Kunai, Linux ortamları için derin ve hassas olay izleme sağlayan açık kaynaklı bir araçtır.
“Kunai’yi ayıran şey, basit olay üretiminin ötesine geçme yeteneğidir. Çoğu güvenlik izleme aracı Syscalls veya çekirdek işlev kancasına dayanırken, Kunai, ana bilgisayardaki olayları ilişkilendirerek ve zenginleştirilmiş bilgiler sağlayarak daha gelişmiş bir yaklaşım benimser. Bu, daha az ama daha anlamlı olay anlamına gelir, sistem etkinliğine daha derin görünürlük sağlarken gürültüyü ve kütük yutulması üzerindeki gerginliği azaltır ”dedi.
Anahtar Özellikler
Kunai, gelişmiş etkinlik işleme ve izleme yetenekleriyle kendini ayırır. İşte temel güçlü yönleri:
- Kronolojik olarak sıralı olaylar: Diğer birçok izleme aracının aksine, Kunai, olayların tam olarak gerçekleştikleri sırayla işlenmesini ve teslim edilmesini sağlar, tutarsızlıkları önler ve adli doğruluğu iyileştirir.
- Ev sahibi korelasyon: Araç, güvenlik ekiplerinin sistem genelinde meydana gelen olaylara bağlam kazanmasına izin veren yerleşik zenginleştirme ve korelasyon mekanizmalarını içerir.
- Konteyner farkında izleme: Linux ad alanları ve konteyner teknolojileri desteğiyle, Kunai, modern bulut yerli ortamlar için kritik bir özellik olan konteyner aktivitelerinin izlenmesini sağlar.
“Kunai, özünde korelasyon ile tasarlanmıştır ve tek bir olaydan tam süreç etkinliğini izlemeyi kolaylaştırır. Kullanıcıların özel algılama senaryoları oluşturmasına izin veren açık bir algılama kuralı motoru ile kötü amaçlı yazılım algılama, tehdit avı ve DFIR kullanım durumları için oluşturulmuştur. Ayrıca, gerçek zamanlı IOC taraması için dosya taraması ve MISP’ye bağlanma için YARA kurallarını destekleyen diğer açık kaynaklı araçlarla sorunsuz bir şekilde entegre olur: güvenlik ekiplerinin ihtiyaç duydukları esnekliğe ve güce sahip olmasını sağlamak ”dedi.
Kunai Nasıl Çalışır?
Araç, kritik güvenlik olaylarını gerçek zamanlı olarak yakalamak ve analiz etmek için çekirdek seviyesi probları kullanarak EBPF (genişletilmiş Berkeley Paket Filtresi) teknolojisini kullanır. Bu problar verileri, toplanan bilgileri yeniden sıralamak, zenginleştirmek ve ilişkilendirmekten sorumlu bir kullanıcı alanı programına besler.
Aracın uygulanmasının göze çarpan bir yönü, Rust ve AYA Kütüphanesine olan güvenidir. Bu mimari, EBPF problarını ve Userland işleme mantığını gömen, mevcut güvenlik iş akışlarına dağıtım ve entegrasyonu basitleştiren bağımsız, bağımsız bir ikili sağlar.
Gelecek Planları ve İndir
“Ufukta birkaç önemli gelişme ile Kunai için sonraki adımları aktif olarak planlıyoruz. Algılama kuralı dağıtımını kolaylaştırmak, IOC’leri yönetmek ve günlük depolama arka uçlarıyla potansiyel olarak entegre olmak üzere günlükleri verimli bir şekilde işlemek için merkezi bir sunucu araştırıyoruz. EBPF kodumuzu en son Linux çekirdek değişiklikleriyle senkronize tutmak, sürekli istikrar ve performansın sağlanması için bir önceliktir. Ayrıca kötü amaçlı yazılım algılamasını geliştirmek ve tehdit görünürlüğünü güçlendirmek için topluluk odaklı algılama kurallarımızı genişletmek için yeni etkinlik türlerini araştırıyoruz ”dedi.
Kunai GitHub’da ücretsiz olarak kullanılabilir.
Kunai’nin arkasındaki ekip, tüm projenin-sadece tespit kurallarının değil-topluluk odaklı olmasını istiyor. Herhangi bir geri bildirim, sorun veya özellik isteği çok takdir edilmektedir.
Okumalı: