h3guang/falco-rules-custom

# Falco Custom Rules for Kubernetes Security ## 背景 在滴滴 2000+ K8s 集群中，Falco 原生规则存在以下痛点： - **告警太粗**：只给 Pod 名，不给业务 Owner，运营找不到人 - **重复触发**：同一 Pod 同一规则疯狂告警，一天几万条 - **无业务上下文**：不知道这个 Pod 是干什么的，无法判断风险等级 ## 二次开发内容 ### 1. 扩展输出字段 补齐 Pod 的 namespace、labels、owner 信息，告警可直接定位到业务负责人 ### 2. 告警聚合窗口 相同 Pod + 相同规则，5 分钟内只发送 1 条告警 ### 3. 阈值优化 部分规则改为「累计触发 5 次再告警」，减少业务误报 ## 规则列表 | 规则名称 | 说明 | 优先级 | |----------|------|--------| | Run Privileged Container (Enhanced) | 检测特权容器启动，补充 owner 信息 | WARNING | | Mount Sensitive Host Directory | 检测容器挂载宿主敏感目录 | WARNING | | Interactive Shell Spawned | 检测容器内执行交互式 shell | CRITICAL | | Untrusted Image Started | 检测非信任镜像启动 | WARNING | | Read Sensitive File Untrusted | 检测非信任进程读取敏感文件 | WARNING | ## 使用方法 ### 1. 加载自定义规则 falco -r rules/custom_rules.yaml -r rules/trusted_images.yaml

标签：Falco, 告警规则, 子域名突变, 安全运营, 扫描框架, 敏感词过滤