デフォルトマクロ
デフォルトのFalcoルールセットは、ルールの記述を開始しやすくするいくつかのマクロを定義します。これらのマクロは、多くの一般的なシナリオのショートカットを提供し、ユーザー定義のルールセットで使用できます。Falcoは、ユーザーの環境に固有の設定を提供するためにユーザーがオーバーライドする必要があるマクロも提供します。提供されたマクロは、ローカルルールファイルに追加することもできます。
書き込み用に開かれたファイル
読み取り用に開かれたファイル
決してTrueでない
常にTrue
Proc Nameがセット
ファイルシステムオブジェクトが名前変更
新規ディレクトリーが作成された
ファイルシステムオブジェクトが削除された
ファイルシステムオブジェクトが変更された
新規プロセスが生成された
バイナリの共通ディレクトリ
シェルが開始されました
既知の機密ファイル
新しく作成されたプロセス
インバウンドネットワーク接続
アウトバウンドネットワーク接続
インバウンドかアウトバウンドネットワーク接続
オブジェクトはコンテナです
生成された対話型プロセス
マクロにオーバーライドする
以下のマクロには、ユーザーの特定の環境でオーバーライドできる値が含まれています。
共通SSHポート
このマクロをオーバーライドして、SSHサービスを提供する環境内のポートを反映します。
許可されたSSHホスト
このマクロをオーバーライドして、既知のSSHポート(要塞またはジャンプボックス)に接続できるホストを反映します。
ユーザーのホワイトリストコンテナ
特権モードでの実行が許可されているコンテナをホワイトリストに登録します。
シェルを生成できるコンテナ
シェルの生成を許可されているコンテナをホワイトリストに登録します。これは、コンテナがCI/CDパイプラインで使用されている場合に必要になることがあります。
EC2メタデータサービスとの通信を許可されたコンテナ
EC2メタデータサービスとの通信が許可されているコンテナをホワイトリストに登録します。 デフォルト:任意のコンテナ。
Kubernetes API Server
ここにKubernetes API ServiceのIPを設定します。
Kubernetes APIとの通信を許可されたコンテナ
Kubernetes APIサービスとの通信が許可されているコンテナをホワイトリストに登録します。k8s_api_serverを設定する必要があります。
Kubernetes Service NodePortsとの通信を許可されたコンテナ
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.
最終更新 January 11, 2021: update: video layout and index localization (0f66b9d)