Kunai: Open-source threat hunting tool for Linux
2025/02/19 HelpNetSecurity — Kunai が、他と一線を画しているのは、単純なイベント生成にとどまらない能力である。ほとんどのセキュリティ監視ツールは、システムコールやカーネル関数のフックに依存しているが、Kunai はホスト上のイベントを相関させて分析情報を提供するという、より高度なアプローチを採用している。つまり、イベントの数は少なくなるが、意味のあるイベントが増え、ノイズやログ取り込みの負担が軽減される。それと同時に、システム・アクティビティに対する、より詳細な可視性が実現する。Kunai の開発者である Quentin Jerome は、このように Help Net Security に語っている。
主な機能
前述のとおり、Kunai は高度なイベント処理および監視機能により、他と一線を画している。主な強みは以下のとおりである:
- 時系列で順序付けられたイベント:他の多くの監視ツールとは異なり、イベントが発生した順序で、正確に処理/配信が行われるようにしている。それにより、不整合を防ぎ、フォレンジックの精度を向上させる。
- ホスト上の相関:このツールには、エンリッチメントおよび相関メカニズムが組み込まれているため、システム全体で発生するイベントのコンテキストを、セキュリティ・チームは取得できる。
- コンテナ対応のモニタリング:Linux 名前空間とコンテナ・テクノロジーをサポートしているため、コンテナ・アクティビティの追跡が可能になっている。この機能は、現代のクラウド・ネイティブ環境にとって重要なものとなる。
Quentin Jerome は、「Kunai は相関関係をコアとして設計されているため、プロセス・アクティビティ全体を、単一のイベントから簡単に追跡できる。その目的である、マルウェア検出/脅威ハンティング/DFIR ユースケース向けに構築されており、オープンな検出ルール・エンジンにより、カスタムな検出シナリオの作成にも対応している。さらに、他の OSS ツールとのシームレスな統合や、ファイル・スキャン用の YARA ルールのサポート、MISP 接続によるリアルタイム IoC スキャンにも対応しているため、セキュリティ・チームに必要な柔軟性とパワーが確保される」と説明している。
Kunai の仕組み
このツールは eBPF (Extended Berkeley Packet Filter) テクノロジーを活用し、カーネル・レベル・プローブで精査し、重要なセキュリティ・イベントをリアルタイムで収集/分析する。収集された情報の並替/強化/相関を行うユーザー・プログラムへと、これらのプローブからデータが供給される。
このツールの実装の特徴は、Rust/Aya ライブラリに依存している点にある。このアーキテクチャにより、eBPF プローブとユーザーランド処理ロジックが埋め込まれた、自己完結型のスタンドアロン・バイナリが確保され、既存のセキュリティ・ワークフローへの展開と統合が簡素化される。
今後の計画とダウンロード
Quentin Jerome は、「Kunai では、次のステップが積極的に計画され、いくつかの重要な改善が予定されている。現時点で検討しているのは、検出ルール・デプロイメントの合理化/IoC の管理/ログの効率的な処理に加えて、ログ・ストレージ・バックエンドと統合できるセンタライズされたサーバである。また、優先事項としては、eBPF コードと最新 Linux カーネルとの同期があり、継続的な安定性とパフォーマンスを確保していく。また、マルウェア検出を強化するための、新しいイベント・タイプを研究し、脅威の可視性を強化するために、コミュニティ主導の検出ルールの拡張も検討している」と結論付けている。
Kunai は、GitHub から無料で入手できる。
Kunai を開発/展開するチームは、検出ルールだけではなく、プロジェクト全体を、コミュニティ主導にしたいと考えている。フィードバック/問題提起/機能リクエストは大歓迎とのことだ。
Linux 環境向けのオープンソース脅威ハンティング・ツールである、Kunai が登場しました。eBPF (Extended Berkeley Packet Filter) 技術を活用して、リアルタイムのイベント監視と分析を行うツールとのことです。Kunai に関する詳細な情報は、公式ページでも確認できます。よろしければ、カテゴリ SecTools と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.