WELCOME

Elkeid®: Elkeid 是一款可以满足主机,容器与容器集群,Serverless 等多种工作负载安全需求的开源解决方案,源于字节跳动内部最佳实践。

源码仓库: github.com/bytedance/Elkeid

Elkeid®-HUB: 通用的规则/事件处理引擎,支持流式/离线数据处理,初衷是通过标准化的抽象语法/规则来解决复杂的数据/事件处理与外部系统联动需求。

社区版下载地址:github.com/bytedance/Elkeid-HUB

Elkeid Architecture

arch

Introduction

Elkeid 具备以下主要能力:

  • Elkeid 不仅具备传统的 HIDS(Host Intrusion Detection System) 的对于主机层入侵检测和恶意文件识别的能力,且对容器内的恶意行为也可以很好的识别,部署在宿主机即可以满足宿主机与其上容器内的反入侵安全需求,并且 Elkeid 底层强大的内核态数据采集能力可以满足大部分安全运营人员对于主机层数据的渴望。

  • 对于运行的业务 Elkeid 具备 RASP 能力可以注入到业务进程内进行反入侵保护,不仅运维人员不需要再安装一个 Agent,业务也无需重启。

  • 对于 K8s 本身 Elkeid 支持接入K8s Audit LogK8s 系统进行入侵检测和风险识别。

  • Elkeid 的规则引擎 Elkeid HUB 也可以很好的和外部多系统进行联动对接。

Ekeid 将这些能力都很好的融合在一个平台内,满足不同工作负载的复杂安全需求的同时,还能实现多组件能力关联,更难得的是每个组件均经过字节跳动海量数据和多年的实战检验。

Elkeid Community Edition Description

需要注意的是 Elkeid 开源版本 和完整版本存在差异,目前已开源的能力主要包括:

  • 全部端上能力,即端上数据/资产/部分采集能力,内核态数据采集能力,RASP 探针部分等,并与字节跳动内部版本一致;
  • 全部接入层能力,即 Agent Center,服务发现等,并与字节跳动内部版本一致;
  • 提供社区版规则引擎即 Elkeid HUB,并配套少量策略作为示例使用;
  • 提供社区版 Elkeid Console 与部分配套能力。

因此需要具备完整的反入侵与风险感知能力,还需要自行基于 Elkeid HUB 进行策略构建和对 Elkeid 采集的数据进行二次加工等工作。

从这里开始

联系我们

lark

  • 邮箱: elkeid#bytedance.com

协议

  • Elkeid Driver: GPLv2
  • Elkeid RASP: Apache-2.0
  • Elkeid Agent: Apache-2.0
  • Elkeid Server: Apache-2.0
  • Elkeid Console: Elkeid LICENSE