Google Workspace 버전에 따라 고급 기능이 포함된 보안 조사 도구에 액세스할 수도 있습니다. 예를 들어 최고 관리자는 보안 및 개인 정보 보호 문제를 식별하고 분류하여 조치를 취할 수 있습니다. 자세히 알아보기
조직의 관리자는 컨텍스트 인식 액세스 로그 이벤트에 대해 검색을 실행하고 검색 결과에 따라 조치를 취할 수 있습니다. 예를 들어 사용자의 앱 액세스가 거부되거나 허용된 경우 작업 기록을 확인하여 문제를 해결할 수 있습니다. 대개 항목은 사용자의 액세스가 거부된 후 1시간 이내에 표시됩니다.
자세한 내용은 컨텍스트 인식 액세스 개요를 참고하세요.
로그 이벤트 검색 실행하기
검색 실행 가능 여부는 Google 버전, 관리 권한, 데이터 소스에 따라 달라집니다. Google Workspace 버전과 관계없이 모든 사용자를 대상으로 검색을 실행할 수 있습니다.
감사 및 조사 도구
로그 이벤트를 검색하려면 먼저 데이터 소스를 선택하세요. 그런 다음 하나 이상의 검색 필터를 선택합니다.
-
Google 관리 콘솔에서 메뉴
보고
감사 및 조사
컨텍스트 인식 액세스 로그 이벤트로 이동합니다.감사 및 조사 관리자 권한이 필요합니다.
-
특정 날짜 전후에 발생한 이벤트를 필터링하려면 날짜에서 이전 또는 이후를 선택합니다. 기본적으로 지난 7일간의 이벤트가 표시됩니다. 다른 기간을 선택하거나
아이콘을 클릭하여 날짜 필터를 삭제할 수 있습니다. -
필터 추가를 클릭하고
속성을 선택합니다. 예를 들어 특정 이벤트 유형을 기준으로 필터링하려면 이벤트를 선택합니다.
-
연산자를 선택하고
값을 선택한 다음
적용을 클릭합니다.
- (선택사항) 검색 필터를 여러 개 만들려면 이 단계를 반복합니다.
- (선택사항) 검색 연산자를 추가하려면 필터 추가 위에서 AND 또는 OR을 선택합니다.
- 검색을 클릭합니다. 참고: 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색 결과를 필터링할 수 있습니다. 필터가 AND/OR 연산자로 조건으로 표시되는 조건 작성 도구 탭을 사용할 수도 있습니다.
보안 조사 도구
보안 조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 하나 이상의 검색 조건을 선택합니다. 각 조건에서 속성, 연산자, 값을 선택합니다.
-
Google 관리 콘솔에서 메뉴
보안
보안 센터
조사 도구로 이동합니다.보안 센터 관리자 권한이 필요합니다.
- 데이터 소스를 클릭하고 컨텍스트 인식 액세스 로그 이벤트를 선택합니다.
-
조건 추가를 클릭합니다.
도움말: 검색에 조건을 하나 이상 포함하거나 중첩된 쿼리로 검색을 맞춤설정할 수 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요. -
속성을 클릭하고
옵션을 선택합니다. 예를 들어 특정 이벤트 유형을 기준으로 필터링하려면 이벤트를 선택합니다.
전체 속성 목록을 보려면 속성 설명 섹션으로 이동하세요. - 연산자를 선택합니다.
- 값을 입력하거나 목록에서 값을 선택합니다.
- (선택사항) 검색 조건을 더 추가하려면 단계를 반복합니다.
-
검색을 클릭합니다.
페이지 하단의 표에서 조사 도구의 검색 결과를 검토할 수 있습니다. -
(선택사항) 조사를 저장하려면 저장
을 클릭하고 제목과 설명을 입력한 다음
저장을 클릭합니다.
참고
- 조건 작성 도구 탭에서 필터는 AND/OR 연산자로 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색 결과를 필터링할 수도 있습니다.
- 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.com을 NewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.
- 휴지통에서 아직 삭제되지 않은 메일의 데이터만 검색할 수 있습니다.
속성 설명
이 데이터 소스의 경우 로그 이벤트 데이터를 검색할 때 다음 속성을 사용할 수 있습니다.
| 속성 | 설명 |
|---|---|
| 액세스 수준 적용됨 | 관리자가 특정 앱에 적용한 액세스 수준이며 이 중 하나라도 충족되면 사용자의 액세스 권한이 부여됩니다. |
| 액세스 수준 충족됨 |
사용자가 액세스 평가 중에 충족한 모든 적용된 액세스 수준입니다. 이 목록이 비어 있으면 액세스가 허용되지 않은 것입니다. 적용된 속성의 액세스 수준 중 하나 이상이 액세스 수준 충족됨에 해당하는 경우, 액세스 권한 이벤트입니다. 이 이벤트는 컨텍스트 인식 액세스 감사 로그에 액세스 평가됨으로 표시됩니다. |
| 액세스 수준 부족함 |
사용자가 액세스 평가 중에 충족하지 못한 모든 적용된 액세스 수준입니다. 액세스 수준 적용됨 속성의 모든 액세스 수준이 이 목록에 표시되면 사용자의 액세스가 거부됩니다. 참고: 적용된 액세스 수준만 이 목록에 표시됩니다. 관리 콘솔에 정의되어 있지만 적용되지 않은 다른 액세스 수준은 표시되지 않습니다. |
| Actor | 작업을 수행한 사용자의 이메일 주소 |
| 작업 수행자 그룹 이름 |
작업 수행자의 그룹 이름입니다. 자세한 내용은 Google 그룹별 결과 필터링하기를 참고하세요. 필터링 그룹 허용 목록에 그룹을 추가하려면 다음 안내를 따르세요.
|
| 작업 수행자 조직 단위 | 작업 수행자의 조직 단위 |
| 애플리케이션 | 다음 중 하나일 수 있습니다.
|
| 차단된 API 액세스 |
사용자의 액세스가 거부된 애플리케이션의 API입니다. API 액세스의 경우 호출 애플리케이션의 액세스가 차단된 API입니다. (활성 및 모니터링 모드 거부 감사에만 적용 가능) |
| 날짜 | 이벤트 날짜 및 시간 (브라우저의 기본 시간대로 표시됨) |
| 기기 ID |
관리 콘솔 홈페이지
기기를 감지할 수 없는 경우 이 값은 알 수 없습니다. |
| 기기 상태 |
이 액세스를 수행하는 데 사용된 기기의 상태입니다. 예를 들어 '일반', '동기화되지 않음 (오래 또는 이전)', '교차 조직 (기기가 조직에 속하지 않음)' 또는 '기기 신호 없음 (기기를 감지할 수 없음)' 등이 있습니다. 기기 ID를 알 수 없고 기기 상태 속성에'기기 신호 없음'이 표시되면 사용자의 기기에 엔드포인트 확인 기능 또는 휴대기기 관리 (MDM)와 같은 보고 에이전트가 없습니다. |
| 기기 위험 | 앱 액세스 보호를 위한 보안 도우미 정책으로 인해 사용자에게 경고 또는 차단이 발생한 기기의 보안 위험입니다. |
| 이벤트 | 기록된 이벤트 작업입니다.
|
| IP 주소 | 작업 수행자의 IP 주소 |
|
IP ASN 이 열을 검색 결과에 추가해야 합니다. 자세한 단계는 검색 결과 열 데이터 관리하기를 참고하세요. |
로그 항목과 연결된 IP 자율 시스템 번호 (ASN), 하위 구분, 지역입니다. 활동이 발생한 IP ASN, 하위 구분, 지역 코드를 검토하려면 검색 결과에서 이름을 클릭합니다. |
| 보호된 API 액세스 |
컨텍스트 인식 액세스를 통해 사용자에게 액세스 권한이 부여된 애플리케이션의 API입니다. API 액세스의 경우 컨텍스트 인식 액세스를 통해 호출 애플리케이션에 액세스 권한이 부여된 API입니다. |
로그 이벤트 데이터 관리하기
액세스 거부 로그 이벤트 이해하기
사용자가 액세스가 거부됨 페이지를 받았다고 신고하지 않았는데도 컨텍스트 인식 액세스 로그 이벤트에 사용자의 액세스가 거부됨 항목이 표시되는 경우가 있습니다.
이러한 현상이 발생하는 이유
- 여러 기기 로그인: 사용자가 여러 기기에서 계정에 로그인한 경우 이 문제가 발생할 수 있습니다. 이러한 기기 중 하나에 엔드포인트 확인 기능이 없거나 다른 계정과 연결되어 있는 경우 특히 이럴 가능성이 높습니다. 예를 들어 개인 기기 또는 다른 Chrome 브라우저 프로필에 로그인되어 있을 수 있습니다.
- 보조 계정 로그인: 사용자가 다른 기기에서 보조 계정으로 회사 계정에 로그인한 경우에도 발생할 수 있습니다. 이 경우 기본 기기에 액세스가 거부됨 페이지가 표시되지 않을 수 있습니다. 하지만 로그 이벤트는 보조 기기에서 거부된 액세스 시도를 포착합니다. 자세한 내용은 한 번에 여러 계정에 로그인하기를 참고하세요.
필요한 조치
- 사용자가 다른 기기에서 회사 계정에 로그인했는지 확인합니다.
- 사용자가 회사 계정에 액세스하는 모든 기기에 엔드포인트 확인 기능이 올바르게 설치되고 구성되어 있는지 확인합니다.
- 기기 정보 및 IP 주소에 대한 로그 이벤트를 검토하여 액세스 시도가 거부된 소스를 파악합니다.
검색 결과에 따라 조치 취하기
활동 규칙 만들기 및 알림 설정하기
- 보고 규칙을 사용하여 로그 이벤트 데이터에 따라 알림을 설정할 수 있습니다. 자세한 내용은 보고 규칙 만들기 및 관리하기를 참고하세요.
-
이 기능이 지원되는 버전: Frontline Standard 및 Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus, Cloud ID Premium
사용 중인 버전 비교하기
활동 규칙을 만들어 보안 조사 도구에서 작업을 자동화하고 알림을 설정하면 보다 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다. 규칙을 설정하려면 규칙에 대한 조건을 설정한 다음 조건이 충족될 때 수행할 작업을 지정합니다. 자세한 내용은 활동 규칙 만들기 및 관리하기를 참고하세요.
검색 결과에 따라 조치 취하기
이 기능이 지원되는 버전: Frontline Standard 및 Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus, Cloud ID Premium 사용 중인 버전 비교하기
보안 조사 도구에서 검색을 실행한 후 검색 결과를 바탕으로 작업을 수행할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 자세한 내용은 검색 결과에 따라 조치 취하기를 참고하세요.
조사 관리하기
이 기능이 지원되는 버전: Frontline Standard 및 Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus, Cloud ID Premium 사용 중인 버전 비교하기
조사 목록 보기
소유하고 있는 조사 및 공유된 조사의 목록을 보려면 조사 보기 
를 클릭합니다. 조사 목록에는 조사의 제목, 설명, 소유자, 최종 수정 날짜가 포함되어 있습니다.
이 목록에서 소유하는 모든 조사에 대한 작업(예: 조사 삭제)을 수행할 수 있습니다. 작업하려는 조사의 체크박스를 선택하고 작업을 클릭합니다.
참고: 저장된 조사는 조사 목록 바로 위에 있는 빠른 액세스에서 확인할 수 있습니다.
조사 설정 구성하기
최고 관리자는 설정 
을 클릭하여 다음 작업을 수행할 수 있습니다.
- 조사의 시간대를 변경합니다. 시간대는 검색 조건과 검색 결과에 적용됩니다.
- 검토자 요청을 사용 또는 사용 중지합니다. 자세한 내용은 일괄 작업에 대해 검토자 요청하기를 참고하세요.
- 콘텐츠 보기를 사용 또는 사용 중지합니다. 이 설정을 사용하면 적절한 권한이 있는 관리자가 콘텐츠를 볼 수 있습니다.
- 작업 사유 입력 사용 설정을 사용 또는 사용 중지합니다.
자세한 내용은 조사 설정 구성하기를 참고하세요.
조사 저장, 공유, 삭제, 복제하기
검색 기준을 저장하여 이를 다른 사용자와 공유하려면 조사를 만들고 저장한 다음 공유, 복제 또는 삭제할 수 있습니다.
자세한 내용은 조사 저장, 공유, 삭제, 복제하기를 참고하세요.