전에 Panther 콘솔에서 로그 소스 설정을 시작했던 브라우저 창이나 탭을 엽니다 페이지에서,.

  2. 에 있는 자격 증명 에 Google Cloud 콘솔에 제공된 값을 입력하세요. 클라이언트 ID클라이언트 시크릿 Google Cloud 콘솔에 제공된 값을 입력하세요.

    • 이전 단계에서 이러한 값을 저장하지 않았다면 Google Cloud 콘솔에서 다음 아래에서 찾을 수 있습니다 API 및 서비스 > 자격 증명 > OAuth 2.0 클라이언트 ID.

  3. 를 클릭하세요 설정.

  4. 에 있는 보강(Enrichment) 페이지에서, Google Workspace 사용자 프로필을 활성화하려면 Google Workspace 사용자 프로필의 오른쪽에 있는 사용자 프로필, 토글을 클릭하세요 켜짐(ON).

  5. 를 클릭하세요 설정.

  6. 에 있는 이 작업은 이전에 생성한 Google Workspace 앱이 귀하의 계정에서 Google Workspace 로그를 가져오도록 권한을 부여하라는 메시지를 표시합니다. 페이지에서 클릭 액세스 허용(Grant Access).

    • 허용

    • 를 클릭하세요 Google 프롬프트 제목은 "Panther 통합 앱이 귀하의 Google 계정에 액세스하려고 합니다." 아래에는 "이 작업을 통해 Panther 통합 앱이 다음을 수행할 수 있습니다: G Suite 도메인의 감사 보고서를 조회합니다."라고 표시됩니다. 아래에는 허용 및 취소 버튼이 있습니다..

      Panther 콘솔로 다시 리디렉션되며 성공 화면이 표시됩니다:

  7. Panther의 Google Workspace 규칙은

The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

  • 선택적으로 하나 이상의 항목을 활성화할 수 있습니다 탐지 팩arrow-up-right.

  • 와 같이 반환할 수 있습니다(스타일 취향에 따라). 이벤트가 처리되지 않을 때 경고 트리거 설정은 기본값으로 로 설정됩니다. 데이터가 일정 기간 후에 로그 소스에서 흐르지 않으면 경고를 받으므로 이 설정을 그대로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

    The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
Panther 관리형 탐지

참조 Panther 관리형 (접두사가 있는 디렉터리에서 panther-analysis GitHub 리포지토리arrow-up-right gsuite_ Panther는 Google의).

hashtag
지원되는 로그 유형

보고서 활동 API(Reports Activities API) 에서 데이터를 가져옵니다arrow-up-right 여기에는 관리자 활동, 로그인 활동, 토큰 활동, Google 드라이브 활동 등이 포함됩니다.

이 데이터는 다음 두 가지로 모두 저장됩니다 GSuite.ActivityEventGSuite.Reports 로그 유형—이 두 스키마는 동일한 데이터를 포함하지만, 필드를 쿼리 및 탐지에서 참조하기 쉬운 형태로 평탄화하기 때문에 Gsuite.ActivityEvent 를 사용하는 것이 권장됩니다.

두 스키마가 동일한 데이터를 캡처하지만 데이터 레이크에 저장되는 방식은 다릅니다. 예를 들어 GSuite.Reports 데이터 레이크에는 약간 적은 수의 로그가 있을 수 있습니다. 여러 이벤트가 하나의 페이로드로 래핑되기 때문입니다. 반면에 GSuite.ActivityEvent에서는 각 이벤트가 Panther에서 단일 이벤트가 됩니다. 이 동작에 대한 자세한 정보는 지식 기반 문서에서 확인할 수 있습니다: Panther 로그 유형 GSuite.Reports와 GSuite.ActivityEvent의 차이점은 무엇인가요?arrow-up-right

circle-info

Google Workspace 로그는 GSuite.ActivityEventGSuite.Reports 데이터 레이크의 테이블에 모두 저장되지만, 데이터는 수집 할당량(ingestion quota)에 대해서는 한 번만 계산됩니다.

hashtag
GSuite.ActivityEvent

특정 계정 및 애플리케이션(예: 관리 콘솔 애플리케이션 또는 Google 드라이브 애플리케이션)에 대한 활동 이벤트를 포함합니다.

Severity: 보고서 API 활동 목록에 대한 Google Workspace 문서.arrow-up-right

hashtag
GSuite.Reports

circle-exclamation

우리는 사용하는 것을 권장합니다 GSuite.ActivityEvent 대신 GSuite.Reports. 두 스키마가 동일한 데이터를 포함하지만, GSuite.ActivityEvent 의 구조가 더 평탄화되어 쿼리와 탐지에서 참조하기 더 쉽습니다.

특정 계정 및 애플리케이션(예: 관리 콘솔 애플리케이션 또는 Google 드라이브 애플리케이션)에 대한 활동 이벤트를 포함합니다.

Severity: 보고서 API 활동 목록에 대한 Google Workspace 문서.arrow-up-right

PreviousGitLab 로그NextHeroku 로그

Last updated

Was this helpful?