Sophos Linux Sensor のコンテナのランタイムの可視性
Sophos Linux Sensor (SLS) は、ホスト上での可視性のレベルが異なります。これには、コンテナテテクノロジーを実行しているホストに SLS を導入する場合も含まれます。SLS はほとんどのイベントをカーネルレベルで収集し、cgroups や名前空間の使用など、カーネルによって隔離されたコンテナテクノロジーを可視化します。
SLS が見ることができるイベントは、使用されているコンテナランタイムに依存します。
Docker
SLS は、コンテナやイメージ名などのコンテナメタデータイベントを Docker Engine デーモンから収集します。SLSは privileged container was created
などのコンテナ内のイベントやコンテナイベント、メタデータを可視化します。SLS によって、どのプロセスがどのコンテナにあるかを知ることができます。
CRI-O および containerd
SLS は Kubernetes Container Runtime インターフェース (CRI) を使ったメタデータの収集をサポートしています。デフォルトでは、SLS は次の CRI ソケットを検索します。
- /var/run/containerd/containerd.sock
- /var/run/crio/crio.sock
- /var/run/cri-dockerd.sock
- /var/run/dockershim.sock
runc が基盤となる Open Container Initiative (OCI) ランタイムである場合、SLS はコンテナ内のイベントを可視化できます。Kubernetes のような CRI インターフェースを介して作成されたコンテナのコンテナイベントとメタデータのみを可視化できます。
CRI-O および containerd を使用した SLS のインストールの詳細については、CRI-O と containerd を使用した SLS のインストールを参照してください。
仮想化
仮想化を使用するコンテナテクノロジーは、SLS がそれらのコンテナ内でイベントを収集するのを阻止します。これらの環境では、SLS はコンテナイベントとメタデータを可視化できますが、コンテナ内で発生するアクティビティは可視化できません。