Falco — алерт при всплеске runtime-security events
Falco логирует подозрительные действия (write to /etc, shell in container, unexpected network connect) — но логи лежат локально и никто не смотрит. Атака внутри контейнера развивается тихо.
Рецепт
#!/usr/bin/env bash
# /etc/cron.d/falco-spike
# */5 * * * * root /opt/falco-spike.sh
WINDOW=${WINDOW:-5min}
THRESH=${THRESH:-5} # critical events / 5 min
# Falco emits to journald by default. Filter by Priority (warning+ = 0..4)
COUNT=$(journalctl -u falco --since "$WINDOW ago" -p warning --no-pager 2>/dev/null \
| grep -c 'Priority: ')
if [ "${COUNT:-0}" -gt "$THRESH" ]; then
SAMPLE=$(journalctl -u falco --since "$WINDOW ago" --no-pager -p warning 2>/dev/null \
| grep -oE 'Rule "[^"]+"' | sort | uniq -c | sort -rn | head -3 | tr '\n' ';')
curl -fsS "$HEARTBEAT_URL" --data-urlencode "falco_events=$COUNT,top_rules=$SAMPLE"
exit 2
fi
echo "OK ($COUNT critical events / 5m)"То же самое в Enterno.io
Подключите Enterno heartbeat — узнаете о runtime-security event-burst-е раньше, чем successful breach уйдёт лог-роторе или будет затёрт.
Похожие рецепты
Сайт в HSTS preload-листе, но после рефакторинга nginx конфиг заголовок пропал. Через 3 месяца домен будет удалён из preload-листа. Нужен ежедневный чек.
Мисконфигурация name-server открыла AXFR на интернет — все ваши поддомены, MX, TXT (включая SPF DKIM ключи) видны атакующему. Ежедневный чек с алертом.
Атакующий упёрся в `limit_req_zone` — все легитимные запросы тоже начали получать 429. Логи показывают это, но никто не следит.