Описание тега falco
Falco - это механизм обнаружения аномалий для облачных сред
0
ответов
Loop вылетает с Falco
В настоящее время я экспериментирую с Falco (решение для мониторинга времени выполнения для контейнера). Я работаю локально на Mac (Catalina v10.15.3), у меня установлен Helm (v3.1.2), работает Docker (версия 2.2.0.5 (43884)) и K8s (v1.15.5). Я пыта…
02 апр '20 в 19:00
1
ответ
Falco вылетает в AWS ECS
Я пытаюсь запустить контейнер докеров в ECS, когда я это делаю, получаю следующую ошибку. определения задач https://github.com/sysdiglabs/falco-aws-firelens-integration/blob/master/ecs/falco/task-definition.json, но изменили его, чтобы использовать …
30 май '20 в 03:53
1
ответ
Журналы не отправляются в AWS Cloudwatch, когда докер отключен или находится на переднем плане
Когда я запускаю скрипт докера в интерактивном режиме, он работает. Я вижу журналы в консоли, а также в журналах AWS CloudWatch. Приведенный ниже скрипт докера работает в интерактивном режиме, и я добавил конфигурацию awslogs, чтобы журналы переходи…
04 июн '20 в 12:52
1
ответ
Как определить команды, выполняемые Ansible на удаленном хосте в контексте Falco?
Я хотел бы знать, есть ли у кого-нибудь представление о том, как идентифицировать команды, выполняемые Ansible на удаленном хосте. Чтобы дать вам больше контекста, я подробно опишу свой рабочий процесс: У меня есть запланированное задание с 1:00 до …
14 мар '21 в 03:56
0
ответов
Невозможно загрузить Falco в Kali Linux [закрыто]
Я пытаюсь установить Falco в Kali Linux. Официальную документацию по загрузке можно найти здесь . Когда я пытаюсь выполнить команду apt-get update -y Я получаю следующую ошибку. E: The repository 'https://download.docker.com/linux/debian kali-rollin…
26 мар '21 в 11:28
0
ответов
Как убрать игнорируемое событие «запись» для отлова буфера sdtout?
Правило: - rule: stdout desc: stdout test condition: fd.num=1 and evt.is_io=true and evt.type=write output: "pid=%proc.pid %proc.ppid %proc.cmdline %evt.args %evt.buffer %evt.rawarg.data" priority: INFO tags: [stdout] <strong>Ошибка Falco увед…
09 апр '21 в 12:32
0
ответов
Как написать правило Falco для безопасности контейнеров Windows
У меня есть falco с открытым исходным кодом, работающий на EKS, я пытаюсь выяснить, как написать правила Falco для Windows по общему вопросу, поддерживает ли Falco контейнер Windows
23 апр '21 в 11:42
2
ответа
Формирование продукции Falco
Я использую инструмент обнаружения времени выполнения Falco для анализа поведения контейнера в течение не менее 40 секунд, используя фильтры, которые обнаруживают новые запускаемые и выполняемые процессы, сохраняют файл инцидента art /opt/falco-inci…
05 май '21 в 08:37
0
ответов
Установлены объемные крепления на Falco
Я хочу спросить о наборе для чтения и записи на пути к демону, почему, когда я вижу на daemonset на falco, для монтирования томов / docker или / container, /lib / modules, /etc / falco установлены на чтение, запись, а не только чтение, есть ли кто-н…
22 июн '21 в 13:40
0
ответов
Установка тома на SCC как требование для работы Falco
Можно ли запустить falco с удалением нескольких значений громкости на scc? например, просто поместите hostpath только как значение в falco SCC, потому что в среде (OCP & k8s) разрешен доступ только к hostpath.. как я вижу, значение SCC falco yam…
01 июл '21 в 17:42
0
ответов
Столкновение с ошибкой crashloopback при попытке установить falco
Пытался установить falco с помощью helm. Когда я проверил свои поды с помощью kubectl get pods, мои стручки Falco показывают ошибку crashloopbackoff. Когда я проверил мои события с помощью kubectl describe pod, он показывает следующее: Name: falco-x…
30 авг '21 в 11:57
0
ответов
Правила аудита Falco не показывают никаких предупреждений
Я пытаюсь включить правила аудита Falco. [https://sysdig.com/blog/kubernetes-audit-log-falco/ visible[1] Я слежу за этим блогом, чтобы включить правила аудита k8s в falco. Я использую minikube v1.22.0 Kubernetes v1.21.2. Как упоминалось в блоге, я с…
09 сен '21 в 09:10
1
ответ
Включение правил аудита в falco
Я установил falco с помощью helm в свой кластер minikube (v1.22.0 kubernetes v1.17.17). Falco работает хорошо и показывает журналы для правил по умолчанию в falco-rules.yaml, но когда дело доходит до правил аудита k8s, он не показывает никаких журна…
13 сен '21 в 07:42
2
ответа
Falco выводит метаданные экземпляра aws
Я запускаю falco и falcosidekick с docker compose, без k8s. Мне нужно получить метаданные экземпляра aws для вывода правил falco. Я нашел класс поля jevt, но обнаружил ошибку при запуске контейнера Falco Invalid output format 'command=%jevt.value[/a…
18 ноя '21 в 15:27
0
ответов
Falco - имя модуля K8s <na> [закрыто]
Я установил Falco и Falco-Exporter через диаграмму Helm, и все заработало из коробки. Однако некоторые метаданные всегда помечены как «na». Кто-нибудь знает причину такого поведения?
31 янв '22 в 19:58
0
ответов
Что является причиной многократного срабатывания правил?
Я создал локальную тестовую среду с помощью minikube для тестирования пользовательских правил falco. Цель состоит в том, чтобы найти ключевые слова в пространстве имен и именах модулей и установить для них приоритет Info, чтобы их можно было отфильт…
03 мар '22 в 20:40
1
ответ
нет совпадений для вида "Config" в версии "v1"
Я попытался запустить файл конфигурации, чтобы установить Falco в качестве моего внутреннего веб-перехватчика. Я получаю эту ошибку при попытке запустить мой файл конфигурации revaa@revaa-Lenovo-E41-25:~/opa$ kubectl apply -f conflc.yaml error: unab…
07 сен '21 в 07:18
1
ответ
Falco security и falcosidekick на докере составляют
Я пытаюсь запустить контейнер falco и falcosikick в docker compose . version: "3.9" services: falco: image: falcosecurity/falco:latest privileged: true volumes: - /var/run/docker.sock:/host/var/run/docker.sock - /dev:/host/dev - /proc:/host/proc:ro …
16 ноя '21 в 11:24
0
ответов
Falco, работающий с pdig, дает журнал DEBUG, который нельзя подавить
У меня есть намерение запустить falco в aws ecs fargate, и я наткнулся на драйвер pdig, работающий в пользовательском пространстве, который можно использовать с falco для обнаружения системных вызовов из процесса. https://github.com/falcosecurity/pd…
22 ноя '21 в 03:49
0
ответов
Falco k8s, при добавлении исключения некоторые поля становятся пустыми
Если я добавлю исключение в правило «Клиент Docker выполняется в контейнере», например: exceptions: - name: kube_mon fields: [container.image.repository, k8s.ns.name, k8s.pod.name] comps: [=, =, startswith] values: - [repo/myimg, myns, my-pod-] Я на…
11 апр '22 в 09:01