액세스 평가 로그 이벤트

클라이언트 애플리케이션이 사용자 데이터에 액세스하는 방법 확인하기

Google Workspace 버전에 따라 고급 기능이 포함된 보안 조사 도구에 액세스할 수도 있습니다. 예를 들어 최고 관리자는 보안 및 개인 정보 보호 문제를 식별하고 분류하여 조치를 취할 수 있습니다. 자세히 알아보기

조직의 관리자는 액세스 평가 로그 이벤트를 사용하여 Google Workspace의 다양한 보안 정책이 서드 파티 및 Google 소유 앱에 대한 사용자 액세스에 어떤 영향을 미치는지 파악할 수 있습니다. 예를 들어 조직에는 서로 다른 규칙에 따라 앱 액세스를 제어하는 여러 OAuth 정책이 있을 수 있습니다. 조직에는 특정 서비스에 대한 액세스를 방지하거나 허용하는 서비스 사용 설정/사용 중지 정책이 있을 수도 있습니다. 액세스 평가 로그 이벤트에는 사용자 액세스에 영향을 미치는 정책, 액세스 권한 부여 여부, 이러한 결정이 내려진 방식이 표시됩니다. 이 정보를 사용하여 조직의 보안 정책 및 구성을 검토하고 수정할 수 있습니다.

로그 이벤트 검색 실행하기

검색 실행 가능 여부는 Google 버전, 관리 권한, 데이터 소스에 따라 달라집니다. Google Workspace 버전과 관계없이 모든 사용자를 대상으로 검색을 실행할 수 있습니다.

감사 및 조사 도구

로그 이벤트를 검색하려면 먼저 데이터 소스를 선택하세요. 그런 다음 하나 이상의 검색 필터를 선택합니다.

  1. Google 관리 콘솔에서 메뉴 다음 보고 다음감사 및 조사 다음액세스 평가 로그 이벤트로 이동합니다.

    보고서 관리자 권한이 필요합니다.

  2. 특정 날짜 전후에 발생한 이벤트를 필터링하려면 날짜에서 이전 또는 이후를 선택합니다. 기본적으로 지난 7일간의 이벤트가 표시됩니다. 다른 기간을 선택하거나 아이콘을 클릭하여 날짜 필터를 삭제할 수 있습니다.

  3. 필터 추가를 클릭하고 다음속성을 선택합니다. 예를 들어 특정 이벤트 유형을 기준으로 필터링하려면 이벤트를 선택합니다.
  4. 연산자를 선택하고 다음값을 선택한 다음 다음적용을 클릭합니다.
    • (선택사항) 검색 필터를 여러 개 만들려면 이 단계를 반복합니다.
    • (선택사항) 검색 연산자를 추가하려면 필터 추가 위에서 AND 또는 OR을 선택합니다.
  5. 검색을 클릭합니다. 참고: 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색 결과를 필터링할 수 있습니다. 필터가 AND/OR 연산자로 조건으로 표시되는 조건 작성 도구 탭을 사용할 수도 있습니다.

보안 조사 도구

이 기능이 지원되는 버전: Frontline Standard 및 Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus, Cloud ID Premium 사용 중인 버전 비교하기

보안 조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 하나 이상의 검색 조건을 선택합니다. 각 조건에서 속성, 연산자, 을 선택합니다.

  1. Google 관리 콘솔에서 메뉴 다음 보안 다음보안 센터 다음조사 도구로 이동합니다.

    보안 센터 관리자 권한이 필요합니다.

  2. 데이터 소스를 클릭하고 액세스 평가 로그 이벤트를 선택합니다.

  3. 특정 날짜 전후에 발생한 이벤트를 필터링하려면 날짜에서 이전 또는 이후를 선택합니다. 기본적으로 지난 7일간의 이벤트가 표시됩니다. 다른 기간을 선택하거나 아이콘을 클릭하여 날짜 필터를 삭제할 수 있습니다.

  4. 조건 추가를 클릭합니다.
    도움말: 검색에 조건을 하나 이상 포함하거나 중첩된 쿼리로 검색을 맞춤설정할 수 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요.
  5. 속성을 클릭하고 다음 옵션을 선택합니다. 예를 들어 특정 이벤트 유형을 기준으로 필터링하려면 이벤트를 선택합니다.
    전체 속성 목록을 보려면 속성 설명 섹션으로 이동하세요.
  6. 연산자를 선택합니다.
  7. 값을 입력하거나 목록에서 값을 선택합니다.
  8. (선택사항) 검색 조건을 더 추가하려면 단계를 반복합니다.
  9. 검색을 클릭합니다.
    페이지 하단의 표에서 조사 도구의 검색 결과를 검토할 수 있습니다.
  10. (선택사항) 조사를 저장하려면 저장 다음을 클릭하고 제목과 설명을 입력한 다음 다음 저장을 클릭합니다.

참고

  • 조건 작성 도구 탭에서 필터는 AND/OR 연산자로 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색 결과를 필터링할 수도 있습니다.
  • 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.comNewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.
  • 휴지통에서 아직 삭제되지 않은 메일의 데이터만 검색할 수 있습니다.

속성 설명

조직에는 사용자 액세스에 영향을 미치는 다양한 소스의 여러 보안 정책이 있을 수 있습니다. 액세스 평가 로그를 사용하면 이러한 정책의 함께 적용될 때의 동작과 변경해야 할 특정 정책을 파악할 수 있습니다.

예를 들어 승인되지 않은 사용자가 메시지 앱에 액세스하는 경우 액세스 평가 로그 이벤트를 통해 사용 중인 정책을 파악할 수 있습니다. 정책을 변경하면 로그 이벤트에 변경사항의 결과가 표시됩니다.

액세스 평가 로그 이벤트를 사용하여 조직의 보안 상황을 조사할 수도 있습니다. 예를 들면 다음과 같습니다.

  • 의심스러운 활동 모니터링: 로그를 사용하여 민감한 정보에 대한 액세스 시도 또는 금지된 위치에서의 액세스와 같은 의심스러운 활동을 모니터링할 수 있습니다.
  • 조직의 보안 상황 감사: 로그를 사용하여 조직의 보안 상황에 대해 감사를 진행하고 데이터가 보호되는지 확인할 수 있습니다.

24시간 이내에 첫 번째 이벤트에 대한 로그 항목이 생성됩니다. 동일한 정보가 포함된 중복 이벤트는 24시간이 지나야 로깅됩니다. 예를 들어 시간 X에 User1, Client1, IP1이 포함된 항목이 발생하면 동일한 정보가 포함된 중복 이벤트는 24시간이 지나기 전에는 로깅되지 않습니다.

참고: 각 로그 항목에는 다음 정보 중 일부가 포함될 수 있습니다. 예를 들어 서비스 계정에서 액세스를 수행하지 않는 한 서비스 계정 필드는 일반적으로 비어 있습니다.

열 이름 설명
이벤트 이벤트 이름
  • 액세스 토큰 요청 (OAuth 토큰이 발급된 경우)
  • 토큰 가장 기능 허용 (서비스 계정을 통해 액세스하는 경우)
  • 쿠키와 연결된 사용자 인증 정보가 애플리케이션 액세스 중에 보안 정책에 대해 성공적으로 검증된 경우 쿠키 검사 요청 허용
설명 이벤트 설명 특정 범위의 Myapp에 대한 FirstName LastName님의 액세스 요청이 허용되었습니다.
날짜 요청이 평가된 날짜 및 시간 2022-08-11T10:00:53-07:00
Actor 평가가 요청되고 허용된 사용자 이메일 주소 firstlast@sample-win.info
애플리케이션 이름 액세스 중인 애플리케이션의 이름 Reddit
IP 주소 사용자가 액세스 평가를 요청한 IP 주소 2601:600:8780:19d0:925:e630:d20e:b1cc

IP ASN

이 열을 검색 결과에 추가해야 합니다. 자세한 단계는 검색 결과 열 데이터 관리하기를 참고하세요.

로그 항목과 연결된 IP 자율 시스템 번호 (ASN), 하위 구분, 지역입니다.

활동이 발생한 IP ASN, 하위 구분, 지역 코드를 검토하려면 검색 결과에서 이름을 클릭합니다.

IP ASN: 12345

하위 구분 코드: IN-KA

지역 코드: IN
OAuth 클라이언트 ID

액세스가 평가된 애플리케이션의 클라이언트 ID입니다.

참고: 이 속성은 액세스 토큰 요청 및 토큰 가장 기능 허용 이벤트에만 적용됩니다.

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
범위

요청이 승인된 범위입니다.

참고: Google 소유 앱의 경우 OAuth 범위 정보가 표시되지 않습니다.

 https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, openid
구성 소스

사용자에게 이 애플리케이션 ID에 대한 액세스를 명시적으로 허용한 Google Workspace 정책으로 인해 클라이언트 ID가 허용되었는지 여부를 설명합니다.

참고: 이 속성은 액세스 토큰 요청 및 토큰 가장 기능 허용 이벤트에만 적용됩니다.

 자세한 내용은 이 페이지 뒷부분의 구성 소스 설명을 참고하세요.
클라이언트 유형

액세스가 평가된 애플리케이션의 유형입니다.

참고: 이 속성은 액세스 토큰 요청 및 토큰 가장 기능 허용 이벤트에만 적용됩니다.

 웹, Android, iOS 등
서비스 계정

사용자 명의 도용에 서비스 계정이 사용된 경우 해당 서비스 계정의 이메일 ID입니다.

참고: 이 속성은 토큰 가장 기능 허용 이벤트에만 적용됩니다.

 abc-alpha@gserviceaccount.com

구성 소스 설명

구성 소스는 사용자에게 애플리케이션 ID에 대한 액세스를 명시적으로 허용한 Google Workspace 정책으로 인해 클라이언트 ID가 허용되었는지 여부를 설명합니다.

참고: 이러한 시나리오는 OAuth 관련 액세스 토큰 요청 또는 토큰 가장 기능 허용 액세스 이벤트에만 적용됩니다.

시나리오 설명
앱 구성 없음

관리자가 API 컨트롤을 사용하여 클라이언트 ID에 대한 액세스를 차단하는 정책을 설정하지 않았기 때문에 액세스가 허용되었습니다.

차단 정책을 추가하려면 Google Workspace 데이터에 액세스할 수 있는 앱 관리하기를 참고하세요.
API 관리 구성

API 컨트롤을 사용하는 정책에서 신뢰하거나 제한하는 애플리케이션이므로 액세스가 허용되었습니다.

자세한 내용은 Google Workspace 데이터에 액세스할 수 있는 앱 관리하기를 참고하세요.
엔드포인트 관리 구성

Google 엔드포인트 관리를 사용하는 정책에서 신뢰하거나 제한한 애플리케이션이므로 액세스가 허용되었습니다.

자세한 내용은 개요: Google 엔드포인트 관리로 기기 관리하기를 참고하세요.
Workspace Marketplace 구성

Google Workspace Marketplace에서 설치된 애플리케이션이므로 액세스가 허용되었습니다.

자세한 내용은 Marketplace에서 앱 찾기 및 설치하기를 참고하세요.
도메인 전체 위임 구성

도메인 전체에 위임된 애플리케이션이므로 액세스가 허용되었습니다.

자세한 내용은 도메인 전체 위임으로 API 액세스 제어하기를 참고하세요.

로그 이벤트 데이터 관리하기

검색 결과 열 데이터 관리하기

검색 결과에 표시할 데이터 열을 설정할 수 있습니다.

  1. 검색 결과 표의 오른쪽 상단에서 열 관리 를 클릭합니다.
  2. (선택사항) 현재 열을 삭제하려면 삭제 를 클릭합니다.
  3. (선택사항) 열을 추가하려면 새 열 추가 옆에 있는 아래쪽 화살표 를 클릭하고 데이터 열을 선택합니다.
    필요한 경우 반복합니다.
  4. (선택사항) 열 순서를 변경하려면 데이터 열 이름을 드래그합니다.
  5. 저장을 클릭합니다.

검색 결과 데이터 내보내기

검색 결과를 Sheets 또는 CSV 파일로 내보낼 수 있습니다.

  1. 검색 결과 표 상단에서 모두 내보내기를 클릭합니다.
  2. 이름을 입력하고 다음 내보내기를 클릭합니다.
    내보내기는 검색 결과 표 아래의 작업 결과 내보내기에 표시됩니다.
  3. 데이터를 보려면 내보내기 이름을 클릭합니다.
    Sheets에서 내보내기 파일이 열립니다.

내보내기 한도는 다음과 같이 다릅니다.

  • 내보내기 전체 작업의 결과는 100,000행으로 제한됩니다.
  • 이 기능이 지원되는 버전: Frontline Standard 및 Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus, Cloud ID Premium 사용 중인 버전 비교하기

    보안 조사 도구가 있는 경우 내보내기 전체 작업의 결과는 3천만 행으로 제한됩니다.

자세한 내용은 검색 결과 내보내기를 참고하세요.

데이터는 언제 사용할 수 있으며 얼마 동안 제공되나요?

검색 결과에 따라 조치 취하기

활동 규칙 만들기 및 알림 설정하기

  • 보고 규칙을 사용하여 로그 이벤트 데이터에 따라 알림을 설정할 수 있습니다. 자세한 내용은 보고 규칙 만들기 및 관리하기를 참고하세요.
  • 이 기능이 지원되는 버전: Frontline Standard 및 Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus, Cloud ID Premium 사용 중인 버전 비교하기

    활동 규칙을 만들어 보안 조사 도구에서 작업을 자동화하고 알림을 설정하면 보다 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다. 규칙을 설정하려면 규칙에 대한 조건을 설정한 다음 조건이 충족될 때 수행할 작업을 지정합니다. 자세한 내용은 활동 규칙 만들기 및 관리하기를 참고하세요.

검색 결과에 따라 조치 취하기

이 기능이 지원되는 버전: Frontline Standard 및 Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus, Cloud ID Premium 사용 중인 버전 비교하기

보안 조사 도구에서 검색을 실행한 후 검색 결과를 바탕으로 작업을 수행할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 자세한 내용은 검색 결과에 따라 조치 취하기를 참고하세요.

조사 관리하기

이 기능이 지원되는 버전: Frontline Standard 및 Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus, Cloud ID Premium 사용 중인 버전 비교하기

조사 목록 보기

소유하고 있는 조사 및 공유된 조사의 목록을 보려면 조사 보기 를 클릭합니다. 조사 목록에는 조사의 제목, 설명, 소유자, 최종 수정 날짜가 포함되어 있습니다.

이 목록에서 소유하는 모든 조사에 대한 작업(예: 조사 삭제)을 수행할 수 있습니다. 작업하려는 조사의 체크박스를 선택하고 작업을 클릭합니다.

참고: 저장된 조사는 조사 목록 바로 위에 있는 빠른 액세스에서 확인할 수 있습니다.

조사 설정 구성하기

최고 관리자는 설정 을 클릭하여 다음 작업을 수행할 수 있습니다.

  • 조사의 시간대를 변경합니다. 시간대는 검색 조건과 검색 결과에 적용됩니다.
  • 검토자 요청을 사용 또는 사용 중지합니다. 자세한 내용은 일괄 작업에 대해 검토자 요청하기를 참고하세요.
  • 콘텐츠 보기를 사용 또는 사용 중지합니다. 이 설정을 사용하면 적절한 권한이 있는 관리자가 콘텐츠를 볼 수 있습니다.
  • 작업 사유 입력 사용 설정을 사용 또는 사용 중지합니다.

자세한 내용은 조사 설정 구성하기를 참고하세요.

조사 저장, 공유, 삭제, 복제하기

검색 기준을 저장하여 이를 다른 사용자와 공유하려면 조사를 만들고 저장한 다음 공유, 복제 또는 삭제할 수 있습니다.

자세한 내용은 조사 저장, 공유, 삭제, 복제하기를 참고하세요.