활동 규칙 만들기 및 관리하기

알림 설정 및 조치 취하기

관리자는 Google 관리 콘솔에서 활동 규칙을 설정하여 도메인 내 활동에 대한 알림을 보내거나 조치를 취할 수 있습니다. 활동 규칙을 사용하면 보안 문제를 더 빠르고 효율적으로 방지하고 감지하며 해결할 수 있습니다.

규칙을 구성하려면 규칙의 조건을 설정하고 조건이 충족될 때 수행할 알림 또는 작업을 지정합니다. 규칙이란 x가 발생하면 y를 자동으로 수행하도록 지정하는 수단입니다.

Google은 활동 규칙에 지정된 검색을 계속 수행합니다. 해당 검색에서 반환된 검색 결과의 수가 관리자가 설정한 기준점을 초과하면 Google이 관리자가 지정한 알림 및 작업을 수행합니다. 예를 들어 Google Drive 문서가 회사 외부에 공유되면 특정 관리자에게 이메일 알림을 전송하는 규칙을 설정할 수 있습니다.

시작하기 전에

활동 규칙을 만들고 확인할 수 있는지 여부는 Google Workspace 버전, 관리 권한, 데이터 소스에 따라 다릅니다. 자세한 내용은 보고 규칙 및 활동 규칙에 대한 관리 액세스를 참고하세요.

모든 버전에서 사용 가능한 기능

  • 규칙 페이지 또는 감사 및 조사 도구에서 활동 규칙에 액세스
  • 최대 5개의 조건이 있는 AND 필터 (중첩된 조건 제외)

고급 기능

이 기능이 지원되는 버전: Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Plus, Enterprise Essentials Plus, Cloud ID Premium, Chrome Enterprise Premium 사용 중인 버전 비교하기
  • 보안 조사 도구에서 활동 규칙에 액세스
  • OR 필터
  • 트리거에서 작업 설정
  • 트리거의 기준점 설정
  • 규칙에 5개 이상의 조건 설정
  • 중첩된 조건
  • 이벤트가 발생할 때마다 알림 받기

활동 규칙 생성 관련 중요 가이드라인

  • 로그 이벤트 데이터 소스(예: Gmail 로그 이벤트 또는 기기 로그 이벤트)를 기반으로 하는 활동 규칙만 만들 수 있습니다. Chrome 브라우저, 기기, Gmail 메일, 사용자 등 라이브 상태 데이터 소스를 기반으로 하는 활동 규칙은 만들 수 없습니다.
  • 사용 가능한 데이터 소스는 Google Workspace 버전에 따라 다릅니다. 자세한 내용은 보안 조사 도구에서 검색 실행하기를 참고하세요.
  • 검색에 이벤트 속성을 하나 이상 추가해야 합니다.
  • 모든 조건부 경로에 이벤트 조건을 포함하는 경우에 최상위 수준에 OR 연산자를 포함할 수 있습니다.
  • 속성에는 값을 하나만 추가할 수 있습니다. 예를 들어 작업 수행자에는 사용자를 한 명만 포함할 수 있습니다. 값을 여러 개 포함하려면 조건 작성 도구를 사용하여 OR 연산자를 추가한 후 추가 값과 함께 동일한 속성을 추가하세요.
  • 규칙은 지속적으로 평가되므로 활동 규칙에는 날짜 필터를 사용할 수 없습니다.
  • 규칙에 작업 또는 알림을 하나 이상 추가해야 합니다.
  • 활동 규칙은 로그 이벤트를 기반으로 하기 때문에 이벤트가 발생한 후에 트리거됩니다. 따라서 활동 규칙은 문서 차단 또는 공유나 이메일 전송 등에는 사용할 수 없습니다.

이메일 알림

규칙에 대한 이메일 알림을 설정하면 활동 규칙은 규칙이 처음 트리거될 때 기준 기간당 하나의 알림 이메일을 전송합니다. 그 이후 트리거될 때는 알림을 보내지 않습니다. 이메일 알림에는 알림을 트리거한 규칙의 요약 내용(규칙 이름, 기준점 세부정보, 소스 데이터 등)이 포함됩니다. 이메일 알림을 수신한 관리자는 알림 보기를 클릭하여 알림 센터의 알림 세부정보 페이지로 이동할 수 있습니다.

규칙 기준점 및 알림

알림을 최소화하기 위해 특정 기간 동안 특정 횟수 이상 이벤트가 발생하는 경우에만 알림을 트리거하는 기준점이 있는 규칙을 만들 수 있습니다. 예를 들어 이벤트가 규칙을 처음 트리거하면 알림 센터에 새 알림이 추가되고 규칙에 대해 구성된 경우 이메일이 전송됩니다. 규칙에 1시간 기준점이 설정되어 있는 경우 해당 시간 내에 발생한 추가 이벤트는 동일한 알림에 추가됩니다. 기준점 시간이 지나기 전까지는 추가 이메일 알림이 전송되지 않습니다.

규칙에 기준점을 설정하면 사용자별로 적용되는 것이 아니라 사용자 작업 전반에 걸쳐 누적되어 적용됩니다. 예를 들어 1시간 이내에 로그인 시도가 5회 실패하면 사용자를 일시중지하는 규칙을 만든 경우 1시간 이내에 1명 이상의 사용자가 로그인 시도에 5회 실패하면 기준점에 도달합니다. 이 경우 시도가 한 번 이상 실패한 모든 사용자는 사용이 일시중지됩니다.

참고:

  • 기준점이 설정된 규칙에 의해 트리거된 이메일 및 알림에는 이벤트 설명이 포함되지 않습니다.
  • 활동 규칙을 구성해 이메일을 보낼 수 있는 대상은 내부 도메인 사용자로 제한되지만 하지만 관리자는 Google 그룹스를 사용하여 외부 이메일 알림을 계속 구성할 수 있습니다.
  • 알림을 1시간 간격으로 설정하면 과도한 알림을 방지할 수 있습니다.

활동 규칙 만들기

  1. 다음 방법 중 하나를 사용하여 규칙을 만듭니다 (모든 Google Workspace 버전).
    • 관리 콘솔 홈페이지에서 규칙으로 이동한 다음 활동 규칙 만들기를 클릭합니다.
    • 또는 보고 다음 감사 및 조사로 이동하여 다음 데이터 소스를 선택하고 다음 활동 규칙 만들기를 선택합니다.
    • 보안 조사 도구가 있는 경우 보안 다음 보안 센터 다음 조사 도구로 이동한 다음 활동 규칙 만들기를 클릭합니다.
  2. 규칙 세부정보를 입력하고 계속을 클릭합니다.
    • 규칙 이름(예: 외부 데이터 공유)을 입력합니다.
    • 설명(예: 문서가 회사 외부에 공유되면 알림)을 입력합니다.

  3. 조건 페이지에서 규칙이 트리거되는 시점을 정의합니다.

    1. 규칙의 데이터 소스(예: 관리자 로그 이벤트)를 선택합니다.

      참고: 데이터 소스의 사용 가능 여부는 Google Workspace 버전 및 관리자 권한에 따라 다릅니다. Drive 로그 이벤트에 대한 작업은 추가할 수 없습니다. 자세한 내용은 활동 규칙에 대한 관리 액세스보안 조사 도구의 데이터 소스를 참고하세요.

    2. 필터 탭을 클릭하여 간단한 매개변수(포함, 포함하지 않음, 같음 또는 다름)를 사용하여 검색 결과를 필터링합니다.

    3. 조건 작성 도구 탭을 클릭하여 AND/OR 연산자를 사용하여 검색 결과를 필터링합니다. 각 조건에서 속성, 연산자, 을 선택합니다.

      예를 들어 문서 소유권 이전과 같은 이벤트를 지정하는 조건을 설정하려면 속성으로 이벤트를 선택하고 연산자로 Is를 선택한 후 값으로 문서 설정 > 문서 소유권 이전을 선택합니다.

      참고: 이벤트는 필수 조건입니다. 각 데이터 소스에 사용할 수 있는 조건에 대한 자세한 내용은 보안 조사 도구의 데이터 소스를 참고하세요.

    4. 조건 추가를 클릭하여 조건을 추가하거나 계속을 클릭합니다.

  4. (고급 기능) 다음 옵션 중 하나를 선택합니다.

    • 이벤트가 발생할 때마다: 이벤트가 발생할 때마다 알림을 보내거나 조치를 취합니다.
    • 이벤트 빈도가 특정 기준점을 충족하는 경우: 특정 기간 동안 이벤트가 특정 횟수 이상 발생하면 알림 및/또는 작업을 트리거하는 옵션을 선택합니다. 예를 들어 이벤트가 1시간 동안 10회 이상 발생하는 경우입니다.

  5. (고급 기능) 작업 추가를 클릭하여 이벤트가 발생하거나 기준점이 초과될 때 작업을 실행합니다.

    • 예를 들어 이벤트가 발생하면 사용자를 정지하거나 비밀번호를 강제로 변경할 수 있습니다.
    • 작업 추가를 클릭하여 추가 작업을 생성합니다.

  6. 알림에서 다음 옵션을 선택합니다.

    • 알림 센터: (권장사항) 알림 센터로 알림을 전송합니다. 알림에는 문제 관련 조치를 취하고 조직의 다른 관리자와 공동작업을 통해 문제를 해결할 수 있도록 지원하는 자세한 세부정보가 포함되어 있습니다.
    • 이메일: 다음에 이메일 알림을 보냅니다.
      • 모든 최고 관리자: 모든 최고 관리자에게 이메일을 전송합니다.
      • 이메일 수신자 추가: 일부 관리자에게 이메일을 보냅니다.
    • 알림 빈도: 동일한 이벤트에 대해 매시간 전송되는 알림 (알림 및 이메일) 수입니다. 한 시간 동안 알림을 간격을 두고 받거나 이벤트가 발생할 때마다 알림을 받을 수 있습니다. 이 설정을 사용하면 동일한 이벤트에 대한 과도한 알림이 전송되지 않습니다. 옵션을 선택합니다.
      • 시간당 최대 5개 (기본값): 시간당 12분 간격으로 알림을 받습니다.
      • 시간당 최대 2개: 시간당 30분 간격으로 알림을 받습니다.
      • 시간당 최대 10개: 시간당 6분 간격으로 알림을 받습니다.
      • 이벤트가 발생할 때마다 (사용 중인 버전에 따라 사용 가능)
    • 심각도: 이벤트에 표시되는 심각도 수준입니다.

  7. 규칙 상태를 선택합니다.

    • 활성 (기본값): 시스템에서 로그를 수집하고 규칙이 시행됩니다.
    • 모니터링: 시스템에서 로그를 수집하지만 규칙이 시행되지 않습니다. 이 옵션을 사용하면 규칙을 시행하기 전에 로그를 검토할 수 있습니다.
    • 비활성: 로그가 수집되지 않으며 규칙이 시행되지 않습니다.

  8. 계속을 클릭합니다. 규칙 세부정보를 검토합니다. 필요한 경우 뒤로를 클릭하여 변경합니다.

  9. 규칙 만들기를 클릭합니다.

활동 규칙 보기 및 수정하기

활동 규칙을 만든 후 규칙 페이지로 이동하여 규칙의 세부정보 및 범위, 규칙의 조건, 임계값이 충족되면 트리거되는 작업을 확인할 수 있습니다.

또한 규칙 페이지에서 도메인 관리자가 만든 모든 규칙 목록을 확인할 수도 있습니다. Google 관리 콘솔 홈페이지로 이동하여 규칙을 클릭합니다.

도메인 관리자는 규칙의 데이터 소스 및 각 관리자의 권한에 따라 규칙 페이지에서 다른 관리자가 만든 규칙을 확인할 수 있습니다. 예를 들어, 관리자가 Drive 로그 이벤트의 보기 권한을 가졌으나 Gmail 로그 이벤트에 대한 권한은 없을 수 있습니다. 이런 경우 Gmail 로그 이벤트를 기반으로 하는 규칙을 볼 수 없습니다.

규칙 페이지에서 다음 작업을 할 수 있습니다.

  • 필터 추가를 클릭하여 규칙 목록을 필터링합니다.
  • 규칙 중 하나를 클릭하여 규칙 세부정보를 확인하고 수정합니다.
  • 규칙을 삭제합니다.
  • 새 규칙을 만듭니다.
  • 조사를 클릭하여 규칙 로그 이벤트의 데이터를 확인하는 조사 도구를 엽니다.