[SCSK 엔지니어의 블로그] ~ Falco 초보자에게 보내기 ~ 슬롯 나라 Sage ①

안녕하세요 여러분!
이것은 16 번째 에피소드를 담당하는 Kawasugi입니다. 13 번째 작품에서 계속해서 Falco의 최초 사용자를 위해이를 소개 할 것입니다.
지금 봅시다!

Falco가 어렵습니까?

나는 이전 에이 블로그에서 Falco를 소개했습니다. Falco는 Sysdig가 개발 한 OSS이며 SysDig의 상용 버전에 통합됩니다. 행동 감지는 규칙 기반으로 정의되며 이는 일반적으로 Falco 규칙이라고합니다. FALCO 규칙을 해석함으로써 위협 탐지가 트리거 된 이유를 알 수 있으며 보안 사고를 조사하는 데 매우 강력합니다."슬롯 나라 Threat Detsection은 정말 좋은 기능이지만 제대로 작동하는지 확실하지 않습니다"우리는 종종 이것을 말하는 의견을받습니다. 특히Falco 규칙을 처음 보았을 때 복잡하고 어려운 것 같습니다.. 따라서 이번에는 슬롯 나라 Sage를 사용하는 방법을 보여 드리겠습니다. 이로 인해 FALCO가 어려운 이미지를 쉽게 제거 할 수 있습니다.

Falco가 어려운 이유를 생각해보십시오

내가 그것에 대해 생각할 때, 나는 다음이 초보자를위한 장애물이라고 생각합니다.

• Falco 문서에 대한 최신 정보는 영어로되어 있습니다
• 설정할 수있는 필드가 많이 있습니다
• 학습에 적합한 정보가 적습니다 (규칙을 만드는 방법에 중점을 둔 정보는 거의 없습니다)

요약하자면, 문서에는 풍부한 정보가 있지만 사용 방법에 대한 정보는 거의 없으며, 영어를 잘 사용하지 않는 사람들이 시도하기가 어렵 기 때문에 장애물을 배우는 것이 높다는 것 같습니다.
이번에는 슬롯 나라 Sage가 위의 문제를 얼마나 많이 해결할 수 있는지 확인하고 싶습니다. 슬롯 나라 Sage는 최근에 출시 된 Sysdig Generation AI 기능으로 일본어를 지원하며 SysDig가 제공하는 FALCO 규칙의 내용 및이를 만드는 방법에 대한 통찰력을 포함하여이를 작성하는 방법에 대한 정보를 제공합니다.
아래 사용 사례와 함께 얻을 수있는 정보를 살펴 보겠습니다.

1. FALCO 규칙에 대한 탐지 조건에 대한 자세한 내용을 알고 싶습니다
2. 특정 조건을 충족하는 FALCO 규칙을 만드는 방법을 알고 싶습니다

시도해 봅시다

이번에는사용 사례 1 : FALCO 규칙의 탐지 조건에 대한 세부 사항을 조사하고 싶습니다를 시도해 봅시다.
슬롯 나라에 로그인하고 "정책"에서 "규칙 라이브러리"를 사용하는 데 관심이있는 규칙을 찾으십시오.
이번에는 "의심스러운 홈 디렉토리 생성"을 살펴볼 것입니다. 규칙 이름에서 볼 수 있듯이이 규칙은 홈 디렉토리를 만들려는 의심스러운 시도를 감지합니다. 이것은 공격자가 백도어를 위해 스텔스 사용자를 만들려고 할 때 감지됩니다.
FALCO 규칙의 내용을 찾을 때 가장 중요한 정보는 조건 조항입니다.조건 절은 행동 감지의 정의이며, 여기에 명시된 조건에 따라 의심스러운 행동을 감지합니다나는 그것을 할 것이다.
이 내용을 이해함으로써보고보안 이벤트가 트리거 된 이유 결정할 수 있습니다.
아래 이미지의 파란색 프레임 부분은 조건 절입니다.

이 규칙은 다음 정보를 포함합니다.

조건 : Spawned_process 및 proc.name in (Adduser, userAdd, mkhomedir_helper) 및 (Proc.Args가 포함되어 /dev /null 또는 proc.args가 포함되어 /dev /shm 또는 proc.args가 함유되어 있음) 및 procmlline이 포함되어 있지 않음 "-crate-home" -시간 "

이 콘텐츠를 직접 찾고 있다면 다음 Falco 문서 각각을 확인하여 Proc.Name과 같은 필드 값이 무엇을 참조하는지 확인해야합니다. 꽤 오랜 시간이 걸리는 것 같습니다.
https : //falco.org/docs/reference/rules/supported-fields/

이제 슬롯 나라 Sage에게 물어 보자. 아래와 같이 전체 조건 조항이 무엇을 의미하는지 물었습니다.

결과는 그가 다음을 가르쳐주었습니다.

그리고 분리 된 각 컨텐츠의 필드 값을 포함하여 일본어의 탐지 조건을 가르쳐 주므로 콘텐츠를보다 쉽게 ​​이해할 수 있습니다.

더 깊이 파고 들기합시다.
예를 들어, 대답에서 "mkhomedir_helper"가 무엇을 의미하는지 묻습니다.

결과는 다음과 같습니다.

답변에서 이해하기 어려운 부분을 파헤쳐 서 깊은 통찰력을 얻을 수 있습니다.

마지막

이번에는 슬롯 나라 Sage를 사용하여 Falco에 대한 이해를 심화 시켰습니다.
이번에 소개 할 수없는 사용 사례 2는 다음 블로그에 소개 될 것입니다.
원래 제조업체의 Generation AI 기능이 슬롯 나라에 대한 심층적 인 정보를 제공한다는 사실에 감사드립니다.

*이 시간에 소개 된 기능에 대한 자세한 정보는 아래 URL에서 찾을 수 있습니다.
https : //docs.슬롯 나라.com/en/docs/슬롯 나라-secure/sage/
Falco에 대해 더 알고 싶다면 다음 문서도 참조하십시오.
https : //슬롯 나라.jp/blog/intro-runtime-security-falco/

담당자 소개

担当者名

Kawasugi

댓글

저는 주로 슬롯 나라에서 약 3 년 동안 컨테이너와 Kubernetes 필드에서 일하고 있습니다. 우리는 또한 컨테이너 기술에 대한 회사 내에서 인식을 높이는 것을 적극적으로 홍보하고 있습니다.

품질 유지

Certified Kubernetes 관리자
인증 Kubernetes 보안 전문가