FalcoAuditRules

Scope: Cluster
Version: v1alpha1

  • spec
    объект
    • spec.requiredEngineVersion
      целочисленный
      Используется для определения совместимости с версией Falco.
    • spec.requiredK8sAuditPluginVersion
      строка
      Используется для определения совместимости с версией плагина аудита Kubernetes.
    • spec.rules
      массив объектов

      Обязательный параметр

      Описывает правила Falco, которые будут применяться во время мониторинга кластера.

      Эти правила помогают обнаружить угрозы во время работы кластера, анализируя особенности поведения приложений и контейнеров.

      Подробности см. в документации Falco и справочнике.

      Минимальная длина: 1

      • spec.rules.list
        объект

        Список значений, которые могут использоваться в макросах, правилах и других списках.

        В отличие от макросов и правил, у списков нет условий (condition).

        • spec.rules.list.items
          массив

          Обязательный параметр

          Список значений.
        • spec.rules.list.name
          строка

          Обязательный параметр

          Уникальное имя списка.
      • spec.rules.macro
        объект

        Правило, которое может переиспользоваться в других правилах или макросах.

        Макрос позволяет заменить сложные повторяющиеся выражения на имя макроса.

        • spec.rules.macro.condition
          строка

          Обязательный параметр

          Фильтрующее выражение; применяется к событиям для проверки соответствия правилу.
        • spec.rules.macro.name
          строка

          Обязательный параметр

          Короткое уникальное имя для макроса.
      • spec.rules.rule
        объект

        Правило, по которому будет создаваться событие.

        Сопровождается подробным описанием того, что произошло.

        • spec.rules.rule.condition
          строка

          Обязательный параметр

          Фильтрующее выражение; применяется к событиям для проверки соответствия правилу.
        • spec.rules.rule.desc
          строка

          Обязательный параметр

          Подробное описание того, что должно обнаружить правило.
        • spec.rules.rule.enabled
          булевый
          Если значение — false, правило не будет ни загружено, ни применено к событиям.

          По умолчанию: true

        • spec.rules.rule.name
          строка

          Обязательный параметр

          Короткое уникальное имя для правила.
        • spec.rules.rule.output
          строка

          Обязательный параметр

          Сообщение, которое будет отправляться при наступлении события.
        • spec.rules.rule.priority
          строка

          Обязательный параметр

          Уровень опасности события.

          Допустимые значения: Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug

        • spec.rules.rule.source
          строка
          Источник данных, для которого применяется правило.

          По умолчанию: Syscall

          Допустимые значения: Syscall, K8sAudit

        • spec.rules.rule.tags
          массив строк
          Список меток, применяемых к правилу.