Elkeid 是字节跳动开源的一个云原生的基于主机的安全(入侵检测与风险识别)解决方案。
Elkeid 架构
Elkeid 主机能力
- Elkeid Agent 用户态 Agent,负责管理各个端上能力组件,与 Elkeid Server 通讯
- Elkeid Driver 在 Linux Kernel 层采集数据的组件,兼容容器环境,并能够提供Rootkit检测能力。与Elkeid Agent管理的Driver插件通讯
- Elkeid RASP 支持 CPython、Golang、JVM、NodeJS 的运行时数据采集探针,支持动态注入到运行时。
- Elkeid Agent Plugin List
- Driver Plugin: 负责与Elkeid Driver通信,处理其传递的数据等
- Collector Plugin: 负责端上的资产/关键信息采集工作,如用户,定时任务,包信息等等
- Journal Watcher: 负责监测systemd日志的插件,目前支持ssh相关日志采集与上报
- Scanner Plugin: 负责在端上进行静态检测恶意文件的插件,目前支持yara
- RASP Plugin: 负责管理RASP组件以及处理RASP采集的数据,还未开源
以上组件可以提供以下数据: 
Elkeid 后端能力
- Elkeid AgentCenter 负责与Agent进行通信,采集Agent数据并简单处理后汇总到消息队列集群,同时也负责对Agent进行管理包括Agent的升级,配置修改,任务下发等
- Elkeid ServiceDiscovery 后台中的各个服务模块都需要向该组件定时注册、同步服务信息,从而保证各个服务模块中的实例相互可见,便于直接通信
- Elkeid Manager 负责对整个后台进行管理,并提供相关的查询、管理接口
Elkeid 优势
当前开源模块缺少规则引擎和检测功能,还不能提供入侵检测的能力。 但是目前开源的部分可以轻松地与其他的HIDS/NIDS/XDR解决方案进行集成,或者自己对采集的数据进行数处理实现自己的需求,Elkeid 有以下主要优势:
- 性能优异:端上能力借助Elkeid Driver与很多定制开发,性能极佳
- 为入侵检测而生:数据采集以高强度对抗为前提,对如Kernel Rootkit,提权,无文件攻击等众多高级对抗场景均有针对性数据采集
- 支持云原生:从端上能力到后台部署都支持云原生环境
- 百万级生产环境验证:整体经过内部百万级验证,从端到Server,稳定性与性能经过考验,Elkeid不仅仅是一个PoC,是生产级的;开源版本即内部Release Version
- 二次开发友好:Elkeid 方便二次开发与定制化需求增加
Quick Start
-
1.service_discovery组件与manager组件通信错误问题: Debian默认的系统里没有进程保护,所以刚刚配置好的sd组件启动后在接收第一次manager传来的信息后会自动杀死端口监听进程。可以下载supervisor或其他工具保护sd的监听进程。 2.driver组件的编译失败问题: 我这的问题包含两个内容,一个是Elkeid没有及时更新到最新版,导致对内核的识别出现了问题。
-
我在配置好各插件后发现agent端与service_discovery端无法实现通信,扫雷过程中发现两个端之间的kafka通信有问题,在查了kafka配置文件的资料之后确认是agent端的kafka配置有问题。修改如下: 在agent端的kafka/config/producer.properties配置文件中添加服务器地址信息: metadata.broker.list=serverhost:s
-
这个时候,首先重启系统然后再advanced 引导界面看看自己的系统内核有没有选成-rt的版本,一定要选不是rt版本的。 然后再排查自己agent/transport/connection目录下的证书是不是server里build出来的,存储在agent_center里面的。 基本上保证这两个对了就没有大问题。如果还有问题就去agent/test目录下跑测试,也要把证书拷进test里,然后把tes
-
我目前正在整合PayPal Pro托管解决方案,iFrame版本,到一个电子商务解决方案。 使用贝宝沙盒,我可以处理测试Visa和万事达卡交易,但我的英国Maestro交易总是被拒绝,错误信息:“这个交易不能被处理。请用另一张卡付款。“ 下面是我的表单,它称为iframe: null 我的表单中是否缺少了导致3D安全卡交易失败的任何内容,或者3D安全卡本身无法在沙箱中进行测试? 提前道谢。
-
移动端APP部署及安全解决方案 概述 InforMobile移动应用产品不仅支持在局域网(LAN)环境中的部署使用,也支持在internet(互联网)环境中的部署使用。局域网和互联网环境不同,局域网是一个相对封闭的内部网络环境,而互联网则是完全开放的网络,因此对服务部署和数据安全控制有明显的区别。针对企业安全方面的考虑和实际需要,InforMobile移动应用产品提供了一套完整的App部署及安全解
-
本文向大家介绍django2.2安装错误最全的解决方案(小结),包括了django2.2安装错误最全的解决方案(小结)的使用技巧和注意事项,需要的朋友参考一下 安装报错类型,解决方案; 1. 数据库连接报错 mysqldb只支持python2,pymysql支持3,都是使用c写的驱动,性能更好 解决方案: 修改数据库:mysqldb=>pymysql 2. 因为切换数据库导致版本错误 raise
-
本文向大家介绍解决Android原生定位的坑,包括了解决Android原生定位的坑的使用技巧和注意事项,需要的朋友参考一下 Android原生定位的代码网上已经很多了,就不贴出来。 简单了解下: GPS_PROVIDER:通过手机内置的GPS芯片,利用卫星获取定位信息。位置监听、卫星状态监听很耗电且室内定位很不准确。 NETWORK_PROVIDER:网络定位通过基站和WiFi节点,利用节点id在
-
本文向大家介绍Dubbo在安全机制方面是如何解决?相关面试题,主要包含被问及Dubbo在安全机制方面是如何解决?时的应答技巧和注意事项,需要的朋友参考一下 Dubbo通过Token令牌防止用户绕过注册中心直连,然后在注册中心上管理授权。Dubbo还提供服务黑白名单,来控制服务所允许的调用方。
-
自我介绍 在你的项目中遇到过什么困难 你的实践经历 你觉得做好一个解决方案,重点是什么 你有什么要问我的问题吗 感觉很无聊,估计是kpi了