谷歌应用程序
Google Apps是一组基于云的生产力应用程序。要从Google Apps收集数据,您必须使用具有管理权限的Google帐户。Rapid7建议您使用私有浏览窗口来设置此事件源,以确保您登录正确的管理级别帐户。
要阅读Google Apps日志,收集器需要到达Google服务器来提取日志,并且必须能够连接到https://www.googleapis.com
隐私政策
Rapid7的InsightIdr产品使用OAuth身份验证来从Google Apps HTTP API检索管理员审核日志。配置Google Apps事件源时,InsightIdr在授权授权中所需的唯一权限是admin.reports.Audit.ReadOnly.。
一旦配置完成,谷歌管理员可以在谷歌管理员界面中看到InsightIDR请求。
InsightIdr使用加密的Amazon Web服务S3存储桶来存储已保存的数据。InsightIdr使用您的审核日志来跟踪和警报可能的恶意管理员活动,以及在日志搜索中提供的日志进行报告和合规。
您与RAPIT7共享的任何数据都不在外部共享,只能用于内部目的,例如故障排除和新功能开发。您可以在此处阅读更多关于RAPID7的隐私政策的信息:https://www.rapid7.com/privacy-policy.
在你开始之前
Google Apps通过OAuth凭据启用。阅读此处的关于此凭据的要求:https://developers.google.com/admin-sdk/reports/v1/guides/prequisites.。
要配置此事件源,您需要成为Google Admin。
如果您已登录到没有admin权限的帐户,则会显示OAUTH弹出窗口以使用该登录,而不是您需要的权限。注销并登录具有管理员权限的Google帐户。
在Google API中配置这些权限时,只需检查报告权限。
.png)
如何配置此事件源
- 从您的仪表板,选择数据采集在左手菜单上。
- 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源。
- 从“安全数据”部分,单击云服务图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
- 选择发送未经过滤的日志。
- 单击“开始”按钮以启动OAuth授权过程。
- 新窗口或选项卡将为您打开,以便使用Google执行授权补助金。
- 点击允许启用G套件域的审核报告。
- 关闭窗口/标签以返回InsightIdr。
- 配置您的默认域。
- 点击节省
InsightIdr还通过用户的API获取所有用户的列表。
了解更多
Google API使用OAuth 2.0协议进行身份验证和授权。Google支持常见的OAuth 2.0场景,例如Web服务器,安装和客户端应用程序。
有关更多信息,请阅读本文:https://developers.google.com/idepity/protocols/oauth2.。