Tracee使用 eBPF 的运行时安全和取证工具

Tracee 使用 eBPF 技术来检测和过滤操作系统事件，帮助你揭示安全洞察、检测可疑行为并捕获取证指标。

Tracee 是用于基于 Linux 的云部署的运行时安全和取证工具。它使用 eBPF 在运行时跟踪主机操作系统和应用程序，并分析收集到的事件以检测可疑的行为模式。它可以在你的 kubernetes 环境中作为守护程序集运行，但可以灵活地在任何基于 Linux 的主机上出于多种目的运行。它可以通过 Helm 作为 docker 容器或作为一小组静态二进制文件交付。

Tracee 的目标是作为一种易于使用且有效的解决方案，用于在你的环境中发生云原生攻击时进行学习。通过利用 Aqua 的高级安全研究、基于高性能 eBPF 的检测和云原生优先方法，Tracee 使运行时检测变得易于访问、强大且有效。

Tracee 旨在监控 kubernetes 集群中的主机。

Tracee 由以下子项目组成，这些子项目托管在 aquasecurity/tracee 存储库中：

• Tracee-eBPF - 使用 eBPF 的 Linux 跟踪和取证
• Tracee-Rules - 运行时安全检测引擎