Traceeshark 是 Wireshark 的一个插件,可帮助安全从业人员快速调查安全事件。
它增强了开源运行时安全和取证工具 Aqua Tracee 的功能,并允许用户分析内核级事件和行为检测以及网络流量。
使用 Traceeshark,用户现在可以直观且交互地分析系统活动以及网络流量事件。
该工具通过将 Tracee 的系统事件数据与具有容器和进程完整上下文的网络数据包分析相结合,简化了复杂的安全调查。
Traceeshark 是第一个基于运行时eBPF的安全和取证工具。
它可以捕获网络活动和系统调用,在运行时提供有关云原生环境的详细信息。
独特的功能包括能够在一个地方分析系统和网络活动,同时使用创建或接收网络流量的进程的上下文丰富网络流量。
另一个独特的功能是能够实时捕获系统活动,同时允许同时进行检查和分析。
对于安全从业者来说,它提供了巨大的优势,就像一把提供一体化功能的瑞士军刀。
Traceshark 主要功能
- 统一分析:允许用户与网络数据包并排查看和过滤事件。
- 增强上下文:使用有关系统进程和容器的丰富上下文信息分析系统事件以及网络数据包,从而实现更深入的关联和洞察。
- 实时捕获:执行 Tracee 事件的实时捕获,并通过 SSH 将其直接本地或远程传输到 Wireshark。
- 可定制的过滤器:利用 Wireshark 的高级过滤功能来关注感兴趣的事件,并使用快速过滤按钮执行常见的分析任务。
未来计划及下载
目标是实现以下目标:
- 使用从其他进程事件中获取的额外进程信息(可执行映像、命令行等)来丰富所有事件。
- 跟踪进程关系并允许根据共同祖先进程和其他类型的进程树路径进行过滤。
- 添加更多高级统计和数据聚合。
- 跟踪相关事件(文件操作、流程生命周期),并能够以交互方式从一个事件跳转到相关事件。
- 允许将远程实时捕获期间创建的取证成果直接写入记录主机。
Traceeshark 可在GitHub上免费获取。