새로운 프로젝트! SCSK 엔지니어의 블로그!
이것은 첫 번째 담당자 인 Kawasugi입니다. 컨테이너 보안 및 SysDig 및 Kubernetes와의 모니터링에 대한 기술 정보를 공유하기 위해이 블로그를 시작했습니다.
곧바로 머리를 향해 보자.

Sysdig의 킬 프로세스 기능은 무엇입니까?

오늘의 테마는 2024 년 3 월에 발표 된 새로운 기능 킬 프로세스입니다.
실제로, 우리는 종종 고객들로부터 질문을받습니다. "슬롯 나라는 보호 기능이 있습니까?" 슬롯 나라는 FALCO를 사용하여 고정밀 위협 만 감지 할 수있는 솔루션 인 것 같습니다.
그러한 경우에, 나는 "괜찮아요! 물론 방어 기능도 있습니다"라고 말하지만 이번에는 슬롯 나라의 방어 기능을 더욱 향상시키는 새로운 기능이 출시되었습니다.

그게킬 프로세스.킬 프로세스is슬롯 나라의 위협 감지에서 새로 구현 된 방어 기능, 슬롯 나라가 위협으로 간주하는 킬링 프로세스나는 그것을 할 것이다.Cyberattack의 의심되는 프로세스 만 강제 종료앱 컨테이너가 중지되는 것에 대해 걱정하지 않고 사용할 수 있다는 것이 좋습니다!

이 기능은 슬롯 나라 에이전트가 설치된 경우 Linux 서버 또는 컨테이너 환경 (Kubernetes, Docker, AWS Fargate)인지 여부에 관계없이 어디서나 사용할 수 있습니다.

준비

이제 확인을 준비하여 시작하겠습니다.
다음은이 테스트를 위해 미리 준비 할 것입니다.

• 슬롯 나라 에이전트가 설치된 Docker Server (Kubernetes에서도 사용 가능)

리뷰

먼저 검증을위한 위협 감지 정책을 만듭니다.
이번에는 "컨테이너의 터미널 쉘"이라는 FALCO 규칙을 사용하는지 확인합니다.
이 규칙은 쉘이 컨테이너로 발사되어 접근한다는 것을 감지합니다.
이것은 컨테이너에 대한 무단 액세스를 감지하는 데 도움이됩니다.
이 FALCO 규칙의 세부 사항은 아래 URL에 자세히 설명되어 있습니다.
관심이 있으시면 확인하십시오.
Series Falco Rule 소개 - 컨테이너의 터미널 쉘
https : //qiita.com/yotake/items/b7ff07a99ef07123b6f4

이제 확인을위한 정책을 작성합시다.
정책 이름에 이름을 입력하고 정책 규칙에 컨테이너에 터미널 쉘을 설정하고 킬 프로세스 토글 버튼을 활성화 한 다음 "저장"을 누릅니다.
복잡한 설정이 필요하지 않으면 서 활성화하기가 매우 쉬웠습니다.
물론, 나중에 기존 정책으로 설정할 수도 있습니다.

시도해 봅시다.
먼저 대상 컨테이너를 만듭니다.
아래 명령을 사용하여 테스트라는 컨테이너를 작성하고 Docker PS 명령을 사용하여 시작을 확인하십시오.

다음, Docker Exec 명령으로 컨테이너에 침투 해 보겠습니다.

일반적으로 종료 명령을 실행하지 않고 컨테이너 쉘을 종료 할 수는 없지만 킬 프로세스를 활성화하면 명령을 실행 한 직후 쉘을 종료하게됩니다.
이미지에서 이해하기는 어렵지만 쉘에서 명령을 실행할 시간이 없었습니다.
정상적인 움직임과 비교하여 슬롯 나라에 의해 감지 된 프로세스가 닫히고 원래 쉘로 돌아 왔다는 것이 분명합니다.

슬롯 나라 Gui를 확인하면 이와 같이 보입니다.
감지 된 프로세스와 프로세스 세부 사항을 확인할 수 있습니다.

마지막

슬롯 나라의 새로운 기능인 Kill Process에 대해 어떻게 생각하십니까? SysDig의 전형적인 기능은 환경을 보호하기 위해 공격으로 의심되는 프로세스를 식별하는 시스템 통화에 익숙한 좋은 기능이었습니다. 사이버 공격의 가장자리에서 컨테이너를 보호하는 기능으로 미래에 유용한 것으로 보입니다.
이 블로그에서는 보안 및 모니터링, 주로 SysDig, 컨테이너 및 Kubernetes를 계속 다룰 것입니다.
다른 기회를 위해 뵙겠습니다!

*이 시간에 소개 된 기능에 대한 자세한 정보는 아래 URL에서 찾을 수 있습니다.

https : //docs.슬롯 나라.com/en/docs/슬롯 나라-secure/policies/threat-detect-policies/manage-policies/workload/#kill-process