Sandfly 자동 응답
Sandfly는 탐지된 위협에 적극적으로 대응할 수 있는 능력을 가지고 있습니다. 현재 버전은 사용자가 대상으로 지정하고자 하는 프로세스 활동을 종료하거나 일시 중단하는 기능을 지원합니다.
탐지된 리눅스 공격에 대한 자동 응답 선택
응답 옵션을 설정하려면 메인 sandfly 목록으로 이동하여 활성화될 때 응답하기를 원하는 sandfly를 선택하기만 하면 됩니다. 응답 옵션은 세부 정보 상자 아래 세부 정보 페이지에서 사용할 수 있습니다. 위의 예에서는 경보를 감지하면 프로세스를 일시 중단하도록 sandfly를 설정했습니다.
프로세스 위협 응답 옵션
Sandfly는 탐지된 프로세스 공격을 처리하는 두 가지 방법이 있습니다: 일시 중단 or 종료.
프로세스 일시 중단 응답
종종 사람들은 침해가 발생했을 때 가장 좋은 방법은 프로세스를 종료하는 것이라고 생각합니다. 그러나 이는 많은 정보 손실을 야기할 수 있고 실제로 적절한 사고 대응에 해를 끼칠 수 있습니다. 이러한 이유로 Sandfly는 간단히 일시 중단 의심스럽다고 표시한 프로세스를 일시 중단할 수 있습니다.
프로세스를 일시 중단하는 것은 의심스러워 보이는 것을 단순히 종료하는 것보다 장점이 있습니다. 이는 다음과 같습니다:
- 프로세스 포렌식 메모리 풋프린트가 분석을 위해 보존됩니다.
- 디스크의 바이너리가 삭제된 경우에도 메모리에서 실행 중인 바이너리를 복구할 수 있습니다.
- 자동화된 맬웨어가 돌아와서 호스트를 재감염시키려고 시도하는 경우 프로세스가 여전히 실행 중인 것처럼 보입니다.
- 맬웨어의 손상을 중단시키는 동시에 사고 대응자에게 재편성하고 호스트를 격리하며 체계적으로 문제에 접근하는 방법을 고려할 시간을 제공할 수 있습니다.
일반적으로 프로세스를 종료해야 한다고 확신하지 않는 한 조사할 수 있도록 일시 중단하는 것을 권장합니다. 상황을 파악한 후에는 시스템을 격리하고 추가 조치를 취할 수 있습니다.
프로세스 종료 응답
Sandfly를 의심스러운 프로세스를 종료하도록 설정하면 호스트에서 해당 프로세스를 즉시 종료합니다. 이렇게 하면 해당 프로세스가 중단되지만 메모리에 있던 포렌식 데이터도 즉시 손실될 수 있습니다.
일반적으로 의심스러운 프로세스가 조사되고 증거가 보존될 때까지 종료하는 것을 권장하지 않습니다. 프로세스가 처리하고 싶지 않은 것이라고 확신하는 경우에는 종료하는 것이 여전히 좋은 선택일 수 있습니다.
Updated 7 days ago