Componentes

config

Contexto do userland para programas eBPF (nível de log, modo de execução, etc.

dados

- Lógica comum de armazenamento e recuperação de dados - Implementa mapas virtuais e mapas virtuais aninhados do eBPF. - Implementa estrutura trie para correspondência de prefixo eficiente

jibril

- O coração do projeto - A extensão principal com múltiplos plugins

manter

• Mantém a execução até ctrl+c ou SIGTERM ser recebido.

• Usado para receitas de detecção que necessitam de monitoramento contínuo.

procfs

• Lê /proc arquivos durante a inicialização para processos existentes.

• Popula mapas eBPF com dados existentes.

impressoras

• Implementa diferentes endpoints (printers).

• A impressora mais simples é stdout, que imprime na saída padrão.

• O varlog o printer registra saída em /var/log/{loader,jibril}.log.

netpolicy

• Impõe políticas de rede baseadas em CIDRs e nomes de domínio.

• Capaz de descartar resoluções DNS de forma síncrona.

detect

• Rastreia cada tarefa e arquivo e as ações executadas sobre eles.

• Correlaciona tarefas e arquivos com outros recursos.

• Fornece a base comum para receitas de detecção.

jbconfig & pause

• Fornece informações extras do processo em eventos de detecção, tais como:

  • Distribuição / Flavor (incluindo containers).

  • Nome e versão do pacote (do triggerer).

  • Nomes e versões dos pacotes dos arquivos (binário, bibliotecas).

  • e mais.

atenuador

• Bloqueia ou corrige detecções de falsos positivos usando IA.

stdout

Imprime eventos na saída padrão.

varlog

Registra saída em /var/log/jibril.log.

dropip

Alerta quando fluxos de rede são descartados por políticas existentes devido a restrições de CIDR ou nomes de domínio

dropdomain

Alerta quando resoluções de domínio são descartadas por políticas existentes devido a restrições de nomes de domínio

fluxo

Um evento por fluxo de rede existente (todos os fluxos)

capabilities_modification

Detecta mudanças nas capabilities de arquivos

code_modification_through_procfs

Detecta modificações de código via /proc

core_pattern_access

Monitora acesso às configurações de core_pattern

cpu_fingerprint

Identifica impressões digitais únicas da CPU para detecção de anomalias

credentials_files_access

Rastreia acesso a arquivos de credenciais

filesystem_fingerprint

Detecta mudanças nas assinaturas do sistema de arquivos

java_debug_lib_load

Monitora carregamento de bibliotecas de depuração Java

java_instrument_lib_load

Rastreia carregamento de bibliotecas de instrumentação Java

machine_fingerprint

Identifica impressões digitais únicas da máquina

os_fingerprint

Detecta mudanças nas assinaturas do SO

os_network_fingerprint

Monitora impressões digitais relacionadas à rede do SO

os_status_fingerprint

Rastreia mudanças no status do SO

package_repo_config_modification

Detecta modificações nas configurações do repositório de pacotes

pam_config_modification

Monitora mudanças nas configurações do PAM

sched_debug_access

Detecta acesso às interfaces de debug do scheduler

shell_config_modification

Rastreia mudanças nas configurações do shell

ssl_certificate_access

Monitora acesso a certificados SSL

sudoers_modification

Detecta mudanças nos arquivos sudoers

sysrq_access

Rastreia acesso às funcionalidades sysrq

unprivileged_bpf_config_access

Detecta acesso às configurações BPF sem privilégios

global_shlib_modification

Monitora modificações em bibliotecas compartilhadas globais

environ_read_from_procfs

Detecta leitura de variáveis de ambiente a partir do procfs

binary_self_deletion

Detecta autoexclusão de executáveis

crypto_miner_files

Detecta acesso a arquivos relacionados a mineração de cripto

auth_logs_tamper

Detecta adulteração de arquivos de logs de autenticação

binary_executed_by_loader

Detecta binários executados via o loader ELF

code_on_the_fly

Monitora execução dinâmica de código

credentials_text_lookup

Detecta processos que escaneiam memória em busca de textos relacionados a credenciais

denial_of_service_tools

Detecta uso de ferramentas de negação de serviço

exec_from_unusual_dir

Rastreia execuções a partir de diretórios não padrão

file_attribute_change

Detecta mudanças em atributos de arquivos

hidden_elf_exec

Identifica execuções ELF ocultas

interpreter_shell_spawn

Monitora o surgimento de shells interpretadores

net_filecopy_tool_exec

Detecta execução de ferramentas de cópia de arquivos pela rede

net_mitm_tool_exec

Identifica execuções de ferramentas de man-in-the-middle na rede

net_scan_tool_exec

Detecta execuções de ferramentas de varredura de rede

net_sniff_tool_exec

Monitora o uso de ferramentas de sniffing de rede

net_suspicious_tool_exec

Detecta execuções suspeitas de ferramentas de rede

net_suspicious_tool_shell

Identifica shells de ferramentas suspeitas em contextos de rede

passwd_usage

Rastreia o uso do comando passwd

runc_suspicious_exec

Detecta execuções suspeitas relacionadas ao runc

webserver_exec

Detecta inicialização de daemons de servidor web

webserver_shell_exec

Detecta shell gerado pelo servidor web

crypto_miner_execution

Detecta execução de mineradores de cripto

adult_domain_access

Detecta acesso a domínios de conteúdo adulto

algorithmic_domains

Detects access to domain names likely generated by algorithms

badware_domain_access

Detecta acesso a domínios conhecidos por malware ou suspeitos

cloud_metadata_access

Detecta acesso a serviços de metadados em nuvem

dyndns_domain_access

Detecta acesso a serviços de DNS dinâmico

fake_domain_access

Detecta acesso a domínios falsos ou forjados

gambling_domain_access

Detecta acesso a domínios relacionados a jogos de azar

general_new_domains

Detects access to recently registered domains

phishing_domains

Detects access to domains related to phishing

piracy_domain_access

Detecta acesso a domínios relacionados à pirataria

plaintext_communication

Detects unencrypted network communications

threat_domain_access

Detects access to known threat domains

tracking_domain_access

Detects access to tracking and analytics domains

vpnlike_domain_access

Detects access to VPN-like service domains