Falco
Security-as-Code
Wykrywanie zagrożeń w runtime (Kubernetes/Linux) wg reguł.
Falco to silnik wykrywania zagrożeń w czasie działania. Obserwuje wywołania systemowe jądra (i zdarzenia Kubernetes) i w czasie rzeczywistym alarmuje o podejrzanych zachowaniach — uruchomieniu powłoki w kontenerze, zapisie do wrażliwych ścieżek, nietypowych połączeniach sieciowych. Reguły opisujesz deklaratywnie w YAML, więc polityka detekcji jest wersjonowana i recenzowana jak kod.
Kiedy używać
- Potrzebujesz wykrywania zagrożeń w runtime, nie tylko skanów statycznych.
- Działasz na Kubernetes/Linux i chcesz alertów o anomaliach zachowania.
- Chcesz reguł detekcji utrzymywanych „as-code”.
Przykład użycia
# reguła: powłoka uruchomiona w kontenerze
- rule: Terminal shell in container
desc: Wykryto powłokę interaktywną w kontenerze
condition: spawned_process and container and shell_procs
output: "Powłoka w kontenerze (proc=%proc.name pod=%k8s.pod.name)"
priority: WARNING
falco -r custom-rules.yaml
Warto wiedzieć
- Projekt CNCF; uzupełnia skany statyczne (Trivy) o warstwę runtime.
- Alerty kierujesz do SIEM/alertingu przez Falcosidekick.