의심스러운 파일에 대한 조사 및 조치 취하기

증거 보관함을 통해 의심스럽거나 민감한 파일을 Google Cloud Storage (GCS) 버킷에 저장합니다. 다음 단계에 따라 버킷을 만들어야 합니다. Google Cloud Storage 관련 내용을 숙지하면 도움이 됩니다.

도움말: 너무 관대한 Google Cloud 데이터 손실 방지 (DLP) 규칙을 사용하면 버킷에 많은 파일이 저장되어 스토리지 비용이 많이 들 수 있으므로, 매우 의심스러운 파일만 저장하는 규칙을 만듭니다.

1. Google Cloud 프로젝트를 만듭니다. 자세한 내용은 프로젝트 만들기 및 관리를 참고하세요.
   • 서비스 계정 및 Google Cloud 사용자는 버킷이 포함된 Google Cloud 프로젝트에서 스토리지 관리자 권한이 있어야 합니다. 프로젝트 수준, 버킷 수준 또는 관리 폴더 수준에서 역할 부여를 참고하세요.
2. 프로젝트에 Cloud Resource Manager API를 사용 설정합니다.
   • Cloud Resource Manager API를 사용하면 Google Cloud에서 조직 및 프로젝트와 같은 컨테이너 리소스를 프로그래매틱 방식으로 관리할 수 있습니다.
   • project_number의 Cloud Resource Manager API로 이동합니다.
3. 고객 관리 암호화 키 (CMEK)로 버킷을 만듭니다.
   • KMS API를 사용 설정합니다. 고객 관리 암호화 키 사용을 참고하세요.
   • (선택사항) CMEK 키링과 키를 만들려면 보안 > 키 관리 > 키링 만들기로 이동합니다.
   • Cloud Storage > 버킷에서 버킷을 만듭니다. 버킷 만들기를 참고하세요.
     • GCS 버킷은 조직에서 소유하고 동일한 도메인 내에 있어야 합니다.
     • CMEK는 버킷과 동일한 리전에 있어야 합니다. 자세히 알아보기
   • (선택사항이지만 권장됨): 파일에 TTL (수명)을 설정합니다. 예를 들어 30일 후 자동으로 삭제하도록 합니다.

1. Google 관리 콘솔에서 메뉴 앱추가 Google 서비스로 이동합니다.

   추가 Google 서비스로 이동

   서비스 설정 관리자 권한이 필요합니다.

2. Chrome Enterprise 보안 서비스를 클릭합니다.
3. 모든 사용자에 대해 사용 또는 모든 사용자에 대해 사용 중지를 클릭한 다음 저장을 클릭합니다.
4. (선택사항) 조직 단위별로 서비스를 사용 또는 사용 중지하는 방법은 다음과 같습니다.
   1. 왼쪽에서 조직 단위를 선택합니다.
   2. '서비스 상태'를 변경하려면 사용 또는 사용 중지를 선택합니다.
   3. 다음 중 하나를 선택합니다.
      • 서비스 상태가 상속으로 설정되어 있고 상위 조직 설정이 변경되더라도 업데이트된 설정을 유지하려는 경우 재정의를 클릭합니다.
      • 서비스 상태가 재정의로 설정되어 있는 경우 상속을 클릭하여 상위 조직과 동일한 설정으로 되돌리거나, 저장을 클릭하여 상위 조직의 설정이 변경되더라도 새 설정을 유지합니다.
        조직 구조에 관해 자세히 알아보세요.
5. 증거 보관함 설정을 클릭합니다.
6. Google Cloud Storage 버킷 이름을 입력하세요를 클릭합니다.
7. 서비스 계정이 없는 경우 서비스 계정 생성을 클릭합니다. 계속 진행하려면 서비스 계정이 필요합니다.
8. Google Cloud Storage (GCS) 버킷에 서비스 계정을 추가합니다.
   중요: 서비스 계정에는 버킷이 포함된 GCP 프로젝트에서 스토리지 관리자 권한이 있어야 합니다. Google Cloud Storage 버킷 만들기를 참고하세요.
   1. Google Cloud 콘솔에서 메뉴 IAM 및 관리자 리소스 관리로 이동합니다.
   2. 버킷이 포함된 GCS 프로젝트로 이동합니다.
   3. 권한 탭을 클릭합니다.
   4. 증거 보관함 서비스 계정을 선택합니다.
   5. 액세스 권한 부여를 클릭합니다.
   6. 새 원칙에 방금 생성한 서비스 계정을 입력합니다.
   7. 역할에서 스토리지 관리자를 선택합니다.
   8. (선택사항): 최고 관리자가 아닌 사용자도 버킷이 포함된 GCP 프로젝트에서 스토리지 관리자 권한이 있어야 합니다. 프로젝트에서 GCS 버킷을 선택하려면 이 권한이 필요합니다.
   9. 저장을 클릭합니다.
9. Google Workspace 관리 콘솔 증거 보관함 설정에서 Google Cloud 버킷 이름을 입력합니다.
10. (선택사항) 멀웨어로 신고된 파일의 사본을 증거 보관함에 보관하려면 증거 보관함에 멀웨어가 포함된 콘텐츠 저장을 선택합니다.
11. 저장을 클릭합니다.

1. Google 관리 콘솔에서 메뉴 앱추가 Google 서비스로 이동합니다.

   추가 Google 서비스로 이동

   서비스 설정 관리자 권한이 필요합니다.

2. Chrome Enterprise 보안 서비스를 클릭합니다.
3. 증거 보관함 설정을 클릭합니다.
4. 를 클릭하고 조직의 서비스 계정이 표시될 때까지 기다립니다.
5. 버킷 이름 필드 아래에서 증거 보관함에 멀웨어가 포함된 콘텐츠 저장을 선택합니다.

데이터 보호 규칙 위반이 발생하면 파일을 증거 보관함 버킷에 복사할 수 있습니다. 다음 작업으로 트리거된 파일만 복사됩니다.

• 파일 업로드됨
• 파일 다운로드됨
• 인쇄

'콘텐츠 붙여넣기'를 사용하여 신고된 콘텐츠는 증거 보관함에 복사되지 않습니다.

1. 메뉴  규칙으로 이동합니다.
2. 드롭다운 메뉴에서 데이터 보호를 선택합니다.
3. 규칙의 이름과 설명을 입력합니다.
4. 범위에서 이 규칙이 적용되는 조직 단위 및/또는 그룹을 선택합니다.
   참고: 그룹 범위를 선택하면 Google 관리 콘솔 내에서 관리자가 만든 그룹만 지원됩니다.
5. 앱에서 Chrome 옵션 파일 업로드됨, 파일 다운로드됨 또는 콘텐츠 인쇄됨을 선택합니다.
6. 작업의 증거 보관함에서 이 규칙에 의해 감지된 업로드, 다운로드 또는 인쇄된 콘텐츠를 증거 보관함에 저장을 선택합니다.

자세한 내용은 데이터 보호 규칙 만들기를 참고하세요.

1. Google 관리 콘솔에서 메뉴 보안보안 센터조사 도구로 이동합니다.

   조사 도구로 이동

   보안 센터 관리자 권한이 필요합니다.

   다음과 같은 특정 보안 센터 관리자 권한이 필요합니다. 보안 조사 도구의 관리자 권한을 참고하세요.

   • 의심스러운 파일을 다운로드하고 관리하려면 다음 안내를 따르세요.
     관리 > Chrome
   • 의심스러운 파일의 콘텐츠를 보려면 다음 안내를 따르세요.
     민감한 콘텐츠 보기 > Chrome
2. 데이터 소스를 클릭하고 Chrome 로그 이벤트를 선택합니다.
3. 검색한 항목을 찾아 오른쪽으로 스크롤합니다.
4. 증거 보관함 파일 경로 열에서 저장된 파일 링크를 클릭합니다.
   파일 세부정보가 측면 패널에 표시됩니다. 예를 들어 Google Cloud Storage 버킷의 파일 원래 이름과 경로가 이러한 세부정보에 포함됩니다.
5. 하단에서 파일 다운로드를 클릭합니다.

다운로드한 ZIP 파일은 비밀번호로 보호되어 있으며 비밀번호는 '보호'되며 모든 파일에 동일하게 적용됩니다.

1. Google 관리 콘솔에서 메뉴 보안보안 센터조사 도구로 이동합니다.

   조사 도구로 이동

   보안 센터 관리자 권한이 필요합니다.

2. 데이터 소스를 클릭하고 규칙 로그 이벤트를 선택합니다. 검색을 클릭합니다.
3. 원하는 규칙이 있는 작업 완료 행을 찾아 오른쪽으로 스크롤하여 증거 보관함 파일 경로 열을 찾습니다.
4. 파일이 저장되는 경로입니다. 더보기 를 클릭하여 추가 작업을 확인합니다.