Capítulo 9. eBPF para la seguridad
Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com
Ya has visto cómo se puede utilizar eBPF para observar eventos en un sistema y enviar información sobre esos eventos a las herramientas del espacio de usuario. En este capítulo estudiarás cómo aprovechar el concepto de detección de eventos para crear herramientas de seguridad basadas en eBPF que puedan detectar, o incluso evitar, actividades maliciosas. Empezaré por ayudarte a comprender qué diferencia a la seguridad de otros tipos de observabilidad.
Nota
El código de ejemplo de este capítulo está en el repositorio de GitHub, en el directorio chapter9.
La observabilidad de la seguridad requiere política y contexto
La diferencia entre una herramienta de seguridad y una herramienta de observabilidad que informa sobre sucesos es que una herramienta de seguridad debe ser capaz de distinguir entre los sucesos esperables en circunstancias normales y los sucesos que sugieren que podría estar teniendo lugar una actividad maliciosa. Por ejemplo, supongamos que tienes una aplicación que escribe datos en un archivo local como parte de su procesamiento normal. Digamos que se espera que la aplicación escriba en /home/<username>/<filename>, por lo que esta actividad no es algo que te interese desde el punto de vista de la seguridad. Sin embargo, querrías recibir una notificación si la aplicación escribe en una de las muchas ubicaciones de ...
Get Aprendizaje eBPF now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
