구글 워크스페이스

구독
다운로드 123
업데이트 2025. 2. 8.

허용된 도메인 추가

Google Workspace 관리자가 허용된 도메인을 추가한 경우 탐지합니다.

쿼리

작업 이름이 ADD_TRUSTED_DOMAINS 에 해당되는 관리 작업 감사 로그를 실시간으로 탐지합니다.

| search action == "ADD_TRUSTED_DOMAINS" 
| eval domain = strjoin("\n", foreach(if(valueof(_1, "name") == "DOMAIN_NAME", valueof(_1, "value"), ""), params))

메시지

  • 허용된 도메인 추가: 계정 $user, 도메인 $domain

출력 필드 순서

  • _log_time, src_ip, src_country, src_asn, user, action, req_params

위협 분석

  • Google Workspace는 Drive 및 Docs 설정 > 공유 설정 항목에서 조직 외부에 파일을 공유하기 위한 전체 정책을 설정하고 새 파일에 대한 기본 링크 공유 공개 상태를 정의합니다.
  • 공유 설정의 공유 옵션이 ‘허용 목록에 추가된 도메인: 허용 목록에 있는 호환 가능한 도메인의 Google 계정과 공유할 수 있음’으로 설정된 경우에는 신뢰하는 도메인에 대해서만 파일을 공유하게 됩니다.
  • 즉, Google Workspace에 ‘허용된 도메인’이 잘못 추가되면 데이터 유출 사고로 이어질 수 있습니다. 내부자 또는 외부 공격자에 의해 설정이 변경될 수 있으므로 이 이벤트는 반드시 의도된 구성 변경인지 확인해야 합니다.

오탐 유형

  • Google Workspace 관리자가 정상적으로 허용된 도메인을 추가하더라도 탐지됩니다. 허용된 도메인 설정 변경은 흔히 발생하지 않으므로, 일부 오탐이 발생하더라도 탐지 시나리오 활성화를 권고합니다.

대응 방안

  • 의도하지 않은 설정 변경이 발생했다면 해당 관리자 계정을 비활성화하여 더 이상 공격자가 관리자 권한으로 악성 행위를 하지 못하도록 차단해야 합니다.
  • 최근 로그인 이력을 확인하고, 인증을 수행한 출발지 IP 주소에 대해 방화벽 로그, EDR 로그 등을 추가로 검색하여 어떤 경로로 사고가 발생했는지 추적합니다.

MITRE ATT&CK