보안 조사 도구
조사 도구에서 검색을 맞춤설정할 때 검색에 조건을 하나 이상 포함할 수 있습니다. 2개 이상의 조건이 있는 검색을 맞춤설정하는 경우 중첩된 쿼리(즉, 2단계 또는 3단계의 조건이 포함된 검색)를 만들 수도 있습니다.
중첩된 쿼리를 사용하면 훨씬 세분화되고 특정 이벤트 유형을 타겟팅하는 쿼리를 지정하여 검색 범위를 좁힐 수 있습니다. 검색을 맞춤설정하는 동안 조건 그룹 추가를 클릭하면 됩니다.
예를 들어 조직에서 수신 이메일을 검색하여 첨부파일을 받는 사용자를 조사할 수도 있습니다. 또한 첨부파일을 여는 사용자만 또는 이메일에 포함된 링크를 클릭하는 사용자만 포함하여 검색 범위를 좁힐 수 있습니다. 검색을 맞춤설정할 때 Gmail 로그 이벤트 데이터 소스를 기반으로 검색을 수행하고 검색 조건을 다음과 같이 설정합니다.
- 이메일에 첨부파일이 있어야 합니다.
- 그리고 사용자는 첨부파일을 열거나 이메일의 링크를 클릭해야 합니다.
참고: 대부분의 데이터 소스에서는 3단계 중첩된 쿼리를 사용 설정합니다. 사용자 데이터 소스에서는 2단계 중첩된 쿼리만 사용 설정하고 Chrome 브라우저 데이터 소스에서는 중첩된 쿼리를 사용 설정하지 않습니다.