호스트 추가
Sandfly에 호스트를 추가하는 것은 매우 쉽습니다. 추가하려는 호스트명, IP 주소 또는 IP 네트블록을 붙여넣기만 하면 됩니다. Sandfly가 호스트에 연결하고, 시스템을 인벤토리하고, 결과를 반환하는 데 약 1-2초가 걸립니다. 따라서 많은 호스트를 매우 빠르게 추가하여 즉시 보호를 받을 수 있습니다.
여기에서 호스트 추가를 위한 전체 화면을 볼 수 있습니다. 아래에서 각 섹션을 더 자세히 살펴보겠습니다.
Adding Hosts to Sandfly
호스트 세부 정보
IP / 호스트명 목록으로 추가
보호를 위해 호스트 목록을 추가하려면 먼저 Type을 IP / Hostname List 옵션으로 설정하세요. 그런 다음 IP / Hostname List 텍스트박스에 네트워크 아키텍처에 적합하게 Sandfly 노드나 jumphost에서 지정된 포트를 통해 SSH로 연결할 수 있는 호스트의 IP Address 또는 Hostname을 한 줄에 하나씩 입력하세요.
이 목록에는 부분적으로 또는 완전히 정규화된 호스트명을 사용할 수 있습니다. 단, 호스트명은 Sandfly 서버에서 DNS 해석이 가능해야 합니다.
Selecting IP List or Range
IP 주소 범위로 추가
또는 보호가 필요한 네트블록에 호스트 그룹이 있는 경우 Sandfly는 호스트를 개별적으로 입력할 필요 없이 쉽게 찾을 수 있습니다. 먼저 Type을 IP Netblock List 옵션으로 설정하세요. 그런 다음 IP Netblock List 텍스트박스에 CIDR 표기법으로 클래스 B 네트워크까지 하나 이상의 네트블록을 한 줄에 하나씩 입력하세요(예: 192.168.1.0/24).
중요: 네트블록 스캔은 클래스 B로 제한됩니다Sandfly는 한 번에 클래스 B 네트워크까지 허용할 수 있습니다(65535개 호스트). 이보다 더 많이 스캔해야 하는 경우 각 네트 블록을 별도 항목으로 입력해야 합니다.
Jump Host 추가 (선택사항)
이러한 시스템에 연결하기 위해 jump host를 사용하는 경우 이 섹션에서 선택할 수 있습니다. Jump Host 드롭다운에 옵션을 표시하려면 최소 하나의 jump host가 이미 설정되어 있어야 합니다. jump host가 아직 설정되지 않았다면 이를 수행하는 방법에 대해 Jump Hosts 문서를 참조하세요.
Optional Jump Host Selection
자격 증명 추가
기존 자격 증명 사용
다음 섹션에서 Sandfly가 이러한 호스트에 로그인하는 데 사용할 자격 증명을 선택하세요. 이는 Host Credentials 영역에 자세히 설명된 대로 설정한 자격 증명입니다. 자격 증명이 유효하지 않은 경우 Sandfly는 호스트 목록을 볼 때 이를 알려줍니다.
Selecting a Credential to Use
새 자격 증명 사용
선택할 자격 증명을 아직 추가하지 않았다면 이 단계에서 수행할 수 있습니다. Credential Type에 대해 New를 선택하고 사용할 SSH 키 또는 사용자명/비밀번호 필드를 입력하세요.
Adding Hosts with New Credentials
추가 옵션
대기열 선택
마지막 섹션에서 Sandfly는 명명된 대기열을 사용하여 호스트 추가 요청을 적절한 노드로 보낼 수 있습니다. 예를 들어 Amazon Cloud의 보호된 세그먼트 내에서 실행되는 노드, Digital Ocean에 있는 노드, 그리고 내부에 있는 노드가 있을 수 있습니다. 이러한 노드가 모두 온라인 상태이면 이름이 포함된 드롭다운 옵션을 얻을 수 있습니다. Sandfly 노드에서 이 기능을 활성화하지 않은 경우 기본 이름은 main입니다.
대기열 이름 뒤의 (괄호)는 해당 대기열을 서비스하는 노드 수를 나타냅니다. 아래에서 두 개의 노드가 활성인 main 대기열 이름을 볼 수 있습니다.
Selecting Named Queue for Scanning
태그 추가 (선택사항)
호스트 태그는 이 필드를 통해 선택적으로 추가할 수 있습니다. 이 양식에서 무엇을 사용할지 확실하지 않은 경우 나중에 언제든지 쉽게 추가하거나 제거할 수 있습니다. 이러한 태그는 태그로 호스트를 대상으로 하거나 호스트 데이터를 필터링/표시하는 다른 기능에서 사용됩니다.
고급 옵션
스캔 디렉토리 재정의 (선택사항)
Sandfly가 일반적으로 에이전트를 업로드하고 실행하는 데 사용하는 작업 디렉토리는 노드의 default_directory 옵션에 의해 제어됩니다.
경우에 따라 단일 호스트(또는 특정 유형의 호스트)에 다른 디렉토리가 필요할 수 있습니다. 예를 들어, Cisco NX-OS 스위치는 /volatile을 사용해야 하지만, 다른 이유로 Sandfly는 sandfly 사용자의 홈 디렉토리를 /volatile 아래의 디렉토리로 변경할 수 없습니다.
이 필드에 비어있지 않은 문자열 값이 있으면 노드는 구성된 기본 디렉토리와 대체 디렉토리 대신 요청된 디렉토리를 사용합니다. 노드는 기본 디렉토리 대신 호스트에서 해당 디렉토리만 사용하며, 대체 디렉토리 동작은 비활성화됩니다.
재정의 스캔 디렉토리를 사용자의 홈 디렉토리로 설정하려면(일반적으로 노드를 빈 문자열로 구성하여 얻을 수 있음) 값으로 ~을 사용하세요. 노드는 이를 홈 디렉토리를 원한다는 의미로 이해합니다.
완료
모든 데이터를 입력한 후 Finish 버튼을 클릭하세요. 백그라운드에서 Sandfly 노드는 이제 SSH를 통해 주소 목록에 연결을 시도하고 호스트 인벤토리를 수집하고 있습니다. 몇 초 후 Refresh 버튼을 누르면 호스트가 나타나기 시작합니다.
목록에는 모든 활성 및 비활성 호스트가 표시됩니다. 이제 Linux 위협에 대해 시스템을 스캔할 준비가 완료되었습니다.
Hosts View
IP 범위 스캔으로 알 수 없는 호스트 찾기
네트워크에 있는 호스트를 검색하려는 경우 Sandfly는 IP Range 스캔으로 이를 찾을 수 있습니다. 이 기능은 네트워크에 어떤 시스템이 존재하는지 파악하려는 관리자나, 존재할 수 있는 모든 장치를 볼 수 있도록 인시던트 현장에 비전으로 들어가는 인시던트 대응자에게 유용합니다.
예를 들어 위 이미지를 참조하면 10.124.100.0/24 네트블록 내의 호스트가 발견되었지만 연결 오류가 발생했습니다. 이러한 종류의 알 수 없는 호스트는 일반적입니다. 다른 경우에는 SSH에 연결할 수 있지만 시간 초과되거나 예외 오류가 발생하는 호스트를 찾을 수도 있습니다. 이는 네트워크를 평가할 때 알아둘 가치가 있는 정보입니다.
알 수 없는 장치를 검색하려면 CIDR 표기법으로 클래스 B까지 최소 하나의 네트블록을 한 줄에 하나씩 입력하세요(예: 192.168.1.0/24). Sandfly는 제공된 자격 증명을 사용하여 열린 SSH 포트가 있는 모든 장치에 SSH를 통해 인증을 시도합니다. 로그인에 성공하면 정상적으로 호스트를 인벤토리하고 추가합니다. 그렇지 않으면 항목은 Active로 표시되지 않고 처음에 Status가 Inactive로 표시되며 sandfly로 스캔할 수 없습니다.
중요: 네트블록 스캔은 클래스 B로 제한됩니다Sandfly는 한 번에 클래스 B 네트워크까지 허용할 수 있습니다(65,535개 호스트). 이보다 더 많이 스캔해야 하는 경우 각 네트 블록을 별도 항목으로 입력해야 합니다.
Sandfly가 호스트를 발견했지만 로그인할 수 없는 경우 호스트 보기에서 인증 실패를 볼 수 있습니다. 이는 치명적이지 않지만 호스트가 존재하지만 액세스할 수 없음을 알려주는 정보입니다. 다른 자격 증명으로 이러한 호스트에 액세스를 시도하거나 Sandfly가 액세스를 시도하지 않기를 원하면 삭제할 수 있습니다.
주의: Sandfly 호스트 추가 및 네트워크 타임아웃네트블록을 스캔할 때 죽은 주소가 많거나 원격 호스트에서 패킷을 드롭하는 패킷 필터가 있는 경우 Sandfly는 죽은 연결이 시간 초과되기를 기다리는 데 시간이 걸릴 수 있습니다.
각 스캔 노드는 500개의 스레드를 가지고 있습니다. 여러 스캔 노드를 실행하고 많은 IP 주소 블록을 입력하면 네트워크에 큰 부하를 줄 수 있습니다. 한 번에 수천 개의 시스템을 스캔하는 것이 가능하며 이는 문제를 일으킬 수 있습니다. 이를 방지하기 위해 스캔 간격을 둘는 것이 좋습니다.
Updated 7 days ago