커스텀 sandfly는 시스템 sandfly를 향상시키거나 운영 환경이나 사용 사례에 고유한 완전히 새로운 보안 분석 방법을 만들기 위해 복제할 수 있습니다. 어느 쪽이든 Sandfly 시스템이 제공하는 파일, 디렉토리, 로그, 프로세스, 사용자 또는 기타 사고 대응 분석 방법을 활용합니다.

일반적으로 "sandfly"는 원격 시스템을 조사하기 위해 Sandfly 에이전트리스 포렌식 엔진에 전달되는 작은 JSON 모듈입니다. 또한 JSON의 옵션 섹션에서 정규식(aka regex)을 사용합니다. 따라서 특히 복잡한 규칙을 생성하거나 수정할 때 정규식 지식이 유용합니다.

보기

서버에서 사용 가능한 모든 sandfly의 필터링되지 않은 목록을 보려면 사이드바의 Sandflies 옵션을 클릭하기만 하면 됩니다. 테이블 도구 모음의 Presets 버튼을 사용하여 "Custom Only"를 포함한 일반적으로 사용되는 보기를 빠르게 필터링하십시오. 테이블 도구 모음은 또한 선택된 sandfly들을 일괄적으로 스캔, 활성화, 비활성화 또는 삭제하는 버튼도 제공합니다.

추가

기존 sandfly나 템플릿을 재사용하거나 완전히 새로운 것을 처음부터 생성하는지에 따라, 웹 인터페이스는 커스텀 sandfly를 개별적으로 추가하는 두 가지 방법을 제공합니다.

1. Sandflies 테이블 보기의 Actions 열 또는 임의의 Sandfly 세부 정보 페이지에서 Clone 버튼을 사용하십시오.
   1. 이 방법은 해당 JSON을 복사하여 Add Custom Sandfly 양식에 추가합니다.
   2. 저장하려면 최소한 "name" 값을 고유한 것으로 변경해야 합니다.
2. Manage Sandflies 액션 바에서 Add 버튼을 사용하십시오.
   1. 이 방법은 확장하거나 완전히 교체할 수 있는 예시 JSON으로 채워져 있습니다.

커스텀 Sandfly 정의에 대한 자세한 내용은 Custom Sandfly Creation 문서를 참조하십시오.

대량 관리

다운로드

커스텀 sandfly는 Manage Sandflies 액션 바에 있는 Download 버튼을 통해 웹 인터페이스에서 한 번에 모두 다운로드할 수 있습니다. 해당 버튼을 사용하면 서버에 있는 모든 커스텀 sandfly가 포함된 단일 대량 형식 JSON 파일이 생성됩니다.

업로드

Custom sandflies can also be uploaded in bulk via a web browser from the Upload option found in the Manage Sandflies action bar. The upload form requires a single, bulk-formatted JSON file, regardless if it contains one or multiple custom sandflies.

벌크 형식의 파일은 각 Sandfly를 외부 JSON 벌크 구조로 개별적으로 캡슐화합니다. 완전한 파일은 벌크 업로드/다운로드 작업에만 사용할 수 있으며, "Add Custom Sandfly" 기능에서 사용되는 개별 Sandfly JSON 구조로는 사용할 수 없습니다. 그러나 개별 Sandfly JSON을 해당 파일에서 추출할 수 있습니다.

🚧

주의: 벌크 JSON 파일은 커스텀 sandfly JSON과 다르게 구성됩니다

커스텀 Sandfly JSON은 단일 커스텀 sandfly라도 벌크 작업의 업로드/다운로드에 사용되는 JSON 파일에 대한 외부 래퍼를 포함합니다.

잘못된 형식의 JSON과 기존 시스템 sandfly 이름을 가진 커스텀 sandfly는 거부됩니다. 이미 존재하는 커스텀 sandfly 이름을 포함하는 파일을 업로드하면 해당 sandfly들을 완전히 덮어씁니다. 업로드 시점에 존재하지 않는 이름들은 새로운 커스텀 sandfly를 생성합니다.

❗️

중요: 같은 이름의 커스텀 Sandfly는 덮어쓰기됩니다!

커스텀 sandfly 이름이 고유한지 확인하세요. 새로 생성되거나 업로드된 커스텀 sandfly가 기존 커스텀 sandfly의 이름과 같으면, 저장할 때 내용에 관계없이 기존 sandfly를 완전히 덮어씁니다.