Sophos Linux Sensor のアーキテクチャの概要
データの収集
Sophos Linux Sensor (SLS) は、デフォルトでさまざまなデータの種類を収集します。
- コンテナのライフサイクル
- ファイルを開く
- カーネル関数の呼び出し
- ネットワークアクティビティ
- プロセスのライフサイクル
- 生のシステムコール
センサーのアーキテクチャ
SLS は kprobe イベントモニターを介してホストのテレメトリを収集します。Linux カーネル内のインストルメンテーションツールである perf を使用して、kprobe イベントを抽出します。センサーには、grpc サーバー経由でテレメトリサービスが含まれ、テレメトリのイベントを受信します。
このテレメトリを活用することで、SLS には、検出、統合、調査機能が追加されます。
| コンポーネント | 説明 |
|---|---|
| Analytics | 収集されたイベントを分析する検出エンジン。 |
| Integrations | 統合によって、警告とメタイベントをサードパーティのシステムにエクスポートすることが可能になります。 |
| Metaevents | 調査で使用するために、ホストに関する事実を保管する「フライトレコーダー」。 |
詳細情報