用户进程行为实时监控,识别异常进程事件。检测类型可以包含存在恶意关键字的进程、外连恶意端口进程、sshd 后门等。 对外的展示,包括异常进程影响的资产信息、资产所在业务组信息、发现时间、事件状态、事件处理记录以及进程pid、进程命令、进程启动时间等进程详细信息。
针对容器和宿主机异常行为,可以使用Sysdig捐献给CNCF基金会的容器安全产品Falco, Falco可以轻松使用内核时间,并使用K8s的审计日志等信息补充和丰富事件,Falco提供一组针对K8s、Linux和云原生的构建的安全规则,根据行为是否违反规则,来判断这次行为是否为异常,并发送警告。
Falco 可轻松检测:
1.容器内运行的 Shell;
2.服务器进程产生意外类型的子进程;
3.敏感文件读取;
4.非设备文件写入至 /dev;
5. 系统的标准二进制文件(如 ls)产生出站流量。
Falco对内核进程行为采集主要来自下面两个方面: