ACER_112024 ACER_112024 ACER_112024

Linux súkromne i pracovne v2.0 (13. časť)

0
Sysdig/falco V predošlej časti seriálu sme nástroj Falco definovali ako behaviorálny monitor, ktorý pomocou vopred zadaných pravidiel deteguje podozrivé správanie sledovaných aktivít. Pokiaľ v prípade Sysdig hovoríme o sledovaní špecifických znakov (signatúr), pri ktorom je vyhodnocované neštandardné správanie každej aplikácie (každého procesu) samostatne, v prípade Falco hovoríme o porovnávaní udalostí so všeobecne platným súborom pravidiel. V prípade zhody nedochádza k aktívnej reakcii na neštandardné správanie aplikácií (vrátane tých bežiacich v kontajneroch), ale k relevantnému informovaniu používateľa. Falco na svoju činnosť nepotrebuje neustále aktualizovaný zoznam všetkých možných neštandardných stavov. Naopak, deteguje zvláštne správanie aktivít, resp. neštandardné systémové volania vo všeobecnej rovine. Výhodná vlastnosť nástroja Falco je už spomínaná podpora linuxových kontajnerov a flexibilných notifikačných metód. Architektúra sysdig/falco Falco hodnotí správanie vykon ... Zobrazit Galériu

Marek Sopko

Všetky autorove články
Linux