Guard 代理支援 10 種監控類型,分為兩個層級。內建監控器可在所有平台上使用,無需任何依賴。進階監控器需要特定的作業系統版本或外部工具,但提供更深入的可見性。
所有監控器發出標準化的 SecurityEvent 物件,供 DARE 管線使用。
內建監控器
這 4 個監控器隨 @panguard-ai/core 提供,可在 macOS、Linux 和 Windows 上開箱即用。
Log 監控器
| 欄位 | 詳細資訊 |
|---|
| 原始碼 | core/monitors |
| 平台 | Linux、macOS、Windows |
| 資料來源 | syslog(/var/log/syslog、/var/log/auth.log)、Windows Event Log、應用程式日誌檔 |
| 功能 | 讀取並標準化日誌條目為 SecurityEvent 格式。支援即時尾隨監控。 |
Network 監控器
| 欄位 | 詳細資訊 |
|---|
| 原始碼 | core/monitors |
| 平台 | Linux、macOS、Windows |
| 資料來源 | /proc/net/tcp(Linux)、netstat(跨平台) |
| 功能 | 監控活躍的網路連線。偵測新連線、異常埠、連往已知惡意 IP 的流量,以及異常的連線模式。 |
Process 監控器
| 欄位 | 詳細資訊 |
|---|
| 原始碼 | core/monitors |
| 平台 | Linux、macOS、Windows |
| 資料來源 | /proc 檔案系統(Linux)、OS APIs(macOS/Windows) |
| 功能 | 掃描執行中的處理程序。偵測新的/不尋常的處理程序衍生、可疑的命令列,以及權限變更。 |
File 監控器
| 欄位 | 詳細資訊 |
|---|
| 原始碼 | core/monitors |
| 平台 | Linux、macOS、Windows |
| 資料來源 | inotify(Linux)、FSEvents(macOS)、ReadDirectoryChangesW(Windows) |
| 功能 | 監控關鍵檔案系統路徑的修改。追蹤檔案建立、修改、刪除和權限變更。 |
進階監控器
這 6 個監控器隨 @panguard-ai/panguard-guard 提供,提供核心層級或專業化的可見性。所有監控器在依賴未安裝時會優雅降級。
Falco 監控器
| 欄位 | 詳細資訊 |
|---|
| 原始碼 | falco-monitor.ts |
| 依賴 | Falco >= 0.35 |
| 資料來源 | /var/log/falco/alerts.json |
| 功能 | 讀取 Falco 警報以偵測容器逃逸、權限提升、異常系統呼叫和命名空間突破。 |
| 事件類型 | 容器安全、系統呼叫異常、權限變更 |
Suricata 監控器
| 欄位 | 詳細資訊 |
|---|
| 原始碼 | suricata-monitor.ts |
| 依賴 | Suricata >= 7.0 |
| 資料來源 | /var/log/suricata/eve.json(EVE JSON 格式) |
| 功能 | 具備協定感知深度封包分析的網路 IDS。偵測已知的攻擊模式、惡意軟體通訊和策略違規。 |
| 事件類型 | 網路入侵、協定異常、惡意軟體特徵 |
Syscall 監控器(eBPF)
| 欄位 | 詳細資訊 |
|---|
| 原始碼 | syscall-monitor.ts |
| 依賴 | Linux Kernel 4.18+ |
| 資料來源 | /proc 輪詢處理程序和網路活動 |
| 功能 | 在系統呼叫層級偵測可疑處理程序、權限提升嘗試和 C2(命令與控制)連線。 |
| 事件類型 | 處理程序建立、權限變更、網路系統呼叫 |
Memory 掃描器
| 欄位 | 詳細資訊 |
|---|
| 原始碼 | memory-scanner.ts |
| 依賴 | CAP_SYS_PTRACE 能力 |
| 功能 | 掃描處理程序記憶體區域以尋找無檔案惡意軟體特徵、注入的程式碼和可疑的記憶體模式。偵測從未接觸檔案系統的威脅。 |
| 事件類型 | 記憶體注入、無檔案惡意軟體、處理程序空殼化 |
DPI 監控器(深度封包檢測)
| 欄位 | 詳細資訊 |
|---|
| 原始碼 | dpi-monitor.ts |
| 依賴 | 無(使用者空間實作) |
| 功能 | 協定層級流量分析。偵測 C2 信標、DNS 隧道、加密流量異常和協定誤用,無需硬體加速。 |
| 事件類型 | C2 通訊、DNS 隧道、協定異常 |
Rootkit 偵測器
| 欄位 | 詳細資訊 |
|---|
| 原始碼 | rootkit-detector.ts |
| 依賴 | Linux |
| 功能 | 檢查隱藏的處理程序(比較 /proc 與 ps 輸出)、隱藏的核心模組、被修改的系統二進位檔(校驗和驗證)和 LD_PRELOAD 注入。 |
| 事件類型 | 隱藏處理程序、核心模組篡改、二進位檔修改 |
監控器架構
SecurityEvent
^
|
┌──────────┬──────────┬──────────┬──────────┐
| Log | Network | Process | File | 內建
└──────────┴──────────┴──────────┴──────────┘
┌──────────┬──────────┬──────────┐
| Falco | Suricata | eBPF | 進階
├──────────┼──────────┼──────────┤
| Memory | DPI | Rootkit |
└──────────┴──────────┴──────────┘
MonitorEngine,後者將它們轉發至 GuardEngine 進行 DARE 管線處理。
進階監控器是可選的。Guard 僅使用內建監控器也能完全運作。當您需要核心層級的可見性或已安裝所需的依賴時,再啟用進階監控器。
