Stratosharkとは?
Stratoshark は、SCAP ファイルからのシステムコールとログメッセージを分析するために設計された、Wireshark のコンパニオンアプリケーションです。クラウド環境では、コンテナ化されたワークロードやサービスに Linux の依存度が高まっているため、Stratoshark を使用すると、Linux カーネルから直接システムコールをキャプチャして、ホスト、コンテナ、およびプロセスのトラブルシューティング、セキュリティ保護、監視を行うことができます。
%201.svg){kind=logo}
学ぶ内容
- Stratoshark とは何ですか?何に使用されますか?
- Stratoshark でシステムコールをキャプチャする方法
- Where to get started with Stratoshark
Stratoshark は、SCAP ファイルからのシステムコールとログメッセージを分析するように設計されています。クラウド環境では、コンテナ化されたワークロードやサービスに Linux の依存度が高まっているため、Stratoshark を使用すると、Linux カーネルから直接システムコールをキャプチャして、ホスト、コンテナ、およびプロセスのトラブルシューティング、セキュリティ保護、監視を行うことができます。
Wireshark がネットワークチームに PCAP ファイルからのパケットの分析を可能にするのと同じように、Stratoshark は libsinsp および libscap を使用してシステムコールをキャプチャおよび解釈し、詳細な検査のための .scap ファイルを生成します。
システムコールだけでなく、Stratoshark は、Sysdig や Falco でも使用されているライブラリである libscap を通じて、クラウド監査ログを取り込むこともできます。Falco CloudTrail プラグインを使用すると、Stratoshark は、SQS、または SNS から AWS CloudTrail ログを取得して、クラウドのセキュリティを監視することができます。
システムコールのキャプチャ
SCAP ファイルは、sysdig oss コマンドラインツールを使用するか、Linux システムで Stratoshark を直接実行して生成できます。Stratoshark は、次のようなさまざまなキャプチャソースをサポートしています。
- Falcodump:Falco プラグインと Linux システムコールを介して、複数のソースからログをキャプチャします。
- Sshdig:Sysdig を使用して、SSH 経由でリモートシステムコールのキャプチャを有効にします。
Stratosharkの入手
Stratoshark をビルドする必要があります。
Stratoshark は、おなじみのパケット分析ワークフローを Linux およびクラウド環境に導入し、ネットワークとシステムレベルのオブザーバビリティのギャップを埋めます。