Прокачиваем подсистему мониторинга: детектирование атак с помощью решений на основе eBPF

Борис Нестеров, аналитик-исследователь угроз кибербезопасности, R-Vision Auditd — утилита для мониторинга и анализа системных действий в Linux. У нее, как у любой системы, есть плюсы и минусы. О том, как расширить возможности auditd и нивелировать ее недостатки, мы и поговорим. Вначале рассмотрим устройство работы утилиты и кейсы, которые она не позволяет закрывать. Затем перейдем к технологии eBPF и способам ее использования для мониторинга событий: в частности, изучим возможности инструментов в открытом доступе. В завершение «расследуем» нескольких инцидентов с помощью решений на базе eBPF.