如何进行容器内以及主机操作系统的异常行为审计?

用户进程行为实时监控,识别异常进程事件。检测类型可以包含存在恶意关键字的进程、外连恶意端口进程、sshd 后门等。 对外的展示,包括异常进程影响的资产信息、资产所在业务组信息、发现时间、事件状态、事件处理记录以及进程pid、进程命令、进程启动时间等进程详细信息。...显示全部

用户进程行为实时监控,识别异常进程事件。检测类型可以包含存在恶意关键字的进程、外连恶意端口进程、sshd 后门等。 对外的展示,包括异常进程影响的资产信息、资产所在业务组信息、发现时间、事件状态、事件处理记录以及进程pid、进程命令、进程启动时间等进程详细信息。

收起
参与6

查看其它 1 个回答击歌吟的回答

击歌吟击歌吟  资深工程师 , 阳光保险

针对容器和宿主机异常行为,可以使用Sysdig捐献给CNCF基金会的容器安全产品Falco, Falco可以轻松使用内核时间,并使用K8s的审计日志等信息补充和丰富事件,Falco提供一组针对K8s、Linux和云原生的构建的安全规则,根据行为是否违反规则,来判断这次行为是否为异常,并发送警告。
Falco 可轻松检测:
1.容器内运行的 Shell;
2.服务器进程产生意外类型的子进程;
3.敏感文件读取;
4.非设备文件写入至 /dev;
5. 系统的标准二进制文件(如 ls)产生出站流量。
Falco对内核进程行为采集主要来自下面两个方面:

  1. Kernel Module:使用的内核模块,采用动态内核模块支持 (DKMS) 来编译和安装内核模块;
    2.eBPF Probe:作为 Kernel Module 的替换技术,只在内核较高的系统中才能完全支持,通过设置环境变量 FALCO_BPF_PROBE 进行切换。
保险 · 2022-05-12
浏览757

回答者

击歌吟
资深工程师阳光保险
擅长领域: 容器云计算容器云

击歌吟 最近回答过的问题

回答状态

  • 发布时间:2022-05-12
  • 关注会员:3 人
  • 回答浏览:757
  • X社区推广