스케줄 추가 - 스캔 호스트
호스트 스캔 스케줄을 추가하는 것은 세 단계로 나뉜 일련의 질문을 완성하는 것으로 구성됩니다.
새로운 스캔 스케줄 양식은 스케줄 페이지에 있는 스캔 추가 버튼에서 열 수 있습니다. 여기에서 다음 필드에 데이터를 제공하십시오:
1단계: 스케줄
- 이름 - 스캔이 무엇과 관련이 있는지 알기 위한 스케줄의 텍스트 레이블입니다.
- 타이머 하한 - 이 스케줄을 다시 실행하기 전에 대기할 최소 분 수입니다.
- 타이머 상한 - 이 스케줄을 다시 실행하기 전에 대기할 최대 분 수입니다.
- 시간 창으로 스케줄 제한 (선택사항) - 활성화하면 특정 시간 내에만 스케줄을 실행합니다.
- 스케줄 시작 시간 - 스케줄이 스캔을 시작할 수 있는 UTC 기준 시작 시간입니다.
- 스케줄 종료 시간 - 스케줄이 스캔을 시작할 수 있는 UTC 기준 종료 시간입니다.
Adding a Scan Hosts Schedule - Step 1
2단계: 스캔
- 우선순위 - 원격 호스트에서 스캔을 실행할 우선순위 수준입니다.
- 호스트 모드 - 스캔에 포함할 호스트를 결정하는 설정입니다.
- 모두 스캔 - 등록된 모든 활성 호스트를 스캔합니다.
- 태그별로 호스트 포함 또는 제외 - 지정된 호스트 태그가 있는 호스트만 스캔합니다.
- 포함 태그 - 이러한 태그가 있는 호스트만 스캔을 위해 선택됩니다.
- 제외 태그 - 이 스케줄은 이러한 태그가 있는 호스트를 스캔하지 않습니다.
- Sandfly 유형 - 이 스케줄의 일부로 실행할 Sandfly 유형입니다.
- Sandfly 선택 비율 - 매번 사용할 활성 Sandfly의 무작위 비율입니다.
- 스캔 모드 - 점진적 또는 즉시 스캔 모드 중에서 선택합니다.
Adding a Scan Hosts Schedule - Step 2
3단계: 정리
- 오프라인 및 비활성 호스트 삭제 (선택사항) - 활성화하면 지정된 시간이 지난 후 오프라인 및 비활성 호스트를 삭제합니다.
- 정리 시간 (시간) - 관련 호스트를 삭제할 시간(시간 단위)입니다.
Adding a Scan Hosts Schedule - Step 3
필드 세부사항
이름
이름은 단순히 스케줄이 무엇인지 인식하기 위한 레이블입니다. 예를 들어, 프로세스 공격만 찾는 경우 "process_check"라고 부를 수 있습니다. 또는 60-90분마다 발생하는 체크의 경우 "60_90"이라고 명명할 수 있습니다.
타이머 하한
하한 시간은 스캔 간 대기할 절대 최소 시간입니다. 예를 들어 여기에 30이라는 값을 입력할 수 있습니다. 이는 Sandfly가 마지막으로 실행된 시점에서 30분보다 빨리 이 스케줄을 실행하지 않도록 지시합니다.
타이머 상한
상한 시간 지연은 이 스케줄을 위해 대기할 최대 시간입니다. 예를 들어 여기에 60분을 입력할 수 있으며, 이는 Sandfly가 이 예약된 확인을 실행하기 위해 60분 이상 기다리지 않도록 지시합니다.
Sandfly 유형은 실행하고자 하는 Sandfly의 종류입니다. 예를 들어 파일 확인만을 위한 스케줄, 프로세스 확인을 위한 스케줄, 그리고 나머지를 위한 스케줄을 가질 수 있습니다. 원한다면 이러한 스케줄들을 서로 다른 시간에 실행할 수 있습니다. 또는 위의 예제에서 보여주는 것처럼 모든 것을 한 번에 실행할 수 있습니다.
사용자 정의 Sandfly에서 논의될 바와 같이, 사용자 정의 Sandfly도 부여한 유형(파일, 프로세스, 디렉토리, 사용자 또는 로그)에 따라 스케줄에서 실행됩니다
인시던트 대응 Sandfly를 스케줄의 일부로 실행하는 것은 불가능합니다.
인시던트 유형은 인시던트 대응과 같은 심화 검사를 위해 설계된 특수 Sandfly입니다. 원격 호스트에서 눈에 띌 수 있는 CPU 및 디스크 활동 급증을 일으킬 수 있습니다. 때때로 Sandfly 작동 방식으로 인해 거짓 양성이 나타날 수 있습니다 (약간의 잘못된 부분도 보고하는 쪽으로 편향되어 있어 더 세밀하게 구분하지 않습니다).
작업 윈도우
Restrict Schedule to a Time Window
이 섹션은 제공된 시간 프레임 내에서만 무작위 스캔을 시작하도록 스케줄러를 제한합니다. 이 기능을 활성화하려면 시간 윈도우로 스케줄 제한 필드를 토글하고 시작 및 종료 시간을 설정하십시오. 시간 필드는 UTC 기준이며 시간 필드의 시간 부분만 변경할 수 있습니다.
우선순위
우선순위 필드를 사용하면 확인 중에 원격 시스템에서 스캔이 사용하는 리소스 양을 제어할 수 있습니다. 우선순위는 내부적으로 프로세스가 얼마나 nice해야 하는지에 대한 Linux 관례를 사용합니다.
Sandfly의 경우 기본값으로 UI에서 "낮음"으로 표시되는 Linux 중간 낮은 우선순위인 10을 사용합니다. 이는 Sandfly가 실행되고 과부하 상태의 시스템이 주요 작업보다 보안 검사로 인해 부담을 받지 않도록 하는 데 충분합니다.
API를 통해 더 낮은 우선순위로 스캔을 실행할 수 있으며, 이는 Linux에서 레벨 20이 되지만 거의 필요하지 않습니다. "보통" 우선순위는 시스템 우선순위 0(영)에서 실행되며, "높음" 우선순위는 원격 시스템에서 시스템 우선순위 -10에서 실행됩니다.
타임아웃 오류가 발생하지 않는 한 기본값을 권장합니다. 타임아웃 오류는 매우 과부하된 시스템에서만 발생할 것입니다. 이 경우 우선순위를 더 낮게 설정하여 문제가 해결되는지 실험해볼 수 있습니다. 그러나 Sandfly 실행 여부와 관계없이 원격 시스템이 예상 프로세스로 인해 너무 과부하 상태여서 업그레이드가 필요할 수도 있습니다.
모든 호스트 스캔 또는 태그별 호스트 포함/제외
모두 스캔을 선택하면 Sandfly가 등록된 모든 호스트에 대해 예약된 스캔을 실행하도록 지시합니다. 이는 소규모 배포에 합리적인 설정입니다.
Scanning Hosts by Include and Exclude Tags
선택적으로 호스트 태그를 사용하여 스캔을 설정할 수 있습니다. 이는 웹 서버용으로 "www"라고 라벨링된 호스트 그룹이 있다면 해당 그룹만을 위한 스케줄을 설정할 수 있다는 의미입니다. 그런 다음 개발 시스템용으로 "development"라고 태그된 다른 그룹 등을 가질 수 있습니다. 선택된 태그가 있는 모든 호스트는 실행될 때 스캔 그룹에 포함되거나 제외됩니다.
Sandfly 유형
Sandfly 유형은 실행하고자 하는 Sandfly의 종류입니다. 예를 들어 파일 확인만을 위한 스케줄, 프로세스 확인을 위한 스케줄, 그리고 나머지를 위한 스케줄을 가질 수 있습니다. 원한다면 이러한 스케줄들을 서로 다른 시간에 실행할 수 있습니다. 또는 위의 예제에서 보여주는 것처럼 모든 것을 한 번에 실행할 수 있습니다.
사용자 정의 Sandfly에서 논의될 바와 같이, 사용자 정의 Sandfly도 부여한 유형(파일, 프로세스, 디렉토리, 사용자 또는 로그)에 따라 스케줄에서 실행됩니다.
인시던트 대응 Sandfly를 스케줄의 일부로 실행하는 것은 불가능합니다.
인시던트 유형은 인시던트 대응과 같은 심화 검사를 위해 설계된 특수 Sandfly입니다. 원격 호스트에서 눈에 띌 수 있는 CPU 및 디스크 활동 급증을 일으킬 수 있습니다. 때때로 Sandfly 작동 방식으로 인해 거짓 양성이 나타날 수 있습니다 (약간의 잘못된 부분도 보고하는 쪽으로 편향되어 있어 더 세밀하게 구분하지 않습니다).
정보: 다양한 Sandfly 유형을 위한 Sandfly 스케줄다양한 Sandfly 유형에 대해 여러 스케줄을 가질 수 있습니다. 예를 들어 프로세스 확인 Sandfly는 일반적으로 매우 빠르고 영향이 적습니다. 자주 실행되도록 설정할 수 있습니다. 디스크 확인 Sandfly는 여전히 꽤 빠르지만 프로세스 확인보다는 느립니다. 덜 빈번하게 실행되도록 할 수 있습니다. 스케줄링을 실험해보면 곧 어떤 종류의 영향을 미치는지와 네트워크에 적합한 것이 무엇인지 알아낼 수 있습니다.
Sandfly 선택 비율
Sandfly 선택 비율은 지정된 Sandfly 유형 중에서 일정 비율의 Sandfly를 선택하도록 지시합니다.
예를 들어 모든 Sandfly를 활성화하고 25%를 선택하면, Sandfly는 사용자, 디렉토리, 파일, 로그 및 프로세스 유형의 Sandfly 중에서 무작위로 25%를 선택합니다. 그런 다음 스케줄이 지시할 때 선택 비율에 포함되지 않는 모든 활성 정찰 Sandfly와 함께 해당 Sandfly들을 실행합니다.
원격 호스트에 더 적은 영향을 원한다면 10%와 같은 더 낮은 수치를 선택할 수 있습니다. 그런 다음 이를 더 짧은 시간 윈도우와 결합하여 하루 종일 더 빈번하지만 더 적은 수의 확인을 수행할 수 있습니다.
마찬가지로 100%로 설정하여 Sandfly가 스케줄의 모든 Sandfly를 실행하도록 강제할 수 있습니다. 이것은 권장하지 않지만, 더 긴 간격으로 매우 집중적인 스캔을 수행하려는 경우 수행할 수 있습니다.
스캔 모드
스케줄의 인스턴스가 처음 실행될 때 스캔 스케줄 내의 호스트가 작업 큐에 추가되는 방법을 결정합니다. 스캔 모드는 다음 옵션 중 하나를 선택하는 것으로 구성됩니다:
- 점진적 스캔 [권장] - 포함된 호스트가 스케줄 간격에 걸쳐 분산됩니다.
- 즉시 스캔 - 모든 포함된 호스트가 스케줄 시작 시 즉시 추가됩니다.
스케줄 자체의 설정과 포함된 호스트의 환경의 조합에 따라 이 설정은 스케줄이 호스트의 리소스에 가하는 부하량을 결정하므로 중요합니다.
예를 들어, 스케줄에 매우 많은 수의 포함된 호스트가 있거나 공유 리소스(예: CPU, 메모리, 네트워크, 특히 스토리지; 모두 가상 머신(VM) 환경에서 일반적)를 사용하는 호스트가 있는 경우, 사용되는 리소스를 분산시키기 위해 Trickle 스캔을 사용하는 것을 권장합니다. 반대로 스케줄에 더 적은 수의 호스트가 포함되고/또는 호스트의 리소스가 공유되지 않고 분산되어 있는 경우(예: 로컬 스토리지를 가진 베어메탈 시스템으로 구성된 호스트 또는 엣지 네트워크 장치), 즉시 스캔이 실행 가능한 옵션으로 남아 있습니다.
호스트 유지 관리
Sandfly는 구성 가능한 시간 수 후에 오프라인이거나 비활성 상태인 호스트를 자동으로 정리하는 옵션을 제공합니다. 활성화되면 이 단계는 관련 스캔 스케줄의 일부로 포함될 호스트에만 영향을 미칩니다. 이는 동적 컨테이너 환경과 같이 자주 변경되는 호스트 그룹에 특히 유용하여 호스트 관리의 필요성을 줄이면서 보안 분석에 더 많은 시간을 제공합니다.
Host Maintenance Options
오프라인 및 비활성 호스트 삭제 토글 스위치는 이 옵션을 활성화하거나 비활성화하는 데 사용됩니다. 활성화하면 해당 호스트를 유지할 시간 수를 기본값인 72시간에서 변경할 수 있는 정리 시간(시간) 필드에 액세스할 수 있습니다.
Updated 7 days ago