조사 도구의 Gmail 로그 이벤트 데이터 소스가 지원되는 버전:
Enterprise Plus, Education Plus
조직의 관리자는 보안 조사 도구를 사용하여 Gmail 로그 이벤트와 관련된 검색을 실행하고 검색결과에 따라 조치를 취할 수 있습니다. 조사 도구에서 작업 기록을 확인하고 조직 사용자 및 관리자의 Gmail 관련 활동(예: 이메일이 스팸으로 분류됨, 스팸 격리 저장소에서 해제됨, 관리자 스팸 격리 저장소로 전송됨)을 확인할 수 있습니다. 조사 도구에서 적절한 권한을 갖고 있다면 조사의 일환으로 Gmail 메일의 콘텐츠를 확인할 수도 있습니다.
또한 Gmail 로그 이벤트 기반 검색을 실행한 다음 조사 도구를 사용해 특정 메일을 삭제하거나, 스팸 또는 피싱으로 표시하거나, 스팸 격리 저장소로 보내거나, 사용자의 받은편지함으로 보내는 등의 조치를 취할 수도 있습니다.
보안 조사 도구 사용 가능 여부
- 보안 조사 도구가 지원되는 버전에는 Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus이 포함됩니다.
- Cloud ID Premium, Frontline Standard, Enterprise Standard, Education Standard를 사용하는 관리자도 일부 데이터 소스에 대해 조사 도구를 사용할 수 있습니다.
- 조사 도구에서 검색을 실행할 수 있는지 여부는 Google 버전, 관리자 권한, 데이터 소스에 따라 달라집니다. 조사 도구에서 특정 데이터 소스를 검색할 수 없는 경우에는 대신 감사 및 조사 페이지를 사용할 수 있습니다. 자세한 내용은 개선된 감사 및 조사 환경을 참고하세요.
- 사용자가 보유한 Google 버전과 관계없이 모든 사용자를 대상으로 조사 도구에서 검색을 실행할 수 있습니다.
Gmail 로그 이벤트 검색 실행하기
조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 검색에 사용할 하나 이상의 조건을 선택해야 합니다. 각 조건에서 속성, 연산자, 값을 선택합니다.
-
-
관리 콘솔에서 메뉴
보안
보안 센터
- 데이터 소스를 클릭하고 Gmail 로그 이벤트를 선택합니다.
- 조건 추가를 클릭합니다.
도움말: 검색에 조건을 하나 이상 포함하거나 중첩된 쿼리로 검색을 맞춤설정할 수 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요. - 속성을 클릭하고
전체 속성 목록을 보려면 아래 속성 설명 섹션으로 이동합니다. - 포함을 클릭하고
- 값을 입력하거나 드롭다운 목록에서 값을 선택합니다.
- (선택사항) 검색 조건을 더 추가하려면 4~7단계를 반복합니다.
- 검색을 클릭합니다.
페이지 하단의 표에 조사 도구의 검색결과가 표시됩니다. - (선택사항) 조사를 저장하려면 저장
을 클릭하고
참고:
- 조건 작성 도구 탭에서 필터는 AND/OR 연산자로 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수도 있습니다.
- 참고: 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.com을 NewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.
| Attribute | Description |
|---|---|
| Attachment extension | ID of the Chrome browser |
| Attachment hash | SHA256 hash of the attachment |
| Attachment malware family | Malware category, if detected when the message is handled—for example, Content may be harmful, Known malicious program, or Virus/worm |
| Attachment name | Name of the attachment |
| Date | Date and time of the event (displayed in your browser's default time zone) |
| Delegate | Email address of the delegate user who performed the action on the owner's behalf |
| DKIM domain | The domain authenticated with the DKIM (Domain Keys Identified Mail) mechanism |
| Domain | The domain where the action occurred |
| Event | The logged event action, such as Attachment download, Link click, or Send. |
| From (Envelope) | Sender's envelope address |
| From (Header address) | Sender's header address as it appears in the message headers, for example, user@example.com |
| From (Header name) | Sender's header display name as it appears in the message header |
| Geo location | ISO country code based on the relay IP |
| Has attachment | Email includes an attachment |
| Has delegate | Whether or not there was a delegate user who performed the action on the owner's behalf |
| IP address | IP address of the mail client that started or interacted with the message |
| Link domain | Domain(s) extracted from link URLs in the message body |
| Message ID | The unique message ID located in the message header |
| OAuth project ID | Cloud console project ID of the developer who authenticated with OAuth |
| Owner | Owner of the email message. For an inbound message it's the recipient. For an outbound message it's the sender. |
| Sender domain | Domain of the sender |
| Spam classification | Spam classification of the email message—for example, Spam, Malware, Phishing, Suspicious, or Clean (not spam) |
| Spam classification reason | Reason for the message being classified as spam—for example, Blatant spam, Custom rule, Sender reputation, or Suspicious attachment |
| SPF domain | Domain name used for Sender Policy Framework (SPF) authentication |
| Subject | The email subject line |
| Target attachment hash | Information about the SHA256 attachment hash if a user interacts with a message's attachment |
| Target attachment malware family | Information about the attachment malware family if users interact with a message's attachment—for example, Content may be harmful, Known malicious program, or Virus/worm |
| Target attachment name | Information about the attachment name if users interact with a message's attachment |
| Target drive ID | Information about the Drive ID if users interact with a message's Drive item |
| Target link URL | Information about the link URL if users interact with a message's link |
| To (Envelope) | Recipient's envelope address |
| Traffic source | Indicates if an email is sent/received internally (within your domain) or externally |
검색결과에 따라 작업하기
조사 도구에서 검색을 실행한 후 검색결과를 바탕으로 작업을 수행할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 조사 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 조사 도구의 작업에 대한 자세한 내용은 검색결과에 따라 작업하기를 참고하세요.
활동 규칙 만들기 및 알림 설정하기
활동 규칙을 만들어 조사 도구에서 작업을 자동화하고 알림을 설정하면 보다 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다. 규칙을 설정하려면 규칙에 대한 조건을 설정한 다음 조건이 충족될 때 수행할 작업을 지정합니다. 자세한 내용 및 안내는 활동 규칙 만들기 및 관리하기를 참고하세요.
조사 관리하기
조사 목록 보기소유하고 있는 조사 및 공유된 조사의 목록을 보려면 조사 보기를 클릭합니다. 조사 목록에는 조사의 제목, 설명, 소유자, 최종 수정 날짜가 포함되어 있습니다.
이 목록에서 소유하는 모든 조사에 대한 작업(예: 조사 삭제)을 수행할 수 있습니다. 작업하려는 조사의 체크박스를 선택하고 작업을 클릭합니다.
참고: 조사 목록 바로 위에 있는 빠른 액세스에서 최근에 저장된 조사를 확인할 수 있습니다.
최고 관리자는 설정 을 클릭하여 다음 작업을 수행할 수 있습니다.
- 조사의 시간대를 변경합니다. 시간대는 검색 조건과 검색결과에 적용됩니다.
- 검토자 요청을 사용 또는 사용 중지합니다. 자세한 내용은 일괄 작업에 대해 검토자 요청하기를 참고하세요.
- 콘텐츠 보기를 사용 또는 사용 중지합니다. 이 설정을 사용하면 적절한 권한이 있는 관리자가 콘텐츠를 볼 수 있습니다.
- 작업 사유 입력 사용 설정을 사용 또는 사용 중지합니다.
자세한 안내 및 정보는 조사 설정 구성하기를 참고하세요.
검색결과에 표시할 데이터 열을 설정할 수 있습니다.
- 검색결과 표의 오른쪽 상단에서 열 관리
를 클릭합니다.
- (선택사항) 현재 열을 삭제하려면 항목 삭제
를 클릭합니다.
- (선택사항) 열을 추가하려면 '새 열 추가' 옆에 있는 아래쪽 화살표
를 클릭하고 데이터 열을 선택합니다.
필요한 경우 반복합니다. - (선택사항) 열 순서를 변경하려면 열 이름을 드래그합니다.
- 저장을 클릭합니다.
- 검색결과 표 상단에서 모두 내보내기를 클릭합니다.
- 이름을 입력하고
내보내기는 검색결과 표 아래의 작업 결과 내보내기에 표시됩니다. - 데이터를 보려면 내보내기 이름을 클릭합니다.
Google Sheets에서 내보내기 파일이 열립니다.
내보낸 검색결과를 볼 때 다음 사항을 참고하세요.
- 표 상단에서 모두 내보내기를 클릭하면 내 드라이브 폴더에 검색결과가 포함된 Google 시트가 생성됩니다. 검색결과의 크기에 따라 내보내기에 다소 시간이 걸릴 수 있으며 Google Sheets가 여러 개 생성될 수도 있습니다. 내보내는 총 검색결과는 3천만 행으로 제한됩니다(125만 행으로 제한되는 Gmail 메일 검색 제외).
- 내보내기가 진행되는 동안 생성되는 Google 스프레드시트에 임시 이름(예: TMP-1-<title>)이 지정되며, Google 스프레드시트가 여러 개 생성되는 경우 추가 파일 이름은 TMP-2-<title>, TMP-3-<title> 등으로 지정됩니다. 내보내기 프로세스가 완료되면 파일 이름이 <title> [1/N], <title> [2/N] 등으로 자동 변경됩니다. 내보낸 데이터가 포함된 Google 스프레드시트가 1개만 있는 경우 파일 이름이 <title>로 변경됩니다.
- 내보낸 검색결과가 포함된 파일의 공유 권한은 도메인 구성에 따라 결정됩니다. 예를 들어 생성된 파일이 기본 설정에 따라 회사 내 모든 사용자와 공유될 경우 내보낸 데이터도 같은 공개 상태를 갖게 됩니다.
검색 기준을 저장하여 이를 다른 사용자와 공유하려면 조사를 만들고 저장한 다음 공유, 복제 또는 삭제할 수 있습니다.
자세한 내용은 조사 저장, 공유, 삭제, 복제하기를 참고하세요.
데이터 소스에 대한 자세한 내용은 데이터 보관 및 지연 시간을 참고하세요.
관련 주제
