forum.opennet.ru

Составление сообщения

Исходное сообщение

"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено opennews, 20-Май-16 22:18

Представлен (https://sysdig.com/blog/sysdig-falco/) новый инструмент для контроля за безопасностью физических и виртуальных машин - Sysdig Falco (http://www.sysdig.org/falco/), осуществляющий мониторинг за работой системы, контейнеров и приложений, выявляя отклонения в их типичном поведении. Реализуемые инструментом возможности можно сравнить с комбинацией из хостовой системы обнаружения вторжений OSSEC (http://ossec.github.io/) (HIDS (https://ru.wikipedia.org/wiki/%D0%A5%D0%... сетевой системы обнаружения атак Snort (https://www.snort.org/) (NIDS (https://ru.wikipedia.org/wiki/%D0%A1%D0%... и отладочной утилиты strace (http://sourceforge.net/projects/strace/). Исходные тексты Falco распространяются (https://github.com/draios/falco) под лицензией GPLv2.
В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов, применяемая в Falco модель контроля штатного поведения приложений не пятается отследить все возможные пути проникновения, а нацелена на выявление проблемы через фиксацию действия атакующего, уже после того как он получил доступ к системе. Возможная нештатная активность определяется в форме набора правил (https://github.com/draios/falco/blob/dev/rules/falco_rules.y... позволяющих отфильтровывать события, которые требуют протоколирования и отправки уведомления.
Правила охватывают широкий спектр активности в системе, включая запуск процессов, доступ к файлам, логи и сетевую активность. Например, как аномалии могут восприниматься такие события, как запуск bash в контейнере, установка исходящего сетевого соединения на не связанный с сервисом номер порта, изменение в директориях с исполняемыми файлами (/usr/bin и т.п.), создание не связанных с устройствами файлов в /dev (активность руткита), доступ к устройствам и важным системным файлам (например, web-камера и /etc/shadow) из не добавленных в белый список приложений, выполнение сетевых соединений из локальных утилит (например, ls).
Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы, и процесс-демон, осуществляющий фильтрацию аномалий. Несмотря на первый выпуск кодовая база оценивается как достаточно стабильная, так как работающий на уровне ядра модуль сбора данных о системных вызовах заимствован из уже хорошо протестированного инструмента для анализа работы системы и диагностирования проблем Sysdig (https://github.com/draios/sysdig). В процессе отладки и написания правил поддерживается чтение дампов трассировки sysdig, позволяющих симулировать наступление определённого события.

URL: https://sysdig.com/blog/sysdig-falco/
Новость: https://www.opennet.ru/opennews/art.shtml?num=44470

Исходное сообщение
"Первый выпуск системы выявления аномалий Sysdig Falco" Отправлено opennews, 20-Май-16 22:18
Представлен (https://sysdig.com/blog/sysdig-falco/) новый инструмент для контроля за безопасностью физических и виртуальных машин - Sysdig Falco (http://www.sysdig.org/falco/), осуществляющий мониторинг за работой системы, контейнеров и приложений, выявляя отклонения в их типичном поведении. Реализуемые инструментом возможности можно сравнить с комбинацией из хостовой системы обнаружения вторжений OSSEC (http://ossec.github.io/) (HIDS (https://ru.wikipedia.org/wiki/%D0%A5%D0%... сетевой системы обнаружения атак Snort (https://www.snort.org/) (NIDS (https://ru.wikipedia.org/wiki/%D0%A1%D0%... и отладочной утилиты strace (http://sourceforge.net/projects/strace/). Исходные тексты Falco распространяются (https://github.com/draios/falco) под лицензией GPLv2. В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов, применяемая в Falco модель контроля штатного поведения приложений не пятается отследить все возможные пути проникновения, а нацелена на выявление проблемы через фиксацию действия атакующего, уже после того как он получил доступ к системе. Возможная нештатная активность определяется в форме набора правил (https://github.com/draios/falco/blob/dev/rules/falco_rules.y... позволяющих отфильтровывать события, которые требуют протоколирования и отправки уведомления. Правила охватывают широкий спектр активности в системе, включая запуск процессов, доступ к файлам, логи и сетевую активность. Например, как аномалии могут восприниматься такие события, как запуск bash в контейнере, установка исходящего сетевого соединения на не связанный с сервисом номер порта, изменение в директориях с исполняемыми файлами (/usr/bin и т.п.), создание не связанных с устройствами файлов в /dev (активность руткита), доступ к устройствам и важным системным файлам (например, web-камера и /etc/shadow) из не добавленных в белый список приложений, выполнение сетевых соединений из локальных утилит (например, ls). Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы, и процесс-демон, осуществляющий фильтрацию аномалий. Несмотря на первый выпуск кодовая база оценивается как достаточно стабильная, так как работающий на уровне ядра модуль сбора данных о системных вызовах заимствован из уже хорошо протестированного инструмента для анализа работы системы и диагностирования проблем Sysdig (https://github.com/draios/sysdig). В процессе отладки и написания правил поддерживается чтение дампов трассировки sysdig, позволяющих симулировать наступление определённого события. URL: https://sysdig.com/blog/sysdig-falco/ Новость: https://www.opennet.ru/opennews/art.shtml?num=44470

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Представлен (https://sysdig.com/blog/sysdig-falco/) новый инструмент для контроля 
> за безопасностью физических и виртуальных машин - Sysdig Falco (http://www.sysdig.org/falco/), 
> осуществляющий мониторинг за работой  системы, контейнеров и приложений, выявляя отклонения 
> в их типичном поведении.  Реализуемые инструментом возможности  можно сравнить 
> с комбинацией из хостовой системы обнаружения вторжений OSSEC (http://ossec.github.io/) 
> (HIDS (https://ru.wikipedia.org/wiki/%D0%A5%D0%BE%D1%81%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9)), 
> сетевой системы обнаружения атак Snort (https://www.snort.org/) (NIDS (https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9)) 
> и  отладочной утилиты strace (http://sourceforge.net/projects/strace/). Исходные тексты 
> Falco распространяются (https://github.com/draios/falco) под лицензией GPLv2.

> В отличие от систем выявления атак на основе сигнатур, охватывающих только известные 
> виды атак и эксплоитов, применяемая в Falco модель контроля штатного поведения 
> приложений не пятается отследить все возможные пути проникновения, а нацелена на 
>  выявление проблемы через фиксацию действия атакующего, уже после того как 
> он получил доступ к системе. Возможная нештатная активность определяется в форме 
> набора правил (https://github.com/draios/falco/blob/dev/rules/falco_rules.yaml), 
> позволяющих отфильтровывать события, которые требуют протоколирования и отправки уведомления.

> Правила охватывают широкий спектр активности в системе, включая запуск процессов, доступ 
> к файлам, логи и сетевую активность. Например, как аномалии могут восприниматься 
> такие события, как запуск bash в контейнере, установка исходящего сетевого соединения 
> на не связанный с сервисом номер порта, изменение в директориях с 
> исполняемыми файлами (/usr/bin и т.п.), создание не связанных с устройствами файлов 
> в /dev (активность руткита), доступ к устройствам и важным системным файлам 
> (например, web-камера и /etc/shadow) из не добавленных в белый список приложений, 
> выполнение сетевых соединений из локальных утилит (например, ls).

> Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события 
> уровня операционной системы, и процесс-демон, осуществляющий фильтрацию аномалий. Несмотря 
> на первый выпуск кодовая база оценивается как достаточно стабильная, так как 
> работающий на уровне ядра модуль сбора данных о системных вызовах заимствован 
> из уже хорошо протестированного инструмента для анализа работы системы и диагностирования 
> проблем Sysdig (https://github.com/draios/sysdig). В процессе отладки и написания правил 
> поддерживается чтение дампов трассировки sysdig, позволяющих симулировать наступление 
> определённого события.

> URL: https://sysdig.com/blog/sysdig-falco/ 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=44470

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру