화면 구성
DeepFinder 매니저 내 왼쪽 탭에 위치한 [Webshell] 항목을 클릭하면 아래와 같이 Agent 항목과 웹쉘 정책 리스트를 확인할 수 있습니다.
| 항목 | 설명 |
|---|---|
| 에이전트 | Agent 리스트와 정책 활성화 여부를 나타냅니다. |
| 에이전트 룰 설정 | Agent에서 사용할 웹쉘 정잭을 활성화/비활성화 합니다. |
| 경로설정 | Agent 로컬 내 검사하고자 하는 디렉토리를 지정합니다. |
에이전트 룰 설정
Agent에서 사용하고자 하는 웹쉘 정책을 활성화/비활성화 합니다. 사용 여부 체크 후 정책에 대한 가중치를 설정한 뒤 적용하기를 누르면 정책이 활성화됩니다.
경로 설정
웹쉘 탐지 기능을 활성화하고 탐지/차단 가중치 설정 및 탐지할 Agent 로컬의 Directory를 설정합니다.
| 항목 | 설명 |
|---|---|
| 실시간 탐지 | 설정된 탐지 디렉토리에서 생성/수정된 파일을 실시간으로 검사합니다. |
| 압축파일 탐지 | 7zip에서 지원하는 압축파일 생성 시 검사 여부를 활성화/비활성화 합니다. |
| 시간 지정 탐지 | 실시간이 아닌 주기적으로 시간을 지정하여 검사합니다. |
| 탐지 파일 백업 | 탐지된 파일을 백업할 개수를 지정합니다. |
| 탐지 가중치 설정 | 웹쉘 가중치의 합이 설정된 탐지 가중치보다 높을 경우 로그를 생성합니다. |
| 차단 가중치 설정 | 웹쉘 가중치의 합이 설정된 차단 가중치보다 높을 경우 해당 파일을 격리합니다. |
| 탐지 디렉토리 설정 | 탐지할 디렉토리 경로와 검사할 파일 확장자를 설정합니다 |
Webshell 템플릿 관리
Webshell 정책에서 사용될 패턴을 관리합니다. 기본적인 패턴은 System에서, 관리자 패턴은 User 탭에서 추가/수정/삭제할 수 있습니다.
Webshell 관리자 정책 설정
관리자는 [템플릿] – [Webshell] 내 User 탭에서 사용자 정책을 관리할 수 있습니다.
사용자 패턴 등록을 클릭하여 새로운 패턴 추가가 가능합니다. 패턴은 반드시 Yara Rule 형식으로 입력하여야 합니다.
경고 만약 Yara Rule 형식이 아닌 패턴이 등록될 경우 해당 패턴은 동작이 불가하오니 유의하시기 바랍니다.
Webshell 탐지로그
Webshell 탐지 로그는 아래와 같이 [로그조회] – [탐지로그]에서 확인할 수 있습니다.
탐지로그의 로그 번호를 더블클릭하면 아래와 같이 로그 상세를 확인할 수 있습니다.
| 항목 | 설명 |
|---|---|
| 탐지정보 | 탐지된 파일의 내부 경로를 나타냅니다. |
| 탐지내용 | 탐지된 웹쉘 패턴의 총 가중치 합을 나타냅니다. |
| Result | 웹쉘 파일에 대한 처리 결과를 나타냅니다. |
| File Content | 탐지된 웹쉘 정책과 탐지 내역에 대한 상세를 나타냅니다. |