
Linux súkromne i pracovne v2.0 (13. časť)
Sysdig/falco
V predošlej časti seriálu sme nástroj Falco definovali ako behaviorálny monitor, ktorý pomocou vopred zadaných pravidiel deteguje podozrivé správanie sledovaných aktivít. Pokiaľ v prípade Sysdig hovoríme o sledovaní špecifických znakov (signatúr), pri ktorom je vyhodnocované neštandardné správanie každej aplikácie (každého procesu) samostatne, v prípade Falco hovoríme o porovnávaní udalostí so všeobecne platným súborom pravidiel. V prípade zhody nedochádza k aktívnej reakcii na neštandardné správanie aplikácií (vrátane tých bežiacich v kontajneroch), ale k relevantnému informovaniu používateľa. Falco na svoju činnosť nepotrebuje neustále aktualizovaný zoznam všetkých možných neštandardných stavov. Naopak, deteguje zvláštne správanie aktivít, resp. neštandardné systémové volania vo všeobecnej rovine. Výhodná vlastnosť nástroja Falco je už spomínaná podpora linuxových kontajnerov a flexibilných notifikačných metód.
Architektúra sysdig/falco
Falco hodnotí správanie vykonávaných aktivít na základe súboru pravidiel. Pri ich špecifikácii využívame flexibilitu výrazov nástroja Sysdig. Opakujúce sa časti reťazcov pravidiel dokážeme nahradiť makrami. Pravidlá ukladáme do súboru yaml, ktorého syntax je nasledujúca:
Pravidlo
meno
opis
podmienka
výstup
priorita
Identifikácia pravidla
Bližší opis pravidla
Filtrovací výraz (s možnosťou referencie na makro)
Správa pre používateľa (môže obsahovať podrobné detaily o udalosti)
Stupeň dôležitosti
Makro
meno
podmienka
Identifikácia makra
Úryvok filtrovacieho výrazu vkladaný do pravidiel
Dôležitá súčasť každej podmienky (condition), resp. filtrovacieho výrazu (filtering expressions) je definícia typu pomocou klauzuly „evt.type=“. Špecifikácia výstupu pravidla (output) je určená na formátovanie tých detailov o zachytenej udalosti, ktoré majú byť zobrazené používateľovi. Upozornenie (podanie in ...
Článok je uzamknutý
Prihlásiť pomocou členstva PC REVUE
Zobrazit Galériu
Článok je uzamknutý
Pokračovanie článku patrí k prémiovému obsahu pre predplatiteľov. S digitálnym predplatným už od 10 € získate neobmedzený prístup k uzamknutému obsahu na celý rok. Objednať si ho môžete TU. Ak ho už máte prihláste sa TU
Prihlásiť pomocou členstva PC REVUE