Kapitel 9. eBPF für Sicherheit
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Du hast gesehen, wie eBPF verwendet werden kann, um Ereignisse in einem System zu beobachten und Informationen über diese Ereignisse an User Space Tools zu melden. In diesem Kapitel erfährst du, wie du auf dem Konzept der Ereigniserkennung aufbauen kannst, um eBPF-basierte Sicherheitstools zu entwickeln, die bösartige Aktivitäten erkennen oder sogar verhindern können. Ich beginne damit, dir zu erklären, was die Sicherheit von anderen Arten der Beobachtbarkeit unterscheidet.
Hinweis
Der Beispielcode für dieses Kapitel befindet sich im GitHub Repo im Verzeichnis chapter9.
Beobachtbarkeit der Sicherheit erfordert Politik und Kontext
Der Unterschied zwischen einem Sicherheitstool und einem Beobachtungstool, das über Ereignisse berichtet, besteht darin, dass ein Sicherheitstool in der Lage sein muss, zwischen Ereignissen, die unter normalen Umständen zu erwarten sind, und Ereignissen, die auf bösartige Aktivitäten hindeuten, zu unterscheiden. Nehmen wir zum Beispiel an, du hast eine Anwendung, die im Rahmen ihrer normalen Verarbeitung Daten in eine lokale Datei schreibt. Nehmen wir an, die Anwendung schreibt erwartungsgemäß nach /home/<Benutzername>/<Dateiname>, dann ist diese Aktivität aus der Sicherheitsperspektive nicht von Interesse für dich. Du möchtest jedoch benachrichtigt werden, wenn die App in einen der vielen ...
Get eBPF lernen now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
