使用tracee编写规则追踪系统安全事件

最新推荐文章于 2024-11-29 00:21:09 发布
最新推荐文章于 2024-11-29 00:21:09 发布
阅读量860 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全 漏洞 网络 文章标签: 安全 网络安全 渗透测试 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HBohan/article/details/121401219
本文介绍了Linux运行时安全工具Tracee,通过eBPF技术追踪系统和应用,检测可疑行为。讲解了安装tracee的条件及步骤,使用tracee-rules检测包括Fileless Execution在内的安全事件,以及如何创建自定义规则来监控特定命令如whoami。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、何为tracee

Tracee 是 Linux 的运行时安全和取证工具。它使用 Linux eBPF 技术在运行时跟踪您的系统和应用程序,并分析收集到的事件以检测可疑的行为模式。Tracee 由以下子项目组成:

Tracee-eBPF - 使用 eBPF 的 Linux 跟踪和取证程序

Tracee-Rules - 运行时安全规则检测引擎

『技术资料』

二、安装tracee

运行tracee的必要条件

Linux 内核版本 >= 4.18

Linux 内核头文件在常规位置下可用

系统库 libelf 和 zlib

快速开始安装

docker run --name tracee --rm --pid=host --privileged -v /tmp/tracee:/tmp/tracee -it aquasec/tracee:latest trace

本条命令将仅启动原始跟踪 (Tracee-eBPF),没有检测引擎 (Tracee-Rules),用户将会看到如下的大量的原始事件输出:

[root@localhost ~]# docker run --name tracee --rm --pid=host --privileged -v /tmp/tracee:/tmp/tracee -it aquasec/tracee:latest trace
TIME             UID    COMM             PID     TID     RET              EVENT                ARGS
06:16:20:529134  0      assist_daemon    719     759     0                security_file_open   pathname: /proc/stat, flags: O_RDONLY|O_LARGEFILE, dev: 5, inode: 4026532025
06:16:20:529094  0      assist_daemon    719     759     7                open                 pathname: /proc/stat, flags: O_RDONLY|O_LARGEFILE|O_CLOEXEC, mode: 0
06:16:
最低0.47元/天 解锁文章

200万优质内容无限畅学
什么是trace系统?
不才的专栏
05-03 2055
Trace系统,也常被称为分布式追踪系统,是一种用于监控、分析和优化复杂分布式系统(如微服务架构)中服务调用的工具。随着现代应用程序向微服务架构的转变,一个用户请求可能需要跨越多个服务来完成。这种架构带来了更好的可扩展性和灵活性,但同时也使得监控和故障排查变得更加复杂。Trace系统通过提供请求的完整生命周期视图,帮助开发者和运维人员理解服务之间是如何相互作用的,从而快速定位问题所在。
Linux安全加固:从防视角构建系统免疫
最新发布
SEU123WW的博客
06-08 1219
在日益复杂的网络威胁环境中,Linux系统安全已从被动防御转向主动免疫。2023年全球网络安全报告显示,**高级持续性威胁(APT)击**同比增长65%,平均入侵停留时间缩短至48小时。本章将从防双重视角出发,深入探讨Linux 6.x的安全加固技术,揭示如何构建从硬件到应用的纵深防御体系,实现真正的系统免疫。
事件追踪
爱我非你莫属的博客
07-16 474
事件追踪 目的 Windows事件跟踪(ETW)为应用程序程序员提供了启动和停止事件跟踪会话,对应用程序进行检测以提供跟踪事件以及使用跟踪事件的能力。跟踪事件包含事件标头和提供者定义的数据,这些数据描述了应用程序或操作的当前状态。您可以使用事件来调试应用程序并执行容量和性能分析。 本文档适用于要使用ETW的用户模式应用程序。有关检测以内核模式运行的设备驱动程序的信息,请参阅Windows驱动程序工具包(WDK)中的WPP软件跟踪和将事件跟踪添加到内核模式驱动程序。 适用时 当您要检测应用程序,将用户或内核事
探秘系统行为:Tracee - 强大的运行时安全与可观测性工具
gitblog_00088的博客
05-11 483
探秘系统行为:Tracee - 强大的运行时安全与可观测性工具 traceeLinux Runtime Security and Forensics using eBPF项目地址:https://gitcode.com/gh_mirrors/tr/tracee 在日益复杂和敏感的数字世界中,理解系统和应用程序的行为变得至关重要。今天,我们向您推荐一个创新的开源项目——Tracee。它是一个基于...
深入浅出 eBPF 安全项目 Tracee
dwh0403的专栏
09-11 1616
原文地址: https://www.ebpf.top/post/tracee_intro/ 1. Tracee 介绍 1.1 Tracee 介绍 Tracee 是一个用 于 Linux 的运行时安全和取证工具。它使用 Linux eBPF 技术在运行时跟踪系统和应用程序,并分析收集的事件以检测可疑的行为模式。Tracee 以 Docker 镜像的形式交付,监控操作系统并根据预定义的行为模式集检测可疑行为。完整文档参见:https://aquasecurity.github.io/tracee/dev/。
Tracee:基于eBPF的Linux运行时安全和取证工具
gitblog_00798的博客
11-29 434
Tracee:基于eBPF的Linux运行时安全和取证工具 Tracee是一个开源的Linux运行时安全和取证工具,它使用eBPF(extended Berkeley Packet Filter)技术来监控和分析系统的运行时行为。该项目主要由Go和C语言编写。 项目基础介绍 Tracee旨在帮助用户理解系统和应用程序的行为。它通过将系统的行为转化为可消费的事件来实现这一目标。这些事件包括从简单的系...
追踪使用eBPFLinux运行时安全性和取证
02-04
使用Linux eBPF技术在运行时跟踪系统和应用程序,并分析收集的事件以检测可疑的行为模式。 此仓库包含以下项目: 使用eBPF进行Linux跟踪和取证 运行时安全检测引擎 使用Linux的进行eBPF编程的Go库 该仓库目前...
tracee-servlet-0.3.0.zip
10-12
为了使用Tracee,你需要将它添加到你的项目依赖中。对于Maven项目,可以在pom.xml文件中添加对应的依赖项。然后,通过简单的配置,Tracee就能开始捕获并传播调用上下文。同时,Tracee提供了丰富的API,可以方便地在...
tracee rego
07-08
她倡导使用认知行为疗法等科学有效的方法,帮助人们理解和改变自己的思维和行为模式。 除了从事临床工作外,Tracee Rego还是一位畅销书作者。她的著作主要涉及心理健康领域的话题,包括个人成长、幸福和情绪管理等...
ptrace系统调用的实现
imred的专栏
05-12 2945
最近遇到这样一个问题,机器跑着跑着画面冻结了,打开top看到Xorg的cpu占用率100%。想用gdb挂上去看一下,结果gdb一直卡着挂不上去。后来又换用perf分析,结果发现进程99%的时间花在了一个ioctl调用。这个ioctl操作的是nvidia显卡,进程实际上是卡在了nvidia的驱动中。 我对gdb挂不上去这件事感到很好奇,之前除了因为进程已经被另一个gdb调试而导致gdb挂不上去之外,...
Linux内核中断trace机制log解析工具
08-14
用于将通过cat /sys/kernel/debug/tracing/trace命令获取的log文件,进行解析,和统计,分类:哪一号中断,在哪一号CPU上运行,总共运行时间多久,最大单次处理时间,最小单次处理时间,平均处理时间,相同中断发生在同一个CPU上面的最小间隔等。
基于RESTful API的事件追踪系统设计与实现
weixin_36204513的博客
11-16 947
本文还有配套的精品资源,点击获取 简介:EventTrackerProject是一个使用Java开发的事件追踪系统,核心功能包括记录、管理和分析事件,通过RESTful API接口服务提供数据交互。该项目遵循REST原则,利用不同的HTTP方法(如GET、POST、PUT、DELETE和PATCH)进行资源的获取、创建、更新和删除操作,并使用JSON格式作为请求和响应体。项...
玩转eBPF---关于内核运行时安全的那些事儿
Rethinking the Kernel
08-17 1万+
内核安全问题,牵一发而动全身,尤其是在运行时安全方面。通过上述eBPF新型program类型,并优化内核LSM框架和现有机制容易丢失系统调用的问题,从阻断一个函数调用运行的角度,来实现更细粒度,也更合理的检测。 感兴趣的朋友可以进入龙蜥社区eBPF技术探索SIG组页面学习,进而分享自己的看法和解决方案,和SIG组成员一起开启eBPF的神奇之旅! 龙蜥社区eBPF技术探索SIG组:https://openanolis.cn/sig/ebpfresearch 钉钉群号:44866635...
Linux 调试之strace
小立仔
11-21 3113
Linux 调试之strace的使用及其原理
【Linux kernel】Process Creation(一)
weixin_41028159的博客
12-06 342
为什么要写一个关于进程如何创建的文档?其实用do_fork作为关键字进行索引,你会发现网上的相关文档数以万计。作为一个内核工程师,对进程以及进程相关的内容当然是非常感兴趣,但是网上的资料并不能令我非常满意(也许是我没有检索到好的文章),一个简单的例子如下: 上面的代码是进程创建过程的一个片段,网上的解释一般都是对代码逻辑的描述:清除PF_SUPERPRIV 和PF_WQ_WORKER这两个flag的标记,设定PF_FORKNOEXEC标记。坦率的讲,这样的代码解析没有任何意义,其实c代码都已经是非常清楚了。
Linux strace命令
weixin_34218890的博客
01-08 2121
简介 strace常用来跟踪进程执行时的系统调用和所接收的信号。 在Linux世界,进程不能直接访问硬件设备,当进程需要访问硬件设备(比如读取磁盘文件,接收网络数据等等)时,必须由用户态模式切换至内核态模式,通 过系统调用访问硬件设备。strace可以跟踪到一个进程产生的系统调用,包括参数,返回值,执行消耗的时间。 输出参数含义 root@ubuntu:/usr# strace cat ...
eBPF Tracing 入门教程与实例
weixin_34270865的博客
05-28 1214
在 LPC'18(Linux Plumber's conference) 会议上,至少有24个关于 eBPF 的演讲。 eBPF 这一实用技术,将是每个开发者需要掌握的技巧。 也许你的新年目标得再多一个了:学习 eBPF!eBPF 的名称源于 extended Berkeley Packet Filter,如果从 eBPF 的功能来说,类似 Virtual Kernel Instruction S...
初识 eBPF(功能、原理、及一些应用)
叮当猫的喵i
07-19 1万+
一般来说可编程性的支持通常会带来一些新的问题,比如内核模块其实也是为了解决这个问题,但是他没有提供很好的边界,导致内核模块会影响内核本身的稳定性,在不同的内核版本需要做适配等。eBPF通过kprobe,tracepoints跟踪机制兼具内核和用户的跟踪能力,这种端到端的跟踪能力可以快速进行故障诊断,与此同时eBPF支持以更加高效的方式透出profiling的统计数据,而不需要像传统系统需要将大量的采样数据透出,使得持续地实时profiling成为可能。息,所以我们复用了这部分能力。.........
Linux trace使用入门
热门推荐
jscese
06-13 3万+
概念 trace 顾名思义追踪信息,可通俗理解为一种高级打印机制,用于debug,实现追踪kernel中函数事件的框架,源码位于:\kernel\trace\trace.c,有兴趣可以研究 终端使用 需要文件系统挂载完成之后,kernel的debugfs 挂载到 /sys/kernel/debug ,也可用命令挂载,一般都是在.rc中: mount debugfs none /sy
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值