안녕하세요.
이것은 14 번째 에피소드를 담당하는 Watanabe입니다.
이번에는 슬롯 나라의 행동 감지에 사용 된 FALCO 규칙을 설명합니다.

소개

슬롯 나라 사용자와 OSS에서 Falco를 사용하는 사람들은 아마도 "Falco의 사용자 정의 가능성과 논리의 높은 투명성이 매력적이라는 것을 알게 될 것입니다.
반면에, 슬롯 나라를 사용하기 시작한 사용자는 때때로 "나는 작문 스타일과 행동 탐지에 대한 생각을 이해하지 못합니다."많은 사람들은 Falco가 "복잡해 보인다"고 말합니다.

이번에는 Falco를 처음으로 공부하는 사람들에게 Falco의 가장 중요한 조건과 구성 요소를 설명 할 것입니다.

falco

FALCO는 실행 환경에서 시스템 호출을 모니터링하고 조건을 경고로 충족시키는 행동 (시스템 호출)에 통지하는 OSS입니다.
원래 슬롯 나라에 의해 개발되었으며 CNCF에 기증되었으며 2024 년부터 졸업 (졸업)으로 CNCF로 변경되었으며 오늘날까지 계속되었습니다.

OSS Falco에 대한 정보는 다음 페이지를 확인하십시오.
falco -https : //falco.org

FALCO 규칙은 무엇입니까

Falco는 행동 감지의 정의를 규칙으로 부릅니다. 그리고 그 중에서도 경고로 통지 된 조건 문은 조건이라는 요소로 기록됩니다.
다음 섹션에서 규칙의 어떤 종류의 구조가 설명되어 있는지.

규칙의 예

Falco의 규칙은 다음과 같이 정의됩니다.

나는 세부 사항을 생략 할 것이지만,이 규칙은 "컨테이너에서 Bash 또는 KSH가 호출되면"경고를 알려줍니다.

yaml
- rule: shell_in_container
  desc: notice shell activity within a container
  condition: >evt.type = execve and< and 
    container.id != host and 
    (proc.name = bash or
     proc.name = ksh)    
  output: >컨테이너의 쉘

참조 :https : //falco.org/docs/rules/basic-elements/#rules

조건 소개

소개 된 규칙은 규칙, DESC, 조건, 출력 및 우선 순위의 5 가지 요소로 구성되어 있음을 알 수 있습니다.

위 규칙은 사용자의 관점에서 다음과 같은 의미를 갖습니다.
FALCO는 "시스템이 시스템 호출 및 종료 이벤트를위한 시스템 호출이며 컨테이너 ID가 호스트가 아니며 프로세스 이름은 bash 또는 ksh입니다."

상태를 더 깊이 파고 들자.

조건에 사용 된 설명 (논리 연산자, 초보자)

규칙을 보았을 수 있듯이 일부 운영자는 규칙을 설명해야합니다.

1. = (일치시 x)
   = (동일) 왼쪽 키 (Falco의 필드라고 함)가 오른쪽 값과 일치하는 값이있을 때입니다. 다음 조건을 구성 할 수 있습니다.
   그렇지 않으면, proc.name = bash 인 경우, "프로세스 이름이 bash 일 때"를 의미합니다.
   
   일부 사람들은 EVT.Type 또는 Proc.Name이라는 단어의 갑작스런 모습으로 인해 혼란 스러울 수 있습니다.
   이것을 필드라고하며 고정 값은 각 항목에 대해 저장됩니다.
   예를 들어, Proc.Name 인 경우 프로세스 이름이 저장됩니다. 따라서, 가능한 값은 각 필드에 대해 결정됩니다.
   필드는 기사 끝에 보충 정보로 나열되므로 관심이 있으시면 확인하십시오.
2. not 또는! = (x와 일치하지 않으면)
   왼쪽 키에 오른쪽 값과 일치하는 값이없는 경우! =로 표현할 수 없습니다. 다음 조건을 구성 할 수 있습니다.
   위의 컨테이너에서 컨테이너 .id! = 호스트가 적용되며 사용자의 관점에서 "컨테이너리가 호스트 이외의 값이있을 때"를 의미합니다.
   또한 다른 연산자와 결합하여 표현할 수는 없습니다.
3. 및 (x and y)
   그리고 동시에 두 개 이상의 조건이 충족 될 때입니다. 다음 조건을 구성 할 수 있습니다.
   위의 부분은 evt.type = execve 및 evt.dir = <에 적용됩니다.
   사용자의 관점에서 해석 된 것은 "시스템이 종료 및 시스템이 종료 이벤트를 호출 할 때"를 의미합니다.
   
   시스템이 이벤트를 요청합니다. 그것은 낯선 문구 일지 모르지만 다음 문서를 참조하십시오.
   https : //falco.org/docs/reference/rules/supported-fields/#field-class-for-system-calls
   간단히 말해서 OS의 응답을 의미합니다.
4. 또는 (x 또는 y시기)
   또는 두 개 이상의 조건 ​​중 하나가 충족되는 경우. 다음 조건을 구성 할 수 있습니다.
   위에서, Proc.name = bash 또는 proc.name = ksh가 적용되며, 사용자의 관점에서 "프로세스 이름이 bash 또는 ksh 일 때"를 의미합니다.

조건에서 사용될 설명 (브래킷 버전)

규칙은 괄호를 사용할 수도 있습니다.
괄호는 한 조각의 괄호 안에 쓰여진 표현을 다룹니다. 그것은 의미합니다.
앞에서 언급 한 shell_in_container에서, part (proc.name = bash 또는 proc.name = ksh)가 적용됩니다.

괄호가 사용되는 장소를 추출하면 container.id! = 호스트 및 (Proc.name = bash 또는 proc.name = ksh)처럼 보입니다.

-----------------------------

추가 정보 : EVT.Type 또는 Proc.Name이란 무엇입니까?

나는이 시점까지 규칙 조건을 간단히 설명했지만 EVT.Type 또는 Proc.Name과 같은 요소에 대해서는 다루지 않았습니다.
가능한 값은 각 필드에 대해 결정됩니다. 예를 들어 Proc.Name은 프로세스 이름이 저장됩니다.

를 사용함으로써 필드 효과적으로 대상 IP 주소가 192.168.0.0/24와 통신 할 때 경고를 알림으로써 모니터링 할 수도 있습니다.

참조 : 조건 및 출력에서 ​​지원되는 필드https : //falco.org/docs/reference/rules/supported-fields/

퀴즈 이해

이제 상태에 대한 더 깊은 이해가 있었습니까?
마지막으로, 우리는 당신의 이해 수준을 확인하는 질문을합니다. 주의 깊게 생각하십시오.

Q1. Proc.Name이 CAT 일 때 경고하는 규칙을 작성해보십시오.
Q2. user.name = root는 어떤 동작이 있습니까?
Q3. Proc.tty가 0이 아니고 Proc.pname은 bash 또는 zsh이고 fd.sip.name은 슬롯 나라입니다.

답은 다음과 같습니다.
Q1의 답변 : Proc.Name = cat
Q2의 답변 : 사용자 이름은 루트이며 프로세스 이름은 꼬리가 아닙니다.
Q3의 답변 :
예 : Proc.tty! = 0 및 (Proc.pname = bash 또는 proc.pname = zsh) 및 fd.sip.name = 슬롯 나라

마지막

이번에는 Falco의 작동 방식을 설명했습니다. 우리는 이것이 Falco를 처음 경험 한 사람들이 처음 배우는 데 도움이되기를 바랍니다. Falco는 매우 사용자 정의 할 수 있으므로 직접 사용자 정의 할 수 있으면 지금까지 포기한 보안 요구 사항을 달성하는 등 슬롯 나라를 사용하는 가장 좋은 방법을 배울 수 있습니다.

앞으로 Falco Rule을 계속 소개하기를 바랍니다.

담당자 소개