조사 도구의 액세스 투명성 로그 이벤트 데이터 소스가 지원되는 버전: Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus. 사용 중인 버전 비교하기
조직의 관리자는 보안 조사 도구를 사용하여 액세스 투명성 로그 이벤트와 관련된 검색을 실행할 수 있습니다. 이 페이지에서 Google 직원이 데이터에 액세스할 때 수행한 작업에 대한 기록을 확인할 수 있습니다.
액세스 투명성 로그 이벤트 데이터에는 다음 정보가 포함됩니다.
- 영향을 받은 리소스와 작업
- 작업 수행 시간
- 작업 이유(예: 고객 지원 요청과 관련된 케이스 번호)
- 데이터 작업을 수행하는 Google 직원(예: 사무실 위치)
자세한 내용은 액세스 투명성: 사용자 콘텐츠에 대한 Google 액세스 로그 보기를 참고하세요.
Google Cloud로 로그 데이터 전달
로그 데이터를 Google Cloud와 공유하도록 선택할 수 있습니다. 공유를 사용 설정하면 데이터가 Cloud Logging으로 전달되고 여기서 로그를 쿼리하고 조회할 수 있으며 로그 라우팅 및 저장 방식을 관리할 수 있습니다.
보안 조사 도구 사용 가능 여부
- 보안 조사 도구가 지원되는 버전에는 Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus이 포함됩니다.
- Cloud ID Premium, Frontline Standard, Enterprise Standard, Education Standard를 사용하는 관리자도 일부 데이터 소스에 대해 조사 도구를 사용할 수 있습니다.
- 조사 도구에서 검색을 실행할 수 있는지 여부는 Google 버전, 관리자 권한, 데이터 소스에 따라 달라집니다. 조사 도구에서 특정 데이터 소스를 검색할 수 없는 경우에는 대신 감사 및 조사 페이지를 사용할 수 있습니다. 자세한 내용은 개선된 감사 및 조사 환경을 참고하세요.
- 사용자가 보유한 Google 버전과 관계없이 모든 사용자를 대상으로 조사 도구에서 검색을 실행할 수 있습니다.
액세스 투명성 로그 이벤트 검색 실행하기
조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 검색에 사용할 조건을 하나 이상 선택해야 합니다. 각 조건에서 속성, 연산자, 값을 선택합니다.
다음 단계를 따르세요.
-
-
관리 콘솔에서 메뉴 보안보안 센터조사 도구로 이동합니다.
- 데이터 소스 드롭다운 목록에서 액세스 투명성 로그 이벤트를 선택합니다.
- 조건 추가를 클릭합니다.
검색에 조건을 하나 이상 포함할 수 있습니다. 중첩된 쿼리(2단계 또는 3단계 조건으로 검색)로 검색을 맞춤설정할 수도 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요. - 속성 드롭다운 목록에서 속성 중 하나를 선택합니다(예: 작업 수행자 또는 날짜). 액세스 투명성 로그 이벤트에 사용할 수 있는 속성의 전체 목록은 아래 섹션을 참고하세요.
참고: 검색 기간을 좁히면 조사 도구에 검색결과가 더 빨리 표시됩니다. 예를 들어 지난주에 발생한 이벤트로 검색 범위를 좁히면 쿼리를 더 짧은 기간으로 제한하지 않고 검색하는 경우보다 쿼리가 더 빨리 반환됩니다.
- 연산자를 선택합니다(예: 같음, 다름, 포함 또는 포함하지 않음).
- 속성 값을 선택하거나 입력합니다. 일부 속성의 경우 드롭다운 목록에서 선택할 수 있으며, 값을 입력하는 속성도 있습니다.
- (선택사항) 여러 검색 조건을 포함하려면 위 단계를 반복합니다.
- 검색을 클릭합니다.
페이지 하단의 표에 조사 도구의 검색결과가 표시됩니다. - (선택사항) 검색을 저장하려면 저장 을 클릭하고 제목과 설명을 입력한 다음 저장을 클릭합니다.
참고: 조건 작성 도구 탭을 사용하면 필터가 AND/OR 연산자로 결합된 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수도 있습니다.
속성 설명
이 데이터 소스의 경우 로그 이벤트 데이터를 검색할 때 다음 속성을 사용할 수 있습니다.
속성 | 설명 |
---|---|
작업 수행자 그룹 이름 |
작업 수행자의 그룹 이름입니다. 자세한 내용은 Google 그룹별로 검색결과 필터링하기를 참고하세요. 필터링 그룹 허용 목록에 그룹을 추가하려면 다음 안내를 따르세요.
|
작업 수행자 홈오피스 |
데이터 액세스를 수행한 배우의 홈오피스. 액세스한 직원의 근무지가 위치한 ISO 3166-1 alpha-2 국가/지역 코드가 표시됩니다. 여기에 표시되는 값은 다음과 같습니다.
|
작업 수행자 조직 단위 | 작업 수행자의 조직 단위입니다. |
날짜 | 이벤트 날짜 및 시간입니다(브라우저의 기본 시간대로 표시됨). |
이벤트 | 기록된 이벤트 작업입니다(예: 액세스된 리소스). |
Google Workspace 제품 | 액세스한 리소스의 이름입니다. |
근거 | 고객이 요청한 지원(케이스 번호: 12345678)과 같은 액세스 근거입니다. |
로그 ID | 고유한 로그 ID입니다. |
권한 위임자: | 액세스 관리 제어에 권한이 사용된 사용자의 이메일 주소입니다. |
소유자 이메일 | 리소스를 소유한 고객의 이메일 ID 또는 팀 식별자입니다. |
리소스 이름 | 액세스한 리소스의 리소스 이름입니다. |
티켓 | 근거와 관련된 티켓입니다(있는 경우). |
검색결과에 따라 작업하기
조사 도구에서 검색을 실행한 후 검색결과를 바탕으로 작업을 수행할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 조사 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 조사 도구의 작업에 대한 자세한 내용은 검색결과에 따라 작업하기를 참고하세요.
활동 규칙 만들기 및 알림 설정하기
활동 규칙을 만들어 조사 도구에서 작업을 자동화하고 알림을 설정하면 보다 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다. 규칙을 설정하려면 규칙에 대한 조건을 설정한 다음 조건이 충족될 때 수행할 작업을 지정합니다. 자세한 내용 및 안내는 활동 규칙 만들기 및 관리하기를 참고하세요.
조사 관리하기
조사 목록 보기소유하고 있는 조사 및 공유된 조사의 목록을 보려면 조사 보기를 클릭합니다. 조사 목록에는 조사의 제목, 설명, 소유자, 최종 수정 날짜가 포함되어 있습니다.
이 목록에서 소유하는 모든 조사에 대한 작업(예: 조사 삭제)을 수행할 수 있습니다. 작업하려는 조사의 체크박스를 선택하고 작업을 클릭합니다.
참고: 조사 목록 바로 위에 있는 빠른 액세스에서 최근에 저장된 조사를 확인할 수 있습니다.
최고 관리자는 설정 을 클릭하여 다음 작업을 수행할 수 있습니다.
- 조사의 시간대를 변경합니다. 시간대는 검색 조건과 검색결과에 적용됩니다.
- 검토자 요청을 사용 또는 사용 중지합니다. 자세한 내용은 일괄 작업에 대해 검토자 요청하기를 참고하세요.
- 콘텐츠 보기를 사용 또는 사용 중지합니다. 이 설정을 사용하면 적절한 권한이 있는 관리자가 콘텐츠를 볼 수 있습니다.
- 작업 사유 입력 사용 설정을 사용 또는 사용 중지합니다.
자세한 안내 및 정보는 조사 설정 구성하기를 참고하세요.
검색결과에 표시할 데이터 열을 설정할 수 있습니다.
- 검색결과 표의 오른쪽 상단에서 열 관리를 클릭합니다.
- (선택사항) 현재 열을 삭제하려면 항목 삭제를 클릭합니다.
- (선택사항) 열을 추가하려면 '새 열 추가' 옆에 있는 아래쪽 화살표를 클릭하고 데이터 열을 선택합니다.
필요한 경우 반복합니다. - (선택사항) 열 순서를 변경하려면 열 이름을 드래그합니다.
- 저장을 클릭합니다.
- 검색결과 표 상단에서 모두 내보내기를 클릭합니다.
- 이름을 입력하고내보내기를 클릭합니다.
내보내기는 검색결과 표 아래의 작업 결과 내보내기에 표시됩니다. - 데이터를 보려면 내보내기 이름을 클릭합니다.
Google Sheets에서 내보내기 파일이 열립니다.
내보낸 검색결과를 볼 때 다음 사항을 참고하세요.
- 표 상단에서 모두 내보내기를 클릭하면 내 드라이브 폴더에 검색결과가 포함된 Google 시트가 생성됩니다. 검색결과의 크기에 따라 내보내기에 다소 시간이 걸릴 수 있으며 Google Sheets가 여러 개 생성될 수도 있습니다. 내보내는 총 검색결과는 3천만 행으로 제한됩니다(125만 행으로 제한되는 Gmail 메일 검색 제외).
- 내보내기가 진행되는 동안 생성되는 Google 스프레드시트에 임시 이름(예: TMP-1-<title>)이 지정되며, Google 스프레드시트가 여러 개 생성되는 경우 추가 파일 이름은 TMP-2-<title>, TMP-3-<title> 등으로 지정됩니다. 내보내기 프로세스가 완료되면 파일 이름이 <title> [1/N], <title> [2/N] 등으로 자동 변경됩니다. 내보낸 데이터가 포함된 Google 스프레드시트가 1개만 있는 경우 파일 이름이 <title>로 변경됩니다.
- 내보낸 검색결과가 포함된 파일의 공유 권한은 도메인 구성에 따라 결정됩니다. 예를 들어 생성된 파일이 기본 설정에 따라 회사 내 모든 사용자와 공유될 경우 내보낸 데이터도 같은 공개 상태를 갖게 됩니다.
검색 기준을 저장하여 이를 다른 사용자와 공유하려면 조사를 만들고 저장한 다음 공유, 복제 또는 삭제할 수 있습니다.
자세한 내용은 조사 저장, 공유, 삭제, 복제하기를 참고하세요.
데이터 소스에 대한 자세한 내용은 데이터 보관 및 지연 시간을 참고하세요.
액세스 투명성 로그 데이터 이해하기
로그 필드 설명
로그 필드 이름 | 시스템 필드 이름 | 설명 |
---|---|---|
날짜 | items:id:time | 로그가 작성된 시간입니다. |
Google Workspace 제품 | items:events:parameters:GSUITE_PRODUCT_NAME | 액세스 대상이 된 고객의 제품이며, 대문자로 표기됩니다. 예시는 다음과 같습니다.
|
소유자 이메일 | items:events:parameters:OWNER_EMAIL | 리소스를 소유한 고객의 이메일 ID 또는 팀 식별자입니다. |
작업자 근무지 | items:events:parameters:ACTOR_HOME_OFFICE |
액세스한 직원의 근무지가 위치한 ISO 3166-1 alpha-2 국가/지역 코드입니다.
|
근거 |
items:events:parameters:JUSTIFICATIONS |
고객이 요청한 지원(케이스 번호: 12345678)과 같은 액세스 근거입니다. |
티켓 | tickets | 근거와 관련된 티켓입니다(있는 경우). |
로그 ID | items:events:parameters:LOG_ID | 고유한 로그 ID입니다. |
리소스 이름 | items:events:parameters:RESOURCE_NAME | 액세스한 리소스의 이름입니다. 보안 조사 도구에서 리소스 이름을 사용하여 도메인의 보안 및 개인 정보 보호 관련 문제를 추가로 식별하고 선별하여 조치를 취할 수 있습니다. |
위임자 | items:events:parameters:ON_BEHALF_OF | 액세스 대상입니다. 문서를 공유받는 사람은 소유자가 아니라 지원 대상자일 수 있습니다. 위임자는 액세스 이유에 대한 추가 정보를 제공합니다. |
액세스 관리 정책 | items:events:parameters: ACCESS_MANAGEMENT_POLICY |
액세스 전 확인된 액세스 관리 정책입니다. 액세스 관리가 구성된 고객에게만 적용됩니다. |
근거 설명
이유 | 설명 |
---|---|
고객이 지원을 요청함 | 고객이 요청한 지원(예: 케이스 번호)입니다. |
외부에서 악용사례 검토를 요청함
|
외부 요청 악용사례 검토는 콘텐츠가 Google에 신고되는 경우에 실시됩니다.
자세한 내용 및 안내는 조사 도구에서 검색 맞춤설정하기를 참고하세요. 악용사례 신고에 대해 자세히 알아보기 |
프로덕션 환경 경고에 대한 Google의 대응 | 서비스 중단이 의심되는 경우 시스템 안정성을 유지하기 위해 다음 예와 같이 Google에서 요청한 액세스입니다.
|
Google에서 검토를 요청함 | 다음을 비롯한 보안, 사기, 악용, 규정 준수 등의 사유로 Google에서 요청한 액세스입니다.
|
Google에서 서비스를 요청함 |
Google Cloud 서비스의 지속적인 유지보수 및 제공을 위해 다음 예와 같이 Google에서 요청한 액세스입니다.
|
서드 파티 데이터 요청 | Google에서는 법적 요청이나 법적 절차에 대응하기 위해 고객 데이터에 액세스합니다. 여기에는 Google에서 고객의 법적 절차에 대응하기 위해 고객의 데이터에 직접 액세스해야 하는 경우도 포함됩니다. 이와 같은 요청이나 절차를 Google에서 법적으로 알릴 수 없는 경우 액세스 투명성 로그가 제공되지 않을 수 있습니다. |
액세스 투명성 알림 설정하기
하나 이상의 로그 필터(예: 소유자 이메일, 작업자 근무지)에 대한 이메일 알림을 설정할 수 있습니다. 또한 액세스 투명성을 지원하는 모든 제품의 모든 로그에 대한 알림도 사용 설정할 수 있습니다.
-
-
관리 콘솔에서 메뉴 보안보안 센터조사 도구로 이동합니다.
- 데이터 소스 드롭다운 목록에서 액세스 투명성 로그 이벤트를 선택합니다.
- + 필터 추가를 클릭합니다.
- 필터를 하나 이상 선택하고 적용을 클릭합니다.
- (선택사항) 지원되는 모든 제품의 모든 로그에 대한 알림을 사용 설정하려면 이벤트 이름액세스를 클릭합니다. 그러면 이벤트 이름: 액세스라는 필터가 만들어집니다.
- 보고 규칙 만들기 를 클릭하고 규칙 이름을 입력한 다음 추가 알림 수신자의 이메일을 입력합니다.
- 만들기를 클릭합니다.
서드 파티 도구와 액세스 투명성 로그 데이터 연결하기
Reports API를 사용하여 액세스 투명성 로그를 기존 보안 정보 및 이벤트 관리(SIEM) 도구와 연결할 수 있습니다. 자세한 내용은 액세스 투명성 활동 이벤트를 참고하세요.
데이터는 언제 사용할 수 있으며 얼마 동안 보관되나요?
데이터 보관 및 지연 시간을 참고하세요.