Kunai

Обзор

Kunai — это инструмент с открытым исходным кодом, специально созданный для мониторинга и обнаружения угроз в среде Linux. Он обеспечивает глубокий и точный сбор событий, что позволяет минимизировать лишний шум и улучшить видимость системной активности. Разработанный с использованием технологий eBPF (Extended Berkeley Packet Filter), Kunai использует уровень ядра Linux для захвата и анализа критически важных событий безопасности в реальном времени.

Одной из ключевых преимуществ Kunai является его способность упрощать детектирование благодаря использованию продвинутых механизмов корреляции событий на хосте. Это позволяет уменьшить количество событий, но повысить их значимость, тем самым снижая нагрузку на системы записи логов и улучшая точность анализа.

Среди уникальных возможностей Kunai:

• Хронологически упорядоченные события, что исключает несоответствия и улучшает точность судебно-медицинских экспертиз.
• Корреляция событий на хосте и их обогащение, что даёт командам безопасности контекст для анализа происходящих в системе событий.
• Поддержка контейнеров и Linux namespaces, что делает его незаменимым инструментом в современных облачных средах.

Kunai — это незаменимый инструмент для обнаружения вредоносного ПО, охоты за угрозами и цифровой криминалистики (DFIR). Он поддерживает сценарии обнаружения на основе правила и интегрируется с другими open-source инструментами, используя YARA для проверки файлов и подключаясь к MISP для сканирования индикаторов компрометации в реальном времени.

Kunai доступен для свободного скачивания на GitHub, и его разработчики стремятся сделать весь проект, включая правила обнаружения, управляемым сообществом, приветствуя любые отзывы и предложения пользователей.