Runtime-Radar/runtime-radar
GitHub: Runtime-Radar/runtime-radar
Runtime-Radar 是一个开源容器运行时安全监控工具,用于实时检测和响应安全威胁。
Stars: 145 | Forks: 18
# 运行时监控
## 关于运行时监控
运行时监控是一个开源解决方案,用于监控容器化环境中的运行时安全事件并响应安全事件。
## 运行时监控的优势
运行时级别的威胁实时出现。例如,容器突然启动挖矿程序,进程获得过高权限,或者 Pod 接收到意外的网络流量。并非所有公司都能在修复所有问题前停止使用存在漏洞的服务。此外,大量未使用服务的遗留容器增加了基础设施监控的复杂性。大多数运行时级别的保护方案价格昂贵且复杂。运行时监控是一个开源解决方案,提供易于获取的保护和用户友好的管理工具。
## 运行时监控功能
运行时监控提供以下功能:
* 灵活的运行时事件监控配置。您可以通过 Web 界面管理监控事件的来源和过滤器,以调节系统负载。
* 集中管理。通过支持多集群安装,您可以使用 Web 界面中的单一管理点管理基础设施中的所有现有容器。
* 基础设施集成。支持 syslog、SMTP 和 webhook,您可以将运行时监控与基础设施中的其他信息安全系统集成。您可以使用这些协议和 webhook 机制发送事件通知。此外,您可以使用 Go 模板引擎配置电子邮件模板。
* 灵活的规则。您可以使用 Go 开发检测器(签名)以发现异常,并通过提供的 SDK 上传它们。
* Web 界面中的事件调查。对于事件分析,您可以使用产品 Web 界面中提供的工具:多种事件过滤选项、查看进程上下文、使用图标可视化运行时事件类型、在单独的事件页面上创建响应规则,并已预先填写部分设置。
## 运行时监控架构
运行时监控是一个基于微服务的解决方案。
有关运行时监控组件的详细信息,请访问 [运行时监控 (RR) Helm Chart](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/install/helm/README.md) 页面。
## 开始使用
有关运行时监控安装的详细信息,请访问 [运行时监控 (RR) Helm Chart](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/install/helm/README.md) 页面。
有关如何快速安装产品的说明,请访问 [快速开始](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/docs/quickstart/quickstart.md) 页面。
您可以在 [使用场景](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/docs/guides/usecases/usecases.md) 页面找到标准使用案例。
有关如何使用产品的说明,请访问 [帮助](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/docs/guides/help/help.md) 页面。
## 路线图
### 图例
- 🟢 **计划中 / 进行中** – 正在积极开发或确定即将实施。
- 🟡 **考虑中** – 高优先级,但仍在探索最佳方案。
- 🔵 **未来 / 构思** – 有趣的概念,但尚未排期。
### v0.2.0
- [x] 🟢 优化威胁检测逻辑 (PR #13)。
- [ ] 🟢 支持专家模式,允许添加自定义源 (`TracingPolicy`) 以及修改/删除现有源。
- [ ] 🟢 指标与仪表板,增强可观测性。
### v0.3.0
- [ ] 🟢 响应增强:增加在规则触发时强制删除 Pod 的功能。
- [ ] 🟢 支持资产清单,允许您可视化监控集群工作负载的状态及其安全性。
### v0.4.0
- [ ] 🟡 支持 Docker 工作负载。
### v0.5.0
- [ ] 🟡 多集群增强:增加为多个集群创建统一规则和通知模板的功能;增加同时查看多个集群事件的功能。
### v0.6.0
- [ ] 🔵 优化事件处理以提高吞吐量。
- [ ] 🟡 处理内核事件的组件自动扩展(runtime-monitor, event-processor, policy-enforcer, history-api)。
### 发布节奏
版本在准备好后发布。我们的团队不提供确切日期的保证。
### 想影响路线图?
- 在问题上通过 👍 投票。
- 提交 PR。
- 在讨论中分享您的使用案例。
## 如何贡献
开始之前,请阅读 [贡献指南](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/CONTRIBUTING.md)。
有关运行时监控组件的详细信息,请访问 [运行时监控 (RR) Helm Chart](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/install/helm/README.md) 页面。
## 开始使用
有关运行时监控安装的详细信息,请访问 [运行时监控 (RR) Helm Chart](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/install/helm/README.md) 页面。
有关如何快速安装产品的说明,请访问 [快速开始](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/docs/quickstart/quickstart.md) 页面。
您可以在 [使用场景](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/docs/guides/usecases/usecases.md) 页面找到标准使用案例。
有关如何使用产品的说明,请访问 [帮助](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/docs/guides/help/help.md) 页面。
## 路线图
### 图例
- 🟢 **计划中 / 进行中** – 正在积极开发或确定即将实施。
- 🟡 **考虑中** – 高优先级,但仍在探索最佳方案。
- 🔵 **未来 / 构思** – 有趣的概念,但尚未排期。
### v0.2.0
- [x] 🟢 优化威胁检测逻辑 (PR #13)。
- [ ] 🟢 支持专家模式,允许添加自定义源 (`TracingPolicy`) 以及修改/删除现有源。
- [ ] 🟢 指标与仪表板,增强可观测性。
### v0.3.0
- [ ] 🟢 响应增强:增加在规则触发时强制删除 Pod 的功能。
- [ ] 🟢 支持资产清单,允许您可视化监控集群工作负载的状态及其安全性。
### v0.4.0
- [ ] 🟡 支持 Docker 工作负载。
### v0.5.0
- [ ] 🟡 多集群增强:增加为多个集群创建统一规则和通知模板的功能;增加同时查看多个集群事件的功能。
### v0.6.0
- [ ] 🔵 优化事件处理以提高吞吐量。
- [ ] 🟡 处理内核事件的组件自动扩展(runtime-monitor, event-processor, policy-enforcer, history-api)。
### 发布节奏
版本在准备好后发布。我们的团队不提供确切日期的保证。
### 想影响路线图?
- 在问题上通过 👍 投票。
- 提交 PR。
- 在讨论中分享您的使用案例。
## 如何贡献
开始之前,请阅读 [贡献指南](https://github.com/Runtime-Radar/Runtime-Radar/blob/main/CONTRIBUTING.md)。标签:AMSI绕过, EVTX分析, Go 语言, Mutation, SMTP 集成, Syslog 集成, Webhook 集成, Web截图, Web 界面, 事件监控, 事件调查, 事件过滤, 二进制发布, 可视化, 响应规则, 基础设施监控, 多集群管理, 威胁检测, 子域名突变, 安全事件, 容器化环境, 容器安全, 开源工具, 异常检测, 日志审计, 规则开发, 请求拦截, 集中管理