Google Security Operations로 로그 이벤트를 내보내 내부자 위험 모니터링하기

이 기능이 지원되는 버전: Frontline Plus, Enterprise Standard 및 Enterprise Plus. 사용 중인 버전 비교하기

조직에서 보안 위협을 감지, 조사, 대응할 수 있는 분석 플랫폼인 Google Security Operations(Google SecOps)로 Google Workspace 로그 이벤트를 내보낼 수 있습니다. Google SecOps로 로그 이벤트를 내보내려면 Google 관리 콘솔을 사용하여 Google Workspace를 Google SecOps에 연결해야 합니다. 

Google SecOps에 연결되면 로그 이벤트가 Google SecOps로 계속 내보내져 내부자 위험을 관리할 수 있습니다. 위험을 관리하기 위해 감지 및 알림을 생성하는 규칙을 사용하면 데이터 액세스 및 무단 반출과 관련된 위험한 사용자 행동과 이상을 파악할 수 있습니다. Google SecOps에 대해 자세히 알아보기

로그 이벤트를 내보낸 후

데이터를 Google SecOps로 내보낸 후에는 Google SecOps 계정에 로그인하여 다음을 수행할 수 있습니다.

  • 로그 이벤트에서 사용자 이름, IP 주소, 로그인 이벤트 등 모든 요소를 검색합니다.
  • 현재 조직에 영향을 미치는 모든 알림 및 침해 지표(IOC)를 확인합니다. 
  • 알림을 분석합니다.

시작하기 전에

  • Google SecOps 계정이 있는지 확인합니다. 계정이 필요한 경우 Google Cloud 영업 전문가에게 문의하세요.
  • Google Workspace를 Google SecOps에 연결하려면 최고 관리자 권한이 필요합니다.

Google SecOps에 연결하여 로그 이벤트 내보내기

  1. 최고 관리자 계정으로 Google 관리 콘솔에 로그인합니다.

    최고 관리자 계정을 사용하지 않는 경우 이 단계를 완료할 수 없습니다.

  2. 메뉴 그런 다음 보고 > 데이터 통합으로 이동합니다.

    보고서 관리자 권한이 필요합니다.

    교육 관리자는 메뉴 그런 다음 보고 그런 다음 BigQuery Export로 이동해 데이터 통합 페이지를 엽니다.

  3. Google Security Operations 내보내기로 이동하여 수정 을 클릭합니다.
  4. 다음 단계를 따릅니다.
    1. 조직의 프로필 페이지에서 고객 ID를 복사합니다.
    2. Google Security Operations로 이동하여 설정그런 다음Google Workspace를 클릭합니다. Google Workspace 고객 ID를 입력하고 토큰 생성을 클릭합니다.
    3. 토큰Google Security Operations 인스턴스 ID를 복사합니다. 인스턴스 ID는 고객 ID와 동일합니다.
    4. 관리 콘솔의 Google Security Operations에 연결 페이지로 돌아가서 토큰인스턴스 ID를 입력합니다.
  5. 연결을 클릭합니다.

데이터를 Google SecOps로 내보내는 데 최대 24시간이 걸릴 수 있습니다. 연결이 설정된 이후에는 조직의 로그 이벤트가 지속적으로 Google SecOps로 내보내집니다. 

연결을 설정할 수 없다는 메시지가 표시되는 경우 먼저 Google SecOps 토큰과 인스턴스 ID가 올바른지 확인합니다. 정보가 올바르다면 몇 분 후에 Google SecOps에 다시 연결해 봅니다. 그래도 연결되지 않으면 Google Workspace 지원팀에 문의하세요.

Google SecOps에서 연결 해제하기

더 이상 Google SecOps로 로그 이벤트를 내보내지 않으려면 조직의 Google Workspace 계정을 Google SecOps에서 연결 해제하면 됩니다. 

참고: Google SecOps에서 연결을 해제해도 로그 이벤트는 Google SecOps에서 자동으로 삭제되지 않습니다. Google SecOps를 사용하여 로그 이벤트를 삭제합니다.

  1. 최고 관리자 계정으로 Google 관리 콘솔에 로그인합니다.

    최고 관리자 계정을 사용하지 않는 경우 이 단계를 완료할 수 없습니다.

  2. 메뉴 그런 다음 보고 > 데이터 통합으로 이동합니다.

    보고서 관리자 권한이 필요합니다.

    교육 관리자는 메뉴 그런 다음 보고 그런 다음 BigQuery Export로 이동해 데이터 통합 페이지를 엽니다.

  3. Google Security Operations 내보내기로 이동하여 Google Security Operations에서 연결 해제를 클릭합니다.

FAQ

섹션 열기  |  모두 접기

어떤 로그 이벤트를 Google SecOps로 내보내나요?

지원되는 주요 로그 이벤트 데이터는 다음과 같습니다.

  • 관리자
  • Chrome
  • 클래스룸
  • Cloud Search
  • 데이터 내보내기(관리자)
  • 데이터 스튜디오
  • 기기
  • Gmail
  • Google Calendar
  • Google Chat
  • Google Drive
  • Google 그룹스
  • Google Groups for Business
  • Google Keep
  • Google Meet
  • Google 테이크아웃
  • Google Voice
  • 로그인
  • OAuth
  • 규칙
  • SAML
  • 사용자
Google SecOps로 내보낼 로그 이벤트를 선택할 수 있나요?
아니요. 지원되는 모든 로그 이벤트가 Google SecOps로 내보내집니다.
관리 콘솔에 로그인한 후 로그 이벤트 데이터를 언제 사용할 수 있나요?
로그 이벤트 데이터가 생성되면 해당 데이터가 Google SecOps로 스트리밍됩니다.
참고: 로그 이벤트의 데이터를 사용할 수 있기까지 걸리는 시간에 대한 자세한 내용은 데이터 보관 및 지연 시간을 참고하세요.
Google SecOps에 연결하기 전에 생성된 로그 이벤트도 내보내나요?
아니요. Google SecOps에 연결한 관리 콘솔에서 생성된 로그 이벤트만 내보냅니다.
내보낸 로그 이벤트는 Google SecOps에서 다른 형식으로 변환되나요?
예. Google SecOps는 내보낸 모든 로그 이벤트를 통합 데이터 형식(UDM)으로 변환합니다. 이를 통해 Google SecOps에서 데이터에 대해 복잡한 쿼리와 규칙을 실행할 수 있습니다.
Google SecOps에서 위험 관리를 수행하기 위해 사용할 수 있는 규칙은 무엇인가요?
Google SecOps는 Google SecOps 규칙 세트라고 하는 사전 설정된 규칙을 제공합니다. 이 규칙을 개별적으로 사용 설정하여 조직에 대한 위협을 감지할 수 있습니다. 이러한 규칙은 위험 점수가 포함된 감지 항목을 생성하며 그중 일부는 알림일 수 있습니다. Google SecOps의 Google Workspace 규칙 세트를 사용하면 내부자 위험 및 데이터 무단 반출을 조사하는 데 도움이 됩니다. 규칙 세트에 대해 자세히 알아보기
로그 이벤트 데이터를 Google SecOps로 내보내는 데 비용이 드나요?
내보내기 기능을 사용하면 표준 Google SecOps 약관 및 가격이 적용됩니다. 자세한 내용은 영업 담당자에게 문의하세요.
Google SecOps 내보내기 기능에 Google Workspace 서비스 약관이 적용되나요?
아니요. Google SecOps 내보내기 기능에는 SecOps 서비스 계약이 적용됩니다.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?

도움이 더 필요하신가요?

다음 단계를 시도해 보세요.

도움말 커뮤니티에 게시하기 커뮤니티 회원의 답변 받기
문의하기 자세히 알려주시면 도움을 드리겠습니다.
true
지금 14일 무료 평가판 사용

업무용 이메일, 온라인 저장용량, 공유 캘린더, 화상 회의 등 다양한 기능을 제공합니다. 지금 무료로 G Suite 평가판을 사용해 보세요.

검색
검색어 지우기
검색 닫기
기본 메뉴
3235506883121898073
true
도움말 센터 검색
true
true
true
true
true
73010
false
false
false
false