Sysdig 集成
编辑Sysdig 集成
编辑此集成允许将 Sysdig 警报发送到 Elastic,以实现可观测性和组织意识。然后,可以使用集成随附的仪表板或在 Kibana 中创建自定义仪表板来分析警报。
数据流
编辑Sysdig 集成收集一种类型的数据流:警报。
警报 Sysdig 集成收集的“警报”数据流由 Sysdig 警报组成。有关 Sysdig 警报的更多详细信息,请参阅 Sysdig 的警报文档。此集成使用的潜在字段的完整列表可以在 日志参考 中找到
要求
编辑您需要 Elasticsearch 来存储和搜索数据,以及 Kibana 来可视化和管理数据。您可以使用我们推荐的 Elastic Cloud 上托管的 Elasticsearch 服务,也可以在您自己的硬件上自行管理 Elastic Stack。
必须配置 Sysdig 以将警报输出到 设置 中定义的受支持的输出通道。系统只会接收 Sysdig 规则输出的常用字段,这意味着如果规则不包含所需的字段,则必须在 Sysdig 中编辑该规则以添加该字段。
设置
编辑有关如何设置集成的分步说明,请参阅入门指南。
为了从 Sysdig 捕获警报,您必须配置 Sysdig 以通过 HTTP 将警报作为 JSON 输出。
HTTP 输入
编辑HTTP 输入允许 Elastic Agent 通过 HTTP Webhook 接收 Sysdig 警报。
必需:要配置 Sysdig 以输出 JSON,您必须按照 Sysdig 文档 中的概述设置 Webhook 通知通道。
日志参考
编辑警报
编辑Sysdig 警报可以包含与主机上活动类型相关的各种字段。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
带有纳秒的事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
数据流/事件数据集。 |
constant_keyword |
event.module |
事件所属的模块。 |
constant_keyword |
input.type |
constant_keyword |
|
sysdig.actions |
已扁平化 |
|
sysdig.agentId |
代理标识符 |
整数 |
sysdig.category |
来自 Sysdig 的事件类别 |
关键字 |
sysdig.containerId |
容器的标识符 |
文本 |
sysdig.content.fields.container.image.tag |
容器映像的标签 |
文本 |
sysdig.content.fields.container.name |
容器的名称 |
文本 |
sysdig.content.fields.proc.cmdline |
进程的命令行参数 |
文本 |
sysdig.content.fields.proc.cwd |
当前进程的当前工作目录 |
文本 |
sysdig.content.fields.proc.exepath |
当前进程的路径 |
文本 |
sysdig.content.fields.proc.name |
进程的名称 |
文本 |
sysdig.content.fields.proc.pcmdline |
父进程的命令行参数 |
文本 |
sysdig.content.fields.proc.pid |
进程的标识符 |
文本 |
sysdig.content.fields.proc.pname |
父进程的名称 |
文本 |
sysdig.content.fields.proc.ppid |
父进程的标识符 |
文本 |
sysdig.content.fields.user.name |
用户的名称 |
文本 |
sysdig.content.fields.user.uid |
用户的标识符 |
文本 |
sysdig.content.output |
原始事件输出 |
文本 |
sysdig.content.policyOrigin |
与事件关联的规则的发起者 |
文本 |
sysdig.content.policyVersion |
与事件关联的规则的版本 |
整数 |
sysdig.content.ruleName |
与事件关联的规则的名称 |
文本 |
sysdig.content.ruleTags |
与事件规则关联的标签 |
文本 |
sysdig.content.ruleType |
与事件关联的规则的类别 |
文本 |
sysdig.description |
事件策略的描述 |
文本 |
sysdig.event.category |
文本 |
|
sysdig.event.description |
文本 |
|
sysdig.event.type |
文本 |
|
sysdig.hostMac |
主机的 MAC 地址 |
文本 |
sysdig.id |
事件标识符 |
文本 |
sysdig.labels.azure.instanceId |
azure 实例的实例标识符 |
文本 |
sysdig.labels.azure.instanceName |
azure 实例的实例名称 |
文本 |
sysdig.labels.azure.instanceSize |
azure 实例的大小 |
文本 |
sysdig.labels.cloudProvider.account.id |
云提供商的账户标识符 |
文本 |
sysdig.labels.cloudProvider.name |
云提供商的名称 |
文本 |
sysdig.labels.cloudProvider.region |
云提供商的区域 |
文本 |
sysdig.labels.gcp.availabilityZone |
gcp 实例的 AZ |
文本 |
sysdig.labels.gcp.instanceId |
gcp 实例的实例标识符 |
文本 |
sysdig.labels.gcp.instanceName |
gcp 实例的实例名称 |
文本 |
sysdig.labels.gcp.machineType |
gcp 实例的机器类型 |
文本 |
sysdig.labels.gcp.projectId |
gcp 实例的项目标识符 |
文本 |
sysdig.labels.gcp.projectName |
gcp 实例的项目名称 |
文本 |
sysdig.labels.host.hostName |
当前主机的名称 |
关键字 |
sysdig.labels.kubernetes.cluster.name |
k8s 集群的名称 |
文本 |
sysdig.labels.kubernetes.namespace.name |
k8s 集群的命名空间 |
文本 |
sysdig.labels.kubernetes.pod.name |
k8s Pod 的名称 |
文本 |
sysdig.labels.kubernetes.workload.type |
k8s 资源的类型 |
文本 |
sysdig.machineId |
主机的标识符 |
文本 |
sysdig.name |
事件策略的名称 |
文本 |
sysdig.originator |
文本 |
|
sysdig.severity |
与事件关联的数值严重性值 |
整数 |
sysdig.source |
事件源 |
文本 |
sysdig.timestamp |
事件的时间戳 |
日期 |
sysdig.timestampRFC3339Nano |
日期 |
|
sysdig.type |
如果是策略,则值应作为“policy”传递 |
文本 |
事件示例
示例
alerts 的事件示例如下
{
"@timestamp": "2024-09-12T13:06:12.675Z",
"agent": {
"ephemeral_id": "fe172d2f-7b14-4b87-bc5a-acc14684e4c5",
"id": "58014837",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.14.1"
},
"cloud": {
"account": {
"id": "289645096542"
},
"availability_zone": "us-central1-c",
"instance": {
"id": "648229130641697246",
"name": "gke-cluster-gcp-demo-san-default-pool-66250c41-vd1o"
},
"machine": {
"type": "e2-standard-4"
},
"project": {
"id": "289645096542",
"name": "alliances-chronicle"
},
"provider": "gcp",
"region": "us-central1"
},
"container": {
"id": "6949e5f10829"
},
"data_stream": {
"dataset": "sysdig.alerts",
"namespace": "15372",
"type": "logs"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "a2d71da8-f67f-43fa-a895-0251c4a68bb0",
"snapshot": false,
"version": "8.14.1"
},
"event": {
"agent_id_status": "mismatch",
"dataset": "sysdig.alerts",
"id": "17dec715376910362c8c3f62a4ceda2e",
"ingested": "2024-09-12T13:06:22Z",
"kind": "alert",
"provider": "syscall",
"severity": 7,
"timezone": "+00:00"
},
"host": {
"id": "42:01:0a:80:00:05",
"mac": [
"42-01-0A-80-00-05"
],
"name": "gke-cluster-gcp-demo-san-default-pool-66250c41-vd1o"
},
"input": {
"type": "http_endpoint"
},
"log": {
"syslog": {
"severity": {
"code": 7,
"name": "debug"
}
}
},
"message": "Users management command userdel tmp_suid_user launched by pwsh on threatgen under user root (proc.name=userdel proc.args=tmp_suid_user fd.name=<NA> proc.cmdline=pwsh -c (./RunTests.ps1 STDIN.NETWORK DEV.SHM.EXEC T1048 RECON.FIND.SUID T1611.002 CONTAINER.ESCAPE.NSENTER CREDS.DUMP.MEMORY KILL.MALICIOUS.PROC LOAD.BPF.PROG Base64.PYTHON BASE64.CLI CONNECT.UNEXPECTED RECON.GPG SUBTERFUGE.LASTLOG LD.LINUX.EXEC LD.SO.PRELOAD USERFAULTFD.HANDLER RECON.LINPEAS PROOT.EXEC) proc.pname=pwsh gparent=containerd-shim ggparent=<NA> gggparent=<NA> container=container_id=6949e5f10829 container_name=threatgen evt.type=execve evt.arg.request=<NA> proc.pid=2140169 proc.cwd=/tmp/ proc.ppid=2140088 proc.pcmdline=pwsh -c (./RunTests.ps1 STDIN.NETWORK DEV.SHM.EXEC T1048 RECON.FIND.SUID T1611.002 CONTAINER.ESCAPE.NSENTER CREDS.DUMP.MEMORY KILL.MALICIOUS.PROC LOAD.BPF.PROG Base64.PYTHON BASE64.CLI CONNECT.UNEXPECTED RECON.GPG SUBTERFUGE.LASTLOG LD.LINUX.EXEC LD.SO.PRELOAD USERFAULTFD.HANDLER RECON.LINPEAS PROOT.EXEC) proc.sid=1 proc.exepath=/usr/sbin/userdel user.uid=0 user.loginuid=-1 user.loginname=<NA> user.name=root group.gid=0 group.name=root container.id=6949e5f10829 container.name=threatgen image=docker.io/dockerbadboy/art)",
"orchestrator": {
"cluster": {
"name": "gke-alliances-demo-6"
},
"namespace": "default",
"resource": {
"name": "threatgen-c65cf6446-5s8kk",
"parent": {
"type": "deployment"
}
},
"type": "kubernetes"
},
"rule": {
"author": [
"Sysdig"
],
"category": "RULE_TYPE_FALCO",
"name": "User Management Event Detected",
"ruleset": "Sysdig Runtime Activity Logs",
"version": "35"
},
"sysdig": {
"agentId": 58014837,
"category": "runtime",
"containerId": "6949e5f10829",
"content": {
"fields": {
"container.name": "threatgen",
"proc.cmdline": "userdel tmp_suid_user",
"proc.cwd": "/tmp/",
"proc.exepath": "/usr/sbin/userdel",
"proc.name": "userdel",
"proc.pcmdline": "pwsh -c (./RunTests.ps1 STDIN.NETWORK DEV.SHM.EXEC T1048 RECON.FIND.SUID T1611.002 CONTAINER.ESCAPE.NSENTER CREDS.DUMP.MEMORY KILL.MALICIOUS.PROC LOAD.BPF.PROG Base64.PYTHON BASE64.CLI CONNECT.UNEXPECTED RECON.GPG SUBTERFUGE.LASTLOG LD.LINUX.EXEC LD.SO.PRELOAD USERFAULTFD.HANDLER RECON.LINPEAS PROOT.EXEC)",
"proc.pid": "2140169",
"proc.pname": "pwsh",
"proc.ppid": "2140088",
"user.name": "root",
"user.uid": "0"
},
"output": "Users management command userdel tmp_suid_user launched by pwsh on threatgen under user root (proc.name=userdel proc.args=tmp_suid_user fd.name=<NA> proc.cmdline=pwsh -c (./RunTests.ps1 STDIN.NETWORK DEV.SHM.EXEC T1048 RECON.FIND.SUID T1611.002 CONTAINER.ESCAPE.NSENTER CREDS.DUMP.MEMORY KILL.MALICIOUS.PROC LOAD.BPF.PROG Base64.PYTHON BASE64.CLI CONNECT.UNEXPECTED RECON.GPG SUBTERFUGE.LASTLOG LD.LINUX.EXEC LD.SO.PRELOAD USERFAULTFD.HANDLER RECON.LINPEAS PROOT.EXEC) proc.pname=pwsh gparent=containerd-shim ggparent=<NA> gggparent=<NA> container=container_id=6949e5f10829 container_name=threatgen evt.type=execve evt.arg.request=<NA> proc.pid=2140169 proc.cwd=/tmp/ proc.ppid=2140088 proc.pcmdline=pwsh -c (./RunTests.ps1 STDIN.NETWORK DEV.SHM.EXEC T1048 RECON.FIND.SUID T1611.002 CONTAINER.ESCAPE.NSENTER CREDS.DUMP.MEMORY KILL.MALICIOUS.PROC LOAD.BPF.PROG Base64.PYTHON BASE64.CLI CONNECT.UNEXPECTED RECON.GPG SUBTERFUGE.LASTLOG LD.LINUX.EXEC LD.SO.PRELOAD USERFAULTFD.HANDLER RECON.LINPEAS PROOT.EXEC) proc.sid=1 proc.exepath=/usr/sbin/userdel user.uid=0 user.loginuid=-1 user.loginname=<NA> user.name=root group.gid=0 group.name=root container.id=6949e5f10829 container.name=threatgen image=docker.io/dockerbadboy/art)",
"policyOrigin": "Sysdig",
"policyVersion": 35,
"ruleName": "User Management Event Detected",
"ruleTags": [
"host",
"container",
"MITRE",
"MITRE_TA0003_persistence",
"MITRE_T1136_create_account",
"MITRE_T1136.001_create_account_local_account",
"MITRE_T1070_indicator_removal",
"MITRE_TA0005_defense_evasion",
"MITRE_TA0040_impact",
"MITRE_T1531_account_access_removal",
"MITRE_T1098_account_manipulation"
],
"ruleType": "RULE_TYPE_FALCO"
},
"description": "This policy contains rules which provide a greater insight into general activities occuring on the system. They are very noisy, but useful in threat hunting situations if you are looking for specific actions being taken during runtime. It is not recommended to use this policy for detection purposes unless tuning is enabled. Additional manual tuning will likely be required.",
"event": {
"category": "runtime",
"description": "This policy contains rules which provide a greater insight into general activities occuring on the system. They are very noisy, but useful in threat hunting situations if you are looking for specific actions being taken during runtime. It is not recommended to use this policy for detection purposes unless tuning is enabled. Additional manual tuning will likely be required.",
"type": "policy"
},
"hostMac": "42:01:0a:80:00:05",
"id": "17dec715376910362c8c3f62a4ceda2e",
"labels": {
"cloudProvider": {
"account": {
"id": "289645096542"
},
"name": "gcp",
"region": "us-central1"
},
"gcp": {
"availabilityZone": "us-central1-c",
"instanceId": "648229130641697246",
"instanceName": "gke-cluster-gcp-demo-san-default-pool-66250c41-vd1o",
"machineType": "e2-standard-4",
"projectId": "289645096542",
"projectName": "alliances-chronicle"
},
"host": {
"hostName": "gke-cluster-gcp-demo-san-default-pool-66250c41-vd1o"
},
"kubernetes": {
"cluster": {
"name": "gke-alliances-demo-6"
},
"namespace": {
"name": "default"
},
"pod": {
"name": "threatgen-c65cf6446-5s8kk"
},
"workload": {
"type": "deployment"
}
}
},
"machineId": "42:01:0a:80:00:05",
"name": "Sysdig Runtime Activity Logs",
"originator": "policy",
"severity": 7,
"source": "syscall",
"timestamp": 1720031001639981000,
"timestampRFC3339Nano": "2024-07-03T18:23:21.63998111Z",
"type": "policy"
},
"tags": [
"host",
"container",
"MITRE",
"MITRE_TA0003_persistence",
"MITRE_T1136_create_account",
"MITRE_T1136.001_create_account_local_account",
"MITRE_T1070_indicator_removal",
"MITRE_TA0005_defense_evasion",
"MITRE_TA0040_impact",
"MITRE_T1531_account_access_removal",
"MITRE_T1098_account_manipulation"
],
"threat.technique.id": [
"T1136"
]
}