Google Workspace 버전에 따라 고급 기능이 포함된 보안 조사 도구에 액세스할 수도 있습니다. 예를 들어 최고 관리자는 보안 및 개인 정보 보호 문제를 식별하고 분류하여 조치를 취할 수 있습니다. 자세히 알아보기
조직의 관리자는 기기 로그 이벤트와 관련된 보안 문제에 대해 검색을 실행하고 조치를 취할 수 있습니다. 조직의 데이터에 액세스하는 데 사용되는 컴퓨터, 휴대기기, 스마트 홈 기기에서의 활동 기록을 볼 수 있습니다. 예를 들어 사용자가 기기에 계정을 추가했거나 기기의 비밀번호가 비밀번호 정책을 준수하지 않았는지 확인할 수 있습니다. 활동이 발생하면 알림을 받도록 알림 설정을 할 수도 있습니다.시작하기 전에
- 휴대기기의 감사 이벤트를 모두 확인하려면 고급 기기 관리를 사용하여 기기를 관리해야 합니다.
- Android 기기의 애플리케이션 변경사항을 보려면 애플리케이션 감사를 사용 설정해야 합니다.
- Google 동기화를 사용하여 회사 데이터를 동기화하는 기기의 활동은 볼 수 없습니다.
- 감사 로그를 지원하지 않는 버전으로 다운그레이드하면 감사 로그에서 새 이벤트에 대한 데이터 수집이 중지됩니다. 하지만 관리자는 이전 데이터를 계속 사용할 수 있습니다.
로그 이벤트 데이터를 Google Cloud로 전달하기
로그 이벤트 데이터를 Google Cloud와 공유하도록 선택할 수 있습니다. 공유를 사용 설정하면 데이터가 Cloud Logging으로 전달되고 여기서 로그를 쿼리하고 조회할 수 있으며 로그 라우팅 및 저장 방식을 관리할 수 있습니다.
로그 이벤트 검색 실행하기
검색 실행 가능 여부는 Google 버전, 관리 권한, 데이터 소스에 따라 달라집니다. Google Workspace 버전과 관계없이 모든 사용자를 대상으로 검색을 실행할 수 있습니다.
로그 이벤트를 검색하려면 먼저 데이터 소스를 선택하세요. 그런 다음 하나 이상의 검색 필터를 선택합니다.
-
-
관리 콘솔에서 메뉴
보고
감사 및 조사
- 필터 추가를 클릭한 다음 속성을 선택합니다.
- 팝업 창에서 연산자를 선택하고
- (선택사항) 검색을 위해 여러 필터를 만들려면 이 단계를 반복합니다.
- (선택사항) 검색 연산자를 추가하려면 필터 추가 위에서 AND 또는 OR을 선택합니다.
- (선택사항) 검색을 위해 여러 필터를 만들려면 이 단계를 반복합니다.
- (선택사항) 검색 연산자를 추가하려면 필터 추가 위에서 AND 또는 OR을 선택합니다.
- 검색을 클릭합니다.
-
참고: 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수 있습니다. 필터가 AND/OR 연산자로 조건으로 표시되는 조건 작성 도구 탭을 사용할 수도 있습니다.
보안 조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 하나 이상의 검색 조건을 선택합니다. 각 조건에서 속성, 연산자, 값을 선택합니다.
-
-
관리 콘솔에서 메뉴
보안
- 데이터 소스를 클릭하고 기기 로그 이벤트를 선택합니다.
- 조건 추가를 클릭합니다.
도움말: 검색에 조건을 하나 이상 포함하거나 중첩된 쿼리로 검색을 맞춤설정할 수 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요. - 속성을 클릭하고
전체 속성 목록을 보려면 아래 속성 설명 섹션으로 이동합니다. - 연산자를 선택합니다.
- 값을 입력하거나 드롭다운 목록에서 값을 선택합니다.
- (선택사항) 검색 조건을 더 추가하려면 4~7단계를 반복합니다.
- 검색을 클릭합니다.
페이지 하단의 표에 조사 도구의 검색결과가 표시됩니다. - (선택사항) 조사를 저장하려면 저장
을 클릭하고
참고:
- 조건 작성 도구 탭에서 필터는 AND/OR 연산자로 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수도 있습니다.
- 참고: 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.com을 NewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.
속성 설명
이 데이터 소스의 경우 로그 이벤트 데이터를 검색할 때 다음 속성을 사용할 수 있습니다.
| 속성 | 설명 |
|---|---|
| 계정 상태 | 계정 등록 여부를 표시합니다. |
| 작업 수행자 그룹 이름 |
작업 수행자의 그룹 이름입니다. 자세한 내용은 Google 그룹별로 검색결과 필터링하기를 참고하세요. 필터링 그룹 허용 목록에 그룹을 추가하려면 다음 안내를 따르세요.
|
| 작업 수행자 조직 단위 | 작업 수행자의 조직 단위입니다. |
| 애플리케이션 ID | 애플리케이션 식별자입니다. |
| 애플리케이션 SHA-256 해시 | 앱 관련 이벤트의 경우 애플리케이션 패키지의 SHA-256 해시입니다(Android만 해당). |
| 애플리케이션 상태 | 애플리케이션이 설치, 제거 또는 업데이트되었는지 여부를 표시합니다. |
| 날짜 | 이벤트 날짜 및 시간입니다(브라우저의 기본 시간대로 표시됨). |
| 기기 규정 준수 상태 |
해당 기기에서 조직의 정책 규정을 준수하는지 여부입니다. 기기가 준수하지 않음으로 표시되는 경우
예: 사용자의 Nexus 6P에서 비밀번호 정책을 준수하지 않으므로 설정된 정책의 규정을 준수하지 않는 상태입니다. |
| 보안 침해된 기기 상태 |
기기가 보안 침해되었는지 여부를 표시합니다. 기기를 '루팅' 또는 '탈옥'하거나 기기에서 제한을 삭제하는 작업을 진행한 경우 보안 침해가 발생할 수 있습니다. 보안 침해된 기기는 보안 위협이 될 수 있습니다. 사용자의 기기에 보안 침해가 발생하거나 해결될 때마다 시스템에 항목이 기록됩니다. 예: 사용자의 Nexus 5에 보안 침해가 발생했습니다. |
| 기기 ID | 이벤트가 발생한 기기의 식별자입니다. |
| 기기 모델 | 기기의 모델입니다. |
| 기기 소유자 | 기기의 소유자입니다. |
| 기기 소유권 |
기기의 소유권이 변경되었는지 여부입니다. 예를 들어 관리 콘솔에 개인 기기의 세부정보를 가져온 후 개인 기기가 회사 소유로 변경되었습니다. 회사 소유 기기가 관리 콘솔에 추가된 직후 감사가 이루어집니다. 회사 소유 기기가 관리 콘솔에서 삭제된 경우에는 기기가 관리를 위해 다시 등록된 후 다음 동기화 때 감사가 이루어집니다. 예: 사용자의 Nexus 5 소유권이 회사 소유로 변경되었으며 새 기기 ID는 abcd1234입니다. |
| 기기 속성 | 기기 모델, 일련번호 또는 Wi-Fi MAC 주소 등 기기에 관한 정보입니다. |
| 기기 설정 |
기기 사용자가 기기에서 개발자 옵션, 알 수 없는 소스, USB 디버깅 또는 앱 인증 설정을 변경했습니다. 다음에 기기가 동기화되면 이 이벤트가 기록됩니다. 예: Nexus 6P에서 사용자가 앱 인증 설정을 사용 중지에서 사용으로 변경했습니다. |
| 기기 유형 | 이벤트가 발생한 기기의 유형(예: Android 또는 Apple iOS)입니다. |
| 도메인* | 작업이 발생한 도메인입니다. |
| 이벤트 | 기록된 이벤트 작업입니다(예: 기기 OS 업데이트 또는 기기 동기화 이벤트). |
| 잘못된 비밀번호 입력 횟수* |
사용자가 기기의 잠금 해제를 시도했다가 실패한 횟수입니다. 사용자 기기를 잠금 해제하려는 시도가 6회 이상 실패한 경우에만 이벤트가 생성됩니다. 예: 사용자의 Nexus 7을 잠금 해제하기 위한 비밀번호가 5번 잘못 입력되었습니다. |
| iOS 공급업체 ID | iOS 공급업체의 식별자입니다. |
| 새 기기 ID | 새 기기의 식별자입니다. |
| OS 속성 | 빌드 번호, OS 버전 또는 보안 패치와 같은 OS 정보입니다. |
| 등록 권한 | 기기 소유자 또는 기기 관리자와 같은 기기의 사용자 역할입니다. |
| 리소스 ID | 기기의 고유 식별자입니다. |
| 일련번호 |
기기의 일련번호입니다. 컴퓨터의 일련번호를 표시하려면 다음 안내를 따르세요.
|
| 사용자 이메일 | 기기 사용자의 이메일 주소입니다. |
참고: 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.com을 NewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.
로그 이벤트 데이터 관리하기
검색결과 열 데이터 관리하기
검색결과에 표시할 데이터 열을 설정할 수 있습니다.
- 검색결과 표의 오른쪽 상단에서 열 관리
를 클릭합니다.
- (선택사항) 현재 열을 삭제하려면 삭제
를 클릭합니다.
- (선택사항) 열을 추가하려면 새 열 추가 옆에 있는 아래쪽 화살표
를 클릭하고 데이터 열을 선택합니다.
필요한 경우 반복합니다. - (선택사항) 열 순서를 변경하려면 데이터 열 이름을 드래그합니다.
- 저장을 클릭합니다.
검색결과 데이터 내보내기
검색 결과를 Google Sheets 또는 CSV 파일로 내보낼 수 있습니다.
- 검색결과 표 상단에서 모두 내보내기를 클릭합니다.
- 이름을 입력하고
내보내기가 검색 결과 표 아래의 작업 결과 내보내기에 표시됩니다. - 데이터를 보려면 내보내기 이름을 클릭합니다.
Google Sheets에서 내보내기 파일이 열립니다.
내보내기 한도는 다음과 같이 다양합니다.
- 내보내기의 총 결과는 100,000행으로 제한됩니다(10,000행으로 제한되는 Gmail 메일 검색 제외).
- 이 기능은 Cloud ID Premium 버전에서 사용할 수 있습니다. 버전 비교하기
보안 조사 도구가 있는 경우 총 내보내기 결과는 3천만 행으로 제한됩니다(10,000행으로 제한되는 Gmail 메일 검색 제외).
자세한 내용은 검색 결과 내보내기를 참고하세요.
데이터는 언제 사용할 수 있으며 얼마 동안 제공되나요?
검색 결과에 따라 조치 취하기
- 보고 규칙을 사용하여 로그 이벤트 데이터를 기반으로 알림을 설정할 수 있습니다. 자세한 내용은 보고 규칙 만들기 및 관리하기를 참고하세요.
- 이 기능은 Cloud ID Premium 버전에서 사용할 수 있습니다. 버전 비교하기
활동 규칙을 만들어 보안 조사 도구에서 작업을 자동화하고 알림을 설정하면 보다 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다. 규칙을 설정하려면 규칙에 대한 조건을 설정한 다음 조건이 충족될 때 수행할 작업을 지정합니다. 자세한 내용 및 안내는 활동 규칙 만들기 및 관리하기를 참고하세요.
이 기능은 Cloud ID Premium 버전에서 사용할 수 있습니다. 버전 비교하기
보안 조사 도구에서 검색을 실행한 후 검색 결과를 바탕으로 작업을 수행할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 자세한 내용은 검색 결과에 따라 조치 취하기를 참고하세요.
조사 관리하기
이 기능은 Cloud ID Premium 버전에서 사용할 수 있습니다. 버전 비교하기
조사 목록 보기내가 소유한 조사 및 나와 공유된 조사의 목록을 보려면 조사 보기 를 클릭합니다. 조사 목록에는 조사의 제목, 설명, 소유자, 최종 수정 날짜가 포함되어 있습니다.
이 목록에서 소유하는 모든 조사에 대한 작업(예: 조사 삭제)을 수행할 수 있습니다. 작업하려는 조사의 체크박스를 선택하고 작업을 클릭합니다.
참고: 조사 목록 바로 위에 있는 빠른 액세스에서 최근에 저장된 조사를 확인할 수 있습니다.
최고 관리자는 설정 을 클릭하여 다음 작업을 수행할 수 있습니다.
- 조사의 시간대를 변경합니다. 시간대는 검색 조건과 검색결과에 적용됩니다.
- 검토자 요청을 사용 또는 사용 중지합니다. 자세한 내용은 일괄 작업에 대해 검토자 요청하기를 참고하세요.
- 콘텐츠 보기를 사용 또는 사용 중지합니다. 이 설정을 사용하면 적절한 권한이 있는 관리자가 콘텐츠를 볼 수 있습니다.
- 작업 사유 입력 사용 설정을 사용 또는 사용 중지합니다.
자세한 안내 및 정보는 조사 설정 구성하기를 참고하세요.
검색 기준을 저장하여 이를 다른 사용자와 공유하려면 조사를 만들고 저장한 다음 공유, 복제 또는 삭제할 수 있습니다.
자세한 내용은 조사 저장, 공유, 삭제, 복제하기를 참고하세요.