안녕하세요 여러분.
이것은 21 번째 에피소드를 담당하는 Watanabe입니다.
이번에는 Falco 규칙을 구성하는 요소들 사이에 예외에 대해 설명 할 것입니다.

Falco 란 무엇입니까? 관심이 있으시면 다음 기사를 참조하십시오.
[SCSK 엔지니어의 블로그] Falco 초보자 코스 - 조건 에디션 | 블로그

예외는 무엇입니까

"경보 알림에서 제외하려는 흰색 동작 목록".
예를 들어, 개발 환경에서 경보 알림을 배제하려는 상황이 있지만, 그러한 경우에는 예외가 사용됩니다.
*이 기사에서는 "방지 알림 알림 대상"도 "감지 된 대상"이라고도합니다.

의 차이점은 무엇입니까?

예외를 사용하지 않고 조건 내의 조건을 사용하지 않고 탐지에서 동작을 제외 할 수 있습니다.

그러나 FALCO 블로그에서 지적한 바와 같이, 예외 사용으로 인해 상태의 가독성이 감소하는 경우, 예외 사용을 고려하십시오.
예외가 유용한 이유는 무엇입니까? :https : //falco.org/blog/falco-rules-now-support-exceptions/#why-are-exceptions-useful

또한, 예외로 달성 할 수없는 조건은 조건이 아닌 상태에서 작성해야합니다.

예외의 실제 정의

실제 정의를 살펴 보겠습니다.

Yaml

참조 :https : //falco.org/blog/falco-rules-now-support-exceptions/

위의 바이너리 아래 쓰기는 /bin 및 /sbin과 같은 디렉토리에 대한 글쓰기를 감지하는 규칙입니다.

이 예외는 해석됩니다

(Proc.name = nginx 및 fd.name은/usr/bin/nginx를 포함합니다) 또는

가 포함 된 동작에는 감지가 포함되지 않습니다.

어떤 사람들은 혼란 스러웠을 수도 있지만, 예외가 발견되는 경향이있는 이유 중 하나는 정의를 보면서 효과를 직관적으로 이해하기가 어렵다는 것입니다.

이 기사에서는 이해력을 읽는 데 중점을두고 기본 패턴을 하나씩 설명 할 것입니다.

4 예외를 구성하는 요소

이해력을 읽기 전에 먼저 필드, comps, 값, 이름을 설명하여 예외를 구성하십시오.

1. 전지

필드는 시스템 호출과 관련된 정보의 항목 이름을 저장하고 규칙 또는 매크로 조건에서 사용할 Proc.Name과 같은 필드를 지정할 수 있습니다.
필드 목록은 다음 문서를 참조하십시오.
조건 및 출력에 대한 지원 된 필드 -https : //falco.org/docs/reference/rules/supported-fields/

2. comps

필드와 값 사이의 관계를 결정하는 연산자를 저장하는 항목입니다.

3. 값

필드 및 comps에 대해 평가할 특정 값을 저장하는 항목입니다.
예를 들어, 프로세스 이름 "sh"와 일치하는 동작을 제외하려면 sh를 값으로 지정하십시오.

4. 이름

예외 이름을 지정하십시오.
이름은 예외에 따라 고유해야합니다.

예외의 기본 해석

예외 해석은 "<fields 및 <values가 <comps| "그러나 Falco Rule과 동일한 구문으로 변경하려는 경우"<fields <comps <values"의 순서로 정렬됩니다.처음에 바이너리 디어 아래의 쓰기는 어려운 예이므로 최소 구성으로 설명합니다.

- 규칙 : 테스트 룰

상기는 fd.name = /etc를 포함하는 탐지 동작을 제외합니다.
해석에 적용되는 경우 "Fd.Name 및 /etc 일 때"가 감지되지 않습니다.
<fields <comps <values의 순서대로 이것을 정렬하면 "fd.name = /etc"라는 표현을 제공하여 이해하기 쉽습니다.

또한, 보는 방식을 바꾸십시오. "필드, comps, 값은 위에서 아래로 수직으로 값"또한 이해하는 데 도움이되는 한 가지 방법입니다.
이미지는 볼 수있는 위의 예외를 보여줍니다. (설명을 위해 형식화 되었기 때문에 등록 할 수 없습니다.)

화살표를 따라 읽으면 fd.name = /etc를 의미합니다.

위의 모든 것은 예외의 기본 해석입니다.

표현 또는 및.

방금 하나의 조건을 등록했습니다.
그러나 "필드와 comps가 동일하지만 여러 다른 값을 지정하려는 시간이있을 수 있습니다"또는 "여러 필드가 둘 이상의 필드와 결합되어 있습니다."
우리는 그러한 사례를 설명 할 것입니다.

또는 구현 예 1- 예외에 대한 여러 값을 갖고 싶은 경우

값에 배열과 값을 추가합니다.

- 규칙 : 테스트- 룰

this

Proc.cmdline은 sh 또는 proc.cmdline이 bash를 포함하는 것을 포함합니다

탐지 대상이되지 않습니다.

또는 구현 예 2- 두 번째 예외를 추가하려는 경우

여러 조건을 갖고 싶다면 예외 바로 아래에 새 이름, 필드, Comp 및 값을 만듭니다.

- 규칙 : 테스트 룰

이것은

Proc.cmdline은 sh 또는 fd.name startswith /bin

탐지 대상이되지 않습니다.

및 구현 예 - 한 예외 내에서 두 개 이상의 조건을 지정하려는 경우

예외는 특히 표현하기가 어렵다.
간단히 말하면, "필드, comps, 동일한 인덱스의 값을 사용하여 표현식을 만듭니다. 그런 다음 각 인덱스에서 생성 된 표현식은 연결되어 있습니다."그러나 단어로 작성 될 때 이해하기가 어렵 기 때문에 처음에는 이진 아래의 쓰기 내용을 조금 더 단순하게 만들고 다이어그램으로 설명합니다.
*색인은 배열의 위치를 ​​나타냅니다 (0, 1st ...).

Yaml

처음에 설명 된 바와 같이, 이러한 예외는

proc.name = nginx 및 fd.name 포함/usr/bin/nginx

감지되지 않습니다.

결론에 설명을 적용합시다.

1. "동일한 인덱스의 필드, comps 및 값이있는 공식 만들기"의 경우 다음 표의 "공식"섹션이 완료됩니다.

예외는 <fields <comps <alues 순서로 설정됩니다.

2. "각 인덱스에서 생성 된 공식은"및 인덱스 1과 인덱스 1의 공식이 연결되어 있고

proc.name = nginx 및 fd.name 포함/usr/bin/nginx

.

퀴즈 이해

예외에 대한 이해가 심화되기를 바랍니다.
마지막으로, 우리는 당신의 이해 수준을 확인하는 질문을합니다. 주의 깊게 생각하십시오.

문제

1. Proc.exepath가 /bin /sh 또는 /bin /bash의 동작을 감지하지 않는 예외를 만듭니다.
2. 다음 예외는 어떤 행동을 제외합니까?

예외 :

답변

1. 답의 두 예 :

예외 :

2. Proc.Name In (SH, Bash) 및 EVT.RES! = 0 동작

Last

이번에는 예외 해석에 중점을 두었습니다. 우리는 이것이 Falco를 처음 경험 한 사람들이 처음 배우는 데 도움이되기를 바랍니다.
Falco는 매우 사용자 정의 할 수 있으므로 직접 사용자 정의 할 수있게되면 지금까지 포기한 보안 요구 사항을 달성하는 등 SysDig를 사용하는 가장 좋은 방법을 배울 수 있습니다.

앞으로 Falco Rule을 계속 소개하기를 바랍니다.

담당자 소개