Linux向けシステムアクティビティー監視ツール「Kunai」が登場 SysmonForLinuxの代替に：セキュリティニュースアラート

SysmonForLinuxの代替となるシステムアクティビティーを監視するツール「Kunai」が公開された。Linuxに特化して設計されており、より高度なシステム監視を実現できるという。

[後藤大地，有限会社オングス]

　SANS Technology Institute, Internet Storm Center（ISC）は2024年7月8日（現地時間）、「Linux」ホストのシステムアクティビティーを監視する新たなツール「Kunai」の紹介した。このツールはCIRCL（ルクセンブルクCERT）のクエンティン・ジェローム氏によって「SysmonForLinux」の代替を目的に開発されている。

Linux特化のシステムアクティビティーを監視するツール「Kunai」が登場

　SysmonForLinuxはMicrosoftの開発者向けツール集「Windows Sysinternals」の一部であるシステム監視ツール「Sysmon」をLinuxに移植したものだ。プロセスやネットワーク接続、ファイルのアクセスなどのアクティビティーログを記録して分析できる。SysmonはWindowsの可視性を高められることから多くの組織で採用されてきたが、SysmonForLinuxはコア開発者の離脱や開発の遅れなどが生じていた。

　Kunaiはシステムアクティビティーをログに記録することを目的に開発されているツールで、より「Linux指向」で設計されている。2023年にhack.luではじめて発表されており、幾つかのLinuxホストでテストおよびデプロイされるまで成熟しているといわれている。

　Kunaiはプログラミング言語「Rust」で開発されており、拡張バークレイパケットフィルター（eBPF）と呼ばれるカーネル拡張機能を利用することでシステムコールやトレースポイント、ネットワークイベントなどのカーネル内のさまざまなフックに接続して特定のイベントや条件に応じて実行できる。

　Kunaiの主な機能は以下の通りだ。

• 単一の実行可能ファイル（デプロイが非常に簡単）
• イベントには大量のデータが蓄積される
• コンテナ、名前空間のサポート
• ノイズを減らすフィルタリング
• IOCリストに基づくハンティング
• イベントをログに記録するためのJSON出力

　Kunaiは開発が始まったばかりであり、まだ改善の余地があるとされている。自動ログ管理やsystemdとの統合など幾つかの機能が追加されることが期待されている。