5. Introduction
● Cloud Native Security Runtime
● Agent qui surveille votre cluster et réagit dès qu’une infraction aux règles de
sécurité est détectée
● Open Source
● Membre de la CNCF
● Projet initié par Sysdig (Liz Rice)
5
11. Déploiement
● Sur vos serveurs
○ Via packages: deb / rpm
○ Binaires autonomes
● Via kubernetes
○ manifests
○ helm
● Options
○ Sidekick UI
○ Plugins
○ Outputs
○ Custom Rules
11
12. Utilisation
● Un jeu de règles par défaut avec plus de 70 règles pré-définies
○ Majeures CVE récentes
● https://github.com/falcosecurity/falco/blob/master/rules/falco_rules.yaml
● Création de règles facile à base d’un meta-langage au dessus de yaml
12
13. Cowsay Rule
- macro: greetings
condition: >
proc.name = cowsay
- rule: Try to say use cowsay in Container
desc: Detect use of greetings command in container
condition: >
spawned_process and
container and
greetings
output: >
Cowsay command launched in container (user=%user.name
user_loginuid=%user.loginuid command=%proc.cmdline
parent_process=%proc.pname
container_id=%container.id
container_name=%container.name
image=%container.image.repository:%container.image.tag)
priority: NOTICE
tags: [dummy, process, demo]
13