Image
9.10.2016 0 Comments

Linux súkromne i pracovne v2.0 (13. časť)

Sysdig/falco V predošlej časti seriálu sme nástroj Falco definovali ako behaviorálny monitor, ktorý pomocou vopred zadaných pravidiel deteguje podozrivé správanie sledovaných aktivít. Pokiaľ v prípade Sysdig hovoríme o sledovaní špecifických znakov (signatúr), pri ktorom je vyhodnocované neštandardné správanie každej aplikácie (každého procesu) samostatne, v prípade Falco hovoríme o porovnávaní udalostí so všeobecne platným súborom pravidiel. V prípade zhody nedochádza k aktívnej reakcii na neštandardné správanie aplikácií (vrátane tých bežiacich v kontajneroch), ale k relevantnému informovaniu používateľa. Falco na svoju činnosť nepotrebuje neustále aktualizovaný zoznam všetkých možných neštandardných stavov. Naopak, deteguje zvláštne správanie aktivít, resp. neštandardné systémové volania vo všeobecnej rovine. Výhodná vlastnosť nástroja Falco je už spomínaná podpora linuxových kontajnerov a flexibilných notifikačných metód. Architektúra sysdig/falco Falco hodnotí správanie vykonávaných aktivít na základe súboru pravidiel. Pri ich špecifikácii využívame flexibilitu výrazov nástroja Sysdig. Opakujúce sa časti reťazcov pravidiel dokážeme nahradiť makrami. Pravidlá ukladáme do súboru yaml, ktorého syntax je nasledujúca: Pravidlo   meno opis podmienka výstup priorita Identifikácia pravidla Bližší opis pravidla Filtrovací výraz (s možnosťou referencie na makro) Správa pre používateľa (môže obsahovať podrobné detaily o udalosti) Stupeň dôležitosti Makro   meno podmienka Identifikácia makra Úryvok filtrovacieho výrazu vkladaný do pravidiel Dôležitá súčasť každej podmienky (condition), resp. filtrovacieho výrazu (filtering expressions) je definícia typu pomocou klauzuly „evt.type=“. Špecifikácia výstupu pravidla (output) je určená na formátovanie tých detailov o zachytenej udalosti, ktoré majú byť zobrazené používateľovi. Upozornenie (podanie in ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano




Autor: Marek Sopko

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Red Hat a Veracomp: Open source a cloudy

09.12.2016 12:05

Cieľom ďalšej z radu spoločných akcií firiem Red Hat a Veracomp Slovakia v Bratislave bola prezentácia produktov, služieb a stratégií týkajúcich sa najhorúcejších tém IT podpory biznisu s využitím naj ...

ITPro

Právne okienko

08.12.2016 12:02

1. Ako postupovať, ak obchodník nechce uznať reklamáciu tovaru objednaného z e-shopu? V takomto prípade môžu nastať v zásade dve situácie. Ak zákazník reklamuje tovar do 12 mesiacov od jeho kúpy, mož ...

ITPro

Red Hat Forum 2016: Otvorená digitálna transformácia

09.12.2016 11:51

Podujatím v Prahe pre región CENE (stredná a severná Európa) rezonovala komunitná atmosféra a snaha o spoluprácu podľa pravidla „každý s každým“. IT musí priniesť do digitálneho biznisu novú kultúru a ...

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá