Image
9.10.2016 0 Comments

Linux súkromne i pracovne v2.0 (13. časť)

Sysdig/falco V predošlej časti seriálu sme nástroj Falco definovali ako behaviorálny monitor, ktorý pomocou vopred zadaných pravidiel deteguje podozrivé správanie sledovaných aktivít. Pokiaľ v prípade Sysdig hovoríme o sledovaní špecifických znakov (signatúr), pri ktorom je vyhodnocované neštandardné správanie každej aplikácie (každého procesu) samostatne, v prípade Falco hovoríme o porovnávaní udalostí so všeobecne platným súborom pravidiel. V prípade zhody nedochádza k aktívnej reakcii na neštandardné správanie aplikácií (vrátane tých bežiacich v kontajneroch), ale k relevantnému informovaniu používateľa. Falco na svoju činnosť nepotrebuje neustále aktualizovaný zoznam všetkých možných neštandardných stavov. Naopak, deteguje zvláštne správanie aktivít, resp. neštandardné systémové volania vo všeobecnej rovine. Výhodná vlastnosť nástroja Falco je už spomínaná podpora linuxových kontajnerov a flexibilných notifikačných metód. Architektúra sysdig/falco Falco hodnotí správanie vykonávaných aktivít na základe súboru pravidiel. Pri ich špecifikácii využívame flexibilitu výrazov nástroja Sysdig. Opakujúce sa časti reťazcov pravidiel dokážeme nahradiť makrami. Pravidlá ukladáme do súboru yaml, ktorého syntax je nasledujúca: Pravidlo   meno opis podmienka výstup priorita Identifikácia pravidla Bližší opis pravidla Filtrovací výraz (s možnosťou referencie na makro) Správa pre používateľa (môže obsahovať podrobné detaily o udalosti) Stupeň dôležitosti Makro   meno podmienka Identifikácia makra Úryvok filtrovacieho výrazu vkladaný do pravidiel Dôležitá súčasť každej podmienky (condition), resp. filtrovacieho výrazu (filtering expressions) je definícia typu pomocou klauzuly „evt.type=“. Špecifikácia výstupu pravidla (output) je určená na formátovanie tých detailov o zachytenej udalosti, ktoré majú byť zobrazené používateľovi. Upozornenie (podanie in ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano




Autor: Marek Sopko

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro 1

Rozšírená realita pomôže školám

17.12.2016 00:05

Raz vidieť je lepšie ako stokrát počuť a v školstve to platí ešte mnohonásobne viac. Čo však v prípade, ak si študenti majú pozrieť, ako v reálnom čase pracuje jadrový reaktor? Alebo by chceli vidieť, ...

ITPro

Linux súkromne i pracovne v2.0 (15. časť): SIP (Session Initiation Protocol)

13.12.2016 11:58

Je priam neuveriteľné, aké množstvo užitočných informácií a faktov súvisiacich s IP telefóniou (VoIP) sa skrýva za takou jednoduchou skratkou, ako je SIP. Nejde pritom iba o protokol, ale o mnoho ďalš ...

ITPro

Výzvy a perspektívy mobilných sietí

13.12.2016 11:52

Dostupnosť kvalitného mobilného pripojenia vrátane dostatočnej kapacity na prenos dát považujeme v súčasnosti za samozrejmosť.  O niektorých špecifikách a  perspektívach služieb mobilných operátorov v ...

Vyhľadávanie

qubitconference

Najnovšie videá