# LIVE 검색
에이전트가 가지고 있는 Database를 대상으로 실시간으로 파일을 검색할 수 있습니다.
검색 대상을 선택 후 검색할 파일의 조건을 설정하고 검색 요청을 수행하면 에이전트가 가지고있는 Database(FileList, FileMaster, DocList)에서 조건에 맞는 데이터를 검색 후 결과를 표시합니다.
또한 주요 레지스트리의 Key, Values, Data 를 대상으로 검색조건과 일치하는 레지스트리를 빠르게 검색하는 기능을 제공합니다.
## 파일 신규 검색
1. **분석 > 조사 > Live 검색** 페이지에서 `신규 검색` 버튼을 클릭합니다.
2. 검색 타입 선택에서 빠른 파일 검색을 선택하고 다음을 클릭합니다.
3. 아래 조건에 따라 검색 대상을 선택합니다.
| 구분 | 설명 |
|--------|-------|
| 전체 엔드포인트 | Insights 서버에 등록된 전체 엔드포인트를 대상으로 파일 검색을 수행합니다. |
| 엔드포인트 그룹 | **분석 > 엔드포인트 > 엔드포인트 그룹 관리** 에 등록된 특정 그룹을 대상으로 파일 검색을 수행합니다. |
| 조직 | **관리 > 설정 > 사용자 관리 > 정보 동기화** 를 통해 부서 정보가 등록되어 있는 경우 해당 부서를 대상으로 파일 검색을 수행합니다. |
예제에서는 검색 대상 중 전체 엔드포인트를 선택합니다.
4. 검색 조건 추가버튼을 클릭 후 검색 조건 (항목 및 조건, 설정)을 입력하고 조건 연산을 선택, 저장합니다.
| 항목 | 설명 |
|-------|--------|
| 조건 연산 | AND - 두 개 이상의 조건을 사용할 때, 조건을 모두 만족시켜야 그룹에 포함됩니다. OR - 두 개 이상의 조건을 사용할 때, 많은 조건들 중 하나만 만족시켜도 그룹에 포함됩니다. |
5. 4에서 설정한 조건이 화면에 표시되고, `검색 시작*` 버튼을 클릭합니다.
파일 검색 만료일을 선택한 후 `검색 시작` 버튼을 클릭하면 검색이 시작됩니다.
6. 빠른 파일 검색 모드로 수행된 결과를 확인 합니다.
`지난 검색 결과 찾기` 검색바를 이용하여 검색 조건에 해당하는 검색 결과를 찾을 수 있습니다.
검색 결과는 7일간 유지되며, 결과 삭제를 원하지 않는 경우 잠금 아이콘을 이용하여 삭제하지 않도록 설정할 수 있습니다.
## 파일 수집
1. LIVE 검색을 통해 검색 결과가 있고, 파일 종류가 PE 또는 SCRIPT 파일이면 해당 파일을 서버로 수집할 수 있습니다. 검색 결과 상세화면에서 수집할 파일 목록을 선택하면 `파일 수집` 버튼이 활성화 됩니다.
2. 수집이 완료되면 **분석 > 조사 > 수집 관리** 화면에서 파일을 다운로드 받을 수 있습니다.
3. LIVE 검색 파일 수집 기능은 오용에 따른 민감 정보 유출 방지를 위해 수집 대상을 PE, SCRIPT 파일로 제한하고 있으나,
**advance 설정 > 프론트엔드 설정 > 파일 수집 대상 제한 여부** 를 `off` 로 변경하면 DOC_LIST 인덱스에 포함된 파일도 수집할 수 있습니다.
## 레지스트리 신규 검색
1. **분석 > 조사 > Live 검색** 페이지에서 `신규 검색` 버튼을 클릭합니다.
2. 검색 타입 선택에서 빠른 파일 검색을 선택하고 다음을 클릭합니다.
3. 아래 조건에 따라 검색 대상을 선택합니다.
| 구분 | 설명 |
|--------|-------|
| 전체 엔드포인트 | Insights 서버에 등록된 전체 엔드포인트를 대상으로 파일 검색을 수행합니다. |
| 엔드포인트 그룹 | **분석 > 엔드포인트 > 엔드포인트 그룹 관리** 에 등록된 특정 그룹을 대상으로 파일 검색을 수행합니다. |
| 조직 | **관리 > 설정 > 사용자 관리 > 정보 동기화** 를 통해 부서 정보가 등록되어 있는 경우 해당 부서를 대상으로 파일 검색을 수행합니다. |
예제에서는 검색 대상 중 전체 엔드포인트를 선택합니다.
4. 검색 조건 추가버튼을 클릭 후 레지스트리 검색 조건을 설정합니다.
| 번호 | 구분 | 설명 |
|--------|-------|-------|
| 1 | 기본 경로 선택 | 기본 경로 5개 항목 중 검색할 경로를 선택합니다.
HKEY_CLASSES_ROOT (HKCR), HKEY_CURRENT_USER(HKCU), HKEY_LOCAL_MACHINE(HKLM), HKEY_USERS(HKU), HKEY_CURRENT_CONFIG(HKCC) |
| 2 | 상세 경로 입력 | 1의 기본 경로를 선택하면 하위에 사용할 수 있는 상세 경로 `COMPONENTS` 를 예제 박스에서 선택하거나, 직접 입력합니다. |
| 3 | 하위 경로 포함 | 선택 시 레지스트리 경로 하위의 경로도 검색 대상에 포함합니다. (단, 엔드포인트 별 100개까지 수집) |
| 3 | 경로에 해당하는 모든 데이터 수집 | 선택 시 찾을 내용과 상관없이 선택한 경로에 해당되는 Key, Value, Data를 모두 수집합니다. (단, 엔드포인트 별 100개까지 수집) |
| 4 | 찾을 내용 | 찾을 내용을 입력하고 일부 포함 또는 정확하게 일치하는 경우만 찾을 지 선택합니다. |
| 5 | 찾을 대상 | 찾을 대상을 선택합니다. (기본값) Value만 검색의 경우 아래와 같은 항목을 검색합니다.
 |
*설정 예)*
**기본 경로: HKEY_LOCAL_MACHINE ,상세경로: SOFTWARE\GENI\Insights , 찾을 내용: GsAgent.exe , 찾을 대상: Key, Values, Date** 로 설정 후
**하위 경로 포함 선택 시:** HKEY_LOCAL_MACHINE\SOFTWARE\GENI\Insights\Install, RunAppName:GsAgent.exe 를 찾을 수 있음
**경로에 해당하는 모든 데이터 수집 선택 시(찾을 내용과 대상은 disable됨):** HKEY_LOCAL_MACHINE\SOFTWARE\GENI\Insights\Config부터 Service 까지 모든 데이터 중 100개까지 수집
5. 4에서 저장한 조건이 표시되며, 필요한 경우 `추가` 버튼을 클릭하면 조건 설정 화면으로 이동합니다. 화면에서 조건 설정 후 저장 시 OR 조건으로 설정됩니다.
조건 확인 후 `검색 시작` 버튼을 클릭합니다.
레지스트리 검색 만료일을 선택 한 후 `검색 시작` 버튼을 클릭하면 검색이 시작됩니다.
6. 레지스트리 검색 수행 결과를 확인합니다.
`지난 검색 결과 찾기` 검색바를 이용하여 검색 조건에 해당하는 검색 결과를 찾을 수 있습니다.
검색 결과는 7일간 유지되며, 결과 삭제를 원하지 않는 경우 잠금 아이콘을 이용하여 삭제하지 않도록 설정할 수 있습니다.
## 검색 결과
1. LIVE 검색 목록에서 검색이 완료된 목록을 클릭, 상세 화면으로 이동합니다.
전체 클릭 시 개별 엔드포인트에서 검색된 결과가 표시되며, 엔드포인트별 최대 100개까지 확인할 수 있습니다.
| 결과 | 설명 |
|--------|-------|
| 준비 | 검색 대상(검색을 시작하지 않은) 엔드포인트 수 |
| 시작 | 검색 요청을 수신한 엔드포인트 수 |
| 실패 | 검색 실패를 수신한 엔드포인트 수 |
| 완료 | 검색이 완료된 엔드포인트 수 |
| 전체 | 결과 전송과 상관없이 검색 대상 전체 엔드포인트 수 |
2. 검색 결과 입력창에서는 파일 or 레지스트리 검색 타입에 따라 아래와 같은 키워드 검색이 가능합니다.
| 검색 가능 keyword |
|------------------|
| 부서코드, 부서명, 인증사용자 ID, 인증사용자 명, 파일명, 파일 설명, 파일경로, MD5, SHA256, IP 정보
RegDataSize, RegDataType, RegKeyPath, RegNewKeyPath, RegValue, RegValueName |
3. *파일 검색* 의 경우 통계 차트 아이콘 클릭 시 파일명, IP, 인증사용자 기준 TOP 10 차트 및 데이터를 확인할 수 있습니다.
4. *레지스트리 검색* 의 경우 통계 차트 아이콘 클릭 시 결과 타입 분류, 레지스트리 경로 TOP 10, 레지스트리 값 TOP 10, IP 기준 TOP 10 차트 및 데이터를 확인할 수 있습니다.