druxus/container-response-engine
GitHub: druxus/container-response-engine
基于 Falco 的 Kubernetes 自动化安全事件响应平台,实现从威胁检测到容器隔离、取证保留和实时告警的闭环处置。
Stars: 0 | Forks: 0
# 容器响应引擎
[](https://opensource.org/licenses/MIT)
[](https://www.python.org/downloads/)
[](https://kubernetes.io/)
**具备威胁检测与隔离功能的 Kubernetes 自动化安全事件响应平台。**
这是一个生产就绪的解决方案,它使用 Falco 检测安全威胁,自动隔离受损容器,存储事件数据,并通过电子邮件发送实时警报。
## ✨ 功能
- **实时威胁检测**:基于 Falco 的跨所有容器的 syscall 监控
- **自动化响应**:立即隔离 Pod 并执行网络策略
- **取证保留**:自动克隆受损 Pod 以供分析
- **多层警报**:通过 SNS 发送电子邮件通知 + 事件数据库存储
- **生产就绪**:EKS 集成,RDS PostgreSQL,AWS Secrets Manager
- **可观测性**:Grafana 仪表盘 + 结构化日志
- **企业级安全**:RBAC,NetworkPolicies,可自定义的威胁规则
## 🏗️ 架构
```
┌──────────────────────────────────────────────────────────────┐
│ KUBERNETES CLUSTER (EKS) │
├──────────────────────────────────────────────────────────────┤
│ │
│ ┌─────────────────────────┐ ┌─────────────────────┐ │
│ │ Production Pods │ │ Falco DaemonSet │ │
│ │ (nginx, services, etc) │◄─────│ (Syscall Monitor) │ │
│ └─────────────────────────┘ └────────┬────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────┐ │
│ │ Response Agent │ │
│ │ (HTTP Server) │ │
│ └────┬──────┬──────┘ │
│ │ │ │
│ ┌────────────────────────────────┘ └────────┐ │
│ │ │ │
│ ▼ ▼ │
│ ┌──────────────────┐ ┌────────────┐ │
│ │ Quarantine NS │ │ NetworkP │ │
│ │ (Isolated Clones)│ │olicies │ │
│ └──────────────────┘ └────────────┘ │
│ │
└────────────┬───────────────────────────────────┬────────────┘
│ │
▼ ▼
┌──────────────────────┐ ┌──────────────────────┐
│ RDS PostgreSQL │ │ SNS Topic │
│ (Incident Database) │ │ (Email Alerts) │
└──────────────────────┘ └──────────────────────┘
▲
│
┌────────┴──────────┐
│ Grafana (3000) │
│ Dashboards │
└───────────────────┘
```
## 🚀 快速开始
### 前置条件
- AWS 账号
- `kubectl` v1.31+,`helm` v3.14+,`eksctl` v0.191+
- AWS CLI v2+
- PowerShell 7+(或 Bash)
### 1. 克隆并配置
```
git clone https://github.com/druxus/container-response-engine.git
cd container-response-engine
cp .env.example .env
# 使用你的 AWS 凭证编辑 .env
```
### 2. 部署(即将推出)
```
.\deploy\deploy.ps1
```
### 3. 验证
```
kubectl get pods -A
kubectl logs -l app=response-agent -f
```
## 📊 核心组件
| 组件 | 角色 |
|-----------|------|
| **Falco** | 通过 syscall 监控检测安全威胁 |
| **响应代理** | 接收警报,触发隔离措施 |
| **RDS PostgreSQL** | 存储事件数据以供分析 |
| **SNS** | 实时电子邮件警报 |
| **Grafana** | 事件可视化 |
| **NetworkPolicy** | Pod 网络隔离 |
## 🔐 安全至上
- 所有凭证均通过 AWS Secrets Manager 管理
- 代码中无硬编码机密
- `.env` 文件已从 git 中排除
- MIT 许可证 - 开源且透明
- RBAC + NetworkPolicies 实现纵深防御
## 📚 文档
- [快速入门指南](docs/QUICKSTART.md) - 即将推出
- [配置说明](docs/CONFIG.md) - 即将推出
- [故障排除](docs/TROUBLESHOOTING.md) - 即将推出
- [API 参考](docs/API.md) - 即将推出
## 🤝 贡献
欢迎贡献!请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)
## 📄 许可证
MIT 许可证 - 详情请参见 [LICENSE](LICENSE)
**由 Diego Bermudo 用 ❤️ 打造** | v1.0.0 | 2026-05-13
标签:AMSI绕过, AWS, Chrome Headless, DevSecOps, DPI, EKS, Falco, HTTP工具, JSONLines, Kubernetes安全, Pod隔离, PostgreSQL, Python, RDS, SOAR, Syscall监控, Web截图, 上游代理, 威胁检测, 子域名突变, 安全运营, 容器取证, 容器安全, 容器防护, 扫描框架, 搜索语句(dork), 敏感词过滤, 无后门, 测试用例, 网络信息收集, 网络安全审计, 网络策略, 自动化应急响应, 逆向工具, 零信任