Google Workspace 버전에 따라 고급 기능이 포함된 보안 조사 도구에 액세스할 수도 있습니다. 예를 들어 최고 관리자는 보안 및 개인 정보 보호 문제를 식별하고 분류하여 조치를 취할 수 있습니다. 자세히 알아보기
조직의 관리자는 기기 로그 이벤트와 관련된 보안 문제에 대해 검색을 실행하고 조치를 취할 수 있습니다. 조직의 데이터에 액세스하는 데 사용되는 컴퓨터, 휴대기기, 스마트 홈 기기에서의 활동 기록을 볼 수 있습니다. 예를 들어 사용자가 기기에 계정을 추가했거나 기기의 비밀번호가 비밀번호 정책을 준수하지 않았는지 확인할 수 있습니다. 활동이 발생하면 알림을 받도록 알림 설정을 할 수도 있습니다.시작하기 전에
- 휴대기기의 감사 이벤트를 모두 확인하려면 고급 기기 관리를 사용하여 기기를 관리해야 합니다.
- Android 기기의 애플리케이션 변경사항을 보려면 애플리케이션 감사를 사용 설정해야 합니다.
- Google 동기화를 사용하여 회사 데이터를 동기화하는 기기의 활동은 볼 수 없습니다.
- 감사 로그를 지원하지 않는 버전으로 다운그레이드하면 감사 로그에서 새 이벤트에 대한 데이터 수집이 중지됩니다. 하지만 관리자는 이전 데이터를 계속 사용할 수 있습니다.
로그 이벤트 데이터를 Google Cloud로 전달하기
로그 이벤트 데이터를 Google Cloud와 공유하도록 선택할 수 있습니다. 공유를 사용 설정하면 데이터가 Cloud Logging으로 전달되고 여기서 로그를 쿼리하고 조회할 수 있으며 로그 라우팅 및 저장 방식을 관리할 수 있습니다.
로그 이벤트 검색 실행하기
검색 실행 가능 여부는 Google 버전, 관리 권한, 데이터 소스에 따라 달라집니다. Google Workspace 버전과 관계없이 모든 사용자를 대상으로 검색을 실행할 수 있습니다.
로그 이벤트를 검색하려면 먼저 데이터 소스를 선택하세요. 그런 다음 하나 이상의 검색 필터를 선택합니다.
-
-
관리 콘솔에서 메뉴
보고
감사 및 조사
- 필터 추가를 클릭한 다음 속성을 선택합니다.
- 팝업 창에서 연산자를 선택하고
- (선택사항) 검색을 위해 여러 필터를 만들려면 이 단계를 반복합니다.
- (선택사항) 검색 연산자를 추가하려면 필터 추가 위에서 AND 또는 OR을 선택합니다.
- (선택사항) 검색을 위해 여러 필터를 만들려면 이 단계를 반복합니다.
- (선택사항) 검색 연산자를 추가하려면 필터 추가 위에서 AND 또는 OR을 선택합니다.
- 검색을 클릭합니다.
-
참고: 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수 있습니다. 필터가 AND/OR 연산자로 조건으로 표시되는 조건 작성 도구 탭을 사용할 수도 있습니다.
보안 조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 하나 이상의 검색 조건을 선택합니다. 각 조건에서 속성, 연산자, 값을 선택합니다.
-
-
관리 콘솔에서 메뉴
보안
- 데이터 소스를 클릭하고 기기 로그 이벤트를 선택합니다.
- 조건 추가를 클릭합니다.
도움말: 검색에 조건을 하나 이상 포함하거나 중첩된 쿼리로 검색을 맞춤설정할 수 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요. - 속성을 클릭하고
전체 속성 목록을 보려면 아래 속성 설명 섹션으로 이동합니다. - 연산자를 선택합니다.
- 값을 입력하거나 드롭다운 목록에서 값을 선택합니다.
- (선택사항) 검색 조건을 더 추가하려면 4~7단계를 반복합니다.
- 검색을 클릭합니다.
페이지 하단의 표에 조사 도구의 검색결과가 표시됩니다. - (선택사항) 조사를 저장하려면 저장
을 클릭하고
참고:
- 조건 작성 도구 탭에서 필터는 AND/OR 연산자로 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수도 있습니다.
- 참고: 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.com을 NewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.
속성 설명
이 데이터 소스의 경우 로그 이벤트 데이터를 검색할 때 다음 속성을 사용할 수 있습니다.
| 속성 | 설명 |
|---|---|
| 계정 상태 | 계정 등록 여부를 표시합니다. |
| 작업 수행자 그룹 이름 |
작업 수행자의 그룹 이름입니다. 자세한 내용은 Google 그룹별로 검색결과 필터링하기를 참고하세요. 필터링 그룹 허용 목록에 그룹을 추가하려면 다음 안내를 따르세요.
|
| 작업 수행자 조직 단위 | 작업 수행자의 조직 단위입니다. |
| 애플리케이션 ID | 애플리케이션 식별자입니다. |
| 애플리케이션 SHA-256 해시 | 앱 관련 이벤트의 경우 애플리케이션 패키지의 SHA-256 해시입니다(Android만 해당). |
| 애플리케이션 상태 | 애플리케이션이 설치, 제거 또는 업데이트되었는지 여부를 표시합니다. |
| 날짜 | 이벤트 날짜 및 시간입니다(브라우저의 기본 시간대로 표시됨). |
| 기기 규정 준수 상태 |
해당 기기에서 조직의 정책 규정을 준수하는지 여부입니다. 기기가 준수하지 않음으로 표시되는 경우
예: 사용자의 Nexus 6P에서 비밀번호 정책을 준수하지 않으므로 설정된 정책의 규정을 준수하지 않는 상태입니다. |
| 보안 침해된 기기 상태 |
기기가 보안 침해되었는지 여부를 표시합니다. 기기를 '루팅' 또는 '탈옥'하거나 기기에서 제한을 삭제하는 작업을 진행한 경우 보안 침해가 발생할 수 있습니다. 보안 침해된 기기는 보안 위협이 될 수 있습니다. 사용자의 기기에 보안 침해가 발생하거나 해결될 때마다 시스템에 항목이 기록됩니다. 예: 사용자의 Nexus 5에 보안 침해가 발생했습니다. |
| 기기 ID | 이벤트가 발생한 기기의 식별자입니다. |
| 기기 모델 | 기기의 모델입니다. |
| 기기 소유자 | 기기의 소유자입니다. |
| 기기 소유권 |
기기의 소유권이 변경되었는지 여부입니다. 예를 들어 관리 콘솔에 개인 기기의 세부정보를 가져온 후 개인 기기가 회사 소유로 변경되었습니다. 회사 소유 기기가 관리 콘솔에 추가된 직후 감사가 이루어집니다. 회사 소유 기기가 관리 콘솔에서 삭제된 경우에는 기기가 관리를 위해 다시 등록된 후 다음 동기화 때 감사가 이루어집니다. 예: 사용자의 Nexus 5 소유권이 회사 소유로 변경되었으며 새 기기 ID는 abcd1234입니다. |
| 기기 속성 | 기기 모델, 일련번호 또는 Wi-Fi MAC 주소 등 기기에 관한 정보입니다. |
| 기기 설정 |
기기 사용자가 기기에서 개발자 옵션, 알 수 없는 소스, USB 디버깅 또는 앱 인증 설정을 변경했습니다. 다음에 기기가 동기화되면 이 이벤트가 기록됩니다. 예: Nexus 6P에서 사용자가 앱 인증 설정을 사용 중지에서 사용으로 변경했습니다. |
| 기기 유형 | 이벤트가 발생한 기기의 유형(예: Android 또는 Apple iOS)입니다. |
| 도메인* | 작업이 발생한 도메인입니다. |
| 이벤트 | 기록된 이벤트 작업입니다(예: 기기 OS 업데이트 또는 기기 동기화 이벤트). |
| 잘못된 비밀번호 입력 횟수* |
사용자가 기기의 잠금 해제를 시도했다가 실패한 횟수입니다. 사용자 기기를 잠금 해제하려는 시도가 6회 이상 실패한 경우에만 이벤트가 생성됩니다. 예: 사용자의 Nexus 7을 잠금 해제하기 위한 비밀번호가 5번 잘못 입력되었습니다. |
| iOS 공급업체 ID | iOS 공급업체의 식별자입니다. |
| 새 기기 ID | 새 기기의 식별자입니다. |
| OS 속성 | 빌드 번호, OS 버전 또는 보안 패치와 같은 OS 정보입니다. |
| 등록 권한 | 기기 소유자 또는 기기 관리자와 같은 기기의 사용자 역할입니다. |
| 리소스 ID | 기기의 고유 식별자입니다. |
| 일련번호 |
기기의 일련번호입니다. 컴퓨터의 일련번호를 표시하려면 다음 안내를 따르세요.
|
| 사용자 이메일 | 기기 사용자의 이메일 주소입니다. |
참고: 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.com을 NewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.
로그 이벤트 데이터 관리하기
검색결과 열 데이터 관리하기
검색결과에 표시할 데이터 열을 설정할 수 있습니다.
- 검색결과 표의 오른쪽 상단에서 열 관리
를 클릭합니다.
- (선택사항) 현재 열을 삭제하려면 삭제
를 클릭합니다.
- (선택사항) 열을 추가하려면 새 열 추가 옆에 있는 아래쪽 화살표
를 클릭하고 데이터 열을 선택합니다.
필요한 경우 반복합니다. - (선택사항) 열 순서를 변경하려면 데이터 열 이름을 드래그합니다.
- 저장을 클릭합니다.
검색결과 데이터 내보내기
검색 결과를 Google Sheets 또는 CSV 파일로 내보낼 수 있습니다.
- 검색결과 표 상단에서 모두 내보내기를 클릭합니다.
- 이름을 입력하고
내보내기가 검색 결과 표 아래의 작업 결과 내보내기에 표시됩니다. - 데이터를 보려면 내보내기 이름을 클릭합니다.
Google Sheets에서 내보내기 파일이 열립니다.
내보내기 한도는 다음과 같이 다양합니다.
- 내보내기의 총 결과는 100,000행으로 제한됩니다(10,000행으로 제한되는 Gmail 메일 검색 제외).
- 이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기
보안 조사 도구가 있는 경우 총 내보내기 결과는 3천만 행으로 제한됩니다(10,000행으로 제한되는 Gmail 메일 검색 제외).
자세한 내용은 검색 결과 내보내기를 참고하세요.
데이터는 언제 사용할 수 있으며 얼마 동안 제공되나요?
검색 결과에 따라 조치 취하기
- 보고 규칙을 사용하여 로그 이벤트 데이터를 기반으로 알림을 설정할 수 있습니다. 자세한 내용은 보고 규칙 만들기 및 관리하기를 참고하세요.
- 이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기
활동 규칙을 만들어 보안 조사 도구에서 작업을 자동화하고 알림을 설정하면 보다 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다. 규칙을 설정하려면 규칙에 대한 조건을 설정한 다음 조건이 충족될 때 수행할 작업을 지정합니다. 자세한 내용 및 안내는 활동 규칙 만들기 및 관리하기를 참고하세요.
이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기
보안 조사 도구에서 검색을 실행한 후 검색 결과를 바탕으로 작업을 수행할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 자세한 내용은 검색 결과에 따라 조치 취하기를 참고하세요.
조사 관리하기
이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기
조사 목록 보기내가 소유한 조사 및 나와 공유된 조사의 목록을 보려면 조사 보기 를 클릭합니다. 조사 목록에는 조사의 제목, 설명, 소유자, 최종 수정 날짜가 포함되어 있습니다.
이 목록에서 소유하는 모든 조사에 대한 작업(예: 조사 삭제)을 수행할 수 있습니다. 작업하려는 조사의 체크박스를 선택하고 작업을 클릭합니다.
참고: 조사 목록 바로 위에 있는 빠른 액세스에서 최근에 저장된 조사를 확인할 수 있습니다.
최고 관리자는 설정 을 클릭하여 다음 작업을 수행할 수 있습니다.
- 조사의 시간대를 변경합니다. 시간대는 검색 조건과 검색결과에 적용됩니다.
- 검토자 요청을 사용 또는 사용 중지합니다. 자세한 내용은 일괄 작업에 대해 검토자 요청하기를 참고하세요.
- 콘텐츠 보기를 사용 또는 사용 중지합니다. 이 설정을 사용하면 적절한 권한이 있는 관리자가 콘텐츠를 볼 수 있습니다.
- 작업 사유 입력 사용 설정을 사용 또는 사용 중지합니다.
자세한 안내 및 정보는 조사 설정 구성하기를 참고하세요.
검색 기준을 저장하여 이를 다른 사용자와 공유하려면 조사를 만들고 저장한 다음 공유, 복제 또는 삭제할 수 있습니다.
자세한 내용은 조사 저장, 공유, 삭제, 복제하기를 참고하세요.