アプリケーションなどの異常な行動を検出できるアクティビティモニタリングツール「Falco」
システム監視技術を手がける米Sysdigが、オープンソースのコンテナ対応アクティビティモニタリングツール「Falco」を公開した。アプリケーションの異常な活動を検出するためのツールで、コンテナやアプリケーション、ホスト、ネットワークアクティビティなどをまとめて監視できるのが特徴。
FalcoはLinuxシステムコールをスキャンし、ルールに照らし合わせて異常がないかを調べるエージェント型モニタリングツール。Sysdigによると、署名ベースのセキュリティモニタリングから行動ベースのセキュリティモニタリングへのシフトを受けて開発したという。同社のシステムコールキャプチャインフラをベースとしたOSのシステムコール監視インターフェイスを備え、攻撃などの異常な活動を自動検出できるという。
検出できる活動としてはコンテナ内で動作するシェルの動作や/etc/passwdといった機密ファイルの予期しない読み込み、標準システムバイナリのアウトバウンドネットワーク接続などが挙げられている。検出のためのルール設定は同社がフィルタリングエンジン向けに利用するカスタム言語で書かれており、デフォルトのルールセットも用意する。
初期バージョンとなる「Falco 0.1.0」はプロジェクトのWebサイトより入手できる。
Sysdig Falco
http://www.sysdig.org/falco/