6.2.2.2 Falco 行为监控
文档摘要
6.2.2.2 Falco 行为监控 6.2.2.2 Falco 行为监控:当容器里响起“sudo su -”的警报——一个被忽略的规则盲区与它的三行修复 凌晨两点十七分,告警平台弹出一条红色消息: ——紧接着是 13 秒后的一条补充日志: 。 运维值班同事点开 Kibana 查看上下文,发现该容器本应只运行静态 Nginx 服务;进程树里却赫然出现 ;内存映射中多出一段匿名可执行页;而 显示其 ——全能力位集。 这不是一次“可疑行为”,这是一次已落地的提权逃逸。更讽刺的是,Falco 的默认规则集(v0.35.1)对此全程静默。 为什么? 因为 Falco 不是靠“检测 root”来判断危险,而是靠识别异常行为模式。
评论区
(0)
U