2 dépôts
Monitoring the execution of binaries across the system to attribute behavior to specific files.
Distinct from System Binary Execution: Candidates focus on how to execute binaries or relocation, not the observability/tracking of binary executions.
Explore 2 awesome GitHub repositories matching operating systems & systems programming · Binary Execution Tracking. Refine with filters or upvote what's useful.
Tetragon est une suite d'outils de sécurité et d'observabilité runtime basée sur eBPF, conçue pour les environnements Linux et Kubernetes. Il fonctionne comme un gestionnaire de politiques de sécurité, un agent d'observabilité et un moteur d'application qui s'interface avec les fonctions du noyau et les tracepoints pour détecter l'élévation de privilèges, les évasions de conteneurs et les activités système non autorisées. Le projet se distingue par sa capacité à effectuer une application des règles en temps réel au niveau du noyau, permettant de terminer de manière synchrone des processus malveillants ou de modifier les valeurs de retour des fonctions avant qu'un appel système ne soit terminé. Il offre une intégration Kubernetes poussée en synchronisant les identités des conteneurs et en mappant les événements noyau de bas niveau directement aux pods et aux namespaces. Ses capacités plus larges couvrent l'audit complet des appels système, le suivi des connexions réseau et la surveillance de l'intégrité des fichiers. Le système prend en charge la gestion dynamique des politiques et fournit des outils de diagnostic pour surveiller les performances et l'utilisation des ressources BPF. Le déploiement est pris en charge sur les clusters Kubernetes via des charts Helm, ainsi que via des conteneurs autonomes et des paquets système natifs.
Monitors all binary executions across environments to attribute system behavior to specific binaries.
Santa est un système d'autorisation binaire pour macOS conçu pour contrôler et surveiller quels binaires peuvent s'exécuter en fonction de règles de confiance définies. Il fonctionne comme un logiciel de liste blanche d'applications qui empêche l'exécution de programmes non autorisés en les vérifiant par rapport à des hashs cryptographiques et des certificats de signature. Le système fournit une surveillance de l'exécution en enregistrant chaque événement de lancement de binaire pour créer une piste d'exécution logicielle visible. Il permet une journalisation d'audit centralisée pour suivre les lancements d'applications réussis et refusés sur plusieurs appareils, garantissant la conformité des appareils d'entreprise via des règles et des logs synchronisés. Le contrôle est géré via un système de règles qui utilise des sommes de contrôle cryptographiques, la vérification de signature numérique et la correspondance de chemin par expression régulière. Le framework inclut une interception de l'exécution au niveau du noyau pour vérifier les binaires avant leur exécution et maintient une base de données locale pour enregistrer l'activité et l'audit.
Saves binary launch events and denied execution attempts into a database for security auditing and aggregation.