Falco 란?
목차
Falco 란 무엇입니까?
Falco는 Linux 운영 체제용 클라우드 네이티브 런타임 보안 도구입니다. 비정상적인 행위와 잠재적인 보안 위협을 실시간으로 탐지하고 경고하도록 설계되었습니다.
기본적으로 Falco는 사용자 정의 규칙을 기반으로 syscall과 같은 이벤트를 관찰하는 커널 모니터링 및 탐지 에이전트입니다. Falco는 컨테이너 런타임과 Kubernetes의 메타데이터를 통합하여 이러한 이벤트를 향상할 수 있습니다. 수집된 이벤트는 SIEM 또는 데이터 레이크 시스템에서 호스트 외부에서 분석될 수 있습니다.
원래 Sysdig 에서 만든 Falco는 이제 다양한 조직 에서 프로덕션에 사용되는 CNCF( Cloud Native Computing Foundation ) 프로젝트입니다 .
팔코는 무엇을 하나요?
Falco는 syscall을 사용하여 다음을 통해 시스템 활동을 모니터링합니다.
- 런타임 시 커널에서 Linux syscall 구문 분석
- 강력한 규칙 엔진에 대해 스트림 어설션
- 규칙 위반 시 경고
자세한 내용은 Falco 규칙 을 참조하세요 .
Falco의 모니터링 기능은 syscall에만 국한되지 않고 플러그인을 통해 확장되어 더 많은 유형의 소스에서 데이터를 수집할 수 있습니다.
Falco는 무엇을 확인하나요?
Falco는 커널에서 다음과 같은 비정상적인 동작을 확인하는 기본 규칙 세트를 제공합니다.
- 권한 있는 컨테이너를 사용한 권한 에스컬레이션
- 다음과 같은 도구를 사용하여 네임스페이스를 변경합니다.setns
- /etc, /usr/bin, /usr/sbin등과 같은 잘 알려진 디렉토리에 대한 읽기/쓰기
- 심볼릭 링크 만들기
- 소유권 및 모드 변경
- 예기치 않은 네트워크 연결 또는 소켓 변형
- 다음을 사용하여 생성된 프로세스execve
- sh, bash, csh등 의 쉘 바이너리 zsh실행
- ssh, scp, sftp등 의 SSH 바이너리 실행
- Linux coreutils실행 파일 변형
- 로그인 바이너리 변형
- Shadowconfig, pwck, chpasswd, getpasswd,change, useradd 등과 같은 Shadowutil 또는 passwd 실행 파일을 변경합니다.
Falco Rules은 무엇입니까?
규칙은 경고가 생성되어야 하는 조건입니다. 규칙에는 경고와 함께 전송된 설명 출력 문자열이 함께 제공됩니다. 이는 YAML 파일을 사용하여 정의되고 Falco 구성 파일에 의해 로드됩니다. 규칙 작성, 관리 및 배포에 대한 자세한 내용은 Falco 규칙 을 참조하세요 .
Falco Alert 란 무엇입니까?
경고는 로그인처럼 간단하거나 클라이언트에 gRPCstdout 호출을 전달하는 것처럼 복잡 할 수 있는 구성 가능한 다운스트림 작업입니다. 경고 구성, 이해 및 개발에 대한 자세한 내용은 Falco 경고를 참조하십시오 . Falco는 다음 대상으로 경고를 보낼 수 있습니다.
- 표준 출력
- 파일
- 시스템 로그
- 생성된 프로그램
- HTTP[s] 엔드포인트
- gRPC API를 통한 클라이언트
Falco의 구성 요소는 무엇입니까?
Falco는 몇 가지 주요 구성 요소로 구성됩니다.
- Userspace program - Falco와 상호 작용하는 데 사용할 수 있는 CLI 도구입니다 . 사용자 공간 프로그램은 신호를 처리하고 Falco 드라이버의 정보를 구문 분석하며 경고를 보냅니다.
- configuration- Falco 실행 방법, 어설션할 규칙, 경고 수행 방법을 정의합니다. 자세한 내용은 구성을 참조하십시오 .
- driver- Falco 드라이버 사양을 준수하고 커널 이벤트 스트림을 보내는 소프트웨어입니다. 현재 Falco는 다음 드라이버를 지원합니다.자세한 내용은 Falco 드라이버를 참조하십시오 .
- (기본값) 커널 모듈
- 클래식 BPF 프로브 구축
- 최신 BPF(CO-RE 패러다임 등)
- plugin - 새로운 이벤트 소스와 이벤트에서 정보를 추출할 수 있는 새로운 필드를 추가하여 Falco의 기능을 확장할 수 있습니다. 자세한 내용은 플러그인 을 참조하세요 .
- Falcoctl - 쉽게 규칙과 플러그인을 설치하고 Falco를 사용하여 관리 작업을 수행할 수 있습니다. Falco와 함께 번들로 제공됩니다.
Reference