Les suites de productivité et de collaboration professionnelles préférées des entreprises, dont Google Workspace, sont au cœur de leurs opérations. En plus de stocker des informations sensibles sur l’organisation, Google Workspace inclut des paramètres (comme Google Groups) qui contrôlent l’accès aux données sensibles dans l’ensemble de l’organisation Google Cloud d’un client (Workspace et GCP).
La collecte et l’analyse des logs d’audit générés par ces services constituent la première étape essentielle pour détecter et enquêter sur les incidents de sécurité potentiels. Avec le lancement de l’extension Splunk pour Google Workspace, les clients Splunk disposent désormais d’une option de haute qualité prise en charge par Splunk pour la collecte et la préparation des événements d’audit critiques sur leur déploiement Google Workspace.
« L’extension Splunk pour Google Workspace a permis à mon client de collecter cette source de données critique à grande échelle de manière fiable, dans Splunk Cloud. » — Brett Adams, Consultant technique senior, NTT
Cette première itération de l’intégration de Google Workspace est axée sur l’utilisation de l’API Reports pour la collecte des événements fondamentaux d’audit d’activité, notamment Admin, Login, OAuthToken, SAML et Google Drive. Les événements d’audit Google Workspace sont automatiquement étiqueté selon le type de source approprié, conformément au Modèle de données unifié (CIM) de Splunk, et peuvent être exploités à l’aide d’applications Splunk premium telles que Splunk Enterprise Security. Vous pouvez donc continuer à utiliser le contenu de sécurité et les tableaux de bord Splunk existants pour analyser ces événements.
Les événements d’audit d’activité Google Workspace peuvent être utilisés pour détecter des indices de compromission et répondre à des questions essentielles lors des enquêtes :
- Quels utilisateurs ont enregistré plus de 3 échecs de connexion au cours des dernières 24 heures ?
- Combien de comptes d’utilisateurs ont été suspendus le mois dernier ?
- Quels comptes d’utilisateurs ont été supprimés le mois dernier ?
Splunk travaille déjà sur la prochaine amélioration majeure de l’intégration. La deuxième itération de l’intégration de Google Workspace sera principalement axée sur la collecte et la préparation des métadonnées Gmail. Cependant, le corps de l’e-mail ne sera ni collecté ni stocké dans Splunk, à la fois pour optimiser le stockage et limiter les problèmes de confidentialité. L’importation des informations d’en-tête Gmail dans Splunk permettra la détection des menaces critiques telles que l’hameçonnage et l’exfiltration. Nous pensons que cette capacité, combinée aux événements d’audit inclus dans la première version, fournira aux clients un ensemble solide de données de sécurité.
Nous vous invitons à découvrir la nouvelle extension Splunk pour Google Workspace et à rester à l’écoute : nous avons bien d’autres surprises splunky en réserve !
Merci à Todd McFarlane-Smith, Yemi Falokun et Roy Arsan de Google pour leur collaboration assidue sur les produits et le soutien de nos clients communs.
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
