Kernel-level filtering 기반 PID 트리 추적으로 분석 노이즈 제거

Why I built procscope instead of just using Tracee or Falco

Mutasem Kharma2026년 4월 17일2분intermediate

AI 요약

Context

Falco, Tracee 등 기존 eBPF 기반 보안 도구의 과도한 DaemonSet 배포 및 복잡한 YAML 정책 설정으로 인한 오버헤드 발생. 전역 모니터링 방식에 따른 방대한 JSON 로그 생성으로 실시간 침해 사고 대응 시 Signal-to-Noise Ratio 저하 문제 직면.

Technical Solution

ptrace 기반 strace의 탐지 가능성을 회피하기 위한 eBPF kprobes 및 tracepoints 도입
전체 호스트 모니터링 대신 특정 PID 트리만 평가하는 Kernel-level filtering 설계
별도의 에이전트나 정책 설정 없이 실행 파일에 직접 바인딩하는 Tactical Sniper 구조 채택
정적 컴파일된 단일 바이너리 형태로 배포 복잡성을 제거한 Zero-dependency 아키텍처 구현
네트워크 연결, 파일 I/O, Privilege Escalation 이벤트를 실시간 타임라인으로 시각화하는 추적 로직 적용

실천 포인트

- 분석 대상의 범위(Blast Radius)를 좁혀 Kernel-level에서 1차 필터링을 수행하는지 검토 - EDR 도입 전, 침해 사고 대응 단계에서 가벼운 단일 바이너리 추적 도구의 활용 가능성 확인 - ptrace 기반 도구의 탐지 가능성을 고려하여 eBPF 기반의 비침습적 모니터링 기법 적용

태그

#kprobes #Incident Response #eBPF #Kernel-level Filtering #Observability

원문 읽기