활동 규칙을 만들어 조사 도구에서 알림을 설정하고 작업을 자동화하면 보다 신속하고 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다.
규칙을 구성하려면 규칙의 조건을 설정하고 조건이 충족될 때 수행할 작업을 지정합니다. 규칙이란 x가 발생하면 자동으로 y를 수행하도록 명시하는 것입니다.
관리자는 조사 도구에 구성한 검색 내용을 기반으로 알림을 보내거나 조치를 취하도록 활동 규칙을 만들 수 있습니다. 활동 규칙을 구성하면 규칙에 지정한 검색이 계속해서 수행됩니다. 해당 검색에서 반환된 검색결과의 수가 관리자가 설정한 임계값을 초과하면 Google에서 관리자가 지정한 작업을 수행합니다. 예를 들어 Drive 문서가 회사 외부에 공유되면 특정 관리자에게 이메일 알림을 전송하는 규칙을 설정할 수 있습니다.
활동 규칙에 대한 관리 액세스 권한
활동 규칙을 만들고 확인할 수 있는지 여부는 Google Workspace 버전, 관리 권한, 데이터 소스에 따라 다릅니다. 자세한 내용은 보고 규칙 및 활동 규칙에 대한 관리 액세스를 참고하세요.
활동 규칙 생성 관련 중요 가이드라인
- 로그 이벤트 데이터 소스(예: Gmail 로그 이벤트 또는 기기 로그 이벤트)를 기반으로 하는 활동 규칙만 만들 수 있습니다. Chrome 브라우저, 기기, Gmail 메일, 사용자 등 라이브 상태 데이터 소스를 기반으로 하는 활동 규칙은 만들 수 없습니다.
- 사용할 수 있는 데이터 소스는 Google Workspace 버전에 따라 다릅니다. 자세한 내용은 조사 도구로 검색 맞춤설정하기를 참고하세요.
- 검색에 이벤트 속성을 하나 이상 추가해야 합니다.
- 모든 조건부 경로에 이벤트 조건을 포함하는 경우에만 최상위 수준에 OR 연산자를 포함할 수 있습니다.
- 속성에는 값을 하나만 추가할 수 있습니다. 예를 들어 작업 수행자에는 사용자를 한 명만 포함할 수 있습니다. 값을 여러 개 포함하려면 조건 작성 도구를 사용하여 OR 연산자를 추가한 후 추가 값과 함께 동일한 속성을 추가하세요.
- 규칙은 지속적으로 평가되므로 활동 규칙에는 날짜 필터를 사용할 수 없습니다.
- 규칙에 작업 또는 알림을 하나 이상 추가해야 합니다.
- 활동 규칙은 로그 이벤트를 기반으로 하기 때문에 이벤트가 발생한 후에 트리거됩니다. 따라서 활동 규칙은 문서 차단 또는 공유나 이메일 전송 등에는 사용할 수 없습니다.
규칙 임계값의 작동 방식
규칙에 임계값을 설정하면 사용자별로 적용되는 것이 아니라 사용자 작업 전반에 걸쳐 누적되어 적용됩니다. 예를 들어 1시간 이내에 로그인 시도가 5회 실패하면 사용자를 일시중지하는 규칙을 만든다고 가정해 보겠습니다. 1시간 이내에 1명 이상의 사용자가 로그인 시도에 5회 실패하면 임계값에 도달합니다. 이 경우 로그인 시도가 한 번 이상 실패한 모든 사용자는 사용이 일시중지됩니다.
활동 규칙 만들기
활동 규칙은 보안 조사 도구 또는 규칙 페이지에서 만들 수 있습니다.
다음 단계를 따르세요.
-
-
관리 콘솔 홈페이지에서 보안 > 조사 도구로 이동하여 활동 규칙 만들기를 클릭합니다.
또는
관리 콘솔 홈페이지에서 규칙으로 이동한 다음 규칙 만들기 > 활동을 클릭합니다.
- 규칙 이름(예: 외부 데이터 공유)을 입력합니다.
- 설명(예: 문서가 회사 외부에 공유되면 알림)을 입력합니다.
- 다음: 조건 보기를 클릭합니다.
- 규칙의 데이터 소스(예: 관리자 로그 이벤트)를 선택합니다.
참고: 데이터 소스의 사용 가능 여부는 Google Workspace 버전 및 관리자 권한에 따라 다릅니다. 자세한 내용은 보고 규칙 및 활동 규칙에 대한 관리자 액세스 권한과 조사 도구의 데이터 소스 및 조건을 참고하세요.
- 규칙에 조건을 하나 이상 설정합니다. 각 조건에서 속성, 연산자, 값을 선택합니다.
예를 들어 문서 소유권 이전과 같은 이벤트를 지정하는 조건을 설정하려면 속성으로 이벤트를 선택하고 연산자로 Is를 선택한 후 값으로 문서 설정 > 문서 소유권 이전을 선택합니다.
참고: 이벤트는 필수 조건입니다. 각 데이터 소스에 사용할 수 있는 조건에 대한 자세한 내용은 조사 도구의 데이터 소스 및 조건을 참고하세요.
- 다음: 작업 추가를 클릭합니다.
참고: 활동 규칙을 만들 때 Drive 로그 이벤트에 대한 작업을 추가할 수 없습니다. - 규칙에 사용할 기간 및 임계값을 정의합니다. 예를 들어 24시간마다 개수가 100을 초과를 임계값으로 설정할 수 있습니다. 24시간 동안 검색결과가 100개가 넘으면 이 규칙이 트리거된다는 의미입니다.
- 규칙의 작업(예: 사용자 정지 또는 비밀번호 강제 변경)을 선택합니다.
- 이 규칙으로 알림 센터에서 알림을 트리거하도록 할지 선택합니다.
- 심각도를 높음, 중간, 낮음 중에서 선택합니다.
- 알림 센터에 알림을 트리거하도록 선택하는 경우 모든 최고 관리자 체크박스를 선택하여 이메일 알림을 보내거나 이메일 수신자 추가를 클릭하여 규칙이 트리거될 때 선택한 관리자에게 이메일을 보내도록 선택할 수도 있습니다.
- 다음: 검토를 클릭합니다.
이 페이지에서 규칙 세부정보를 모두 검토하고 필요하면 규칙을 만들기 전에 변경할 수 있습니다. - 규칙 상태를 검토합니다.
활동 규칙을 만들 때 규칙 상태는 기본적으로 활성이며, 이 경우 시스템에서 로그를 수집하기 시작하며 규칙이 시행됩니다. 또한 규칙 상태를 모니터링으로 설정할 수도 있는데, 이 경우 규칙을 시행하기 전에 로그를 검토할 수 있습니다. 나중에 규칙을 비활성으로 설정할 수도 있으며, 이 경우 시스템에서 더 이상 로그를 수집하지 않으며 규칙이 시행되지 않습니다. - 규칙 만들기를 클릭합니다.
참고: 활동 규칙을 설정할 때 필터에 AND/OR 연산자를 사용한 조건이 표시되는 조건 작성 도구 탭을 사용할 수 있습니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수도 있습니다.
규칙 페이지: 활동 규칙 보기 및 수정하기
활동 규칙을 만든 후 규칙 페이지로 이동하여 규칙의 세부정보 및 범위, 규칙의 조건, 임계값이 충족되면 트리거되는 작업을 확인할 수 있습니다.
또한 규칙 페이지에서 도메인 관리자가 만든 모든 규칙 목록을 확인할 수도 있습니다. Google 관리 콘솔 홈페이지로 이동하여 규칙을 클릭합니다.
도메인 관리자는 규칙의 데이터 소스 및 각 관리자의 권한에 따라 규칙 페이지에서 다른 관리자가 만든 규칙을 확인할 수도 있습니다. 예를 들어, 관리자가 Drive 로그 이벤트의 보기 권한을 가졌으나 Gmail 로그 이벤트에 대한 권한은 없을 수 있습니다. 이런 경우 Gmail 로그 이벤트를 기반으로 하는 규칙을 볼 수 없습니다.
규칙 페이지에서 다음 작업을 할 수 있습니다.
- 필터 추가를 클릭하여 규칙 목록을 필터링합니다.
- 규칙 페이지에 표시된 규칙 중 하나를 클릭하여 규칙 세부정보를 확인하고 수정합니다.
- 규칙을 삭제합니다.
- 새 규칙을 만듭니다.
- 조사를 클릭하여 규칙 로그 이벤트의 데이터를 확인하는 조사 도구를 엽니다.
이메일 알림
규칙에 대한 이메일 알림을 설정하면 활동 규칙은 규칙이 처음 트리거될 때 기준 기간당 하나의 알림 이메일만 전송하고 다른 규칙이 트리거될 때는 알림을 보내지 않습니다. 이메일 알림에는 알림을 트리거한 규칙의 요약 내용(규칙 이름, 기준점 세부정보, 소스 데이터 등)이 포함됩니다. 이메일 알림을 수신한 관리자가 알림 보기를 클릭하면 알림 센터의 알림 세부정보 페이지가 표시됩니다.
참고: 알림 기준 기간 내에 동일한 규칙을 트리거하는 여러 이벤트는 하나의 이메일로 집계됩니다.
