Falco规则定义(falco_rules.yaml)

[复制链接]
查看4855 | 回复0 | 2021-7-22 12:03:54|发表时间:2021-7-22 12:03:54| 显示全部楼层 |阅读模式

Falco规则定义(falco_rules.yaml)

1、由于无法上传xml文件压缩后的图片(提示上传文件中包含代码。。。),falco_rules.yaml默认规则(lists/macros/rules)列表详见附件!

    • Lists
    • Macros
    • Rules

2、规则使用详细说明

    • List
    • 示例:
      • - list: shell_binaries
        items: [ash, bash, csh, ksh, sh, tcsh, zsh, dash]
    • 特点:
        • list用于定义一个集合
        • 可在macro、rule、其他list中使用
        • 与rule、macro不同,list不能直接解析为过滤表达式使用
    • 常见用法:
      • - list: rfc_1918_addresses
        items: ['"10.0.0.0/8"', '"172.16.0.0/12"', '"192.168.0.0/16"']

      • - list: openvpn_udp_ports
        items: [1194, 1197, 1198, 8080, 9201]

      • - list: expected_udp_ports
        items: [53, openvpn_udp_ports, l2tp_udp_ports, statsd_ports, ntp_ports, test_connect_ports]

    • macro
    • 示例:
      • - macro: open_write
        condition: (evt.type=open or evt.type=openat) and evt.is_open_write=true and fd.typechar='f' and fd.num>=0
    • 特点:

    • 常见用法:
      • - macro: net_miner_pool
        condition: (evt.type in (sendto, sendmsg) and evt.dir=< and (fd.net != "127.0.0.0/8" and not fd.snet in (rfc_1918_addresses)) and ((minerpool_http) or (minerpool_https) or (minerpool_other)))

    • 备注:
      • 关于macro_condition的定义参考https://falco.org/docs/rules/supported-fields/,以及falco默认规则文件falco_rules.yaml中的定义。

    • rule
    • 示例:
      • - rule: Disallowed SSH Connection
        desc: Detect any new ssh connection to a host other than those in an allowed group of hosts
        condition: (inbound_outbound) and ssh_port and not allowed_ssh_hosts
        output: Disallowed SSH Connection (command=%proc.cmdline connection=%fd.name user=%user.name container_id=%container.id image=%container.image.repository)
        priority: NOTICE
        tags: [network, mitre_remote_service]
    • 特点:
        • 当满足条件时,上报告警
        • 相关参数及其描述详见https://falco.org/docs/rules/

备注:一个比较重要的参数为append,详见https://falco.org/docs/rules/中的相关描述。


免责声明:本站文章均来自网友自行发布,社区提倡作者发布原创文章,但从中也存在转载有版权文章,因不可辨别当前文章是否为真实作者,如果侵犯了您的权益或者版权,请及时联系邮箱 [ kuoheikeji@163.com ],我们会在72小时之内删除侵权内容,针对严重侵权文章将对本站作者进行封号处理!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则