안녕하세요.
이것은 23 번째 에피소드를 담당하는 Watanabe입니다.

이번에는 생성 된 AI를 사용하여 시스템 호출을 분석했습니다.

노트

이 기사는 개인 환경에서 Generation AI를 사용하며 모든 환경에서 동일한 결과를 보장하지는 않습니다.
또한 다양한 AI를 사용하여 분석하는 것이 좋지 않으며 결과는 참조 정보로 취급되어야하며 최종 판단은 수동으로 이루어져야합니다.
파일을 처리 할 때는 민감한 정보가 포함되어 있으므로 파일을 처리 할 때주의하십시오.

시스템 호출 분석이란 무엇입니까

무료 슬롯에는 경보 알림 조건이 충족 될 때 트리거 전후에 시스템 호출을 수집하는 "캡처"라는 기능이 있습니다.

1 00 : 53 : 42.769543595 0 호스트 (호스트) <NA (2975 : <NA) Openat Dirfd = -100 (AT_FDCWD) 이름 =/etc/shadows = 4097 (o_rdonly | O_CLOEXEC) 모드 = 0

이 시스템 호출 분석은이 SCAP 파일을 기반으로합니다.
이 기능은 OSS의 무료 슬롯에서도 사용할 수 있으므로 관심이 있으시면 시도해보십시오.

왜 AI인가?

SCAP 파일을 분석하고 시각화하기위한 도구에는 무료 슬롯 검사 및 Stratoshark가 포함됩니다.
이것들은 또한 훌륭한 도구이지만 레코드의 추상적 해석이 없기 때문에 일어나고있는 일을 읽는 데 시간이 걸릴 것이라고 생각했습니다.

나는 Generation AI의 맥락 해석과 요약 능력이 이러한 측면을 보완하기에 적합하다고 생각했고, 나는 시험에 왔습니다.

Generation AI와 시스템 호출 분석

이 테스트에서 생성 된 AI는 개인 환경에서 AI를 사용합니다.

/etc/shadow 파일은 UNIX OSS에서 사용자 비밀번호를 관리하는 파일이며 액세스가 발견되면 공격이 의심됩니다.

이제 생성 된 AI의 분석 결과를 살펴 보겠습니다.
*SCAP 파일을 읽을 수없는 경우 무료 슬롯 검사 또는 텍스트와 유사한 전달하십시오.

1. 우려하는 행동이 있는지 대략 묻자.

2. 구체적으로 네트워크 활동을 듣습니다.

네트워크에 대한 정보가 없으므로 질문을하겠습니다.

3. 특정 조건을 충족시키는 행동이 있는지 물어보십시오.

(1)과 달리, 우리는 우려 활동에 중점을 둡니다.

결과/내가 알아 차린 것

개요, 특정 줄 번호 및 실행 된 프로세스와 같은 이벤트를 이해하는 데 필요한 정보가 포함되어 있으며, 조사에 대한 단서를 얻는 것이 참조 정보로 유용하다고 생각합니다.
그 이유는 설득력있는 것처럼 보일지 모르지만 사실과 추측을 분별하지 않고 선입견을 갖지 않기 위해 조심해야한다고 생각합니다.

마지막

어떻게 생각 했습니까?
무료 슬롯와 Falco는 기본적으로 AI가 발견 한 행동을 감지하는 규칙이 있으므로 이번에는 AI가 사용되는 경우 AI가 사용되는 경우가 거의 없지만 AI를 사용하는 경우 자체 응용 프로그램이 실행중인 환경에서 단서를 찾을 때 효과적 일 수 있습니다.

참조

draios/무료 슬롯 :https : //github.com/draios/무료 슬롯
무료 슬롯 검사 :https : //github.com/draios/무료 슬롯-inspect
Stratoshark :https : //stratoshark.org
Falcosecurity/Event-Generator :https : //github.com/falcosecurity/event-generator
조건 및 출력에 대한 지원 된 필드 :https : //falco.org/docs/reference/rules/supported-fields/

담당자 소개