Falco首頁、文檔和下載- Kubernetes 威脅檢測引擎- 科技資訊

Falco 項目最初由Sysdig 創建，是一個正在孵化的CNCF 開源雲原生運行時安全工具。 Falco 使得consume kernel events 變得更加容易，並使用來自Kubernetes 和其他雲原生堆棧的信息豐富這些事件。

Falco 還可以通過使用插件擴展到其他數據源。 Falco 擁有一套豐富的安全規則，專門為Kubernetes、Linux 和雲原生構建。如果系統中違反了規則，Falco 將發送警報，通知用戶違規及其嚴重性。

Falco 可以檢測並警告涉及進行Linux 系統調用的任何行為。 Falco 警報可以通過使用特定係統調用、它們的參數以及調用進程的屬性來觸發。例如，Falco 可以輕鬆檢測事件，包括但不限於：

• shell 在Kubernetes 的容器或pod 中運行。
• 容器以特權模式運行，或者正在掛載來自主機的敏感路徑，例如/proc。
• 服務器進程正在生成意外類型的子進程。
• 意外讀取敏感档案，例如/etc/shadow.
• 將非設備档案寫入/dev.
• 標準系統二進製档案（例如ls）正在建立outbound 網絡連接。
• 特權pod 在Kubernetes 集群中啟動。