谷歌应用程序

Google Apps是一组基于云的生产力应用程序。要从Google Apps收集数据,您必须使用具有管理权限的Google帐户。Rapid7建议您使用私有浏览窗口来设置此事件源,以确保您登录正确的管理级别帐户。

要阅读Google Apps日志,收集器需要到达Google服务器来提取日志,并且必须能够连接到https://www.googleapis.com

隐私政策

Rapid7的InsightIdr产品使用OAuth身份验证来从Google Apps HTTP API检索管理员审核日志。配置Google Apps事件源时,InsightIdr在授权授权中所需的唯一权限是admin.reports.Audit.ReadOnly.

一旦配置完成,谷歌管理员可以在谷歌管理员界面中看到InsightIDR请求。

InsightIdr使用加密的Amazon Web服务S3存储桶来存储已保存的数据。InsightIdr使用您的审核日志来跟踪和警报可​​能的恶意管理员活动,以及在日志搜索中提供的日志进行报告和合规。

您与RAPIT7共享的任何数据都不在外部共享,只能用于内部目的,例如故障排除和新功能开发。您可以在此处阅读更多关于RAPID7的隐私政策的信息:https://www.rapid7.com/privacy-policy.

在你开始之前

Google Apps通过OAuth凭据启用。阅读此处的关于此凭据的要求:https://developers.google.com/admin-sdk/reports/v1/guides/prequisites.

要配置此事件源,您需要成为Google Admin。

如果您已登录到没有admin权限的帐户,则会显示OAUTH弹出窗口以使用该登录,而不是您需要的权限。注销并登录具有管理员权限的Google帐户。

在Google API中配置这些权限时,只需检查报告权限。

如何配置此事件源

  1. 从您的仪表板,选择数据采集在左手菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源
  3. 从“安全数据”部分,单击云服务图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 选择发送未经过滤的日志
  6. 单击“开始”按钮以启动OAuth授权过程。
  7. 新窗口或选项卡将为您打开,以便使用Google执行授权补助金。
  8. 点击允许启用G套件域的审核报告。
  9. 关闭窗口/标签以返回InsightIdr。
  10. 配置您的默认域
  11. 点击节省

InsightIdr还通过用户的API获取所有用户的列表。

了解更多

Google API使用OAuth 2.0协议进行身份验证和授权。Google支持常见的OAuth 2.0场景,例如Web服务器,安装和客户端应用程序。

有关更多信息,请阅读本文:https://developers.google.com/idepity/protocols/oauth2.