コンテンツにスキップ

Sophos Linux Sensor のアーキテクチャの概要

データの収集

Sophos Linux Sensor (SLS) は、デフォルトでさまざまなデータの種類を収集します。

  • コンテナのライフサイクル
  • ファイルを開く
  • カーネル関数の呼び出し
  • ネットワークアクティビティ
  • プロセスのライフサイクル
  • 生のシステムコール

センサーのアーキテクチャ

SLS は kprobe イベントモニターを介してホストのテレメトリを収集します。Linux カーネル内のインストルメンテーションツールである perf を使用して、kprobe イベントを抽出します。センサーには、grpc サーバー経由でテレメトリサービスが含まれ、テレメトリのイベントを受信します。

このテレメトリを活用することで、SLS には、検出、統合、調査機能が追加されます。

コンポーネント 説明
Analytics 収集されたイベントを分析する検出エンジン。
Integrations 統合によって、警告とメタイベントをサードパーティのシステムにエクスポートすることが可能になります。
Metaevents 調査で使用するために、ホストに関する事実を保管する「フライトレコーダー」。

詳細情報