중요:

이 실습은 데스크톱/노트북에서만 완료해야 합니다.

실습당 5회만 시도할 수 있습니다.

첫 시도에 모든 문제를 맞히지 못하거나 학습을 다시 해야 하는 것은 흔한 일이며 학습 과정의 일부입니다.

실습이 시작되면 타이머를 일시중지할 수 없습니다. 1시간 30분이 지나면 실습이 종료되므로 다시 시작해야 합니다.

자세한 내용은 실습에 관한 기술적 도움말을 참고하세요.

활동 개요

Google Cloud 서비스는 Google Cloud 리소스 내의 관리 활동과 액세스를 기록하는 감사 로그를 작성합니다. 감사 로그 항목을 사용해 Google Cloud 프로젝트에서 '누가, 언제, 어디서, 무엇을 했는지' 파악할 수 있습니다. 감사 로그를 사용 설정하면 보안, 감사, 규정 준수 항목이 Google Cloud 데이터 및 시스템에서 취약점 발생 또는 외부 데이터 오용 가능성을 모니터링할 수 있습니다.

이 실습에서는 감사 로그를 조사하여 클라우드 리소스와 관련된 의심스러운 활동의 패턴을 식별합니다.

시나리오

Cymbal Bank는 하이브리드 클라우드 솔루션으로 공식적으로 마이그레이션했으며 새로운 클라우드 환경에 워크플로를 성공적으로 배포했습니다. 하지만 안타깝게도 보안 엔지니어링팀은 여러 클라우드 리소스에 대한 무단 액세스와 관련된 심각도 높은 알림을 받았습니다. 악의적인 행위자가 보안 침해된 클라우드 리소스를 사용하여 데이터를 무단 반출하고 다른 시스템을 공격할 수 있다는 점에서 우려되는 상황입니다. 보안 사고 경험은 이번이 처음입니다. 팀장인 클로이는 이번에 사고 대응 관련 프로세스와 절차를 배울 수 있는 좋은 기회라고 생각합니다. 보안 엔지니어링 부서의 사고 대응팀 소속 사고 대응 담당자인 한나를 따라다니며 관찰해 보세요. 한나는 악의적인 활동을 조사하는 데 사용할 수 있도록 알림 로그에 대한 액세스 권한을 제공했습니다. 보안 사고를 더 잘 파악하기 위해 사고를 재현하고 아티팩트를 분석할 수 있는 테스트 환경을 설정했습니다. 두 개의 별도 사용자 계정을 사용합니다. 한 계정은 악의적인 활동을 생성하고 다른 계정은 활동을 조사하는 데 사용됩니다.

이 작업을 수행하는 방법은 다음과 같습니다. 먼저 첫 번째 사용자 계정에서 활동을 생성하여 보안 사고를 재현합니다. 다음으로 로그를 내보내 추가 분석을 진행합니다. 그런 다음, 사고를 계속 재현하고 추가적인 사용자 활동을 생성합니다. 마지막으로 BigQuery를 활용하여 로그를 분석합니다.

설정

'실습 시작'을 클릭하기 전에

다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지를 표시합니다.

이 실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 직접 실습 활동을 진행할 수 있으며, 이를 위해 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.

이 실습을 완료하려면 다음을 준비해야 합니다.

• 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)

참고: 이 실습을 실행하려면 시크릿 모드 또는 시크릿 브라우저 창을 사용하세요. 개인 계정과 학습자 계정 간의 충돌로 개인 계정에 추가 요금이 발생하는 일을 방지해 줍니다.

• 실습을 완료하기에 충분한 시간. 실습을 시작하고 나면 일시중지할 수 없습니다.

참고: 계정에 추가 요금이 발생하지 않도록 하려면 개인용 Google Cloud 계정이나 프로젝트가 이미 있어도 이 실습에서는 사용하지 마세요.

실습을 시작하고 Google Cloud 콘솔에 로그인하는 방법

1. 실습 시작 버튼을 클릭합니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 패널이 있습니다.

   • 남은 시간
   • Google Cloud 콘솔 열기 버튼
   • 이 실습에 사용해야 하는 임시 사용자 인증 정보
   • 필요한 경우 실습 진행을 위한 기타 정보
   참고: 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 팝업이 열립니다.

2. Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다). 새 브라우저 탭에서 로그인 페이지가 열립니다.

   도움말: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하면 탭 간에 쉽게 전환할 수 있습니다.

   참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.

3. 필요한 경우 아래의 Google Cloud 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다. 다음을 클릭합니다.

{{{user_0.username | "Google Cloud username"}}}

실습 세부정보 패널에서도 Google Cloud 사용자 이름을 확인할 수 있습니다.

4. 아래의 Google Cloud 비밀번호를 복사하여 시작하기 대화상자에 붙여넣고, 다음을 클릭합니다.

{{{user_0.password | "Google Cloud password"}}}

실습 세부정보 패널에서도 Google Cloud 비밀번호를 확인할 수 있습니다.

중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.

5. 이후에 표시되는 페이지를 클릭하여 넘깁니다.
   • 이용약관에 동의하세요.
   • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 마세요.
   • 무료 체험판을 신청하지 마세요.

잠시 후 Cloud 콘솔이 이 탭에서 열립니다.

참고: 왼쪽 상단에 있는 탐색 메뉴를 클릭하면 Google Cloud 제품 및 서비스 목록이 있는 메뉴를 볼 수 있습니다.

Cloud Shell 활성화

Cloud Shell은 브라우저를 사용해 어디서나 액세스할 수 있는 온라인 개발 및 운영 환경입니다. Cloud Shell의 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.

1. Google Cloud 콘솔 오른쪽 상단에서 Cloud Shell 활성화()를 클릭합니다. 계속을 클릭하라는 메시지가 표시될 수 있습니다.

Cloud Shell이 시작되면 이 세션의 Google Cloud 프로젝트 ID를 보여주는 메시지가 표시됩니다.

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

Google Cloud의 명령줄 도구인 gcloud는 Cloud Shell에 사전 설치되어 있으며 명령줄 자동 완성을 지원합니다. Google Cloud에 액세스하려면 먼저 gcloud를 승인해야 합니다.

2. 다음 명령어를 사용하여 활성 계정 이름을 나열합니다.

gcloud auth list

3. Cloud Shell 승인을 요청하는 팝업이 나타납니다. 승인을 클릭합니다.

4. 다음과 비슷한 결과가 출력됩니다.

출력:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. 다음 명령어를 사용하여 프로젝트 ID를 나열합니다.

gcloud config list project

출력 예:

[core] project = qwiklabs-gcp-44776a13dea667a6 참고: gcloud 전체 문서는 Google Cloud에서 gcloud CLI 개요 가이드를 참조하세요.

작업 1. 계정 활동 생성

참고: 사용자 이름 1: Google Cloud 콘솔이 표시되었는지 확인합니다.

이 작업에서는 클라우드 리소스를 만들고 삭제하여 계정 활동을 생성하고, 이를 Cloud 감사 로그에서 액세스합니다.

1. 다음 명령어를 Cloud Shell 터미널에 복사합니다.

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID echo "this is a sample file" > sample.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID gcloud compute networks create mynetwork --subnet-mode=auto export ZONE=$(gcloud compute project-info describe \ --format="value(commonInstanceMetadata.items[google-compute-default-zone])") gcloud compute instances create default-us-vm \ --machine-type=e2-micro \ --zone=$ZONE --network=mynetwork gcloud storage rm --recursive gs://$DEVSHELL_PROJECT_ID

2. Enter 키를 누릅니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. 계정 활동 생성

작업 2. 감사 로그 내보내기

참고: 사용자 이름 1: Google Cloud 콘솔이 표시되었는지 확인합니다.

이전 작업에서 생성한 활동은 감사 로그로 기록되었습니다. 이 작업에서는 추가 분석을 위해 이 로그를 BigQuery 데이터 세트로 내보냅니다.

1. Google Cloud 콘솔 제목 표시줄의 검색창에 로그 탐색기를 입력한 다음 검색 결과에서 로그 탐색기를 클릭합니다. 로그 탐색기 페이지가 열립니다.
2. 모니터링 가능성 로깅 옆에 있는 고정을 클릭합니다.
3. 로그를 내보낼 때 현재 필터가 내보내는 항목에 적용됩니다. 다음 쿼리를 쿼리 빌더에 복사합니다.

logName = ("projects/{{{project_0.project_id | Project ID}}}/logs/cloudaudit.googleapis.com%2Factivity")

4. 쿼리 실행을 클릭합니다. 쿼리 결과가 쿼리 결과 창에 표시됩니다. 이 쿼리는 프로젝트 내의 Cloud 감사 로그를 필터링합니다.
5. 쿼리 편집기 필드에서 작업 > 싱크 만들기를 클릭합니다. 로그 라우팅 싱크 만들기 대화상자가 열립니다.

참고: 브라우저 창이 좁은 경우 UI에 추가 작업 대신 더보기가 표시될 수 있습니다.

6. 로그 라우팅 싱크 만들기 대화상자에서 다음 설정을 지정하고 다른 모든 설정은 기본값으로 둡니다.

섹션	필드: 값
싱크 세부정보	싱크 이름: AuditLogsExport 다음을 클릭합니다.
싱크 대상	싱크 서비스 선택: BigQuery 데이터 세트 BigQuery 데이터 세트 선택: 새 BigQuery 데이터 세트 만들기 데이터 세트 만들기 대화상자가 열립니다.
데이터 세트 만들기	데이터 세트 ID: auditlogs_dataset 데이터 세트 만들기를 클릭합니다. 데이터 세트 만들기 대화상자가 닫히고 싱크 대상 대화상자로 돌아갑니다.
싱크 대상	다음을 클릭합니다. 파티션을 나눈 테이블 사용 체크박스가 이미 선택되어 있다면 선택 해제하고 다음을 클릭합니다.
싱크에 포함할 로그 선택	사전 입력된 포함 필터 만들기:logName=("projects/[PROJECT ID]/logs/cloudaudit.googleapis.com%2Factivity")를 확인합니다. 다음을 클릭합니다. 싱크 만들기를 클릭합니다. 로그 탐색기 페이지로 돌아갑니다.

7. Logging 탐색창에서 로그 라우터를 클릭하여 로그 라우터 싱크 목록에서 AuditLogsExport 싱크를 확인합니다.
8. AuditLogsExport 싱크와 같은 줄에서 작업 더보기() > 싱크 세부정보 보기를 클릭하여 생성한 AuditLogsExport 싱크에 관한 정보를 확인합니다. 싱크 세부정보 대화상자가 열립니다.
9. 싱크 정보를 모두 확인했으면 취소를 클릭하여 싱크 세부정보 대화상자를 닫습니다.

이제 모든 향후 로그가 BigQuery로 내보내기되며 BigQuery 도구를 사용하여 감사 로그 데이터에 대한 분석을 수행할 수 있습니다. 내보내기에서 기존 로그 항목은 내보내지 않습니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. 감사 로그 내보내기

작업 3. 더 많은 계정 활동 생성

참고: 사용자 이름 1: Google Cloud 콘솔이 표시되었는지 확인합니다.

이 작업에서는 클라우드 리소스를 만들고 삭제하여 추가 계정 활동을 생성한 다음 BigQuery에서 액세스하여 로그에서 추가 인사이트를 추출합니다.

1. 다음 명령어를 Cloud Shell 터미널에 복사합니다.

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID-test echo "this is another sample file" > sample2.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID-test export ZONE=$(gcloud compute project-info describe \ --format="value(commonInstanceMetadata.items[google-compute-default-zone])") gcloud compute instances delete --zone=$ZONE \ --delete-disks=all default-us-vm

이러한 명령어는 BigQuery로 내보낸 감사 로그에서 볼 수 있는 활동을 더 많이 생성합니다.

2. Enter 키를 누릅니다.

메시지가 표시되면 Y를 입력하고 Enter 키를 누릅니다. 버킷 2개를 만들고 Compute Engine 인스턴스 1개를 삭제했습니다.

3. 몇 분 후 프롬프트가 표시되면 Cloud Shell 터미널에 다음 명령어를 입력하여 계속합니다.

gcloud storage rm --recursive gs://$DEVSHELL_PROJECT_ID gcloud storage rm --recursive gs://$DEVSHELL_PROJECT_ID-test

4. Enter 키를 누릅니다.

두 버킷을 모두 삭제했습니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. 더 많은 계정 활동 생성

작업 4. 두 번째 사용자로 로그인

실습 세부정보 패널에 제공된 두 번째 사용자 계정을 사용해 Google Cloud 콘솔에 로그인하여 Google Cloud 계정을 전환해야 합니다. 이 사용자 계정은 로그를 분석하는 데 사용됩니다.

1. Google Cloud 콘솔에서 화면의 오른쪽 상단에 있는 사용자 아이콘을 클릭한 다음 계정 추가를 클릭합니다.
2. 실습 세부정보 패널로 돌아가서 Google Cloud 사용자 이름 2: 와 비밀번호를 복사합니다. 그런 다음 사용자 이름과 비밀번호를 Google Cloud 콘솔 로그인 대화상자에 붙여넣습니다.

작업 5. 관리자 활동 로그 분석

참고: 사용자 이름 2: Google Cloud 콘솔이 표시되었는지 확인합니다.

이 작업에서는 이전 작업에서 생성된 관리자 활동 로그를 검토합니다. 목표는 의심스러운 활동을 나타낼 수 있는 로그를 격리하기 위해 필터를 식별하고 적용하는 것입니다. 이렇게 하면 로그의 이 하위 집합을 내보내고 잠재적인 문제를 분석하는 프로세스를 간소화할 수 있습니다.

관리자 활동 로그는 API 호출 관련 로그 항목이나 리소스의 구성 또는 메타데이터를 수정하는 다른 관리 작업을 기록합니다. 예를 들어 이 로그에서는 VM 인스턴스와 App Engine 애플리케이션이 생성된 시기와 권한이 변경된 시기를 기록합니다.

참고: 감사 로그 항목은 로그 뷰어, Cloud Logging, Cloud SDK에서 볼 수 있으며 Pub/Sub, BigQuery 또는 Cloud Storage로 내보낼 수도 있습니다.

1. Google Cloud 콘솔 제목 표시줄의 검색창에 로그 탐색기를 입력한 다음 검색 결과에서 로그 탐색기를 클릭합니다. 로그 탐색기 페이지가 열립니다.
2. 모니터링 가능성 로깅 옆에 있는 고정을 클릭합니다.
3. 쿼리 표시 전환 버튼이 활성화되어 있는지 확인합니다. 그러면 쿼리 빌더 필드가 열립니다.
4. 다음 명령어를 복사하여 쿼리 빌더 필드에 붙여넣습니다. 명령어의 Google Cloud 프로젝트 ID인 project-id를 확인합니다.

logName = ("projects/{{{project_0.project_id | "PROJECT_ID"}}}/logs/cloudaudit.googleapis.com%2Factivity")

5. 쿼리 실행을 클릭합니다.
6. 쿼리 결과에서 Cloud Storage 버킷이 삭제되었음을 나타내는 로그 항목을 찾습니다. 이 항목에는 storage.buckets.delete 요약 필드가 포함됩니다. 요약 필드는 로그 항목에 대한 중요한 정보를 강조 표시하기 위해 로그 결과에 포함됩니다.

이 항목은 storage.googleapis.com을 참조하며, storage.buckets.delete 메서드를 호출하여 버킷을 삭제합니다. 버킷 이름은 프로젝트 ID와 동일한 이름인 입니다.

7. 이 항목 내에서 storage.googleapis.com 텍스트를 클릭하고 일치하는 항목 표시를 선택합니다. 이제 쿼리 결과에 생성 및 삭제된 Cloud Storage 버킷과 관련된 항목 6개만 표시됩니다.
8. 쿼리 편집기 필드에서 protoPayload.serviceName="storage.googleapis.com" 줄이 쿼리 빌더에 추가된 것을 확인합니다. 이렇게 하면 쿼리가 storage.googleapis.com과 일치하는 항목으로만 필터링됩니다.
9. 쿼리 결과 항목 중 하나인 storage.buckets.delete를 클릭하고 일치하는 항목 표시를 선택합니다.

쿼리 빌더 텍스트에 다른 줄이 추가되었습니다.

logName = ("projects/{{{project_0.project_id | "PROJECT_ID"}}}/logs/cloudaudit.googleapis.com%2Factivity") protoPayload.serviceName="storage.googleapis.com" protoPayload.methodName="storage.buckets.delete"

이제 삭제된 Cloud Storage 버킷과 관련된 모든 항목이 쿼리 결과에 표시됩니다. 이 기법을 사용하면 특정 이벤트를 쉽게 찾을 수 있습니다.

10. 쿼리 결과에서 다음 줄 옆에 있는 펼치기 화살표 >를 클릭하여 storage.buckets.delete 이벤트를 펼칩니다.

11. 줄 옆에 있는 펼치기 화살표 >를 클릭하여 authenticatitonInfo 필드를 펼칩니다.

principalEmail 필드에는 이 작업을 수행한 사용자 계정의 이메일 주소가 표시됩니다. 이 주소는 사용자 활동을 생성하는 데 사용한 사용자 1 계정입니다.

작업 6. BigQuery를 사용하여 감사 로그 분석

참고: 사용자 이름 2: Google Cloud 콘솔이 표시되었는지 확인합니다.

로그를 생성하고 BigQuery 데이터 세트로 내보냈습니다. 이 작업에서는 쿼리 편집기를 사용하여 로그를 분석합니다.

참고: 로그를 BigQuery 데이터세트로 내보내면 Cloud Logging은 내보낸 로그 항목을 저장하기 위해 날짜가 표시된 테이블을 만듭니다. 로그 항목은 항목의 로그 이름과 일치하는 테이블에 배치됩니다.

BigQuery 콘솔 열기

1. Google Cloud 콘솔의 탐색 메뉴에서 BigQuery를 클릭합니다.
   Cloud 콘솔의 BigQuery에 오신 것을 환영합니다라는 대화상자가 열립니다. 이 대화상자에서는 빠른 시작 가이드 링크 및 UI 업데이트 목록을 확인할 수 있습니다.

2. 완료를 클릭하여 대화상자를 닫습니다.

3. 탐색기 창에서 프로젝트 옆에 있는 펼치기 화살표를 클릭합니다. auditlogs_dataset 데이터 세트가 표시됩니다.

참고: auditlogs_dataset이 표시되지 않으면 브라우저 창을 새로고침합니다.

다음으로, 내보내기 작성자가 로그 항목을 저장할 수 있는 적절한 권한이 있는지 BigQuery 데이터 세트에서 확인합니다.

4. auditlogs_dataset 데이터 세트를 클릭합니다.

5. auditlogs_dataset 툴바에서 공유 드롭다운 메뉴를 클릭하고 권한 관리를 선택합니다.

6. 'auditlogs_dataset'에 대한 권한 공유 페이지에서 BigQuery 데이터 편집자 섹션을 펼칩니다.

7. 로그 내보내기에 사용되는 서비스 계정이 나열된 권한인지 확인합니다. 서비스 계정은 service-xxxxxxxx@gcp-sa-logging.iam.gserviceaccount.com과 유사합니다.

   이 권한은 로그 내보내기가 구성될 때 자동으로 할당되므로 로그 내보내기가 구성되었는지 확인하는 데 유용합니다.

8. 닫기를 클릭하여 데이터 세트 공유 창을 닫습니다.

9. 기존 탐색기 창에서 auditlogs_dataset 데이터 세트 옆에 있는 펼치기 화살표를 클릭하여 cloudaudit_googleapis_com_acitivty 테이블을 확인합니다. 이 테이블에는 내보낸 로그가 포함되어 있습니다.

10. cloudaudit_googleapis_com_acitivty 테이블을 선택합니다. 테이블 스키마가 표시됩니다. 잠시 시간을 내어 테이블 스키마와 세부정보를 검토합니다.

11. 열기 드롭다운 메뉴를 펼치고 SQL 쿼리 > 새 탭을 선택합니다.

12. 쿼리 빌더의 제목 없는 쿼리 탭에서 기존 텍스트를 삭제하고 다음 명령어를 복사하여 붙여넣습니다.

SELECT timestamp, resource.labels.instance_id, protopayload_auditlog.authenticationInfo.principalEmail, protopayload_auditlog.resourceName, protopayload_auditlog.methodName FROM `auditlogs_dataset.cloudaudit_googleapis_com_activity_*` WHERE PARSE_DATE('%Y%m%d', _TABLE_SUFFIX) BETWEEN DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY) AND CURRENT_DATE() AND resource.type = "gce_instance" AND operation.first IS TRUE AND protopayload_auditlog.methodName = "v1.compute.instances.delete" ORDER BY timestamp, resource.labels.instance_id LIMIT 1000;

이 쿼리는 지난 7일 동안 가상 머신을 삭제한 사용자를 반환합니다.

13. 실행을 클릭합니다.

몇 초 후 BigQuery는 지난 7일 동안 사용자가 Compute Engine 가상 머신을 삭제한 각 시간을 반환합니다. 이전 작업에서 사용자 1로 생성한 활동 항목이 하나 표시됩니다. BigQuery에는 내보내기를 만든 후에 발생한 활동만 표시됩니다.

14. 제목 없는 쿼리 탭의 이전 쿼리를 다음으로 바꿉니다.

SELECT timestamp, resource.labels.bucket_name, protopayload_auditlog.authenticationInfo.principalEmail, protopayload_auditlog.resourceName, protopayload_auditlog.methodName FROM `auditlogs_dataset.cloudaudit_googleapis_com_activity_*` WHERE PARSE_DATE('%Y%m%d', _TABLE_SUFFIX) BETWEEN DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY) AND CURRENT_DATE() AND resource.type = "gcs_bucket" AND protopayload_auditlog.methodName = "storage.buckets.delete" ORDER BY timestamp, resource.labels.instance_id LIMIT 1000;

이 쿼리는 지난 7일 동안 Cloud Storage 버킷을 삭제한 사용자를 반환합니다. 이전 작업에서 사용자 1로 생성한 두 개의 활동 항목이 표시됩니다.

15. 실행을 클릭합니다.

BigQuery에서 감사 로그를 분석하는 기능은 매우 강력합니다. 이 활동에서는 감사 로그를 쿼리하는 두 가지 예시만 살펴보았습니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. BigQuery를 사용하여 감사 로그 분석

결론

수고하셨습니다. 로그 탐색기에서 쿼리를 실행했습니다. 그런 다음 로그를 내보내고 BigQuery에서 분석할 데이터 세트를 만들었습니다.

감사 로그를 사용하여 악의적인 활동 유형을 필터링한 다음 BigQuery에서 해당 로그를 추가로 분석하여 위협을 분석하는 방법을 보여주었습니다.

실습 종료하기

실습을 종료하기 전에 모든 작업을 완료했는지 확인하세요. 준비가 되면 실습 종료를 클릭한 다음 제출을 클릭합니다.

실습을 종료하면 실습 환경에 대한 액세스 권한이 삭제되며, 실습에서 완료한 작업에 다시 액세스할 수 없습니다.

Copyright 2026 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.