ClipboardImage.png
[Hide] (295.4KB, 1280x626) Как-то я пропустил, но тут в сентябре наконец-то выпустили Falco Talon условно стабильной версии.
Falco, если кратко, мониторит системные вызовы, анализирует что происходит и выдаёт предупреждение, если что-то нарушает его правила (делает это не только для Kubernetes, но и хоста).
Раньше, после того как Falco стриггерился на что-то, надо было придумать как на алерт реагировать. Так же Falco не позволял выстроить цепочку событий, которая бы объясняла, как к событию в алерте пришли.
Например, об этом рассказывал @gecube тут
https://youtu.be/uKX8TaLJK6E?t=293
Как это можно применять можно почитать в посте от Sysdig
Optimizing Wireshark in Kubernetes
https://sysdig.com/blog/optimizing-wireshark-in-kubernetes/
Там они рассказали, как дампили трафик с помощью Wireshark, отправляли в Falco, а потом с помощью Falco Talon реагировали на то что происходит.
В посте, где рассказывают про релиз, показан пример со складированием трафика в Amazon S3 (на второй картинке)
GitHub
https://github.com/falcosecurity/falco-talon
Документация
https://docs.falco-talon.org/
https://t.me/tech_b0lt_Genona/4794