Falco 中文文档
关于 Falco
Falco 是一款旨在检测应用中反常活动的行为监视器,由Sysdig的系统调用捕获基础设施驱动。您仅需为 Falco 撰写一套规则,即可在一处持续监测并监控容器、应用、主机及网络的异常活动。
Falco 可检测哪些行为?
Falco 可以监测调用 Linux 系统调用的行为,并根据其不同的调用、参数及调用进程的属性发出警告。例如,Falco 可轻松检测:
- 容器内运行的 Shell
- 服务器进程产生意外类型的子进程
- 敏感文件读取(如
/etc/shadow
) - 非设备文件写入至
/dev
- 系统的标准二进制文件(如
ls
)产生出站流量
与其他工具的对比
我们常常会被问到 Falco 与 SELinux、AppArmor、Auditd 或其他 Linux 安全策略工具有何不同。为此,我们在 Sysdig 博客上撰写了一篇博文,并详细对比了多款工具。
如何使用 Falco
Falco 应作为守护程序部署。您可将其作为一款 deb/rpm 软件包安装在主机或容器宿主上,亦或可以作为容器部署。当然,您也可以下载源代码并自己动手编译安装。
您可通过规则文件或通用配置文件定义 Falco 应监视的行为及事件。我们提供了一份示例规则文件 ./rules/falco_rules.yaml
,您可随意修改规则来适配您的工作环境。
当您撰写规则时,Falco 可读取由 Sysdig 产生的回溯文件。这一特性可让您在调整规则时“录制”有害行为,并无限次数地回放。
部署后,Falco 将利用 Sysdig 内核模块及用户空间函数库来监控规则文件定义中的任意事件。若异常事件发生,Falco 会将通知信息写入您所配置的输出中。
Falco 行为报警
当 Falco 检测到可疑行为时,报警信息可通过下列渠道输出:
- 写入标准错误
- 写入文件
- 写入系统日志
- 管道至特定程序(如发送电子邮件)
安装Falco
在Linux系统和各种容器平台上运行
Getting Started
Getting started with Falco
Install and Operate
Installing and Operationalizing Falco
Falco Rules
Write and customize Falco Rules to secure your environment
Falco Outputs
Work with Falco Outputs and send Falco Alerts in your desired platform
Falco Plugins
Extend Falco functionality using Plugins for Falco libraries/Falco daemon
Event Sources
Leverage multiple Event Sources to increase the power of Falco
gRPC API
Enable and configure the gRPC capabilities of Falco
Tutorials
Learn Falco with How-To guides and tutorials
Reference
Quick access to Falco customization options, default rules, supported fields and much more
Contribute
Find out how to contribute to the Falco Project
Available Documentation Versions
Archived versions of Falco Documentation
Was this page helpful?
Let us know! You feedback will help us to improve the content and to stay in touch with our users.
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.