falco

Falco 是一款针对 Linux 操作系统的云原生运行时安全工具，旨在实时检测和警报异常行为及潜在的安全威胁。其核心功能包括基于自定义规则监控内核事件（如系统调用），并通过与容器运行时和 Kubernetes 集成来丰富这些事件的元数据，从而为用户提供更全面的安全视角。Falco 支持将收集到的数据发送至SIEM或数据湖系统进行进一步分析。该项目适合需要增强容器化环境安全性的企业使用，特别是在Kubernetes集群中部署应用的情况下，能够有效提升整体安全性。作为CNCF毕业项目之一，Falco已被众多组织广泛采用于生产环境中。