Elkeid云原生安全解決方案

Elkeid 是字節(jié)跳動開源的一個云原生的基于主機的安全(入侵檢測與風險識別)解決方案。

Elkeid 架構

Elkeid 主機能力

• Elkeid Agent?用戶態(tài) Agent，負責管理各個端上能力組件，與?Elkeid Server?通訊
• Elkeid Driver?在 Linux Kernel 層采集數(shù)據(jù)的組件，兼容容器環(huán)境，并能夠提供Rootkit檢測能力。與Elkeid Agent管理的Driver插件通訊
• Elkeid RASP?支持 CPython、Golang、JVM、NodeJS 的運行時數(shù)據(jù)采集探針，支持動態(tài)注入到運行時。
• Elkeid Agent Plugin List
  • Driver Plugin: 負責與Elkeid Driver通信，處理其傳遞的數(shù)據(jù)等
  • Collector Plugin: 負責端上的資產(chǎn)/關鍵信息采集工作，如用戶，定時任務，包信息等等
  • Journal Watcher: 負責監(jiān)測systemd日志的插件，目前支持ssh相關日志采集與上報
  • Scanner Plugin: 負責在端上進行靜態(tài)檢測惡意文件的插件，目前支持yara
  • RASP Plugin: 負責管理RASP組件以及處理RASP采集的數(shù)據(jù)，還未開源

以上組件可以提供以下數(shù)據(jù)：??

Elkeid 后端能力

• Elkeid AgentCenter?負責與Agent進行通信，采集Agent數(shù)據(jù)并簡單處理后匯總到消息隊列集群，同時也負責對Agent進行管理包括Agent的升級，配置修改，任務下發(fā)等
• Elkeid ServiceDiscovery?后臺中的各個服務模塊都需要向該組件定時注冊、同步服務信息，從而保證各個服務模塊中的實例相互可見，便于直接通信
• Elkeid Manager?負責對整個后臺進行管理，并提供相關的查詢、管理接口

Elkeid 優(yōu)勢

當前開源模塊缺少規(guī)則引擎和檢測功能，還不能提供入侵檢測的能力。 但是目前開源的部分可以輕松地與其他的HIDS/NIDS/XDR解決方案進行集成，或者自己對采集的數(shù)據(jù)進行數(shù)處理實現(xiàn)自己的需求，Elkeid 有以下主要優(yōu)勢：

• 性能優(yōu)異：端上能力借助Elkeid Driver與很多定制開發(fā)，性能極佳
• 為入侵檢測而生：數(shù)據(jù)采集以高強度對抗為前提，對如Kernel Rootkit，提權，無文件攻擊等眾多高級對抗場景均有針對性數(shù)據(jù)采集
• 支持云原生：從端上能力到后臺部署都支持云原生環(huán)境
• 百萬級生產(chǎn)環(huán)境驗證：整體經(jīng)過內(nèi)部百萬級驗證，從端到Server，穩(wěn)定性與性能經(jīng)過考驗，Elkeid不僅僅是一個PoC，是生產(chǎn)級的；開源版本即內(nèi)部Release Version
• 二次開發(fā)友好：Elkeid 方便二次開發(fā)與定制化需求增加

Quick Start

• 快速部署文檔
• docker體驗文檔
• Deploy Question and Answer