Google Workspace 프로필

탐지 및 검색에 사용하기 위해 Google Workspace 사용자 데이터를 가져와 저장하기

개요

Panther에서 Google Workspace 로그 소스 통합을 구성하여 사용자 프로필을 Panther가 관리하는 Enrichments로 가져올 수 있습니다. 이를 통해 디텍션 논리와 검색 쿼리에서 프로필 데이터를 사용할 수 있습니다.

Google Workspaces에서 사용자 프로필을 사용자 지정하려면 다음을 따르십시오 그들의 문서. 디텍션 논리에서 유용할 사용자 지정 속성(예: 해당 사용자가 예상되는 권한 수준)을 추가하는 것을 고려할 수 있습니다.

방법 알아보기 여기에서 저장된 증가 데이터를 보는 방법.

예시 디텍션 사용 사례

디텍션에서 Google 사용자 프로필 데이터를 활용할 수 있습니다. 다음 예시 사용 사례를 참조하세요:

오프보딩이 완료되지 않았음을 나타낼 수 있는 종료된 직원에 의해 작업이 수행되는 경우를 탐지합니다.
디텍션 구성에서 이벤트 행위자의 직책에 따라 알러트 심각도 수준을 조정합니다. 예를 들어, 시스템 관리자가 일부 작업을 수행한 경우 정보 심각도 수준을 사용할 수 있지만 HIGH 다른 역할의 사용자가 수행한 경우에는

Panther에서 Google Workspace 사용자 프로필을 설정하는 방법

Panther에서 Google Workspace 로그 소스 통합을 처음 설정하는 동안 또는 나중에 소스를 편집하여 Google Workspace 사용자 프로필을 구성할 수 있습니다.

두 플로우 중 어느 쪽에서든 Google Workspace 프로필 가져오기 설정을 켜고 프로필 데이터를 새로 고칠 빈도를 설정합니다.

Panther에서 Google Workspace 사용자 프로필을 활성화하려면 먼저(또는 동시에) Google Workspace를 로그 소스로 온보딩해야 합니다. Google Workspace 사용자 프로필 통합을 설정하는 것은 불가능합니다 없이 Panther에서 Google Workspace를 로그 소스로 온보딩하는 동안.

Google Workspace 사용자 프로필을 위한 전제 조건

Google Workspace 사용자 프로필을 Panther로 가져오려면 다음 구성이 설정되어야 합니다:

귀하의 Google Workspace Cloud App에는 다음이 있어야 합니다 https://www.googleapis.com/auth/admin.directory.user.readonly 범위.
Google Cloud App을 생성한 사용자는 사용자 읽기 권한을 가지고 있어야 합니다.

Google Workspace 소스 설정 중 Panther에서 Google Workspace 프로필 구성

다음을 따르세요 Panther에서 새 Google Workspace 소스를 만드는 방법에 대한 이 지침, 특히 다음에 주의하세요 사용자 프로필 활성화 필드에 붙여넣으세요.

Google Workspace 소스 설정 후 Panther에서 Google Workspace 프로필 구성

Panther에서 이미 Google Workspace 로그 소스를 생성한 후 다음 중 하나로 Google Workspace 프로필을 설정할 수 있습니다 각 룰과 예약된 룰의 기본 이벤트 임계값은 엔리치먼트 프로바이더 탭 헤더 행에서 Search 결과 테이블에서 열 제거 로그 소스 탭 콘솔에서.

Enrichment Providers 화면에서 Google Workspace 로그 소스 설정 후 Google Workspace 프로필 구성

Panther 콘솔의 왼쪽 탐색 창에서 구성 > Enrichment 제공자.
오른쪽 상단에서 새로 만들기.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Google Workspace.
Panther에 이미 생성된 Google Workspace 로그 소스가 나열된 팝업 모달에서 프로필 데이터를 가져올 소스를 클릭하세요.
- 아직 Google Workspace 로그 소스를 설정하지 않은 경우 대신 다음을 따르세요 Google Workspace 로그를 Panther에 온보딩하는 방법 지침에서 단계를 완료했습니다.
페이지에서 인리치먼트 페이지에서 오른쪽에 있는 토글을 클릭하세요 사용자 프로필.
- 또한 새로고침 기간(분)를 설정하세요. 이는 Panther가 Google Workspace에 저장된 내용으로 프로필 데이터를 업데이트할 빈도를 나타냅니다.
오른쪽 상단에서 저장.

지원되는 프로필 유형

Panther는 Google Workspace에서 사용자 프로필을 가져오는 것을 지원합니다.

GSuite.DirectoryUsers

스키마: GSuite.DirectoryUsers
설명: Panther가 관리하는 Gsuite 사용자 프로필
참조URL: https://developers.google.com/admin-sdk/directory/v1/guides/manage-users#get_all_users
필드:
    - name: match
      설명: 조회 테이블과 일치시킬 키
      type: array
      element:
        type: string
    - 이름: id
      설명: 이 사용자의 Gsuite 내부 id
      type: string
      지표:
        - actor_id
    - 이름: customerId
      설명: 이 사용자의 Gsuite 고객 id
      type: string
    - 이름: primaryEmail
      설명: 기본 이메일
      type: string
      지표:
        - 이메일
    - 이름: recoveryEmail
      설명: 복구 이메일
      type: string
      지표:
        - 이메일
    - 이름: name
      설명: 사용자 이름 정보
      유형: json
    - name: isAdmin
      설명: 관리자인 경우 True
      유형: boolean
    - 이름: isDelegatedAdmin
      설명: 위임된 관리자이면 True
      유형: boolean
    - 이름: lastLoginTime
      설명: 마지막 인증 시간
      type: timestamp
      timeFormats:
        - rfc3339
    - 이름: creationTime
      설명: 사용자 레코드 생성 시간
      type: timestamp
      timeFormats:
        - rfc3339
    - 이름: agreedToTerms
      설명: 약관에 동의한 경우 True
      유형: boolean
    - 이름: hashFunction
      설명: 사용할 해시 함수
      type: string
    - 이름: suspended
      설명: 정지된 경우 True
      유형: boolean
    - 이름: changePasswordAtNextLogin
      설명: 다음 로그인 시 비밀번호 변경으로 설정된 경우 True
      유형: boolean
    - 이름: ipWhitelisted
      설명: IP가 허용 목록에 있는 경우 True
      유형: boolean
    - 이름: orgUnitPath
      설명: 조직 경로
      type: string
    - 이름: isMailboxSetup
      설명: 메일박스가 설정된 경우 True
      유형: boolean
    - 이름: includeInGlobalAddressList
      설명: 전역 주소 목록에 포함된 경우 True
      유형: boolean
    - 이름: emails
      설명: 이메일 프로필
      type: array
      element:
        유형: json
    - 이름: externalIds
      설명: 외부 id
      type: array
      element:
        유형: json
    - 이름: aliases
      설명: 이메일 별칭
      type: array
      element:
        type: string
        지표:
            - 이메일
    - 이름: nonEditableAliases
      설명: 이메일 별칭
      type: array
      element:
        type: string
        지표:
            - 이메일

이전Anomali ThreatStream 다음GreyNoise(베타)

마지막 업데이트 2개월 전

도움이 되었나요?

hashtag개요

hashtag예시 디텍션 사용 사례

hashtagPanther에서 Google Workspace 사용자 프로필을 설정하는 방법

hashtagGoogle Workspace 사용자 프로필을 위한 전제 조건

hashtagGoogle Workspace 소스 설정 중 Panther에서 Google Workspace 프로필 구성

hashtagGoogle Workspace 소스 설정 후 Panther에서 Google Workspace 프로필 구성

hashtag지원되는 프로필 유형

hashtagGSuite.DirectoryUsers

개요