Доступно только в Enterprise Edition.
Находится в процессе активного развития. Функциональность может существенно измениться.

FalcoAuditRules

Scope: Cluster
Version: v1alpha1

  • specобъект

    Обязательный параметр

    • spec.requiredEngineVersionцелочисленный

      Используется для определения совместимости с версией Falco.

    • spec.requiredK8sAuditPluginVersionстрока

      Используется для определения совместимости с версией плагина аудита Kubernetes.

    • spec.rulesмассив объектов

      Обязательный параметр

      Описывает правила Falco, которые будут применяться во время мониторинга кластера.

      Эти правила помогают обнаружить угрозы во время работы кластера, анализируя особенности поведения приложений и контейнеров.

      Подробности см. в документации Falco и справочнике.

      Минимальная длина: 1

      • spec.rules.listобъект

        Список значений, которые могут использоваться в макросах, правилах и других списках.

        В отличие от макросов и правил, у списков нет условий (condition).

        • spec.rules.list.itemsмассив

          Обязательный параметр

          Список значений.

        • spec.rules.list.nameстрока

          Обязательный параметр

          Уникальное имя списка.

      • spec.rules.macroобъект

        Правило, которое может переиспользоваться в других правилах или макросах.

        Макрос позволяет заменить сложные повторяющиеся выражения на имя макроса.

        • spec.rules.macro.conditionстрока

          Обязательный параметр

          Фильтрующее выражение; применяется к событиям для проверки соответствия правилу.

        • spec.rules.macro.nameстрока

          Обязательный параметр

          Короткое уникальное имя для макроса.

      • spec.rules.ruleобъект

        Правило, по которому будет создаваться событие.

        Сопровождается подробным описанием того, что произошло.

        • spec.rules.rule.conditionстрока

          Обязательный параметр

          Фильтрующее выражение; применяется к событиям для проверки соответствия правилу.

        • spec.rules.rule.descстрока

          Обязательный параметр

          Подробное описание того, что должно обнаружить правило.

        • spec.rules.rule.enabledбулевый

          Если значение — false, правило не будет ни загружено, ни применено к событиям.

          По умолчанию: true

        • spec.rules.rule.nameстрока

          Обязательный параметр

          Короткое уникальное имя для правила.

        • spec.rules.rule.outputстрока

          Обязательный параметр

          Сообщение, которое будет отправляться при наступлении события.

        • spec.rules.rule.priorityстрока

          Обязательный параметр

          Уровень опасности события.

          Допустимые значения: Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug

        • spec.rules.rule.sourceстрока

          Источник данных, из-за которых сработало правило.

          По умолчанию: "Syscall"

          Допустимые значения: Syscall, K8sAudit

        • spec.rules.rule.tagsмассив строк

          Список меток, применяемых к правилу.