乱七八糟的

2022-01-12 15:32:38 作者：互联网

其他监控点维度:

文件
1. 权限变更
2. 所有者变更
3. 打开
4. 目录创建
5. 改名
6. 软链
7. 查看时间
8. 别名
9. 设置属性
10. 移除属性
进程
1. 进程创建
2. UID设置
3. GID设置
4. cap设置
内核
1. SELinux命令
2. BPF调用
系统
1. 目录挂载
2. 目录卸载
3. ARGS/ENGS设置
4. OOM事件
网络事件（IPv4/IPv6）
1. TCP链接创建、发送数据、关闭链接
2. UDP链接创建、发送数据、关闭链接
3. SOCKET链接创建、发送数据、关闭链接

存在绕过的情况

falco/SECURITY_AUDIT_2019_07.pdf at master · falcosecurity/falco · GitHub

https://darkbit.io/blog/falco-rule-bypass#:~:text=security%20kubernetes%20falco%20rule%20bypass%20Recently%2C%20when%20doing,%E2%80%9Cbypassed%E2%80%9D%20if%20the%20image%20name%20was%20cleverly%20formatted.

https://mp.weixin.qq.com/s/BAaOREFajQKk3y4MHDgmuA

标签：https,创建,乱七八糟,设置,发送数据,链接,falco
来源： https://blog.csdn.net/SHELLCODE_8BIT/article/details/122454588