Stratosharkとは?
SHARE:
Stratoshark は、SCAP ファイルからのシステムコールとログメッセージを分析するために設計された、Wireshark のコンパニオンアプリケーションです。クラウド環境では、コンテナ化されたワークロードやサービスに Linux の依存度が高まっているため、Stratoshark を使用すると、Linux カーネルから直接システムコールをキャプチャして、ホスト、コンテナ、およびプロセスのトラブルシューティング、セキュリティ保護、監視を行うことができます。
Stratosharkとは?
学ぶ内容
-
Stratoshark とは何ですか?何に使用されますか?
-
Stratoshark でシステムコールをキャプチャする方法
-
Where to get started with Stratoshark
Stratoshark は、Wireshark のコンパニオンアプリケーションであり、SCAP ファイルからのシステムコールとログメッセージを分析するように設計されています。クラウド環境では、コンテナ化されたワークロードやサービスに Linux の依存度が高まっているため、Stratoshark を使用すると、Linux カーネルから直接システムコールをキャプチャして、ホスト、コンテナ、およびプロセスのトラブルシューティング、セキュリティ保護、監視を行うことができます。
Wireshark がネットワークチームに PCAP ファイルからのパケットの分析を可能にするのと同じように、Stratoshark は libsinsp および libscap を使用してシステムコールをキャプチャおよび解釈し、詳細な検査のための .scap ファイルを生成します。
システムコールだけでなく、Stratoshark は、Sysdig や Falco でも使用されているライブラリである libscap を通じて、クラウド監査ログを取り込むこともできます。Falco CloudTrail プラグインを使用すると、Stratoshark は S3、SQS、または SNS から AWS CloudTrail ログを取得して、クラウドのセキュリティを監視することができます。
システムコールのキャプチャ
SCAP ファイルは、sysdig oss コマンドラインツールを使用するか、Linux システムで Stratoshark を直接実行して生成できます。Stratoshark は、次のようなさまざまなキャプチャソースをサポートしています。
- Falcodump:Falco プラグインと Linux システムコールを介して、複数のソースからログをキャプチャします。
- Sshdig:Sysdig を使用して、SSH 経由でリモートシステムコールのキャプチャを有効にします。
Stratosharkの入手
Windows および macOS 用の開発パッケージは、Wireshark の自動ビルドからダウンロードできます。ただし、これらのプラットフォームでは、現在、ネイティブシステムコールのキャプチャはサポートされていません。Linux で Stratoshark を使用するには、ソースから Stratoshark をビルドする必要があります。
Stratoshark は、おなじみのパケット分析ワークフローを Linux およびクラウド環境に導入し、ネットワークとシステムレベルのオブザーバビリティのギャップを埋めます。