← Katalog
E I A C

Falco

Security-as-Code

Wykrywanie zagrożeń w runtime (Kubernetes/Linux) wg reguł.

★ 7600 Apache-2.0 #security#runtime#kubernetes#cncf

Falco to silnik wykrywania zagrożeń w czasie działania. Obserwuje wywołania systemowe jądra (i zdarzenia Kubernetes) i w czasie rzeczywistym alarmuje o podejrzanych zachowaniach — uruchomieniu powłoki w kontenerze, zapisie do wrażliwych ścieżek, nietypowych połączeniach sieciowych. Reguły opisujesz deklaratywnie w YAML, więc polityka detekcji jest wersjonowana i recenzowana jak kod.

Kiedy używać

  • Potrzebujesz wykrywania zagrożeń w runtime, nie tylko skanów statycznych.
  • Działasz na Kubernetes/Linux i chcesz alertów o anomaliach zachowania.
  • Chcesz reguł detekcji utrzymywanych „as-code”.

Przykład użycia

# reguła: powłoka uruchomiona w kontenerze
- rule: Terminal shell in container
  desc: Wykryto powłokę interaktywną w kontenerze
  condition: spawned_process and container and shell_procs
  output: "Powłoka w kontenerze (proc=%proc.name pod=%k8s.pod.name)"
  priority: WARNING
falco -r custom-rules.yaml

Warto wiedzieć

  • Projekt CNCF; uzupełnia skany statyczne (Trivy) o warstwę runtime.
  • Alerty kierujesz do SIEM/alertingu przez Falcosidekick.