iT邦幫忙

2025 iThome 鐵人賽

DAY 25
0
Cloud Native

我在 CKS 考完只拿 47% 後痛定思痛決定好好準備內容系列 第 25

[Day25] 6-3. Investigate and identify phases of attack and bad actors within the environment

  • 分享至 

  • xImage
  •  

這邊的章節主要都是針對 Falco 做介紹,因為前面幾天已經將 Falco 介紹完了,因此今天會針對 sysdig 做介紹。
sysdig 主要透過 kernel modules 和 system calls 來監控系統活動,而 Falco 則是基於 sysdig 的 library 開發,專注於安全事件檢測。

sysdig

安裝和基本使用

  • Sysdig 安裝
sudo apt update
sudo apt install sysdig
  • sysdig 使用
# 查看指令
sysdig -h 
# 查看可使用的事件類型
sysdig -l

監控特定 pod

# 查詢 container name
crictl ps

# 紀錄事件
sysdig -M <second> -p "%evt.time,%user.id,%proc.name" --cri /run/containerd/containerd.sock container.name=<container name> >> <output_file> 

chisels

為 sysdig 的內建分析腳本,常用來分析系統行為,可以透過 sysdig -cl 查看所有腳本
常用的是:

  • topprocs_cpu:顯示 CPU 使用率最高的 process
  • topfiles_bytes:顯示檔案 I/O 最多的 process
  • spy_users:監控用戶活動
# 顯示 CPU 使用率最高的 process
sysdig -c topprocs_cpu
# 顯示最多 I/O 的 process
sysdig -c topfiles_bytes
# 檢視使用者登入及使用情形
sysdig -c spy_users

參考資料


上一篇
[Day24] 6-2. Detect threats within physical infrastructure, apps, networks, data, users, workloads
系列文
我在 CKS 考完只拿 47% 後痛定思痛決定好好準備內容25
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言