Суббота, 18.05.2024, 21:22
Приветствую Вас, Гость | RSS
Меню сайта
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Главная » 2016 » Май » 21 » Первый выпуск системы выявления аномалий Sysdig Falco
03:43
Первый выпуск системы выявления аномалий Sysdig Falco
Представлен новый инструмент для контроля за безопасностью физических и виртуальных машин - Sysdig Falco, осуществляющий мониторинг за работой системы, контейнеров и приложений, выявляя отклонения в их типичном поведении. Реализуемые инструментом возможности можно сравнить с комбинацией из хостовой системы обнаружения вторжений OSSEC (HIDS), сетевой системы обнаружения атак Snort (NIDS) и отладочной утилиты strace. Исходные тексты Falco распространяются под лицензией GPLv2. В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов, применяемая в Falco модель контроля штатного поведения приложений не пятается отследить все возможные пути проникновения, а нацелена на выявление проблемы через фиксацию действия атакующего, уже после того как он получил доступ к системе. Возможная нештатная активность определяется в форме набора правил, позволяющих отфильтровывать события, которые требуют протоколирования и отправки уведомления. Правила охватывают широкий спектр активности в системе, включая запуск процессов, доступ к файлам, логи и сетевую активность. Например, как аномалии могут восприниматься такие события, как запуск bash в контейнере, установка исходящего сетевого соединения на не связанный с сервисом номер порта, изменение в директориях с исполняемыми файлами (/usr/bin и т.п.), создание не связанных с устройствами файлов в /dev (активность руткита), доступ к устройствам и важным системным файлам (например, web-камера и /etc/shadow) из не добавленных в белый список приложений, выполнение сетевых соединений из локальных утилит (например, ls). Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы, и процесс-демон, осуществляющий фильтрацию аномалий. Несмотря на первый выпуск кодовая база оценивается как достаточно стабильная, так как работающий на уровне ядра модуль сбора данных о системных вызовах заимствован из уже хорошо протестированного инструмента для анализа работы системы и диагностирования проблем Sysdig. В процессе отладки и написания правил поддерживается чтение дампов трассировки sysdig, позволяющих симулировать наступление определённого события.
Просмотров: 169 | Добавил: muge | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *:
Форма входа
Поиск
Календарь
«  Май 2016  »
ПнВтСрЧтПтСбВс
      1
2345678
9101112131415
16171819202122
23242526272829
3031
Архив записей
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    		•