Falco

Falco เป็นเครื่องมือ opensource ที่ถูกสร้างโดยบริษัท Sysdig และภายหลังได้มอบให้กับ Cloud Native Computing Foundation (CNCF) ถูกสร้างขึ้นมาเพื่อเฝ้าระวังและตรวจจับพฤติกรรมที่ผิดปกติในระบบ container, host, หรือแม้กระทั่งใน Kubernetes แบบ real-time และจะทำการแจ้งเตือนไปยังผู้ดูแลตามที่กำหนด

การทำงานของ Falco จะมีการ monitor kernel และคอยสอดส่อง event ต่างๆที่ไม่ปกติหรืออาจจะเป็นการโจมตี เช่น การเพิ่มสิทธิ์ที่ไม่เหมาะสม (Privilege Escalation) การเข้าถึงไฟล์ที่ไม่ควร หรือพฤติกรรมที่มีความเสี่ยงอื่น ๆ และจะนำพฤติกรรมเหล่านั้นไปเทียบกับข้อมูลที่ถูก config ไว้ใน rule file หากตรงตามเงื่อนไข จะถือว่าถูกโจมตีอยู่ และทำการแจ้งเตือนทันที เพื่อให้ผู้ดูแลระบบสามารถเข้ามาตรวจสอบและแก้ไขปัญหาได้อย่างรวดเร็ว นอกจากนี้ยังสามารถเก็บรวบรวม event และไป analyze บนระบบ SIEM หรือ data lake ภายนอกได้อีกด้วย

ตัวอย่างการติดตั้ง falco บน Kubernetes

เตรียม value file ชื่อ falco.values.yaml

falcosidekick:
  enabled: true
  webui:
    enabled: true
  config:
    teams:
      webhookurl: "<your webhook url>"
      minimumpriority: warning

สั่งคำสั่งดังนี้

helm repo add falcosecurity https://falcosecurity.github.io/charts
helm repo update
helm upgrade --install falco falcosecurity/falco --namespace falco --create-namespace -f falco.values.yaml

ทดสอบ alarm

kubectl create deployment nginx --image=nginx
kubectl exec -it $(kubectl get pods --selector=app=nginx -o name) -- cat /etc/shadow

cleanup

kubectl delete deployment nginx

Uninstall Falco

helm uninstall falco -n falco

PreviousCertbot (LV.1)NextHashicorp Vault

Last updated 8 months ago

Was this helpful?