세션 종료 후
작업 세션이 수행한 모든 활동은 세션 상세 페이지에서 검토할 수 있도록 기록됩니다. 기록 탭은 세션 활동의 타임라인을 재생하고, 분석 탭은 세션이 종료된 후 AI 위험 분석을 더해 줍니다.
타임라인 (기록)
기록 탭은 세션 이벤트의 시간순 타임라인을 보여줍니다. 누가, 언제, 어떤 서버에서 무엇을 했는지 확인할 수 있습니다. 각 항목은 기록된 동작입니다.
| 이벤트 | 기록 내용 |
|---|---|
| 명령어 | 명령어 실행 |
| Websh | Websh 세션 시작 |
| 터널 | 터널(포트 포워딩) 시작 |
| FTP | FTP 세션 시작 |
| 업로드 | 파일 업로드 |
| 다운로드 | 파일 다운로드 |
| Sudo | Sudo 권한 요청 |
| 기록 | 터미널 녹화 |
타임라인 탐색
- 카테고리로 필터링: 전체, Websh, WebFTP, 명령어, Sudo.
- 터미널 기록 포함을 켜고 끄면 목록에 터미널 녹화를 표시하거나 숨길 수 있습니다.
- 활동 분포(Density) 보기를 켜면 세션 기간 동안 활동이 어떻게 분포됐는지 확인할 수 있습니다.
이벤트 상세
이벤트를 선택하면 상세 정보를 볼 수 있습니다. 이벤트 유형에 따라 서버, 사용자, 지속 시간, 클라이언트, 상태, 결과, 파일 크기, 셸, 경과 시간, 대상 포트, 권한 유형, 서명 검증 상태, 관련 명령·세션 ID 등이 포함됩니다.
터미널 녹화
Websh 이벤트에는 터미널 녹화가 연결될 수 있습니다. 녹화는 민감한 데이터를 가리도록 마스킹되며, 펼치면 재생하거나 터미널 녹화 보기로 연결된 기록을 열 수 있습니다. 타임라인에서 AI 분석 보기로 바로 이동할 수도 있습니다.
AI 분석
분석 탭은 세션에 대한 AI 검토를 제공합니다. 세션이 종료된 후(Completed, Expired, Revoked) 제공되며, 그 전에는 아직 분석을 제공할 수 없다고 표시됩니다.
분석되지 않은 세션은 분석 요청을 클릭하세요. 진행 중에는 “AI가 세션을 분석하고 있어요…” 가 표시되고, 완료되면 자동으로 갱신됩니다.
완료된 분석에는 다음이 표시됩니다.
- 위험도: 낮은 위험, 보통 위험, 높은 위험, 심각한 위험.
- 요약: 무슨 일이 있었는지에 대한 평이한 설명.
- 핵심 지표: 실행된 명령어 수, 발견된 위험 요소, 평가 신뢰도, 공격 체인 탐지 여부(또는 없음).
검토는 세 개의 섹션으로 나뉩니다.
- 실행 내역: 실행된 명령어와 세션 전개에 대한 타임라인 분석.
- 위협 분석: 발견된 것이 있으면 공격 체인 흐름, 위협 지표(Malware Tools, Credential Access, Network Artifacts, Sensitive File Access), MITRE ATT&CK 기법 목록을 보여줍니다. 발견된 것이 없으면 “탐지된 위협이 없어요” 가 표시됩니다.
- 대응 가이드: 권장 조치와 검증 가이드. 가이드는 진행해도 안전한지 표시한 뒤, 각 점검 항목마다 확인 방법과 예상 결과를 보여줍니다.