이 기능이 지원되는 버전: Enterprise Plus, Education Plus 사용 중인 버전 비교하기
조직의 관리자는 보안 조사 도구를 사용하여 Gmail 로그 이벤트와 관련된 검색을 실행하고 검색 결과에 따라 조치를 취할 수 있습니다. 조사 도구에서 작업 기록을 확인하고 조직의 사용자 및 관리자의 Gmail 관련 활동(예: 이메일이 스팸으로 분류됨, 스팸 격리 저장소에서 해제됨, 관리자 스팸 격리 저장소로 전송됨)을 확인할 수 있습니다. 조사 도구에서 적절한 권한을 갖고 있다면 조사의 일환으로 Gmail 메일의 콘텐츠를 확인할 수도 있습니다.
또한 Gmail 로그 이벤트 기반 검색을 실행한 다음 보안 조사 도구를 사용해 특정 메일을 삭제하거나, 메일을 스팸 또는 피싱으로 표시하거나, 스팸 격리 저장소로 보내거나, 사용자의 받은편지함으로 보내는 등의 조치를 취할 수도 있습니다.
Gmail 로그 이벤트 검색 실행하기
검색 실행 가능 여부는 Google 버전, 관리 권한, 데이터 소스에 따라 달라집니다. Google Workspace 버전과 관계없이 모든 사용자를 대상으로 검색을 실행할 수 있습니다.
보안 조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 하나 이상의 검색 조건을 선택합니다. 각 조건에서 속성, 연산자, 값을 선택합니다.
-
관리자 계정으로 Google 관리 콘솔에 로그인합니다.
관리자 계정을 사용하지 않으면 관리 콘솔에 액세스할 수 없습니다.
-
- 데이터 소스를 클릭하고 Gmail 로그 이벤트를 선택합니다.
- 조건 추가를 클릭합니다.
도움말: 검색에 조건을 하나 이상 포함하거나 중첩된 쿼리로 검색을 맞춤설정할 수 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요. - 속성을 클릭하고
옵션을 선택합니다.
전체 속성 목록을 보려면 아래 속성 설명 섹션으로 이동합니다. - 연산자를 선택합니다.
- 값을 입력하거나 드롭다운 목록에서 값을 선택합니다.
- (선택사항) 검색 조건을 더 추가하려면 4~7단계를 반복합니다.
- 검색을 클릭합니다.
페이지 하단의 표에 조사 도구의 검색결과가 표시됩니다. - (선택사항) 조사를 저장하려면 저장
을 클릭하고
참고:
- 조건 작성 도구 탭에서 필터는 AND/OR 연산자로 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수도 있습니다.
- 참고: 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.com을 NewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.
| 속성 | 설명 |
|---|---|
| 첨부파일 확장자 | Chrome 브라우저 ID |
| 첨부파일 해시 | 첨부파일의 SHA256 해시 |
| 첨부파일 멀웨어 패밀리 | 메일을 처리할 때 감지되는 멀웨어 범주(예: 유해할 수 있는 콘텐츠, 알려진 악성 프로그램 또는 바이러스/웜) |
| 첨부파일 이름 | 첨부파일의 이름 |
| 클라이언트 유형 | Gmail 클라이언트 유형(예: 웹, Android, iOS 또는 POP3) |
| 날짜 | 이벤트 날짜 및 시간(브라우저의 기본 시간대로 표시됨) |
| 대리인 | 소유자를 대신하여 작업을 수행한 위임 사용자의 이메일 주소 |
| 기기 세션 식별자 | 메일 클라이언트 사용자 세션에 대해 생성된 고유 ID |
| DKIM 도메인 | DKIM(도메인 키 확인 메일) 메커니즘으로 인증된 도메인 |
| 도메인 | 작업이 발생한 도메인입니다. |
| 이벤트 | 기록된 이벤트 작업(예: 첨부파일 다운로드, 링크 클릭, 보내기 또는 보기) |
| 보낸사람(메일) | 발신자의 엔벨로프 주소 |
| 보낸사람(헤더 주소) | 메일 헤더에 표시되는 발신자의 헤더 주소(예: user@example.com) |
| 보낸사람(헤더 이름) | 메일 헤더에 표시되는 발신자 헤더 표시 이름 |
| 지리적 위치 | 릴레이 IP를 기반으로 한 ISO 국가 코드 |
| 첨부파일 있음 | 첨부파일이 포함된 이메일 |
| 대리인 있음 | 소유자를 대신하여 작업을 수행한 위임 사용자의 유무 |
| IP 주소 | 메일이 시작되거나 메일에서 상호작용한 메일 클라이언트의 IP 주소 |
| 도메인 연결 | 메일 본문의 링크 URL에서 추출한 도메인 |
| 메시지 ID | 메일 헤더에 있는 고유한 메일 ID |
| OAuth 프로젝트 ID | OAuth로 인증한 개발자의 Cloud 콘솔 프로젝트 ID |
| 소유자 | 이메일 소유자. 수신 메일의 경우 수신자, 발신 메일의 경우 발신자임 |
| 발신자 도메인 | 발신자의 도메인 |
| 스팸 분류 | 이메일의 스팸 분류(예: 스팸, 멀웨어, 피싱, 의심스러운 메일 또는 안전한 메일(스팸 아님)) |
| 스팸 분류 이유 | 메일이 스팸으로 분류되는 이유(예: 노골적인 스팸, 맞춤 규칙, 발신자 평판, 의심스러운 첨부파일) |
| SPF 도메인 | SPF(Sender Policy Framework) 인증에 사용되는 도메인 이름 |
| 제목 | 이메일 제목 |
| 대상 첨부파일 해시 | 사용자가 메일의 첨부파일과 상호작용하는 경우 SHA256 첨부파일 해시에 관한 정보 |
| 대상 첨부파일 멀웨어 패밀리 | 사용자가 메일의 첨부파일과 상호작용하는 경우 첨부파일 멀웨어 패밀리에 대한 정보(예: 유해할 수 있는 콘텐츠, 알려진 악성 프로그램 또는 바이러스/웜) |
| 대상 첨부파일 이름 | 사용자가 메일의 첨부파일과 상호작용하는 경우 첨부파일 이름에 대한 정보 |
| 대상 드라이브 ID | 사용자가 메일의 Drive 항목과 상호작용하는 경우 Drive ID에 대한 정보 |
| 대상 링크 URL | 사용자가 메일의 링크와 상호작용하는 경우 링크 URL에 관한 정보 |
| 받는사람(메일) | 수신자 엔벨로프 주소 |
| 트래픽 소스 | 이메일이 내부(도메인 내) 또는 외부에서 발신/수신되었는지 표시 |
- 보고 규칙을 사용하여 로그 이벤트 데이터를 기반으로 알림을 설정할 수 있습니다. 자세한 내용은 보고 규칙 만들기 및 관리하기를 참고하세요.
- 이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기
활동 규칙을 만들어 보안 조사 도구에서 작업을 자동화하고 알림을 설정하면 보다 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다. 규칙을 설정하려면 규칙에 대한 조건을 설정한 다음 조건이 충족될 때 수행할 작업을 지정합니다. 자세한 내용 및 안내는 활동 규칙 만들기 및 관리하기를 참고하세요.
이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기
보안 조사 도구에서 검색을 실행한 후 검색 결과를 바탕으로 작업을 수행할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 자세한 내용은 검색 결과에 따라 조치 취하기를 참고하세요.
보안 센터 관련 주제