- Kurumsal güvenlik araçlarının yüksek maliyetinden (yıllık yaklaşık 50.000 $) ve Windows merkezli tasarımından memnun olmayan bir geliştiricinin yaptığı yalnızca Linux için ana makine tabanlı güvenlik izleme aracı
- Kullanıcı alanı ile çekirdek alanını kapsayan çok katmanlı tespit sayesinde kötü amaçlı yazılım, rootkit ve gizlenme girişimlerini gerçek zamanlı olarak izler
- Tek bir Bash betiği olarak çalışır; neredeyse hiç bağımlılığı yoktur, bu yüzden kurulumu basittir ve çoğu Linux yöneticisi tarafından doğrudan okunup değiştirilebilir
- Düşük maliyetli ortamlarda da kullanılabilmesi için tasarlanmıştır (geliştirici aracı 500 $'lık bir dizüstü bilgisayarda geliştirdi)
Başlıca özellikler
- Gerçek zamanlı izleme: süreç, ağ ve dosya takibi
- eBPF tabanlı çekirdek olay izleme: gerçek zamanlı süreç çalıştırma takibi ve sistem çağrısı analizi
- YARA kural tabanlı kötü amaçlı yazılım tespiti (web shell, reverse shell, kripto para madencisi)
- Tehdit müdahalesi
- Anormal davranış tespiti ve engelleme (IP engelleme, süreç sonlandırma, dosya karantinaya alma)
- Rootkit'lerin ve gelişmiş tehditlerin gizleme tekniklerini tespit etme
- Güvenlik genişletmeleri
- Ağ honeypot'u ile saldırı tespiti (saldırganları cezbetmek için port dinleme)
- Tehdit istihbaratının otomatik güncellenmesi (IP itibarı sorgulaması dahil)
- Adli kayıt tutma ve bütünlük doğrulaması
- Operasyonel kolaylık
- Tek Bash betiği tabanlıdır (karmaşık kurulum gerekmez)
- Web dashboard ve REST API sunar
- Docker gibi konteyner ortamları için optimize edilmiştir
Sistem gereksinimleri
- Linux Kernel 4.9+ (eBPF gerekli)
- Bash 4.0+
5 yorum
REPO’da bundan başka bir şey yok; bu durum sadece bana mı şüpheli geliyor?
Biraz ünlenirse tedarik zinciri saldırısı yapacakmış gibi duruyor
GitHub hesap adı da şüpheli görünüyor. IHATEGIVINGUSERNAME
Mantıklı bir nokta var, değil mi?
Sadece
bashile bunun yapılabildiğine inanmak zordu ama HTTP sunucusunu çalıştırmak için Python'ı çağırıyormuş.Vay canına, eğer bu doğruysa gerçekten inanılmaz!