Привет!
В tutorial разобран пример анализа событий, генерируемых Audit Policy k8s, по следующей схеме:
🍭 В качестве Backend выбираем Log Backend
🍭 Разворачиваем FluentBit, который будет выполнять функцию log forwarder: "забирать" из Log Backend и "направлять" в Falco
🍭 Разворачиваем Falco с Falcosidekick-UI, которые будут собирать логи, анализировать их (используемые проверки, более подробная информация) и отображать результаты в web-интерфейсе
В статье приведены все необходимые команды и ссылки для самостоятельного воспроизведения в demo-окружении.
В завершении представлен PoC на примере правила
В tutorial разобран пример анализа событий, генерируемых Audit Policy k8s, по следующей схеме:
🍭 В качестве Backend выбираем Log Backend
🍭 Разворачиваем FluentBit, который будет выполнять функцию log forwarder: "забирать" из Log Backend и "направлять" в Falco
🍭 Разворачиваем Falco с Falcosidekick-UI, которые будут собирать логи, анализировать их (используемые проверки, более подробная информация) и отображать результаты в web-интерфейсе
В статье приведены все необходимые команды и ссылки для самостоятельного воспроизведения в demo-окружении.
В завершении представлен PoC на примере правила
«Create/Modify Configmap With Private Credentials»: создаем ConfigMap, это порождает событие в Audit Log, которое забирает FluentBit и передает в Falco. Срабатывает правило, результат отображается в web-интерфейсе