안녕하세요.
이것은 20 번째 에피소드를 담당하는 Watanabe입니다.
이번에는 FALCO 규칙을 구성하는 요소 중에서 목록과 매크로에 대해 설명 할 것입니다.

Falco 란 무엇입니까? 관심이 있으시면 다음 기사를 참조하십시오.[SCSK 엔지니어의 블로그] Falco 초보자 코스 - 조건 에디션 | 블로그

목록, 매크로

"요소와 표현의 모음입니다."
목록 핸들 여러 요소 및 매크로 핸들 표현식.

추상 설명과 정의는 모두 재사용 할 수 있습니다.
이것은 복잡한 조건을 간단히 설명 할 수 있습니다.

실제 예를 살펴 보겠습니다.

목록의 예

Yaml

키 이름으로 목록을 지정하고 값의 고유 한 이름을 지정하여 목록을 정의 할 수 있습니다.
항목은 원하는 요소를 설명합니다. 요소는 조건에서 평가하려는 개별 값입니다.

이 정의는 조건 절에서 userexec_binaries라는 용어를 "sudo and su elements"로 인식합니다.

목록은 주로 다음과 같이 작성된 연산자와 함께 사용됩니다.
운영자는 주어진 항목을 포함하거나 평가합니다.

Yaml

위의 Proc.Name (userexec_binaries)은 다음과 같이 생각할 수 있습니다.

Yaml

IN 연산자는 또한 사용할 수 있으며, 지정하지 않으면 값은 "목록 이외의 값에 대해"로 평가됩니다.

매크로 예

Yaml

매크로는 매크로를 키 이름으로 지정하고 고유 한 이름을 값으로 지정하여 정의 할 수 있습니다.
매크로는 표현을 다루기 때문에 규칙과 동일한 조건을 사용하여 작성됩니다.

이 정의는 조건 절의 컨테이너라는 단어가 "컨테이너 ID가 호스트가 아님"을 의미 함을 의미합니다.
다른 매크로를 매크로에 통합 할 수도 있습니다.

참조 정보 :
목록 -https : //falco.org/docs/concepts/rules/basic-elements/#lists
매크로 -https : //falco.org/docs/concepts/rules/basic-elements/#macros

목록 및 매크로 사용의 예

yaml
- macro: container
  condition: container.id != host

- list: shell_binaries
  items: [bash, csh, ksh, sh, tcsh, zsh, dash]

- macro: shell_procs
  condition: proc.name in (shell_binaries)

- rule: shell_in_container
  desc: notice shell activity within a container
  condition: >Spawned_process 및

위의 ALERT 알림의 유일한 조건은 shell_in_container입니다. 이는 규칙입니다.
이 조건은 shell_binaries 및 shell_procs 및 macro라는 목록을 사용합니다.

shell_in_container의 상태는 일반적으로 다음과 같이 해석됩니다.

프로세스가 시작되면

이것은 docker exec <container name /bin /sh와 같은 활동을 트리거하는 규칙이지만 목록과 매크로를 사용하여 간결하게 작성된 것을 알 수 있습니다.

퀴즈 이해

목록과 매크로에 대한 이해가 심화되기를 바랍니다.
마지막으로, 우리는 당신의 이해 수준을 확인하는 질문을합니다. 주의 깊게 생각하십시오.

문제
1. "Q1_List"라는 목록이 사용되고 Proc.Name이 [Cat, Echo]가있는 프로세스 인 경우. 조건이있는 매크로 "Q1_Macro"를 작성하십시오 :

답변
질문 1 :
- 목록 : Q1_List
품목 : [Cat, echo]

- 매크로 : Q1_MACRO
조건 : Proc.Name in (Q1_List)

마지막

이번에는 목록과 매크로가 어떻게 작동하는지 설명했습니다. 우리는 이것이 Falco를 처음 경험 한 사람들이 처음 배우는 데 도움이되기를 바랍니다.

앞으로 Falco Rule을 계속 소개하기를 바랍니다.

담당자 소개