Posts in 2022
Extend Falco inputs by creating a Plugin: the basics
2022.02.15 By Thomas Labarussias
这篇文章是关于如何开发 Falco 插件的系列文章的一部分。 它面向任何想了解插件是如何编写并希望做出贡献的人。 见其他文章: What are Plugins? Developers Guide Our plugin Requirements Pieces of code The imports The structures The functions and methods main() init() Info() Init() Fields() String() Extract() …
通过Falco发布插件和云安全
2022.02.09 By Loris Degioanni
刚刚发布的Falco v0.31.0是几个月努力工作的结果,包括许多令人兴奋的新特性。然而,其中之一对于Falco作为一个项目来说尤其具有战略意义:插件框架的普遍可用性,我想用这篇博文来解释为什么插件令人兴奋,以及它们对Falco的未来意味着什么,让我们先解释一下这项新技术是什么。 什么是插件? 插件是可由Falco加载以扩展其功能的共享库。插件有两种风格: -源插件为Falco添加了新的数据源。它们从本地机器或远程来源生成Falco能够理解的输入事件。 -提取器插件解析来自源插件的数据,并公开 …
Posts in 2021
Falco 0.28.1
2021.05.07 By Carlos Panato
今天我们宣布 Falco 0.28.1 的春季版本 🌱 这是我们的Falco 0.28的第一个补丁版本,解决了一些发现的问题。 这次发布发布了一些安全建议(https://github.com/falcosecurity/falco/security/advisories) 你可以在这里看看这些变化: 0.28.1 像往常一样,如果你只是想尝试稳定版Falco 0.28.1,你可以按照文档中列出的过程安装它的包: CentOS/Amazon Linux Debian/Ubuntu …
Contribution of the drivers and the libraries
2021.02.23 By Leonardo Di Donato, Leonardo Grasso
我们很高兴地宣布您的组件Sysdig Inc.已经在内核中**** eBPF 、和源库的贡献,可以对这些库的代码进行组织。 /libs](https://github.com/falcosecurity/libs)存储库中找到它。 这是[提案]中概述的更广泛的活动的一个//github贡献的部分。在过去不久里与Falco进行了介绍和讨论。 每个人都在上运行一个数据源调用。使用源内核模块或BPF程序在系统自动运行这个程序。在方法方面,核心的效率更高一些,而BPF的现代方式。 。扩展由两个库完 …
Falco Rules Now Support Exceptions
2021.01.19 By Mark Stemm
Falco 0.28.0将推出支持规则中例外的功能。例外是一种简洁的方式,用来表示规则不生成警报的条件。下面是一个简单的例子: - rule: Write below binary dir ... exceptions: - name: known_bin_writers fields: [proc.name, fd.name] comps: [=, contains] values: - [nginx, /usr/bin/nginx] - [apache, /bin/apache] ... 规 …
Falco 0.27.0 a.k.a. "The happy 2021 release"
2021.01.18 By Lorenzo Fontana
今天我们宣布发布Falco 0.27.0������ 这是2021年的第一个版本! 你可以在这里看看这些变化: 0.27.0 像往常一样,如果你只是想尝试稳定版Falco 0.27.0,你可以按照文档中列出的过程安装它的包: CentOS/Amazon Linux Debian/Ubuntu openSUSE Linux binary package 你更喜欢使用docker镜像吗?没问题! 你可以在文档中阅读更多关于使用Docker运行Falco的内 …
Falco in 2020
2021.01.03 By Leonardo Di Donato
这个帖子的范围是回顾Falco及其社区在大流行年的进展,这一年将永远不会忘记。 我会尽量保持紧凑,但Falco和它的社区今年成长了很多,我觉得这可能是一个博客文章系列。 2020年是我们完全和最终把 公开的Falco释放过程! 📖 当 Lorenzo 和 I 在2019年加入 Sysdig 的时候,情况并非如此。 这是从流程中产生的强制性要求将Falco移至CNCF孵化级别. 所以,是的,2020年也是Falco被[原生云计算基金会](http://cncf.io)接受为孵化级托管项目的一年! …
Posts in 2020
Falco 0.26.2 a.k.a. "the download.falco.org release"
2020.11.10 By Leonardo Di Donato, Lorenzo Fontana
今天我们宣布发布 Falco 0.26.2 🥳 这是10月1日发布的Falco 0.26.1的修补程序版本。 你可以在这里看看这些变化: 0.26.2 像往常一样,如果您只想试用稳定版Falco 0.26.2,您可以按照文档中概述的过程安装其软件包: CentOS/Amazon Linux Debian/Ubuntu openSUSE Linux binary package 你更喜欢使用docker镜像吗?没问题! 你可以在文档中阅读更多关于使用Docker运行Falco的内 …
Falco 0.26.1 a.k.a. "the static release"
2020.10.01 By Leonardo Di Donato, Lorenzo Fontana
今天我们宣布Falco 0.26.1的发布 🥳 这是上周发布的 Falco 0.26.0 的修补程序版本! 你可以在这里看看这些变化: 0.26.1 0.26.0 像往常一样,如果您只想试用稳定版的Falco 0.26.1,您可以按照文档中概述的过程安装其软件包: CentOS/Amazon Linux Debian/Ubuntu openSUSE 你更喜欢使用docker 镜像吗?没问题! 您可以在文档中阅读有关使用 Docker 运行 Falco 的更多信 …
Choosing a Falco driver
2020.09.23 By Kris Nóva
Falco的工作原理是在运行时获取Linux系统调用信息,并在内存中重建内核的状态。 Falco引擎依赖于一个驱动程序来使用原始的系统调用信息流。 目前,Falco项目支持3种不同的驱动程序,其中引擎可以使用这些信息。 内核模块 eBPF探头 用户空间程序 本博客将重点介绍每个实现的细微差别,并解释它们存在的原因。 希望此资源将为您了解适合您的用例驱动程序提供一个起点。 Updated: Falco 0.26.0 内核模块 Falco内核模块是从内核获取所需数据流的传统方式。 Source: …