이 기능이 지원되는 버전: Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus. 사용 중인 버전 비교하기
조직의 관리자는 보안 조사 도구를 사용하여 액세스 투명성 로그 이벤트와 관련된 검색을 실행할 수 있습니다. 이 페이지에서 Google 직원이 데이터에 액세스할 때 수행한 작업에 대한 기록을 확인할 수 있습니다.
액세스 투명성 로그 이벤트 데이터에는 다음 정보가 포함됩니다.
- 영향을 받은 리소스와 작업
- 작업 수행 시간
- 작업 이유(예: 고객 지원 요청과 관련된 케이스 번호)
- 데이터 작업을 수행하는 Google 직원(예: 사무실 위치)
자세한 내용은 액세스 투명성: 사용자 콘텐츠에 대한 Google 액세스 로그 보기를 참고하세요.
Google Cloud로 로그 데이터 전달하기
로그 데이터를 Google Cloud와 공유하도록 선택할 수 있습니다. 공유를 사용 설정하면 데이터가 Cloud Logging으로 전달되고 여기서 로그를 쿼리하고 조회할 수 있으며 로그 라우팅 및 저장 방식을 관리할 수 있습니다.
액세스 투명성 로그 이벤트 검색 실행하기
검색 실행 가능 여부는 Google 버전, 관리 권한, 데이터 소스에 따라 달라집니다. Google Workspace 버전과 관계없이 모든 사용자를 대상으로 검색을 실행할 수 있습니다.
보안 조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 하나 이상의 검색 조건을 선택합니다. 각 조건에서 속성, 연산자, 값을 선택합니다.
다음 단계를 따르세요.
-
관리자 계정으로 Google 관리 콘솔에 로그인합니다.
관리자 계정을 사용하지 않으면 관리 콘솔에 액세스할 수 없습니다.
-
- 데이터 소스 드롭다운 목록에서 액세스 투명성 로그 이벤트를 선택합니다.
- 조건 추가를 클릭합니다.
검색에 조건을 하나 이상 포함할 수 있습니다. 중첩된 쿼리(2단계 또는 3단계 조건으로 검색)로 검색을 맞춤설정할 수도 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요. - 속성 드롭다운 목록에서 속성 중 하나를 선택합니다(예: 작업 수행자 또는 날짜). 액세스 투명성 로그 이벤트에 사용할 수 있는 속성의 전체 목록은 아래 섹션을 참고하세요.
참고: 검색 기간의 범위를 좁히면 보안 조사 도구에 검색 결과가 더 빨리 표시됩니다. 예를 들어 지난주에 발생한 이벤트로 검색 범위를 좁히면 쿼리를 더 짧은 기간으로 제한하지 않고 검색하는 경우보다 쿼리가 더 빨리 반환됩니다.
- 연산자를 선택합니다(예: 같음, 다름, 포함 또는 포함하지 않음).
- 속성 값을 선택하거나 입력합니다. 일부 속성의 경우 드롭다운 목록에서 선택할 수 있으며, 값을 입력하는 속성도 있습니다.
- (선택사항) 여러 검색 조건을 포함하려면 위 단계를 반복합니다.
- 검색을 클릭합니다.
페이지 하단의 표에 도구의 검색 결과가 표시됩니다. - (선택사항) 검색을 저장하려면 저장
을 클릭하고 제목과 설명을 입력한 다음 저장을 클릭합니다.
참고: 조건 작성 도구 탭을 사용하면 필터가 AND/OR 연산자로 결합된 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수도 있습니다.
속성 설명
이 데이터 소스의 경우 로그 이벤트 데이터를 검색할 때 다음 속성을 사용할 수 있습니다.
| 속성 | 설명 |
|---|---|
| 작업 수행자 그룹 이름 |
작업 수행자의 그룹 이름입니다. 자세한 내용은 Google 그룹별로 검색결과 필터링하기를 참고하세요. 필터링 그룹 허용 목록에 그룹을 추가하려면 다음 안내를 따르세요.
|
| 작업 수행자 홈오피스 |
데이터 액세스를 수행한 배우의 홈오피스. 액세스한 직원의 근무지가 위치한 ISO 3166-1 alpha-2 국가/지역 코드가 표시됩니다. 여기에 표시되는 값은 다음과 같습니다.
|
| 작업 수행자 조직 단위 | 작업 수행자의 조직 단위입니다. |
| 날짜 | 이벤트 날짜 및 시간입니다(브라우저의 기본 시간대로 표시됨). |
| 이벤트 | 기록된 이벤트 작업입니다(예: 액세스된 리소스). |
| Google Workspace 제품 | 액세스한 리소스의 이름입니다. |
| 근거 | 고객이 요청한 지원(케이스 번호: 12345678)과 같은 액세스 근거입니다. |
| 로그 ID | 고유한 로그 ID입니다. |
| 권한 위임자: | 액세스 관리 제어에 권한이 사용된 사용자의 이메일 주소입니다. |
| 소유자 이메일 | 리소스를 소유한 고객의 이메일 ID 또는 팀 식별자입니다. |
| 리소스 이름 | 액세스한 리소스의 리소스 이름입니다. |
| 티켓 | 근거와 관련된 티켓입니다(있는 경우). |
검색 결과에 따라 조치 취하기
- 보고 규칙을 사용하여 로그 이벤트 데이터를 기반으로 알림을 설정할 수 있습니다. 자세한 내용은 보고 규칙 만들기 및 관리하기를 참고하세요.
- 이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기
활동 규칙을 만들어 보안 조사 도구에서 작업을 자동화하고 알림을 설정하면 보다 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다. 규칙을 설정하려면 규칙에 대한 조건을 설정한 다음 조건이 충족될 때 수행할 작업을 지정합니다. 자세한 내용 및 안내는 활동 규칙 만들기 및 관리하기를 참고하세요.
이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기
보안 조사 도구에서 검색을 실행한 후 검색 결과를 바탕으로 작업을 수행할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 자세한 내용은 검색 결과에 따라 조치 취하기를 참고하세요.
액세스 투명성 로그 데이터 이해하기
로그 필드 설명
| 로그 필드 이름 | 시스템 필드 이름 | 설명 |
|---|---|---|
| 날짜 | items:id:time | 로그가 작성된 시간입니다. |
| Google Workspace 제품 | items:events:parameters:GSUITE_PRODUCT_NAME | 액세스 대상이 된 고객의 제품이며, 대문자로 표기됩니다. 예시는 다음과 같습니다.
|
| 소유자 이메일 | items:events:parameters:OWNER_EMAIL | 리소스를 소유한 고객의 이메일 ID 또는 팀 식별자입니다. |
| 작업자 근무지 | items:events:parameters:ACTOR_HOME_OFFICE |
액세스한 직원의 근무지가 위치한 ISO 3166-1 alpha-2 국가/지역 코드입니다.
|
| 근거 |
items:events:parameters:JUSTIFICATIONS |
고객이 요청한 지원(케이스 번호: 12345678)과 같은 액세스 근거입니다. |
| 티켓 | tickets | 근거와 관련된 티켓입니다(있는 경우). |
| 로그 ID | items:events:parameters:LOG_ID | 고유한 로그 ID입니다. |
| 리소스 이름 | items:events:parameters:RESOURCE_NAME | 액세스한 리소스의 이름입니다. 보안 조사 도구에서 리소스 이름을 사용하여 도메인의 보안 및 개인 정보 보호 관련 문제를 추가로 식별하고 선별하여 조치를 취할 수 있습니다. |
| 위임자 | items:events:parameters:ON_BEHALF_OF | 액세스 대상입니다. 문서를 공유받는 사람은 소유자가 아니라 지원 대상자일 수 있습니다. 위임자는 액세스 이유에 대한 추가 정보를 제공합니다. |
| 액세스 관리 정책 | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
액세스 전 확인된 액세스 관리 정책입니다. 액세스 관리가 구성된 고객에게만 적용됩니다. |
근거 설명
| 이유 | 설명 |
|---|---|
| 고객이 지원을 요청함 | 고객이 요청한 지원(예: 케이스 번호)입니다. |
| 외부에서 악용사례 검토를 요청함
|
외부 요청 악용사례 검토는 콘텐츠가 Google에 신고되는 경우에 실시됩니다.
자세한 내용 및 안내는 조사 도구에서 검색 맞춤설정하기를 참고하세요. 악용사례 신고에 대해 자세히 알아보기 |
| 프로덕션 경고에 대한 Google의 대응 | 서비스 중단이 의심되는 경우 시스템 안정성을 유지하기 위해 다음 예와 같이 Google에서 요청한 액세스입니다.
|
| Google에서 검토를 요청함 | 다음을 비롯한 보안, 사기, 악용, 규정 준수 등의 사유로 Google에서 요청한 액세스입니다.
|
|
Google에서 서비스를 요청함 |
Google Cloud 서비스의 지속적인 유지보수 및 제공을 위해 다음 예와 같이 Google에서 요청한 액세스입니다.
|
| 서드 파티 데이터 요청 | Google에서는 법적 요청이나 법적 절차에 대응하기 위해 고객 데이터에 액세스합니다. 여기에는 Google에서 고객의 법적 절차에 대응하기 위해 고객의 데이터에 직접 액세스해야 하는 경우도 포함됩니다. 이와 같은 요청이나 절차를 Google에서 법적으로 알릴 수 없는 경우 액세스 투명성 로그가 제공되지 않을 수 있습니다. |
액세스 투명성 알림 설정하기
하나 이상의 로그 필터(예: 소유자 이메일, 작업자 근무지)에 대한 이메일 알림을 설정할 수 있습니다. 또한 액세스 투명성을 지원하는 모든 제품의 모든 로그에 대한 알림도 사용 설정할 수 있습니다.
-
관리자 계정으로 Google 관리 콘솔에 로그인합니다.
관리자 계정을 사용하지 않으면 관리 콘솔에 액세스할 수 없습니다.
-
- 데이터 소스 드롭다운 목록에서 액세스 투명성 로그 이벤트를 선택합니다.
- + 필터 추가를 클릭합니다.
- 필터를 하나 이상 선택하고 적용을 클릭합니다.
- (선택사항) 지원되는 모든 제품의 모든 로그에 대한 알림을 사용 설정하려면 이벤트 이름
액세스를 클릭합니다. 그러면 이벤트 이름: 액세스라는 필터가 만들어집니다.
- 보고 규칙 만들기
를 클릭하고 규칙 이름을 입력한 다음 추가 알림 수신자의 이메일을 입력합니다.
- 만들기를 클릭합니다.
서드 파티 도구와 액세스 투명성 로그 데이터 연결하기
Reports API를 사용하여 액세스 투명성 로그를 기존 sec___codemirror_selection_bookmark___urity 정보 및 이벤트 관리(SIEM) 도구와 통합할 수 있습니다. 자세한 내용은 액세스 투명성 활동 이벤트를 참고하세요.
데이터는 언제 사용할 수 있으며 얼마 동안 보관되나요?
데이터 보관 및 지연 시간을 참고하세요.