Google Workspace 로그

Google Cloud에서 새 앱을 만드세요:

1. 다음에 로그인하세요 Google Cloud 콘솔.

2. 클릭 + 프로젝트 만들기.

3. 설명적인 프로젝트 이름 (예: Panther Integration)를 입력하고 위치.

4. 클릭 만들기.

   • 프로젝트를 만드는 데 몇 초가 걸립니다. 생성이 완료되면 페이지에 알림이 표시됩니다.

5. 왼쪽 사이드바 메뉴에서 세 줄 아이콘을 클릭한 다음 클라우드 개요 > 대시보드.

6. 방금 만든 프로젝트가 페이지 상단의 드롭다운에서 이미 선택되어 있지 않다면, 드롭다운을 열어 선택하세요.

Admin SDK API를 활성화하세요:

1. 검색창에 "Admin SDK API"를 입력하고 선택하세요 Admin SDK API.

2. 다음에서 Admin SDK API 페이지에서 다음을 클릭하세요 활성화.

   • 새 화면으로 이동합니다.

새 Google Cloud 서비스 계정을 만드세요.

JSON 키 파일을 생성하세요 해당 서비스 계정에 대해:

1. 다음에서 IAM 및 관리자 섹션에서 다음을 클릭하세요 서비스 계정.

2. 방금 만든 서비스 계정 행에서 다음을 클릭하세요 작업그다음 키 관리.

   
3. 클릭 키 추가 > 새 키 만들기.

   
4. 아래 키 유형에서 다음을 선택하세요 JSON그다음 다음을 클릭하세요 만들기.

   • JSON 파일이 다운로드됩니다.

도메인 전체 위임을 활성화하세요:

1. 방금 만든 서비스 계정 행에서 다음을 클릭하세요 작업그다음 세부정보 관리.

   
2. 클릭 고급 설정그다음 다음을 복사하세요 클라이언트 ID.

   
3. 클릭 Google Workspace 관리자 콘솔 보기.

4. 관리자 계정으로 로그인하세요.

5. 클릭 보안 → 액세스 및 데이터 제어 → API 제어.

6. 클릭 도메인 전체 위임 관리.

7. 클릭 새로 추가.

8. 필드를 입력하세요:

   1. 클라이언트 ID: 위에서 복사한 클라이언트 ID를 입력하세요.

   2. OAuth 범위 (쉼표로 구분, 공백 없음): 다음을 입력하세요 https://www.googleapis.com/auth/admin.reports.audit.readonly

      • (선택 사항) 사용자 프로필이 필요하면 쉼표로 구분하여 다음도 입력하세요 https://www.googleapis.com/auth/admin.directory.user.readonly

9. 클릭 승인.

다음을 선택하세요 Google Admin 사용자 데이터를 가져올 때 가장할 계정입니다. 두 가지 옵션이 있습니다:

• 슈퍼관리자 계정을 사용: 설정은 더 간단하지만 꼭 필요한 수준보다 더 넓은 권한이 부여됩니다.

• 최소 권한 원칙을 따름(권장): 필요한 권한만 가진 전용 Google Workspace 사용자를 만들고 사용하세요

  1. 최소 권한으로 Google Workspace에서 사용자 지정 관리자 역할을 만드세요.

  2. 역할에 필요한 최소 권한을 부여하세요:

     1. 필수: Reports → Audit/Usage 읽기 액세스

        
     2. 선택 사항: Directory → Users 읽기 액세스(사용자 프로필을 사용하는 경우)

        
     3. 선택 사항: Vault → Google Vault 모든 로그 액세스

        
  3. 이 사용자 지정 역할을 전용 Google Workspace 사용자에게 할당하세요.

Panther에서 소스 설정을 완료하세요:

1. 아래 가져오기 구성 및 JSON 키 파일을 제공하고 JSON 키 파일을 업로드하세요.

2. 다음에서 관리자 사용자 이메일 필드에 다음의 이메일 주소를 입력하세요 Google Admin 사용자 서비스 계정이 가장할 대상(이전 단계에서 선택한 계정).

   
3. 다음에서 보강 페이지에서 다음을 활성화하려면 Google Workspace 사용자 프로필의 오른쪽에 있는 사용자 프로필토글을 클릭하여 ON.

   • 다음을 확인하세요 Google Workspace 프로필 활성화의 사전 요구 사항.

   • 다음을 토글했다면 사용자 프로필 ON다음도 설정하세요 새로 고침 주기(분). 이는 Panther가 Google Workspace에 저장된 정보로 프로필 데이터를 업데이트하는 주기를 의미합니다.

4. 클릭 설정. 성공 화면으로 이동합니다:

   

   • 선택적으로 하나 이상의 디텍션 팩.

   • 아직 하지 않았다면 다음을 클릭하세요 스키마 연결 또는 추론 소스에 하나 이상의 스키마를 연결하세요.

   • 다음 처리된 이벤트가 없을 때 알러트를 트리거 설정의 기본값은 예입니다. 일정 시간이 지난 후 로그 소스에서 데이터가 더 이상 유입되지 않으면 알러트를 받게 되므로 이 설정을 활성화한 상태로 두는 것을 권장합니다. 이 기간은 구성 가능하며 기본값은 24시간입니다.

Google Cloud에서 새 앱을 만드세요:

1. 다음에 로그인하세요 Google Cloud 콘솔.

2. 클릭 + 프로젝트 만들기.

3. 설명적인 프로젝트 이름 (예: Panther Integration)를 입력하고 위치.

4. 클릭 만들기.

   • 프로젝트를 만드는 데 몇 초가 걸립니다. 생성이 완료되면 페이지에 알림이 표시됩니다.

5. 왼쪽 사이드바 메뉴에서 세 줄 아이콘을 클릭한 다음 클라우드 개요 > 대시보드.

6. 방금 만든 프로젝트가 페이지 상단의 드롭다운에서 이미 선택되어 있지 않다면, 드롭다운을 열어 선택하세요.

Admin SDK API를 활성화하세요:

1. 검색창에 "Admin SDK API"를 입력하고 선택하세요 Admin SDK API.

2. 다음에서 Admin SDK API 페이지에서 다음을 클릭하세요 활성화.

   • 새 화면으로 이동합니다.

새 Google Cloud 서비스 계정을 만드세요.

1. 방금 만든 서비스 계정 행에서 다음의 값을 메모하세요 이메일. 다음 단계에서 필요합니다.

다음 안내를 따라 AWS와 함께 워크로드 ID 연동을 구성하세요 AWS 또는 Azure와 함께 워크로드 ID 연동 구성 문서.

1. 다음 작업을 하는 동안 속성 매핑 및 조건을 정의하는, 다음 예시를 참고하세요:

   • 예시 속성 매핑:

     Google

     AWS

     google.subject

     assertion.arn.extract('arn:aws:sts::{account_id}:')+":"+assertion.arn.extract('assumed-role/{role_and_session}').extract('/{session}')

     attribute.account

     assertion.account

   • 예시 속성 조건: attribute.account=="<PANTHER_AWS_ACCOUNT_ID>"

   다음의 값은 google.subject 속성 127자를 초과할 수 없습니다. 다음을 사용할 수 있습니다 공통 표현 언어(CEL) 표현식 를 사용하여 AWS가 발급한 토큰의 속성을 변환하거나 결합할 수 있습니다. 위 표에서 제안한 표현식은 이 제한을 고려한 것이며, ARN을 Panther 엔터티를 고유하게 식별하는 값으로 변환하려는 시도입니다. AWS 속성에 대한 자세한 내용은 다음에서 "예제 2 - AssumeRole로 호출한 사용자"를 참조하세요 이 AWS 문서 페이지.

2. 다음 작업을 하는 동안 ID 풀에 제공자를 추가하는에서 다음을 선택하세요 AWS.

3. 다음으로 이동하세요 IAM 및 관리자 → 워크로드 ID 연동.

   1. 방금 만든 워크로드 ID 풀의 표시 이름을 클릭하세요.

   2. 다음을 메모하세요 IAM 주체 이 페이지에 표시된 값입니다. 다음 단계에서 필요합니다.

IAM 권한 부여

1. 다음으로 이동하세요 IAM 및 관리자 → 서비스 계정

2. 방금 만든 서비스 계정 행에서 다음을 클릭하세요 이메일

3. 다음으로 이동 “액세스 가능한 주체” 탭

4. “액세스 권한 부여” 클릭

   
5. “새 주체” 필드에 다음을 추가해야 합니다 두 개의 항목.

   1. 첫 번째 주체: 워크로드 ID 주체

      1. 이전에 복사한 IAM 주체는 다음과 비슷하게 보입니다:

      2. 다음을 수정하세요 이 값을:

         • /subject/에서 시작하는 모든 내용을 제거하고

         • 그것을 /*로 바꾸기

      3. 변경 후에는 다음과 같아야 합니다:

      4. 이 수정된 값을 다음에 붙여넣으세요 새 주체 필드.

   2. 두 번째 주체: 서비스 계정 이메일

      1. 다음을 붙여넣으세요 서비스 계정 이메일 이전에 메모한 주소입니다.

         1. 예시 형식:

   3. 다음을 확인하세요 두 항목 모두 저장하기 전에 존재해야 합니다.

6. 다음을 클릭하세요 “저장” 클릭

인증 정보 구성 파일을 다운로드하세요, Panther에서 Google Workspace 로그 API에 인증하는 데 사용됩니다.

도메인 전체 위임을 활성화하세요:

1. 다음으로 이동하세요 IAM 및 관리자 → 서비스 계정

2. 방금 만든 서비스 계정 행에서 다음을 클릭하세요 작업그다음 세부정보 관리.

   
3. 클릭 고급 설정그다음 다음을 복사하세요 클라이언트 ID.

   
4. 클릭 Google Workspace 관리자 콘솔 보기.

5. 관리자 계정으로 로그인하세요.

6. 클릭 보안 → 액세스 및 데이터 제어 → API 제어.

7. 클릭 도메인 전체 위임 관리.

8. 클릭 새로 추가.

9. 필드를 입력하세요:

   1. 클라이언트 ID: 위에서 복사한 클라이언트 ID를 입력하세요.

   2. OAuth 범위 (쉼표로 구분, 공백 없음): 다음을 입력하세요 https://www.googleapis.com/auth/admin.reports.audit.readonly

      • (선택 사항) 사용자 프로필이 필요하면 쉼표로 구분하여 다음도 입력하세요 https://www.googleapis.com/auth/admin.directory.user.readonly

10. 클릭 승인.

데이터를 가져올 때 서비스 계정이 가장할 Google 관리자 사용자 계정을 선택하세요. 두 가지 옵션이 있습니다:

• 슈퍼관리자 계정을 사용: 설정은 더 간단하지만 꼭 필요한 수준보다 더 넓은 권한이 부여됩니다.

• 최소 권한 원칙을 따름(권장): 필요한 권한만 가진 전용 Google Workspace 사용자를 만들고 사용하세요.

  1. 최소 권한으로 Google Workspace에서 사용자 지정 관리자 역할을 만드세요.

  2. 역할에 필요한 최소 권한을 부여하세요:

     1. 필수: Reports → Audit/Usage 읽기 액세스

        
     2. 선택 사항: Directory → Users 읽기 액세스(사용자 프로필을 사용하는 경우)

        
     3. 선택 사항: Vault → Google Vault 모든 로그 액세스

        
  3. 이 사용자 지정 역할을 전용 Google Workspace 사용자에게 할당하세요.

Panther에서 소스 설정을 완료하세요:

1. 아래 가져오기 구성 및 인증 정보 구성 파일을 제공하고 인증 정보 구성 파일을 업로드하세요.

   
2. 다음에서 관리자 사용자 이메일 필드에 다음의 이메일 주소를 입력하세요 Google Admin 사용자 서비스 계정이 가장할 대상(이전 단계에서 선택한 계정).

   
3. 다음에서 보강 페이지에서 다음을 활성화하려면 Google Workspace 사용자 프로필의 오른쪽에 있는 사용자 프로필토글을 클릭하여 ON.

   • 다음을 확인하세요 Google Workspace 프로필 활성화의 사전 요구 사항.

     • 다음을 토글했다면 사용자 프로필 ON다음도 설정하세요 새로 고침 주기(분). 이는 Panther가 Google Workspace에 저장된 정보로 프로필 데이터를 업데이트하는 주기를 의미합니다.

4. 클릭 설정. 성공 화면으로 이동합니다:

   

   • 선택적으로 하나 이상의 디텍션 팩.

   • 아직 하지 않았다면 다음을 클릭하세요 스키마 연결 또는 추론 소스에 하나 이상의 스키마를 연결하세요.

   • 다음 처리된 이벤트가 없을 때 알러트를 트리거 설정의 기본값은 예입니다. 일정 시간이 지난 후 로그 소스에서 데이터가 더 이상 유입되지 않으면 알러트를 받게 되므로 이 설정을 활성화한 상태로 두는 것을 권장합니다. 이 기간은 구성 가능하며 기본값은 24시간입니다.

다음에서 인증 정보 페이지에서 리디렉션 URL을 복사하여 안전한 위치에 저장하세요. 다음 단계에서 필요합니다.

Google Cloud에서 새 앱을 만드세요:

1. 다음에 로그인하세요 Google Cloud 콘솔.

2. 클릭 + 프로젝트 만들기.

3. 설명적인 프로젝트 이름 (예: Panther Integration)를 입력하고 위치.

4. 클릭 만들기.

   • 프로젝트를 만드는 데 몇 초가 걸립니다. 생성이 완료되면 페이지에 알림이 표시됩니다.

5. 왼쪽 사이드바 메뉴에서 세 줄 아이콘을 클릭한 다음 클라우드 개요 > 대시보드.

6. 방금 만든 프로젝트가 페이지 상단의 드롭다운에서 이미 선택되어 있지 않다면, 드롭다운을 열어 선택하세요.

7. 상단 검색창에서 "OAuth 동의 화면"을 검색한 다음 일치하는 결과를 선택하세요.

8. 다음에서 OAuth 동의 화면 페이지에서 다음을 클릭하세요 시작하기.

새 Google Cloud 앱을 구성하고 Admin SDK API를 활성화하세요:

1. 다음에서 OAuth 동의 화면 > 브랜딩 페이지에서 다음 정보를 입력하세요:

   • 앱 이름: 프로젝트 이름 또는 프로젝트 ID를 입력하세요.

   • 사용자 지원 이메일: 이메일 주소를 선택하세요.

   • 대상: 선택 내부.

   • 개발자 연락처 정보: 이메일 주소를 입력하세요.

   • 다른 필드는 비워 두세요.

2. 클릭 저장 후 계속.

3. 다음에서 데이터 액세스 > 범위 페이지에서 다음을 클릭하세요 범위 추가 또는 삭제.

4. 다음에서 범위 수동 추가 섹션에서 다음을 입력하세요 https://www.googleapis.com/auth/admin.reports.audit.readonly

   • (선택 사항) 사용자 프로필이 필요하면 다음도 입력하세요 https://www.googleapis.com/auth/admin.directory.user.readonly

5. 클릭 표에 추가 및 업데이트.

6. 클릭 저장.

7. 검색창에서 "Admin SDK API"를 검색한 다음 선택하세요 Admin SDK API.

8. 다음에서 Admin SDK API 페이지에서 다음을 클릭하세요 활성화.

   • 새 화면으로 이동합니다.

새 Google Cloud 앱에 대한 OAuth 인증 정보를 만드세요:

1. 왼쪽 탐색 메뉴에서 다음을 클릭하세요 인증 정보.

2. 페이지 상단에서 다음을 클릭하세요 +인증 정보 만들기.

3. 클릭 OAuth 클라이언트 ID.

   • 다른 페이지로 이동합니다.

4. 다음에서 OAuth 클라이언트 ID 만들기 페이지에서 애플리케이션 유형 필드에서 다음을 선택하세요 웹 애플리케이션 친숙한 이름을 입력하세요 이름예: Panther.

5. 다음으로 스크롤하여 승인된 리디렉션 URI 섹션으로 이동한 다음 다음을 클릭하세요 + URI 추가.

6. 다음에서 URI 1 필드에 위에서 복사한 리디렉션 URL을 2.1단계에서 붙여넣으세요. 이는 Panther Console의 로그 소스 자격 증명 설정 페이지에서 찾을 수 있습니다.

7. 클릭 만들기.

8. 팝업 모달에 다음이 표시됩니다 클라이언트 ID 및 클라이언트 시크릿. 안전한 방법으로 ClientID와 Client Secret을 기록해 두세요. 보고서를 가져오려면 이를 Panther Console에 제공해야 합니다.

Panther에서 Google Workspace 소스 설정을 마치세요:

1. 이전에 Panther Console에서 로그 소스 설정을 시작한 브라우저 창 또는 탭을 여세요 이 문서의 앞부분에 있는.

2. 다음에서 인증 정보 페이지에서 다음을 입력하세요 클라이언트 ID 및 클라이언트 시크릿 Google Cloud 콘솔에서 제공된 값.

   

   • 이전 단계에서 이 값을 저장하지 않았다면 Google Cloud 콘솔의 다음 위치에서 찾을 수 있습니다 APIs 및 서비스 > 인증 정보 > OAuth 2.0 클라이언트 ID.

3. 클릭 계속.

4. 다음에서 보강 페이지에서 다음을 활성화하려면 Google Workspace 사용자 프로필의 오른쪽에 있는 사용자 프로필토글을 클릭하여 ON.

   • 다음을 확인하세요 Google Workspace 프로필 활성화의 사전 요구 사항.

   • 다음을 토글했다면 사용자 프로필 ON다음도 설정하세요 새로 고침 주기(분). 이는 Panther가 Google Workspace에 저장된 정보로 프로필 데이터를 업데이트하는 주기를 의미합니다.

5. 클릭 설정.

6. 다음에서 검증 페이지에서 다음을 클릭하세요 액세스 권한 부여.

   • 이를 통해 앞서 만든 Google Workspace 앱이 계정에서 Google Workspace 로그를 가져올 수 있도록 승인하라는 요청이 표시됩니다.

   • 클릭 허용.

   
7. Panther Console로 다시 돌아가게 되며, 성공 화면이 표시됩니다:

• 선택적으로 하나 이상의 디텍션 팩.

• 다음 처리된 이벤트가 없을 때 알러트를 트리거 설정의 기본값은 예입니다. 일정 시간이 지난 후 로그 소스에서 데이터가 더 이상 유입되지 않으면 알러트를 받게 되므로 이 설정을 활성화한 상태로 두는 것을 권장합니다. 이 기간은 구성 가능하며 기본값은 24시간입니다.