Business-Productivity-Suites und Collaboration-Werkzeugkisten wie Google Workspace sind für Unternehmen längst unverzichtbar geworden. In Google Workspace sind dann nicht nur kritische Informationen gespeichert, sondern auch Einstellungen (zum Beispiel bei Google Groups), die den Zugriff auf Daten quer durch die gesamte Google-Nutzung eines Unternehmens regeln (Workspace und Google Cloud Platform).
Die Audit-Logs, die von diesen Diensten generiert werden, zu sammeln und zu analysieren, ist der erste und entscheidende Schritt auf dem Weg zur Erkennung und Untersuchung potenzieller Sicherheitsvorfälle. Mit dem neuen Splunk Add-on for Google Workspace haben Splunk-Kunden jetzt eine genuine Splunk-Option für die Sammlung und Aufbereitung kritischer Audit-Ereignisse in Google Workspace.
„Mit dem Splunk Add-on for Google Workspace kann mein Kunde diese kritische Datenquelle nun von Haus aus zuverlässig und skalierbar in Splunk Cloud erfassen.“ – Brett Adams, Senior Technical Consultant NTT
Diese erste Google-Workspace-Integration konzentriert sich auf die Reports-API und erfasst damit grundlegende Audit-Events wie Admin, Login, OAuth Token, SAML und Google Drive. Google-Workspace-Ereignisse werden automatisch mit den korrekten Quelltypen geschrieben, die mit Splunk-CIM (Common Information Model) kompatibel sind und von Premium-Anwendungen wie Splunk Enterprise Security verstanden werden. Was ihr an Splunk Security Content und Dashboards habt, könnt ihr also weiter zur Analyse verwenden.
Mithilfe der Audit-Events von Google Workspace könnt ihr Anzeichen einer Kompromittierung erkennen und und entscheidende Fragen wie zum Beispiel diese beantworten:
- Bei welchen Benutzern sind innerhalb der letzten 24 Stunden mehr als drei Anmeldefehler aufgetreten?
- Wie viele Benutzerkonten wurden im letzten Monat ausgesetzt?
- Welche Benutzerkonten wurden im letzten Monat gelöscht?
Wir arbeiten bereits an einer umfassenden Erweiterung dieser Google-Workspace-Integration, die sich vor allem auf die Sammlung und Aufbereitung von Gmail-Metadaten konzentrieren wird. Allerdings wird dabei der E-Mail-Text selbst nicht von Splunk erfasst oder gespeichert – um den Speicherplatz im Rahmen zu halten und aus Gründen des Datenschutzes. Die Einbeziehung der Gmail-Header-Informationen in Splunk wird aber die Erkennung von kritischen Bedrohungen wie Phishing und Exfiltration spürbar erleichtern. Wir sind der Ansicht, dass ihr damit – in Kombination mit den Audit-Events der Erstversion – einen soliden Bestand an Sicherheitsdaten an die Hand bekommt.
Wir laden euch ein, das neue Splunk Add-On for Google Workspace auszuprobieren. Und bleibt dran – es kommt noch viel mehr Gutes von Splunk!
Vielen Dank auch an Todd McFarlane-Smith, Yemi Falokun und Roy Arsan von Google für die gute Zusammenarbeit bei diesem Produkt und für die Unterstützung unserer gemeinsamen Kunden!
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
