Elkeid 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
Elkeid 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
Elkeid 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !
授权协议 Apache 2.0
开发语言 Google Go
操作系统 跨平台
软件类型 开源软件
所属分类 管理和监控安全相关
开源组织
地区 国产
投 递 者 罗奇奇
适用人群 未知
收录时间 2021-12-17

软件简介

Elkeid 是字节跳动开源的一个云原生的基于主机的安全(入侵检测与风险识别)解决方案。

Elkeid 架构

Elkeid 主机能力

  • Elkeid Agent 用户态 Agent,负责管理各个端上能力组件,与 Elkeid Server 通讯
  • Elkeid Driver 在 Linux Kernel 层采集数据的组件,兼容容器环境,并能够提供Rootkit检测能力。与Elkeid Agent管理的Driver插件通讯
  • Elkeid RASP 支持 CPython、Golang、JVM、NodeJS 的运行时数据采集探针,支持动态注入到运行时。
  • Elkeid Agent Plugin List
    • Driver Plugin: 负责与Elkeid Driver通信,处理其传递的数据等
    • Collector Plugin: 负责端上的资产/关键信息采集工作,如用户,定时任务,包信息等等
    • Journal Watcher: 负责监测systemd日志的插件,目前支持ssh相关日志采集与上报
    • Scanner Plugin: 负责在端上进行静态检测恶意文件的插件,目前支持yara
    • RASP Plugin: 负责管理RASP组件以及处理RASP采集的数据,还未开源

以上组件可以提供以下数据:  

Elkeid 后端能力

  • Elkeid AgentCenter 负责与Agent进行通信,采集Agent数据并简单处理后汇总到消息队列集群,同时也负责对Agent进行管理包括Agent的升级,配置修改,任务下发等
  • Elkeid ServiceDiscovery 后台中的各个服务模块都需要向该组件定时注册、同步服务信息,从而保证各个服务模块中的实例相互可见,便于直接通信
  • Elkeid Manager 负责对整个后台进行管理,并提供相关的查询、管理接口

Elkeid 优势

当前开源模块缺少规则引擎和检测功能,还不能提供入侵检测的能力。 但是目前开源的部分可以轻松地与其他的HIDS/NIDS/XDR解决方案进行集成,或者自己对采集的数据进行数处理实现自己的需求,Elkeid 有以下主要优势:

  • 性能优异:端上能力借助Elkeid Driver与很多定制开发,性能极佳
  • 为入侵检测而生:数据采集以高强度对抗为前提,对如Kernel Rootkit,提权,无文件攻击等众多高级对抗场景均有针对性数据采集
  • 支持云原生:从端上能力到后台部署都支持云原生环境
  • 百万级生产环境验证:整体经过内部百万级验证,从端到Server,稳定性与性能经过考验,Elkeid不仅仅是一个PoC,是生产级的;开源版本即内部Release Version
  • 二次开发友好:Elkeid 方便二次开发与定制化需求增加

Quick Start

展开阅读全文

代码

的 Gitee 指数为
超过 的项目

评论

点击引领话题📣
暂无内容
发表了博客
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
发表了问答
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
0 评论
2 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部
返回顶部
顶部