LIVE 검색
에이전트가 가지고 있는 Database를 대상으로 실시간으로 파일을 검색할 수 있습니다.
검색 대상을 선택 후 검색할 파일의 조건을 설정하고 검색 요청을 수행하면 에이전트가 가지고있는 Database(FileList, FileMaster, DocList)에서 조건에 맞는 데이터를 검색 후 결과를 표시합니다.
또한 주요 레지스트리의 Key, Values, Data 를 대상으로 검색조건과 일치하는 레지스트리를 빠르게 검색하는 기능을 제공합니다.
파일 신규 검색
분석 > 조사 > Live 검색 페이지에서
신규 검색버튼을 클릭합니다.검색 타입 선택에서 빠른 파일 검색을 선택하고 다음을 클릭합니다.
아래 조건에 따라 검색 대상을 선택합니다.
구분
설명
전체 엔드포인트
Insights 서버에 등록된 전체 엔드포인트를 대상으로 파일 검색을 수행합니다.
엔드포인트 그룹
분석 > 엔드포인트 > 엔드포인트 그룹 관리 에 등록된 특정 그룹을 대상으로 파일 검색을 수행합니다.
조직
관리 > 설정 > 사용자 관리 > 정보 동기화 를 통해 부서 정보가 등록되어 있는 경우 해당 부서를 대상으로 파일 검색을 수행합니다.
예제에서는 검색 대상 중 전체 엔드포인트를 선택합니다.
검색 조건 추가버튼을 클릭 후 검색 조건 (항목 및 조건, 설정)을 입력하고 조건 연산을 선택, 저장합니다.
항목
설명
조건 연산
AND - 두 개 이상의 조건을 사용할 때, 조건을 모두 만족시켜야 그룹에 포함됩니다. OR - 두 개 이상의 조건을 사용할 때, 많은 조건들 중 하나만 만족시켜도 그룹에 포함됩니다.
4에서 설정한 조건이 화면에 표시되고,
검색 시작*버튼을 클릭합니다.파일 검색 만료일을 선택한 후
검색 시작버튼을 클릭하면 검색이 시작됩니다.빠른 파일 검색 모드로 수행된 결과를 확인 합니다.
지난 검색 결과 찾기 검색바를 이용하여 검색 조건에 해당하는 검색 결과를 찾을 수 있습니다.
검색 결과는 7일간 유지되며, 결과 삭제를 원하지 않는 경우 잠금 아이콘을 이용하여 삭제하지 않도록 설정할 수 있습니다.
파일 수집
LIVE 검색을 통해 검색 결과가 있고, 파일 종류가 PE 또는 SCRIPT 파일이면 해당 파일을 서버로 수집할 수 있습니다. 검색 결과 상세화면에서 수집할 파일 목록을 선택하면
파일 수집버튼이 활성화 됩니다.수집이 완료되면 분석 > 조사 > 수집 관리 화면에서 파일을 다운로드 받을 수 있습니다.
LIVE 검색 파일 수집 기능은 오용에 따른 민감 정보 유출 방지를 위해 수집 대상을 PE, SCRIPT 파일로 제한하고 있으나,
advance 설정 > 프론트엔드 설정 > 파일 수집 대상 제한 여부 를 off 로 변경하면 DOC_LIST 인덱스에 포함된 파일도 수집할 수 있습니다.
레지스트리 신규 검색
분석 > 조사 > Live 검색 페이지에서
신규 검색버튼을 클릭합니다.검색 타입 선택에서 빠른 파일 검색을 선택하고 다음을 클릭합니다.
아래 조건에 따라 검색 대상을 선택합니다.
구분
설명
전체 엔드포인트
Insights 서버에 등록된 전체 엔드포인트를 대상으로 파일 검색을 수행합니다.
엔드포인트 그룹
분석 > 엔드포인트 > 엔드포인트 그룹 관리 에 등록된 특정 그룹을 대상으로 파일 검색을 수행합니다.
조직
관리 > 설정 > 사용자 관리 > 정보 동기화 를 통해 부서 정보가 등록되어 있는 경우 해당 부서를 대상으로 파일 검색을 수행합니다.
예제에서는 검색 대상 중 전체 엔드포인트를 선택합니다.
검색 조건 추가버튼을 클릭 후 레지스트리 검색 조건을 설정합니다.
번호
구분
설명
1
기본 경로 선택
기본 경로 5개 항목 중 검색할 경로를 선택합니다.
HKEY_CLASSES_ROOT (HKCR), HKEY_CURRENT_USER(HKCU), HKEY_LOCAL_MACHINE(HKLM), HKEY_USERS(HKU), HKEY_CURRENT_CONFIG(HKCC)2
상세 경로 입력
1의 기본 경로를 선택하면 하위에 사용할 수 있는 상세 경로
COMPONENTS를 예제 박스에서 선택하거나, 직접 입력합니다.3
하위 경로 포함
선택 시 레지스트리 경로 하위의 경로도 검색 대상에 포함합니다. (단, 엔드포인트 별 100개까지 수집)
3
경로에 해당하는 모든 데이터 수집
선택 시 찾을 내용과 상관없이 선택한 경로에 해당되는 Key, Value, Data를 모두 수집합니다. (단, 엔드포인트 별 100개까지 수집)
4
찾을 내용
찾을 내용을 입력하고 일부 포함 또는 정확하게 일치하는 경우만 찾을 지 선택합니다.
5
찾을 대상
찾을 대상을 선택합니다. (기본값) Value만 검색의 경우 아래와 같은 항목을 검색합니다.
설정 예)
기본 경로: HKEY_LOCAL_MACHINE ,상세경로: SOFTWARE\GENI\Insights , 찾을 내용: GsAgent.exe , 찾을 대상: Key, Values, Date 로 설정 후
하위 경로 포함 선택 시: HKEY_LOCAL_MACHINE\SOFTWARE\GENI\Insights\Install, RunAppName:GsAgent.exe 를 찾을 수 있음
경로에 해당하는 모든 데이터 수집 선택 시(찾을 내용과 대상은 disable됨): HKEY_LOCAL_MACHINE\SOFTWARE\GENI\Insights\Config부터 Service 까지 모든 데이터 중 100개까지 수집
4에서 저장한 조건이 표시되며, 필요한 경우
추가버튼을 클릭하면 조건 설정 화면으로 이동합니다. 화면에서 조건 설정 후 저장 시 OR 조건으로 설정됩니다.조건 확인 후
검색 시작버튼을 클릭합니다.
레지스트리 검색 만료일을 선택 한 후
검색 시작버튼을 클릭하면 검색이 시작됩니다.레지스트리 검색 수행 결과를 확인합니다.
지난 검색 결과 찾기검색바를 이용하여 검색 조건에 해당하는 검색 결과를 찾을 수 있습니다.검색 결과는 7일간 유지되며, 결과 삭제를 원하지 않는 경우 잠금 아이콘을 이용하여 삭제하지 않도록 설정할 수 있습니다.
검색 결과
LIVE 검색 목록에서 검색이 완료된 목록을 클릭, 상세 화면으로 이동합니다.
전체 클릭 시 개별 엔드포인트에서 검색된 결과가 표시되며, 엔드포인트별 최대 100개까지 확인할 수 있습니다.
결과
설명
준비
검색 대상(검색을 시작하지 않은) 엔드포인트 수
시작
검색 요청을 수신한 엔드포인트 수
실패
검색 실패를 수신한 엔드포인트 수
완료
검색이 완료된 엔드포인트 수
전체
결과 전송과 상관없이 검색 대상 전체 엔드포인트 수
검색 결과 입력창에서는 파일 or 레지스트리 검색 타입에 따라 아래와 같은 키워드 검색이 가능합니다.
검색 가능 keyword
부서코드, 부서명, 인증사용자 ID, 인증사용자 명, 파일명, 파일 설명, 파일경로, MD5, SHA256, IP 정보
RegDataSize, RegDataType, RegKeyPath, RegNewKeyPath, RegValue, RegValueName파일 검색 의 경우 통계 차트 아이콘 클릭 시 파일명, IP, 인증사용자 기준 TOP 10 차트 및 데이터를 확인할 수 있습니다.
레지스트리 검색 의 경우 통계 차트 아이콘 클릭 시 결과 타입 분류, 레지스트리 경로 TOP 10, 레지스트리 값 TOP 10, IP 기준 TOP 10 차트 및 데이터를 확인할 수 있습니다.