はじめに
Falcoの使用を開始する
Falcoプロジェクトは、元々Sysdig, Incによって構築されたオープンソースのランタイムセキュリティツールです。FalcoはCNCFに寄贈され、現在はCNCFのインキュベーションプロジェクトとなっています。
Falcoは実行時にカーネルからのLinuxシステムコールを解析し、強力なルールエンジンに対してストリームをアサートします。 ルールに違反した場合は、Falcoのアラートが発せられます。Falco rulesについてもっと読む
デフォルトでは、Falco には成熟したルールのセットが同梱されています。
setns
のようなツールを使ったネームスペースの変更/etc
, /usr/bin
, /usr/sbin
などのよく知られたディレクトリへの読み込み/書き込みexecve
を使ってプロセスをSpawnしたsh
, bash
, csh
, zsh
などのシェルバイナリの実行ssh
, scp
, sftp
などを実行するcoreutils
実行ファイルを変異させるshadowutil
や passwd
の実行ファイルを変異させるshadowconfig
pwck
chpasswd
getpasswd
change
useradd
...などなど。
これらは、Falcoがアサートする項目です。これらは、Falcoの設定で定義されており、システム上で探しているものを表しています。
Falcoルールの作成、管理、デプロイの詳細については、ルールのセクションを参照してください。
これらは設定可能なダウンストリームアクションで、STDOUT
へのロギングのような単純なものから、クライアントへのgRPCコールの配信のような複雑なものまであります。
Falcoアラートの設定、理解、開発の詳細については、alertsのセクションを参照してください。
Falcoは3つの主要コンポーネントで構成されています。
これはCLIツール falco
です。これはユーザが対話するプログラムです。ユーザスペースプログラムは、シグナルの処理、Falcoドライバからの情報の解析、およびアラートを担当します。
Falcoのドライバー仕様に準拠し、システムコール情報をストリーム送信することができるソフトウェアです。
ドライバーがインストールされていないと、Falcoは動作しません。
現在、Falcoプロジェクトは以下のドライバをサポートしています。
libscap
および libsinsp
上に構築されたカーネルモジュールドライバーの詳細はこちらをご覧くださいこちら。
これは、Falcoがどのように実行されるか、どのようなルールをアサートするか、アラートをどのように実行するかを定義します。Falcoを設定する方法の詳細については、設定のセクションを参照してください。
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.