RSS

Posts in 2022

  • 通过Falco发布插件和云安全

    2022.02.09 By Loris Degioanni

    刚刚发布的Falco v0.31.0是几个月努力工作的结果,包括许多令人兴奋的新特性。然而,其中之一对于Falco作为一个项目来说尤其具有战略意义:插件框架的普遍可用性,我想用这篇博文来解释为什么插件令人兴奋,以及它们对Falco的未来意味着什么,让我们先解释一下这项新技术是什么。 什么是插件? 插件是可由Falco加载以扩展其功能的共享库。插件有两种风格: -源插件为Falco添加了新的数据源。它们从本地机器或远程来源生成Falco能够理解的输入事件。 -提取器插件解析来自源插件的数据,并公开 …

    更多

Posts in 2021

  • Contribution of the drivers and the libraries

    2021.02.23 By Leonardo Di Donato, Leonardo Grasso

    我们很高兴地宣布您的组件Sysdig Inc.已经在内核中**** eBPF 、**和**源**库**的贡献,可以对这些**库**的代码进行组织。 /libs](https://github.com/falcosecurity/libs)存储库中找到它。 这是[提案]中概述的更广泛的活动的一个//github贡献的部分。在过去不久里与Falco进行了介绍和讨论。 每个人都在上运行一个数据源调用。使用源内核模块或BPF程序在系统自动运行这个程序。在方法方面,核心的效率更高一些,而BPF的现代方式。 …

    更多

  • Falco Rules Now Support Exceptions

    2021.01.19 By Mark Stemm

    Falco 0.28.0将推出支持规则中例外的功能。例外是一种简洁的方式,用来表示规则不生成警报的条件。下面是一个简单的例子: - rule:Writebelowbinarydir...exceptions:- name:known_bin_writersfields:[proc.name,fd.name]comps:[=,contains]values:- [nginx,/usr/bin/nginx]- [apache,/bin/apache]... …

    更多

Posts in 2020

  • Falco 0.26.1 a.k.a. "the static release"

    2020.10.01 By Leonardo Di Donato, Lorenzo Fontana

    今天我们宣布Falco 0.26.1的发布 🥳 这是上周发布的 Falco 0.26.0 的修补程序版本! 你可以在这里看看这些变化: 0.26.1 0.26.0 像往常一样,如果您只想试用稳定版的Falco 0.26.1,您可以按照文档中概述的过程安装其软件包: CentOS/Amazon Linux Debian/Ubuntu openSUSE 你更喜欢使用docker 镜像吗?没问题! 您可以在文档中阅读有关使用 Docker 运行 Falco 的更多信 …

    更多

  • Choosing a Falco driver

    2020.09.23 By Kris Nóva

    Falco的工作原理是在运行时获取Linux系统调用信息,并在内存中重建内核的状态。 Falco引擎依赖于一个驱动程序来使用原始的系统调用信息流。 目前,Falco项目支持3种不同的驱动程序,其中引擎可以使用这些信息。 内核模块 eBPF探头 用户空间程序 本博客将重点介绍每个实现的细微差别,并解释它们存在的原因。 希望此资源将为您了解适合您的用例驱动程序提供一个起点。 Updated: Falco 0.26.0 内核模块 Falco内核模块是从内核获取所需数据流的传统方式。 …

    更多

  • Falco 0.24.0 a.k.a. "the huge release"

    2020.07.16 By Leonardo Di Donato, Leonardo Grasso

    在漫长的两个月之后,看看谁回来了! 今天我们宣布Falco 0.24的发布 🥳 你可以在这里看看这些巨大的变化: 0.24.0 如果您只想试用稳定版Falco 0.24,您可以按照文档中概述的常规过程安装其软件包: CentOS/Amazon Linux Debian/Ubuntu 你更喜欢使用docker镜像吗?没问题! 您可以在文档中阅读有关使用 Docker 运行 Falco 的更多信 …

    更多

  • Detect CVE-2020-8557 using Falco

    2020.07.15 By Kaizhe Huang

    CVE-2020-8557 kubelet管理器在计算pod的临时存储使用量时,不包括kubelet装载在pod中的/etc/hosts文件。如果pod将大量数据写入/etc/hosts文件,可能会填满节点的存储空间,并导致节点失败,这相当于DoS攻击。 严重程度 中等的 受影响的 Kubernetes 版本 kubelet v1.18.0-1.18.5 kubelet v1.17.0-1.17.8 kubelet < v1.16.13 使用 Falco …

    更多

  • Falco 0.21.0 is out!

    2020.03.18 By Leonardo Di Donato

    尽管封锁了,Falco 0.21.0还是决定出去!真是个坏家伙!(https://github.com/falcosecurity/falco/releases/tag/0.21.0) 值得注意的是,这是第一个采用新的构建和发布流程的版本。 🚀 新的发布流程! 如果您只需要 Falco 0.21.0,您可以在以下存储库中找到它的包: https://bintray.com/falcosecurity/rpm/falco/0.21.0 …

    更多

  • Falco 0.20.0 is released

    2020.02.24 By Lorenzo Fontana

    我们很高兴地宣布发布 Falco 0.20.0,这是我们 2020 年的第二个版本! Falco 0.20.0 包括一个主要错误修复、一个新功能、两个小错误修复和七个规则更改。 共有 8 人为此版本做出了贡献,总共合并了13个拉取请求! 鼓励每个人现在更新 Falco,尤其是如果您正在运行 Falco 0.18.0 或 Falco 0.19.0 并且正在使用 Kubernetes 审计事件。 完整的变更日志可以在这里找 …

    更多

Posts in 2019

  • Cloud Native Security Hub

    2019.11.18 By Kris Nova

    Falco rule 管理 Falco社区非常高兴地宣布,我们将优化我们管理和安装Falco引擎的安全规则的方式。 我们已经发布了一个通用安全规则的 开源仓库,可以与Falco配合使用。你可以检查在securityhub.dev.上动态呈现的规则。 安装一个rule 在这个快速示例中,我们将为CVE-2019-11246添加运行时检测。 理解rule 注意仓库中发现的元信息与CVE-2019-11246的安全中心页面上的数据是如何匹配的 目前,我们支持两种安装方式安装rule:helm …

    更多