Kapitel 5. Datenanreicherung

Die Architektur von Falco ermöglicht es dir, Ereignisse aus verschiedenen Datenquellen zu erfassen, wie du bereits gelernt hast. Dieser Prozess liefert Rohdaten, die sehr reichhaltig sein können, aber für die Laufzeitsicherheit nicht sehr nützlich sind, wenn sie nicht mit dem richtigen Kontext gepaart sind. Deshalb extrahiert Falco zunächst die Rohdaten und reichert sie dann mit Kontextinformationen an, damit der Regelautor sie bequem nutzen kann. In der Regel bezeichnen wir diese Informationen als Ereignis-Metadaten. Die Beschaffung von Metadaten kann eine komplexe Aufgabe sein, und die effiziente Beschaffung von Metadaten ist sogar noch komplexer.

Du hast bereits gesehen, dass die Funktionen zum Sammeln von Systemzuständen in libscap und die von libsinsp implementierte Zustandsmaschine (die in Kapitel 3 besprochen wird) von zentraler Bedeutung sind, aber es gibt noch viel mehr zu entdecken. In diesem Kapitel werden wir uns mit den Designaspekten des Falco-Stacks befassen, damit du besser verstehst, wie die Datenanreicherung funktioniert. Insbesondere zeigen wir dir den effizienten, mehrschichtigen Ansatz von libsinsp, um System-, Container- und Kubernetes-Metadaten für Systemaufrufe (syscall) zu erhalten. So kannst du auf die Informationen zugreifen, die du für verschiedene Kontexte benötigst (je nach Anwendungsfall), ...