Threat Feeds

사이드바의 Settings 아래에 위치한 Threat Feeds는 Sandfly 인스턴스가 외부 소스에서 로드된 악성 해시와 파일, 프로세스, SSH 키를 대조하여 확인할 수 있게 해줍니다.

ℹ️

정보: 업그레이드 기능 - Threat Feeds

Threat Feeds를 구성하고 사용하는 기능에는 업그레이드된 플랜이 필요합니다. 자세한 내용은 https://www.sandflysecurity.com/get-sandfly/를 참조하십시오.

Sandfly 서버가 파일 해시, 프로세스 해시 또는 SSH 인증 키 해시를 포함하는 sandfly 결과를 처리할 때마다, Sandfly는 해당 해시들을 위협 피드의 모든 해시와 대조하여 확인하고 일치하는 경우 새로운 알림 결과를 생성합니다.

위협 피드를 생성할 때는 Sandfly가 해시 목록을 다운로드할 URL을 입력합니다. 이 URL은 일반 텍스트 파일이거나 하나 이상의 일반 텍스트 파일이 포함된 ZIP 파일을 가리켜야 합니다.

파일 요구사항

위협 피드 파일의 언정되는 형식은 한 줄에 하나의 해시입니다. 해시는 md5, sha1, sha256 또는 sha512가 될 수 있습니다. 한 파일에 여러 해시 알고리즘을 혼합하여 포함할 수 있습니다.

다운로드된 파일은 100MB 미만이어야 합니다. 하나의 위협 피드는 250만 줄 미만이어야 합니다.

활성화된 모든 위협 피드의 해시들은 Sandfly 서버 프로세스의 RAM에 저장됩니다. 오버헤드가 거의 없어서 사용되는 RAM의 양은 기본적으로 (압축 해제된) 위협 피드 파일의 크기와 같지만, 많은 위협 피드를 로드할 계획이라면 Sandfly 서버의 RAM 사용량이 그 만큼 증가할 것으로 예상하십시오.

빈 줄과 #로 시작하는 줄들은 무시됩니다. 지원되는 해시 값으로 보이지 않는 다른 줄들은 건너뛰지만 Sandfly 서버 로그에 경고가 기록됩니다. 빈 줄이 아니고 해시가 아닌 줄이 10개 이상이면 위협 피드가 로드되지 않고 오류 상태로 전환됩니다.

피드 작업

Sandfly는 구성된 새로 고침 간격에 따라 URL에서 위협 피드를 다시 다운로드하고 다시 가져옵니다. 위협 피드를 즉시 새로 고침하려면 비활성화한 후 다시 활성화하십시오.

세 가지 유형의 위협 피드 일치를 나타내는 세 개의 서버 측 sandfly가 있습니다: process_threat_feed_match, file_threat_feed_match, user_ssh_authorized_key_threat_feed_match. 이러한 sandfly들을 실행해도 자체적으로 결과를 생성하지 않으므로 효과가 없으며, 다른 sandfly들(예: process 또는 user recon)에서 파생된 새로운 결과의 자리 표시자일 뿐입니다. 그러나 해당 유형의 해시 확인을 비활성화하려면 이러한 sandfly들을 비활성화할 수 있습니다. 또한 특정 호스트에 대해 특정 유형의 해시 확인을 수행하지 않으려는 경우 호스트 화이트리스트를 생성할 수 있습니다.

또한 해시는 스캔 후 결과가 수집될 때만 위협 피드와 대조하여 확인된다는 점에 유의하십시오. 새로운 위협 피드를 추가하거나 위협 피드에 새로운 해시가 추가되어도 알림이 즉시 생성되지 않습니다. 새로운 알림 결과는 향후 스캔에서 새로운 해시 목록과 일치하는 파일/프로세스/키가 포함된 경우에만 생성됩니다.

위협 피드를 구성할 때 "Additional Info URL"을 선택적으로 제공할 수 있습니다. 이것이 있으면 알림 결과의 설명에 URL이 포함되고 해당 URL에 더 많은 정보가 있을 수 있다고 사용자에게 알려줍니다. 또한 URL에 $HASH를 포함하면 URL을 트리거한 일치하는 해시가 해당 지점에 URL에 삽입됩니다.

abuse.ch의 Malware Bazaar 데이터베이스에 대한 위협 피드 설정 예시 ( https://bazaar.abuse.ch/ ):