외부 알림

Sandfly는 모든 알림을 이메일 또는 syslog 대상으로 쉽게 전송할 수 있도록 합니다. Sandfly가 탐지한 새로운 위협은 이러한 엔드포인트로 즉시 전송됩니다.

Sandfly는 탐지한 새로운 위협에 대해 syslog를 통해 선택한 로그 집계 도구로 알림을 전송할 수 있습니다. 이러한 알림은 Sandfly 포렌식 뷰어에서 볼 수 있는 것과 동일한 풍부한 구조화된 텍스트를 가지며, 선택한 모니터링 사용자 인터페이스(UI)에서 볼 수 있습니다.

Sandfly는 알림을 한 번만 전송

Sandfly는 탐지된 위협에 대해 호스트에서 확인된 알림의 초기 발생에 대해서만 알림을 보냅니다.

예를 들어, Sandfly가 /tmp에서 실행되는 의심스러운 프로세스에 대해 활성화되면 처음 나타날 때 알림을 받게 됩니다. 이것은 Sandfly에서 해당 특정 알람을 지울 때까지 받게 되는 유일한 알림입니다. 알림이 여러 번 나타나고 Sandfly UI에서 지워지지 않았다면, 원래 알림이 지워지고 알림이 다시 발생할 때까지 더 이상 알림을 받지 않습니다.

동시에 동일한 호스트에서 다른 Sandfly 알림이 들어오면 해당 새로운 위협에 대한 알림을 받게 됩니다. 하지만 다시 말하지만, 원래 알람이 지워질 때까지 동일한 호스트의 동일한 알람의 중복은 전송되지 않습니다.

Sandfly는 수동 스캔의 알림을 이메일로 전송하지 않음

Sandfly는 받은편지함 범람을 방지하기 위해 수동으로 생성된 스캔의 알림을 이메일로 보내지 않습니다. 그러나 수동으로 생성된 스캔은 syslog로 알림을 보냅니다.