Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Google Workspace-logs koppelen aan een SIEM

Koppel Google Workspace-logs aan je SIEM via de BigQuery-export of de Reports API: welke logbronnen ertoe doen, hoe je de export instelt en hoe je scherpe detectieregels bouwt zonder te verzuipen in ruis.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 17 wkn open_in_new data_object

Google Workspace-logs koppelen aan een SIEM tilt je beveiligingsmonitoring naar een hoger niveau. Een SIEM, Security Information and Event Management, verzamelt logs uit al je systemen op een plek, correleert ze en waarschuwt bij verdachte patronen. Door je Workspace-logs hierin op te nemen, zie je aanvallen die je in losse logbestanden zou missen.

Waarom een SIEM-koppeling

In de Admin-console kun je losse logs bekijken, maar dat schaalt niet voor serieuze detectie. Een aanval verspreidt zich vaak over meerdere systemen en momenten. Een SIEM legt verbanden: een verdachte login in Workspace gevolgd door activiteit in een ander systeem wordt zo zichtbaar als een patroon.

Daarnaast bewaart een SIEM logs langer dan de standaardretentie van Workspace, wat belangrijk is voor forensiek en compliance zoals ISO 27001.

info

Twee koppelmethoden

Workspace biedt twee hoofdroutes om logs te exporteren: de directe BigQuery-export vanuit de Admin-console, en de Reports API waarmee je logs programmatisch ophaalt. BigQuery is het eenvoudigst voor continue export. De API geeft meer flexibiliteit voor maatwerk-integraties.

Welke logbronnen je exporteert

Niet alle logs zijn even waardevol. Focus op de bronnen die beveiligingssignalen bevatten.

Logbron Wat het oplevert
Login-audit Mislukte en verdachte logins, ongebruikelijke locaties
Admin-audit Wijzigingen in instellingen en rechten
Drive-audit Toegang tot, delen en downloaden van data
Gmail-log Doorstuurregels en verdachte verzending
Token-audit OAuth-apps en toegekende scopes

De BigQuery-export ondersteunt naast deze bronnen ook logs van onder andere Agenda, Groepen, apparaten en SAML. Selecteer wat je nodig hebt en laat ruisrijke bronnen die je toch niet correleert achterwege.

Welke editie je nodig hebt

De directe BigQuery-export van audit-logs zit niet in elke Workspace-editie. Per juni 2026 is de export beschikbaar voor Enterprise Standard en Plus, Education Standard en Plus, Frontline Standard en Plus, en Enterprise Essentials Plus. Heb je een instap-editie, dan is de Reports API met een eigen connector de aangewezen route. Controleer je editie altijd in de Admin-console voordat je de export inplant.

warning

Billing moet aan staan

De BigQuery-export schrijft via de insertAll-API en vereist dat facturering is ingeschakeld op het BigQuery-project. Staat het project in sandbox-modus zonder billing, dan komen je logs niet binnen. Schakel billing in voordat je verwacht dat data verschijnt.

De export instellen

De makkelijkste route voor continue logverwerking is de BigQuery-export. Vanuit BigQuery kun je doorzetten naar vrijwel elke SIEM.

BigQuery-export instellen

  1. Ga in de Admin-console naar Account en open de instelling voor BigQuery Export onder Rapporten.
  2. Koppel een BigQuery-project dat je beheert en waarop billing is ingeschakeld.
  3. Controleer welke logbronnen worden meegenomen en bekijk hun schema in de activity_-tabellen.
  4. Verbind je SIEM met BigQuery, of zet de data door via een dataconnector of een log-sink naar bijvoorbeeld Splunk.
  5. Verifieer dat logs daadwerkelijk binnenkomen voordat je detectieregels bouwt. Activiteits-logs verschijnen doorgaans binnen ongeveer tien minuten.

Gebruik je liever de Reports API, dan haal je logs op met een serviceaccount en de juiste alleen-lezen scopes, en lever je ze aan je SIEM via een eigen connector. Dat geeft meer controle, maar je beheert zelf de polling, het bijhouden van de cursor en de foutafhandeling.

Detectieregels bouwen

Hier maak je het verschil. Logs verzamelen zonder regels levert niets op. Maar te veel regels leveren een lawine aan vals alarm. Begin klein en waardevol.

lightbulb

Start met een handvol scherpe regels

Begin met een paar hoogwaardige detectieregels in plaats van alles te alerten. Goede beginpunten:

  • Login vanuit een onverwacht land of een onmogelijke reis (impossible travel).
  • Toekennen van superbeheerderrechten.
  • Massale Drive-downloads of een plotselinge piek in delen naar externe adressen.
  • Nieuwe doorstuurregels in Gmail naar externe adressen.
  • Brede OAuth-scopes die aan een nieuwe app worden toegekend.

Breid pas uit als deze regels rustig en betrouwbaar lopen.

warning

Alert fatigue is de grootste valkuil

Als je team honderden meldingen per dag krijgt, negeert het uiteindelijk ook de echte. Tune je regels streng, onderdruk bekende ruis en zorg dat elke alert die afgaat ook echt aandacht verdient. Liever tien zinvolle alerts dan duizend ruis.

Onderhoud en afstemming

Een SIEM-koppeling is geen eenmalige klus. Schema's veranderen, nieuwe dreigingen ontstaan en regels hebben onderhoud nodig. Plan een periodieke review van je detectieregels en stem ze af op incidenten die je hebt meegemaakt. Koppel de output aan je incidentresponsproces.

Heb ik BigQuery nodig of kan ik direct koppelen?

BigQuery is de eenvoudigste continue route en wordt door de meeste SIEM-platformen ondersteund. Wil je dat niet, dan gebruik je de Reports API met een eigen connector. Beide werken, maar BigQuery is vaak het minste werk.

Welke licentie heb ik nodig voor de BigQuery-export?

De export zit in de hogere edities, zoals Enterprise Standard en Plus, Education Standard en Plus, Frontline Standard en Plus, en Enterprise Essentials Plus. Controleer je editie in de Admin-console. Met een instap-editie val je terug op de Reports API.

Waarom komen er geen logs binnen?

Controleer eerst of facturering is ingeschakeld op het BigQuery-project. Zonder billing staat het project in sandbox-modus en wordt er niets geschreven. Check daarna of de juiste logbronnen geselecteerd zijn en of het serviceaccount de juiste rechten heeft.

Hoe snel staan de logs in BigQuery?

Activiteits-logs verschijnen doorgaans binnen ongeveer tien minuten. Gebruiksrapporten hebben meer vertraging, vaak een tot drie dagen, en bij de eerste configuratie kan dat oplopen tot ongeveer twee dagen.

Hoe lang bewaart een SIEM mijn logs?

Dat bepaal je zelf met je SIEM- of opslagconfiguratie, los van de standaardretentie van Workspace. Voor compliance en forensiek stel je een ruime bewaartermijn in.

Hoe voorkom ik te veel valse meldingen?

Begin met weinig, hoogwaardige regels, onderdruk bekende legitieme patronen en stem drempels af op basis van wat je ziet. Bouw detectie geleidelijk uit in plaats van alles ineens aan te zetten.

Met de juiste logbronnen, een werkende export en een handvol scherpe detectieregels maak je van je Workspace-logs een actief detectiesysteem. De techniek om te exporteren is eenvoudig. De kunst zit in regels die signaal opleveren zonder je team te bedelven onder ruis.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Insider threats detecteren in Google Workspace

Insider threats zijn beveiligingsrisico's van binnenuit: een ontevreden medewerker die data steelt of iemand die per ongeluk gevoelige bestanden lekt. Detecteer ze in Google Workspace met audit-logs, DLP, anomaliedetectie en gerichte monitoring van vertrekkende medewerkers.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Forensisch onderzoek uitvoeren in Google Workspace

Forensisch onderzoek reconstrueert na een incident wie wat deed, wanneer en met welke data. In Google Workspace gebruik je de audit- en onderzoekstool, Vault-holds en de audit-logs om bewijs veilig te stellen, een tijdlijn op te bouwen en de keten van bewaring intact te houden.

schedule6 min label3 gedeelde tags
Lees verder arrow_forward

Workspace-events exporteren naar BigQuery

Exporteer audit-logs en gebruiksdata naar BigQuery voor SQL-analyse, dashboards en security-monitoring, met de ingebouwde koppeling in de admin-console.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Beheerderswaarschuwingen instellen in Google Workspace

Met beheerderswaarschuwingen ontvang je automatisch een melding bij beveiligingsincidenten, verdacht gedrag of systeemwijzigingen, zodat je proactief reageert zonder handmatig logs te controleren.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Verdachte aanmeldingen detecteren en onderzoeken

Verdachte aanmeldingen zijn logins die afwijken van normaal gedrag: een onbekend land, een nieuw apparaat of een onmogelijke reissnelheid. Je spoort ze op via de login-audit-logs, het Alert Center en de Security Investigation Tool en handelt snel om een account-overname te voorkomen.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward