CVD 파일 규정 준수 도구는 끝점의 파일 변경 사항을 모니터링하여 비정상적인 파일 활동을 감지함으로써 이미지 규정 준수를 보장합니다.
이 도구를 사용하여 일반적으로 정적인 시스템의 비정상적인 활동 및 변경 사항을 감지하고, 보안 침해를 추적하고, 데이터 유출 또는 예기치 않은 동작을 방지합니다.
- 참조 매니페스트 생성 모드: 이 도구는 마지막으로 로드된 매니페스트를 스토리지의 특수 경로에 복사합니다. 이 모드에서는 정책 파일이 사용되지 않으며 모든 매니페스트 항목이 포함됩니다.
- 규정 준수 확인 모드: 추적할 확장명을 포함하고 추적하지 않으려는 폴더를 제외하는 정책 파일을 지정합니다. 이 도구는 참조 매니페스트 및 최신 매니페스트 둘 다에 정책 파일을 적용한 후 수정 사항을 확인하고 변경 사항을 보고합니다.
끝점의 각 파일에는 스토리지에 백업되는 모든 파일 목록에 해당하는 매니페스트에 저장된 서명(데이터 체크섬)이 있습니다. 매니페스트의 경로 및 체크섬 데이터를 사용하여 파일이 원본 위치에서 이동되거나 수정된 시기를 식별합니다. Mirage에서는 스토리지의 특정 파일에 마지막 매니페스트를 저장합니다.
참조 매니페스트 생성
이 도구를 실행하기 전에 끝점이 서버로의 업로드 작업을 완료했는지 확인합니다.
업로드의 빈도는 Mirage 구성에 따라 다릅니다. 이 도구는 매니페스트가 아직 없는 경우 특정 경로에 참조 매니페스트를 생성하고, 매니페스트가 있는 경우 스토리지의 마지막 매니페스트와 해당 매니페스트를 비교하고 매니페스트가 수정되었으면 보고합니다. 플래그 -CreateReferenceFileList를 사용하지 않으며 참조 매니페스트가 없는 경우 오류가 발생합니다.
처음으로 참조 매니페스트를 생성하려면 FileComplianceScan -CreateReferenceFileList -MgmServerAddress localhost -CvdID 10008을 실행합니다.
-CreateReferenceFileList는 첫 번째 매니페스트 참조 파일을 생성합니다.-MgmServerAddress는 Mirage 관리 서버의 이름 또는 IP 주소입니다.-CvdID <id>는 시스템/CVD 식별자입니다.
이 도구는 CVD 정책의 모든 파일을 비롯하여 발견된 파일 수를 표시합니다.
규정 준수 확인
추적할 파일을 확인하려면 FileComplianceScan -MgmServerAddress localhost -FilesPolicy "C:\PolicyFile.xml" -OutputDir "c:\DetectManifestOutput" -LogTraceLevel -CvdID 10008을 실행합니다.
-MgmServerAddress는 Mirage 관리 서버의 이름 또는 IP 주소입니다.-FilesPolicy <xmlFilePath>는 포함할 확장명 및 제외할 폴더를 포함하는 xml 파일의 경로입니다. 파일이 없을 경우 도구에서는 이 사실을 보고하고, 명령을 다시 실행할 때 도구가 추적하도록 하려는 파일을 정의하기 위해 편집할 템플릿 파일을 생성합니다.-OutputDir <CsvResultDirPath>는 도구가 찾은 파일의 보고서를 포함하는 CSV 파일을 생성하는 디렉토리의 경로입니다.CreateReferenceFileList모드에서는 유효하지 않습니다.-LogTraceLevel은 문제 해결을 위해 출력 로그에 더 자세한 데이터를 가져오기 위한 매개 변수입니다.-CvdID <id>는 시스템/CVD 식별자입니다.
정책 파일
정책 파일은 도구에 대한 규칙을 정의하는 xml 파일입니다. 파일을 편집하여 도구가 추적할 디렉토리 제외 경로 및 파일 확장명을 입력합니다. 파일 예:
<?xml version="1.0" encoding="utf-8"?>
<DetectManifestFilterOptions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<PathFilterArray>
<Directory ExcludePath="C:\\Folder1\\Folder2" Recursive="true" />
<Directory ExcludePath=" C:\\Folder1\\FileName.exe" Recursive="false" />
</PathFilterArray>
<TrackExtArray>
<Track Extention="exe" />
<Track Extention="dll" />
</TrackExtArray>
</DetectManifestFilterOptions>
이 파일을 수정하여 출력 데이터를 기준으로 새 파일 확장명을 포함하고 명령을 다시 실행할 수 있습니다.
출력
도구의 출력은 수정 유형, 파일 데이터 서명, 매니페스트 참조의 파일 경로, 최신 파일 경로 형식으로 csv 파일에 포함됩니다.
| 출력 | 설명 |
|---|---|
| 수정 유형 | FileAdded: 원래 매니페스트에는 서명이 없으나 새 매니페스트에는 있습니다. FileRemoved: 원래 매니페스트에는 서명이 있으나 새 매니페스트에는 없습니다. FilePathChanged: 서명이 두 매니페스트에 모두 있으나 경로 이름이 변경되었거나 이 파일의 인스턴스 수가 변경되었습니다. |
| 파일 데이터 서명 | 파일 서명의 32자 16진수 값입니다. 파일에 둘 이상의 서명 값이 있을 수 없습니다. |
| 참조 매니페스트의 파일 경로 | 이 서명이 있는 모든 파일에 대한 참조 매니페스트의 전체 경로 목록입니다. |
| 최신 파일 경로 | 이 서명이 있는 모든 파일에 대한 현재 매니페스트의 전체 경로 목록입니다. |
명령줄의 요약은 출력 파일의 행 수와 각 수정 유형의 행 수를 보고합니다. 도구에서 문제가 없는 것으로 확인하면 출력 csv 파일은 비어 있습니다.
시스템이 100% 규정 준수 상태가 아닌 경우 출력 파일을 확인하고 Mirage 작업을 수행하여 시스템을 원래 상태로 되돌릴 것인지 결정합니다.
사용 사례
금융 산업 분야에서 지점 ATM에 바이러스가 포함되면 IT 관리자는 이 도구를 통해 바이러스를 감지하고 시스템을 원래 상태로 되돌림으로써 중앙 콘솔의 끝점 이미지를 관리할 수 있습니다. 이 프로세스는 끝점의 중요한 다운타임을 줄여주고 기술자가 현장에서 문제 해결에 드는 비용을 절감해줍니다.
소매 산업 분야에서 이 도구는 100% 파일 규정 준수 상태가 아닌 손상된 시스템을 감지한 후 원래 상태로 되돌릴 수 있습니다.
도구 조건
이 도구에는 다음과 같은 조건이 적용됩니다.
- 한 번에 한 CVD에 대해서만 이 도구를 실행할 수 있습니다. 실행하는 데 약 1분/CVD이 걸립니다.
- 아카이브된 CVD에서는 이 도구를 실행할 수 없습니다.
- LMO(계층 관리만)가 설정된 CVD에서는 이 도구를 실행할 수 없습니다.
- 이 도구에서 오류로 인해 스캔을 완료할 수 없는 경우 적절한 오류 메시지를 표시합니다.
- 이 도구는 Mirage서버 도구를 실행하는 모든 시스템에서 실행할 수 있습니다. 확장성을 위해 Mirage 관리 서버에서만 실행할 필요가 없습니다.
CVD 10001 is an archived CVD. This tool does not support archive CVD. Please type valid CVD ID Could not find volume path for CVD 10001 Error: Invalid program parameter(s): Missing server address
