SSH Hunter의 Key Investigation 영역은 Sandfly에서 수집한 SSH 키 데이터를 중심으로 한 정보를 제공합니다.

테이블 뷰

기본 페이지는 텍스트 필드 검색 기능을 제공하고 발견되거나 수동으로 추가된 모든 SSH 키를 사용하기 쉬운 테이블에 나열합니다.

하이퍼링크된 값을 단일 클릭하거나 체크박스와 Action 버튼을 제외한 데이터 행을 더블 클릭하면 관련 항목의 세부 정보가 포함된 패널이 열립니다.

상세 뷰

팝아웃 패널의 Summary 탭은 개별 SSH 키에 대한 데이터의 초기 뷰를 제공합니다.

Summary 탭에서 찾을 수 있는 Explorer 영역과 Visualization 탭 아래의 더 크고 전용 뷰는 데이터를 확장하고 축소할 수 있으며 키, 사용자, 호스트 간의 관계를 따라가기 위해 영역을 확대하거나 이동할 수 있습니다. Explorer 아래에는 시간에 따른 연결된 호스트의 키 수량을 보여주는 Key Use Timeline 섹션이 있습니다.

Hosts, Users 또는 Zones 탭을 클릭하면 해당 데이터가 포함된 테이블이 제공됩니다.

수동으로 키 추가하기

일반적으로 Key Investigation 페이지와 Tag Workbench에 나열된 키들은 recon_user_list_all sandfly가 포함된 스캔을 통해 Sandfly가 호스트에서 발견한 키들입니다.

그러나 이는 이미 호스트에 있는 키만 태그하거나 금지할 수 있다는 것을 의미합니다. 현재 호스트에 없는 알려진 폐기된 키나 악성 키를 감시하고 그러한 키가 나타나는 즉시 알림을 받고 싶을 수 있습니다.

또는 키 로테이션, 신규 직원 채용 등으로 인해 해당 존의 호스트에 새로운 허용 키를 추가한다는 것을 알고 있는 경우 성가신 알림을 생성할 가능성이 있는 호스트에 먼저 추가할 필요 없이 Security Zone에 허용된 키 세트를 추가하고 싶을 수 있습니다.

이 기능을 사용하면 스캔을 통해 키를 발견할 필요 없이 시스템에 직접 키를 추가할 수 있습니다.

키를 수동으로 추가하려면 Key Investigation 페이지를 열고 오른쪽 상단에 있는 Add Keys 버튼을 클릭합니다.

Add SSH Keys 폼을 사용하면 한 줄에 하나의 키로 SSH 공개 키를 붙여넣을 수 있습니다. 항목들은 authorized_keys 파일에서 직접 복사할 수 있으며 Sandfly가 키 자체를 파싱하거나, authorized_keys 파일에서 발견되는 타입과 코멘트 필드 없이 키만 있을 수도 있습니다. 단일 작업에서 두 형식의 조합을 사용할 수도 있습니다.

Add SSH Keys 대화상자에 입력하는 모든 태그는 새 키에 추가되어 태그를 허용하는 SSH Security Zone에서 즉시 허용됩니다. 키가 Sandfly에 이미 존재하는 경우 제공된 키 태그가 기존 키에 추가됩니다.

추가된 키들은 단순히 "Banned" 태그를 추가함으로써 즉시 금지될 수도 있습니다.

스캔을 통해 발견되지 않고 수동으로 추가된 키들은 키 목록에서 First Seen과 Last Seen 날짜가 "Never"로 표시되어 식별할 수 있습니다.

그러한 키 중 하나가 호스트에서 발견되면 First / Last Seen 날짜가 실제 값으로 변경되고 키는 Sandfly가 스캔 중에 발견하는 다른 키와 같아집니다.