Tracee使用 eBPF 的運行時安全和取證工具

Tracee 使用 eBPF 技術(shù)來檢測和過濾操作系統(tǒng)事件，幫助你揭示安全洞察、檢測可疑行為并捕獲取證指標。

Tracee 是用于基于 Linux 的云部署的運行時安全和取證工具。它使用 eBPF 在運行時跟蹤主機操作系統(tǒng)和應(yīng)用程序，并分析收集到的事件以檢測可疑的行為模式。它可以在你的 kubernetes 環(huán)境中作為守護程序集運行，但可以靈活地在任何基于 Linux 的主機上出于多種目的運行。它可以通過 Helm 作為 docker 容器或作為一小組靜態(tài)二進制文件交付。

Tracee 的目標是作為一種易于使用且有效的解決方案，用于在你的環(huán)境中發(fā)生云原生攻擊時進行學(xué)習(xí)。通過利用 Aqua 的高級安全研究、基于高性能 eBPF 的檢測和云原生優(yōu)先方法，Tracee 使運行時檢測變得易于訪問、強大且有效。

Tracee 旨在監(jiān)控 kubernetes 集群中的主機。

Tracee 由以下子項目組成，這些子項目托管在 aquasecurity/tracee 存儲庫中：

• Tracee-eBPF - 使用 eBPF 的 Linux 跟蹤和取證
• Tracee-Rules - 運行時安全檢測引擎