규칙 로그 이벤트

사용자의 민감한 정보 공유 시도 검토

Google Workspace 버전에 따라 고급 기능이 포함된 보안 조사 도구에 액세스할 수도 있습니다. 예를 들어 최고 관리자는 보안 및 개인 정보 보호 문제를 식별하고 분류하여 조치를 취할 수 있습니다. 자세히 알아보기

조직의 관리자는 규칙 로그 이벤트에 대해 검색하고 조치를 취할 수 있습니다. 예를 들어 사용자의 민감한 정보 공유 시도를 검토하는 작업 기록을 확인할 수 있습니다. 데이터 손실 방지(DLP) 규칙 위반 이벤트로 인해 트리거된 이벤트를 검토할 수도 있습니다. 대개 로그 항목은 사용자가 작업한 후 1시간 이내에 표시됩니다.

규칙 로그 이벤트에는 Chrome Enterprise Premium threat and data protection의 데이터 유형도 나열됩니다.

로그 이벤트 검색하기

검색 실행 가능 여부는 Google 버전, 관리 권한, 데이터 소스에 따라 달라집니다. Google Workspace 버전과 관계없이 모든 사용자를 대상으로 검색을 실행할 수 있습니다.

감사 및 조사 도구

로그 이벤트를 검색하려면 먼저 데이터 소스를 선택하세요. 그런 다음 하나 이상의 검색 필터를 선택합니다.

  1. Google 관리 콘솔로그인하세요.

    @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.

  2. 관리 콘솔에서 메뉴 그런 다음 보고그런 다음감사 및 조사그런 다음규칙 로그 이벤트로 이동합니다.
  3. 필터 추가를 클릭한 다음 속성을 선택합니다.
  4. 팝업 창에서 연산자를 선택하고그런 다음값을 선택한 다음그런 다음적용을 클릭합니다.
    • (선택사항) 검색을 위해 여러 필터를 만들려면 이 단계를 반복합니다.
    • (선택사항) 검색 연산자를 추가하려면 필터 추가 위에서 AND 또는 OR을 선택합니다.
  5. 검색을 클릭합니다.

    참고: 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수 있습니다. 필터가 AND/OR 연산자로 조건으로 표시되는 조건 작성 도구 탭을 사용할 수도 있습니다.

보안 조사 도구
이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기

보안 조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 하나 이상의 검색 조건을 선택합니다. 각 조건에서 속성, 연산자, 을 선택합니다. 

  1. Google 관리 콘솔로그인하세요.

    @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.

  2. 관리 콘솔에서 메뉴 그런 다음 보안그런 다음보안 센터그런 다음조사 도구로 이동합니다.
  3. 데이터 소스를 클릭하고 규칙 로그 이벤트를 선택합니다.
  4. 조건 추가를 클릭합니다.
    도움말: 검색에 조건을 하나 이상 포함하거나 중첩된 쿼리로 검색을 맞춤설정할 수 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요.
  5. 속성을 클릭하고 그런 다음 옵션을 선택합니다.
    전체 속성 목록을 보려면 아래 속성 설명 섹션으로 이동합니다.
  6. 연산자를 선택합니다.
  7. 값을 입력하거나 드롭다운 목록에서 값을 선택합니다.
  8. (선택사항) 검색 조건을 더 추가하려면 4~7단계를 반복합니다.
  9. 검색을 클릭합니다.
    페이지 하단의 표에 조사 도구의 검색결과가 표시됩니다.
  10. (선택사항) 조사를 저장하려면 저장을 클릭하고 그런 다음 제목과 설명을 입력한 다음 그런 다음 저장을 클릭합니다.

참고:

  • 조건 작성 도구 탭에서 필터는 AND/OR 연산자로 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수도 있습니다.
  • 참고: 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.comNewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.

속성 설명

이 데이터 소스의 경우 로그 이벤트 데이터를 검색할 때 다음 속성을 사용할 수 있습니다.

속성 설명
액세스 수준 이 규칙의 컨텍스트 인식 액세스 조건으로 선택된 액세스 수준입니다. 액세스 수준은 Chrome 데이터에만 적용됩니다. 자세한 내용은 컨텍스트 인식 액세스 수준 만들기를 참고하세요.
작업 수행자 작업을 수행한 사용자의 이메일 주소입니다. 이벤트가 재검사 결과인 경우 값은 익명의 사용자일 수 있습니다.
작업 수행자 그룹 이름

작업 수행자의 그룹 이름입니다. 자세한 내용은 Google 그룹별로 검색결과 필터링하기를 참고하세요.

필터링 그룹 허용 목록에 그룹을 추가하려면 다음 안내를 따르세요.

  1. 작업 수행자 그룹 이름을 선택합니다.
  2. 그룹 필터링을 클릭합니다.
    필터링 그룹 페이지가 표시됩니다.
  3. 그룹 추가를 클릭합니다.
  4. 이름이나 이메일 주소의 처음 몇 글자를 입력하여 그룹을 검색합니다. 원하는 그룹이 표시되면 선택합니다.
  5. (선택사항) 다른 그룹을 추가하려면 그룹을 검색하여 선택합니다.
  6. 그룹을 모두 선택한 후에는 추가를 클릭합니다.
  7. (선택사항) 그룹을 삭제하려면 그룹 삭제 를 클릭합니다.
  8. 저장을 클릭합니다.
작업 수행자 조직 단위 작업 수행자의 조직 단위입니다.
차단된 수신자 트리거된 규칙에 의해 차단된 수신자입니다.
조건 작업 규칙에 구성된 컨텍스트 조건에 따라 사용자 액세스 시 트리거될 수 있는 작업 목록입니다.
회의 ID 이 규칙 트리거의 일부로 수행된 회의의 회의 ID입니다.
컨테이너 ID 리소스가 속한 상위 컨테이너의 ID입니다.
컨테이너 유형 리소스가 속한 상위 컨테이너의 유형입니다(예: 채팅 메시지 또는 채팅 첨부파일의 경우 Chat 스페이스 또는 그룹 채팅).
데이터 소스 리소스 원본이 있는 애플리케이션입니다.
날짜 이벤트가 발생한 날짜 및 시간입니다.
검사 프로그램 ID 일치하는 검사 프로그램의 식별자입니다.
검사 프로그램 이름 관리자가 정의한 일치하는 검사 프로그램의 이름입니다.
기기 ID 작업이 트리거된 기기의 ID입니다. 이 데이터 유형은 Chrome Enterprise Premium threat and data protection에 적용됩니다.
기기 유형 기기 ID로 참조되는 기기의 유형입니다. 이 데이터 유형은 Chrome Enterprise Premium threat and data protection에 적용됩니다.
이벤트

기록된 이벤트 작업입니다.

Drive 

Drive의 경우 다음과 같은 DLP 규칙 이벤트가 기록됩니다.

  • 작업 완료, 콘텐츠 일치*: Drive 문서 콘텐츠에서 DLP 규칙이 플래그된 콘텐츠입니다.
  • 작업 완료, 콘텐츠가 불일치*: 원래 DLP 규칙을 트리거했던 콘텐츠가 더 이상 존재하지 않으므로 Drive 문서가 플래그되지 않습니다.
  • 액세스 차단됨: DLP 규칙에 의해 Drive 파일의 다운로드 또는 사본 만들기 시도가 차단되었습니다.

Drive 메모:

  • Drive 라벨이 변경된 경우 값은 라벨이 적용됨, 필드 값이 변경됨, 라벨이 삭제됨입니다.
  • 신뢰 규칙에서 Drive 파일 공유를 차단하는 경우 값은 공유 차단됨입니다.
  • 신뢰 규칙에서 Drive 파일에 대한 액세스(보기, 다운로드, 복사)를 차단하는 경우 값은 액세스 차단됨입니다.

Gmail

Gmail의 경우 다음과 같은 DLP 규칙 이벤트가 기록됩니다.

  • 작업 완료, 메일 전송 감사됨*: DLP 규칙에 따라 전송 중에 Gmail 메일을 감사했습니다.
  • 작업 완료, 메일 전송 차단됨*: DLP 규칙에 따라 Gmail 메일의 전송이 차단되었습니다.
  • 작업 완료, 메일 전송 격리됨*: DLP 규칙에 따라 검토를 위해 Gmail 메일이 스팸 격리 저장소에 보관되었습니다. 메일이 전송되지 않았습니다.
  • 작업 완료, 메일 전송 경고함*: DLP 규칙에 따라 사용자에게 Gmail 메일 전송에 대한 경고가 표시되었습니다.

* 이러한 이벤트 이름에서 '작업 완료' 부분은 지원 중단됩니다.

민감한 콘텐츠 포함 민감한 콘텐츠가 감지되고 로깅되어 트리거된 DLP 규칙의 경우 값은 True입니다.
수신자* 공유 리소스를 수신한 사용자입니다.
누락된 수신자 수* 한도 초과로 인해 누락된 리소스 수신자 수입니다.
리소스 ID 수정된 객체입니다. DLP 규칙의 경우:
  • Google Drive와 관련된 항목의 경우 리소스 ID를 클릭하여 수정된 Drive 문서를 확인합니다.
  • Google Chat과 관련된 항목의 경우 리소스 ID를 클릭하여 Chat 대화에 관한 세부정보를 확인합니다. 일부 Chat 데이터는 만료될 수 있으므로 일부 세부정보가 표시되지 않을 수 있습니다.
리소스 소유자 검사되고 작업이 적용된 리소스를 소유한 사용자입니다.
리소스 제목 수정된 리소스의 제목입니다. DLP의 경우 문서 제목입니다.
리소스 유형 DLP의 경우 리소스는 문서입니다. Chat DLP의 경우 리소스는 Chat 메시지 또는 Chat 첨부파일입니다.
규칙 ID 트리거한 규칙의 ID입니다.
규칙 이름 관리자가 규칙을 만들 때 제공한 규칙 이름입니다.
규칙 유형 DLP 규칙의 경우 값은 DLP입니다.
스캔 유형

값은 다음과 같습니다.

  • Drive의 지속적인 검사(규칙이 변경될 때 발생)
  • 온라인 검사(문서가 변경되는 중에 발생)
  • 전송 전 Chat 콘텐츠 검사(Chat 메시지가 전송될 때 발생)
심각도 규칙이 트리거될 때 규칙에 할당된 심각도입니다.
미실행 작업* 규칙에 구성되어 있지만 미실행된 작업입니다. 우선순위가 더 높은 작업이 동시에 발생하고 트리거되는 경우 우선순위가 낮은 작업이 차단됩니다.
트리거 규칙이 트리거되는 활동입니다.
트리거된 작업 수행된 작업 목록을 표시합니다. 감사 전용 규칙이 트리거된 경우 비어 있습니다.
트리거 클라이언트 IP 작업을 트리거한 작업 수행자의 IP 주소입니다.
트리거하는 사용자 이메일* 작업을 트리거한 작업 수행자의 이메일 주소입니다.
사용자 작업 사용자가 시도했지만 규칙에 의해 차단된 작업입니다.
* 이 필터로는 보고 규칙을 만들 수 없습니다. 보고 규칙과 활동 규칙의 차이에 대해 자세히 알아보세요.

참고: 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.comNewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.

로그 이벤트 데이터 관리하기

검색결과 열 데이터 관리하기

검색결과에 표시할 데이터 열을 설정할 수 있습니다.

  1. 검색결과 표의 오른쪽 상단에서 열 관리 를 클릭합니다.
  2. (선택사항) 현재 열을 삭제하려면 삭제 를 클릭합니다.
  3. (선택사항) 열을 추가하려면 새 열 추가 옆에 있는 아래쪽 화살표 를 클릭하고 데이터 열을 선택합니다.
    필요한 경우 반복합니다.
  4. (선택사항) 열 순서를 변경하려면 데이터 열 이름을 드래그합니다.
  5. 저장을 클릭합니다.

검색결과 데이터 내보내기

검색 결과를 Google Sheets 또는 CSV 파일로 내보낼 수 있습니다.

  1. 검색결과 표 상단에서 모두 내보내기를 클릭합니다.
  2. 이름을 입력하고 그런 다음 내보내기를 클릭합니다.
    내보내기가 검색 결과 표 아래의 작업 결과 내보내기에 표시됩니다.
  3. 데이터를 보려면 내보내기 이름을 클릭합니다.
    Google Sheets에서 내보내기 파일이 열립니다.

내보내기 한도는 다음과 같이 다양합니다.

  • 내보내기의 총 결과는 100,000행으로 제한됩니다(10,000행으로 제한되는 Gmail 메일 검색 제외).
  • 이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기

    보안 조사 도구가 있는 경우 총 내보내기 결과는 3천만 행으로 제한됩니다(10,000행으로 제한되는 Gmail 메일 검색 제외).

자세한 내용은 검색 결과 내보내기를 참고하세요.

데이터는 언제 사용할 수 있으며 얼마 동안 제공되나요?

검색 결과에 따라 조치 취하기

활동 규칙 만들기 및 알림 설정하기
  • 보고 규칙을 사용하여 로그 이벤트 데이터를 기반으로 알림을 설정할 수 있습니다. 자세한 내용은 보고 규칙 만들기 및 관리하기를 참고하세요.
  • 이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기

    활동 규칙을 만들어 보안 조사 도구에서 작업을 자동화하고 알림을 설정하면 보다 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다. 규칙을 설정하려면 규칙에 대한 조건을 설정한 다음 조건이 충족될 때 수행할 작업을 지정합니다. 자세한 내용 및 안내는 활동 규칙 만들기 및 관리하기를 참고하세요.

검색결과에 따라 조치 취하기

이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기

보안 조사 도구에서 검색을 실행한 후 검색 결과를 바탕으로 작업을 수행할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 자세한 내용은 검색 결과에 따라 조치 취하기를 참고하세요.

조사 관리하기

이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기

조사 목록 보기

내가 소유한 조사 및 나와 공유된 조사의 목록을 보려면 조사 보기 를 클릭합니다. 조사 목록에는 조사의 제목, 설명, 소유자, 최종 수정 날짜가 포함되어 있습니다. 

이 목록에서 소유하는 모든 조사에 대한 작업(예: 조사 삭제)을 수행할 수 있습니다. 작업하려는 조사의 체크박스를 선택하고 작업을 클릭합니다.

참고: 조사 목록 바로 위에 있는 빠른 액세스에서 최근에 저장된 조사를 확인할 수 있습니다.

조사 설정 구성하기

최고 관리자는 설정 을 클릭하여 다음 작업을 수행할 수 있습니다.

  • 조사의 시간대를 변경합니다. 시간대는 검색 조건과 검색결과에 적용됩니다.
  • 검토자 요청을 사용 또는 사용 중지합니다. 자세한 내용은 일괄 작업에 대해 검토자 요청하기를 참고하세요.
  • 콘텐츠 보기를 사용 또는 사용 중지합니다. 이 설정을 사용하면 적절한 권한이 있는 관리자가 콘텐츠를 볼 수 있습니다.
  • 작업 사유 입력 사용 설정을 사용 또는 사용 중지합니다.

자세한 안내 및 정보는 조사 설정 구성하기를 참고하세요.

조사 공유, 삭제, 복제하기

검색 기준을 저장하여 이를 다른 사용자와 공유하려면 조사를 만들고 저장한 다음 공유, 복제 또는 삭제할 수 있습니다.

자세한 내용은 조사 저장, 공유, 삭제, 복제하기를 참고하세요.

규칙 로그 이벤트를 사용하여 Chat 메시지 조사하기

이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기

관리자는 Chat에 대한 데이터 보호 규칙을 생성하여 민감한 콘텐츠의 유출을 모니터링하고 방지할 수 있습니다. 그런 다음 보안 조사 도구를 사용하여 도메인 외부로 전송된 메시지 및 파일 등 조직의 Chat 활동을 모니터링할 수 있습니다. 자세한 내용은 Chat 메시지를 조사하여 조직 데이터 보호하기를 참고하세요.

규칙 로그 이벤트를 사용하여 DLP 규칙 위반 조사하기

이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기

관리자는 데이터 손실 방지(DLP) 스니펫을 사용하여 DLP 규칙 위반이 실제 이슈인지 거짓양성인지 조사할 수 있습니다. 자세한 내용은 DLP 규칙을 트리거하는 콘텐츠 보기를 참고하세요.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?
true
지금 14일 무료 평가판 사용

업무용 이메일, 온라인 저장용량, 공유 캘린더, 화상 회의 등 다양한 기능을 제공합니다. 지금 무료로 G Suite 평가판을 사용해 보세요.

검색
검색어 지우기
검색 닫기
기본 메뉴
1886758558015415659
true
도움말 센터 검색
true
true
true
true
true
73010
false
false