Elkeid 端上能力简略说明如下:
Elkeid Driver 全部数据都支持容器环境
Elkeid Driver 作为在Linux Kernel 层进行数据采集的模块,对 container 有针对性的支持与数据采集。
Elkeid Driver只需要在宿主机进行部署即可满足宿主机与宿主机上运行的容器的信息采集。
具体的数据移步:
Elkeid Driver Container 相关字段
nodename
需要注意的是:如果 container 共享了宿主机的uts_namespace那该字段会与宿主机一致。
pns与root_pns
pns为:当前进程的 pid_namespace 的inum
root_pns为:宿主机环境的 pid_namespace 的inum
如果两者不相同,则不再同一pid_namespace下,需要注意的是,如果 container 共享了宿主机的pid_namespace那该字段会与宿主机进程一致。
可以根据以上数据自行在用户态进行更多的数据采集,比如特殊的容器内指定环境变量等。
Elkeid 其他字段/数据说明
pid/ppid/pgid/tgid
这些数据均为宿主机视角,非 container 内视角。
pid_tree
如下:
814241.cat<814225.xargs<814220.sh<746762.python3<746759.sh<746754.sh<736083.le<736008.containerd-shim<2067.containerd<1.systemd
connect/accept/dns 数据
如果行为在k8s内,则会是k8s内网络地址,可以根据这个数据自行构建访问关系拓扑等。且 Elkeid 能够保证良好的性能,即极低的宿主机性能损耗。
connect 数据例子如下:
Elkeid RASP 与 Collector 插件
RASP 也支持天然容器内的进程行为采集:Elkeid-RASP 发布,易部署的RASP方案。
Elkeid 其他插件比如资产采集插件(collector)也有部分能力支持 container 环境,如pypi包等:Elkeid资产插件及 Go SDK 开源
后续规划
Elkeid 全面拥抱云原生,后续会推出在云原生环境下的部署方案与更多的检测/响应能力,敬请期待。
项目地址:https://github.com/bytedance/Elkeid
交流群:
