cks

3.14 Falco

Detalhamento do Falco para detecção de comportamento suspeito em runtime (CKS).

O que é

Falco é um projeto de detecção de ameaças em runtime que usa regras para analisar eventos do kernel (syscalls) e/ou fontes como Kubernetes audit logs. No CKS você pode precisar rodar o Falco, criar ou ajustar regras e interpretar o output (container, pod, usuário, etc.).

Documentação oficial

Rodar o Falco

# Unbuffered para ver alertas logo no terminal
sudo falco -U

-U: saída não bufferizada (útil em testes e no exame).

Onde ficam as regras

Regras customizadas: /etc/falco/rules.d/ (arquivos YAML).
Regras padrão: em geral em /etc/falco/falco_rules.yaml (ou paths indicados no enunciado).

Custom output (key=value)

No arquivo de regra você pode definir um output com campos como tempo, container, pod, usuário:

- rule: Minha Regra
  output: "Evento suspeito (time=%evt.time container=%container.name container_id=%container.id user=%user.name)"

Campos úteis (exemplos):

evt.time, evt.cpu
container.id, container.name, container.image.repository
user.name, user.uid
k8s.pod.name, k8s.ns.name (quando o Falco está integrado ao K8s)

Formato key=value facilita parsing e integração com SIEM.

Relacionar alerta ao pod/container (crictl)

No nó, para mapear container ID do Falco para pod:

crictl ps -a
crictl pods
crictl inspect <container-id>

Com o container ID do alerta, você descobre o pod e o namespace.

Resumo para o exame

Rodar: sudo falco -U.
Regras em /etc/falco/rules.d/ (e padrão em /etc/falco/).
Output custom: output: key=value com placeholders (%container.name, %user.name, etc.).
Identificar pod/container: crictl ps -a, crictl inspect <id>.