액세스 투명성 로그 이벤트

이 기능이 지원되는 버전: Frontline Plus, Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus. 사용 중인 버전 비교하기

조직의 관리자는 보안 조사 도구를 사용하여 액세스 투명성 로그 이벤트와 관련된 검색을 실행할 수 있습니다. 검색된 작업 기록에서 Google 직원이 데이터에 액세스할 때 수행한 작업에 대한 정보를 확인할 수 있습니다.

액세스 투명성 로그 이벤트 데이터에는 다음 정보가 포함됩니다.

  • 영향을 받은 리소스와 작업
  • 작업 수행 시간
  • 작업 이유(예: 고객 지원 요청과 관련된 케이스 번호)
  • 데이터 작업을 수행하는 Google 직원(예: 사무실 위치)

자세한 내용은 액세스 투명성: 사용자 콘텐츠에 대한 Google 액세스 로그 보기를 참고하세요.

Google Cloud로 로그 데이터 전달하기

로그 데이터를 Google Cloud와 공유하는 것에 동의할 수 있습니다. 공유를 사용 설정하면 데이터가 Cloud Logging으로 전달되고 여기서 로그를 쿼리하고 조회할 수 있으며 로그 라우팅 및 저장 방식을 관리할 수 있습니다.

액세스 투명성 로그 이벤트 검색 실행하기

검색 실행 가능 여부는 관리자의 Google 버전, 관리 권한, 데이터 소스에 따라 달라집니다. 사용자의 Google Workspace 버전과 관계없이 모든 사용자를 대상으로 검색을 실행할 수 있습니다.

보안 조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 하나 이상의 검색 조건을 선택합니다. 각 조건에서 속성, 연산자, 을 선택합니다.

다음 단계를 따르세요.

  1. Google 관리 콘솔에서 메뉴 다음 보안 다음 보안 센터 다음 조사 도구로 이동합니다.

    보안 센터 관리자 권한이 필요합니다.

  2. 데이터 소스 드롭다운 목록에서 액세스 투명성 로그 이벤트를 선택합니다.
  3. 조건 추가를 클릭합니다. 검색에 조건을 하나 이상 포함할 수 있습니다. 중첩된 쿼리(2단계 또는 3단계 조건으로 검색)로 검색을 맞춤설정할 수도 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요.

  4. 속성 드롭다운 목록에서 속성 중 하나를 선택합니다(예: 작업 수행자 또는 날짜). 액세스 투명성 로그 이벤트에 사용할 수 있는 속성의 전체 목록은 아래 섹션을 참고하세요.

    참고: 검색 기간의 범위를 좁히면 보안 조사 도구에 검색 결과가 더 빨리 표시됩니다. 예를 들어 지난주에 발생한 이벤트로 검색 범위를 좁히면 쿼리를 더 짧은 기간으로 제한하지 않고 검색하는 경우보다 결과가 더 빨리 반환됩니다.

  5. 연산자를 선택합니다(예: 같음, 다름, 포함 또는 포함하지 않음).

  6. 속성 값을 선택하거나 입력합니다. 일부 속성의 경우 드롭다운 목록에서 선택할 수 있으며, 값을 입력하는 속성도 있습니다.

  7. (선택 사항) 여러 검색 조건을 포함하려면 위 단계를 반복합니다.

  8. 검색을 클릭합니다. 페이지 하단의 표에 도구의 검색 결과가 표시됩니다.

  9. (선택 사항) 검색을 저장하려면 저장 을 클릭하고 제목과 설명을 입력한 다음 저장을 클릭합니다.

참고: 조건 작성 도구 탭을 사용하면 필터가 AND/OR 연산자로 결합된 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색 결과를 필터링할 수도 있습니다.

속성 설명

이 데이터 소스의 경우 로그 이벤트 데이터를 검색할 때 다음 속성을 사용할 수 있습니다.

속성 설명
작업 수행자 그룹 이름

작업 수행자의 그룹 이름입니다. 자세한 내용은 Google 그룹별 결과 필터링하기를 참고하세요.

그룹 필터링 허용 목록에 그룹을 추가하려면 다음 안내를 따르세요.

  1. 작업 수행자 그룹 이름을 선택합니다.
  2. 그룹 필터링을 클릭합니다.
    그룹 필터링 페이지가 표시됩니다.
  3. 그룹 추가를 클릭합니다.
  4. 이름이나 이메일 주소의 처음 몇 글자를 입력하여 그룹을 검색합니다. 원하는 그룹이 표시되면 선택합니다.
  5. (선택 사항) 다른 그룹을 추가하려면 그룹을 검색하여 선택합니다.
  6. 그룹을 모두 선택한 후에는 추가를 클릭합니다.
  7. (선택 사항) 그룹을 삭제하려면 그룹 삭제 를 클릭합니다.
  8. 저장을 클릭합니다.
작업 수행자 근무지

데이터 액세스 작업 수행자의 근무지입니다. 액세스 작업 수행자의 근무지가 위치한 ISO 3166-1 alpha-2 국가/지역 코드가 표시됩니다.

다음과 같은 값도 표시됩니다.

  • Google 직원이 인구가 적은 국가에 있는 경우 세 자리로 된 대륙 식별자가 표시됩니다(예 ASI, EUR, OCE, AFR, NAM, SAM 또는 ANT).
  • '??'는 해당 위치를 파악할 수 없음을 의미합니다.
작업 수행자 조직 단위 작업 수행자의 조직 단위입니다.
날짜 이벤트 날짜 및 시간입니다(브라우저의 기본 시간대로 표시됨).
이벤트 기록된 이벤트 작업입니다(예: 리소스 액세스됨).
Google Workspace 제품 액세스한 제품의 이름입니다.

IP ASN

이 열을 검색 결과에 추가해야 합니다. 자세한 단계는 검색 결과 열 데이터 관리하기를 참고하세요.

로그 항목과 연결된 IP 자율 시스템 번호(ASN), 하위 구분, 지역입니다.

활동이 발생한 IP ASN, 하위 구분 코드, 지역 코드를 검토하려면 검색 결과에서 이름을 클릭합니다.
근거 고객이 지원을 요청함 - 케이스 번호: 12345678과 같은 액세스 근거입니다.
로그 ID 고유한 로그 ID입니다.
권한 위임자 액세스 관리 제어에 권한이 사용된 사용자의 이메일 주소입니다.
소유자 이메일 리소스를 소유한 고객의 이메일 ID 또는 팀 식별자입니다.
리소스 이름 액세스한 리소스의 리소스 이름입니다.
티켓 근거와 관련된 티켓입니다(있는 경우).

검색 결과에 따라 조치 취하기

활동 규칙 만들기 및 알림 설정하기

  • 보고 규칙을 사용하면 로그 이벤트 데이터를 기반으로 알림을 설정할 수 있습니다. 자세한 내용은 보고 규칙 만들기 및 관리하기를 참고하세요.
  • 이 기능이 지원되는 버전: Frontline Standard 및 Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus, Cloud ID Premium. 사용 중인 버전 비교하기

    활동 규칙을 만들어 보안 조사 도구에서 작업을 자동화하고 알림을 설정하면 보다 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다. 규칙을 설정하려면 규칙에 대한 조건을 설정한 다음 조건이 충족될 때 수행할 작업을 지정합니다. 자세한 내용은 활동 규칙 만들기 및 관리하기를 참고하세요.

검색 결과에 따라 조치 취하기

이 기능이 지원되는 버전: Frontline Standard 및 Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus, Cloud ID Premium. 사용 중인 버전 비교하기

보안 조사 도구에서 검색을 실행한 후 검색 결과를 바탕으로 조치를 취할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 자세한 내용은 검색 결과에 따라 조치 취하기를 참고하세요.

액세스 투명성 로그 데이터 이해하기

로그 필드 설명

로그 필드 이름 시스템 필드 이름 설명
날짜 items:id:time 로그가 작성된 시간입니다.
Google Workspace 제품 items:events:parameters:GSUITE_PRODUCT_NAME 액세스 대상이 된 고객의 제품이며, 대문자로 표시되어야 합니다. 예시는 다음과 같습니다.
  • GMAIL
  • CALENDAR
  • DRIVE
  • SHEETS
  • SLIDES
소유자 이메일 items:events:parameters:OWNER_EMAIL 리소스를 소유한 고객의 이메일 ID 또는 팀 식별자입니다.
작업 수행자 근무지 items:events:parameters:ACTOR_HOME_OFFICE

액세스 작업 수행자의 근무지가 위치한 ISO 3166-1 alpha-2 국가/지역 코드입니다.

  • '??': 위치를 파악할 수 없는 경우
  • 세 글자로 이루어진 대륙 식별자(ASI, EUR, OCE, AFR, NAM, SAM, ANT): 액세스한 Google 직원이 인구가 적은 국가에 위치한 경우
근거

items:events:parameters:JUSTIFICATIONS

고객이 지원을 요청함 - 케이스 번호: 12345678과 같은 액세스 근거입니다.
티켓 tickets 근거와 관련된 티켓입니다(있는 경우).
로그 ID items:events:parameters:LOG_ID 고유한 로그 ID입니다.
리소스 이름 items:events:parameters:RESOURCE_NAME 액세스한 리소스의 이름입니다. 리소스 이름은 보안 조사 도구에서 도메인의 보안 및 개인 정보 보호 관련 문제를 추가로 식별하고 선별하여 조치를 취하는 데 사용할 수 있습니다.
권한 위임자 items:events:parameters:ON_BEHALF_OF 액세스의 근거를 제공한 사용자입니다. 문서를 공유받는 사람은 소유자가 아니라 지원 대상자일 수 있습니다. 권한 위임자는 액세스 이유에 대한 추가 정보를 제공합니다.
액세스 관리 정책 items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 액세스 전 확인된 액세스 관리 정책입니다. 액세스 관리가 구성된 고객에게만 적용됩니다.

근거 설명

이유 설명
고객이 지원을 요청함 고객이 요청한 지원(예: 케이스 번호)입니다.
외부에서 악용 사례 검토를 요청함 '외부에서 악용 사례 검토를 요청함'은 콘텐츠가 Google에 신고되는 경우에 적용됩니다.
  • 사용자는 Google 서비스 약관을 악용한 사례로 콘텐츠를 신고할 수 있습니다.
  • 최고 관리자는 다음과 같은 방법으로 보안 조사 도구를 사용하여 문서 제목, 소유자, 문서 유형, 지난 180일 동안의 로그 이벤트 등을 포함한 문서 관련 세부정보를 볼 수 있습니다.
  1. 조사 도구에서 Drive 로그 이벤트 데이터 소스를 사용하여 검색을 실행합니다.
  2. 조건에서 문서 ID를 클릭합니다.
  3. 액세스 투명성 로그에서 리소스 ID를 복사하여 조사 도구의 문서 ID 입력란에 붙여넣습니다.
  4. 검색을 클릭합니다.

자세한 내용 및 안내는 보안 조사 도구에서 검색 실행하기를 참고하세요.

악용 사례 신고에 대해 자세히 알아보기
프로덕션 환경 경고에 대한 Google의 대응 서비스 중단이 의심되는 경우 시스템 안정성을 유지하기 위해 다음 예와 같이 Google에서 요청한 액세스입니다.
  • 의심되는 서비스 중단 문제로 인해 고객이 영향을 받지 않았는지 확인하기 위한 조사
  • 서비스 중단 및 장애로 인한 피해를 막기 위한 백업 및 복구
Google에서 검토를 요청함 다음을 비롯한 보안, 사기, 악용, 규정 준수 등의 사유로 Google에서 요청한 액세스입니다.
  • 고객 계정 및 데이터의 안전과 보안 보장
  • 계정 보안을 위협할 수 있는 이벤트(예: 멀웨어 감염)로 인해 데이터에 영향이 있었는지 확인
  • 고객이 Google 서비스 약관에 따라 Google 서비스를 이용하는지 확인
  • 다른 사용자 및 고객의 불만 사항 또는 기타 악의적 활동 신호에 대한 조사
  • 관련 규정(예: 돈세탁 방지 규정)을 일관되게 준수하며 Google 서비스를 사용하고 있는지 확인

Google에서 서비스를 요청함

Google Cloud 서비스의 지속적인 유지보수 및 제공을 위해 Google에서 요청한 액세스입니다. 예를 들면 다음과 같습니다.

  • 복잡한 지원 요청 또는 조사에 필요한 기술적인 디버깅
  • 격리된 저장소 장애 또는 데이터 손상과 같은 기술적인 문제의 해결
서드 파티 데이터 요청 Google에서는 법적 요청이나 법적 절차에 대응하기 위해 고객 데이터에 액세스합니다. 여기에는 고객이 제기한 법적 절차에 대응하기 위해 Google에서 고객 소유의 데이터에 액세스해야 하는 경우도 포함됩니다.

이와 같은 요청이나 절차를 Google에서 법적으로 알릴 수 없는 경우 액세스 투명성 로그가 제공되지 않을 수 있습니다.

액세스 투명성 알림 설정하기

하나 이상의 로그 필터(예: 소유자 이메일, 작업 수행자 근무지)에 대한 이메일 알림을 설정할 수 있습니다. 또한 액세스 투명성을 지원하는 모든 제품의 모든 로그에 대한 알림도 사용 설정할 수 있습니다.

  1. Google 관리 콘솔에서 메뉴 다음 보안 다음 보안 센터 다음 조사 도구로 이동합니다.

    보안 센터 관리자 권한이 필요합니다.

  2. 데이터 소스 드롭다운 목록에서 액세스 투명성 로그 이벤트를 선택합니다.
  3. + 필터 추가를 클릭합니다.
  4. 필터를 하나 이상 선택하고 적용을 클릭합니다.
  5. (선택 사항) 지원되는 모든 제품의 모든 로그에 대한 알림을 사용 설정하려면 이벤트 이름 다음 액세스를 클릭합니다. 그러면 이벤트 이름: 액세스라는 필터가 만들어집니다.
  6. 보고 규칙 생성 을 클릭하고 규칙 이름을 입력한 다음 추가 알림 수신자의 이메일을 입력합니다.
  7. 만들기를 클릭합니다.

액세스 투명성 로그 데이터와 서드 파티 도구 통합하기

Reports API를 사용하여 액세스 투명성 로그를 기존 보안 정보 및 이벤트 관리(SIEM) 도구와 통합할 수 있습니다. 자세한 내용은 액세스 투명성 활동 이벤트를 참고하세요.

데이터 제공 시기 및 기간

데이터 보관 및 지연 시간을 참고하세요.