You are viewing documentation for Falco version: v0.30.0

Falco v0.30.0 documentation is no longer actively maintained. The version you are currently viewing is a static snapshot. For up-to-date documentation, see the latest version.

はじめに

Falcoの使用を開始する

ローカルマシン、クラウド、管理されたKubernetesクラスター、またはIoT & Edge computing上で動作するK3sなどのKubernetesクラスターにFalcoをデプロイすることができます。

Falcoのアーキテクチャ

Falcoは、Linuxシステムコールを行うことを含むあらゆる動作を検出し、アラートを出すことができます。Falcoのアラートは、特定のシステムコール、引数、および呼び出しプロセスのプロパティに基づいてトリガされます。Falcoはユーザスペースとカーネルスペースで動作します。システムコールは、Falcoカーネルモジュールによって解釈されます。システムコールは、ユーザスペースのライブラリを使って解析されます。次に、イベントは、Falcoルールが設定されたルールエンジンを使用してフィルタリングされます。疑わしいイベントは、その後、Syslog、ファイル、標準出力などとして設定された出力にアラートされます。

Falco Architecture

デプロイメント

現在、以下の方法でFalcoをデプロイすることができます:

  • Linuxホスト上でFalcoをダウンロードして実行するか、コンテナ上でFalcoユーザスペースプログラムを実行し、基盤となるホストにドライバをインストールします。
  • ソースからビルドし、Linuxホストまたはコンテナ上でFalcoを実行します。

ダウンロード

公式にサポートされているFalcoアーティファクト

インストール

LinuxシステムでのFalcoのセットアップ

実行する

Falcoの運用と管理

サードパーティ統合

Falcoコア上に構築されたコミュニティ主導の統合

Falcoをソースからビルドする