本书是一本关于云原生**的实用指南，主要介绍了如何使用Falco(一款开源的**监控工具)来检测容器、Kubernetes和云环境中的风险和威胁。本书分为四部分，每一部分都建立在前一部分的基础上。**部分介绍Falco及其功能，将带你理解Falco的基本概念，并指导你完成**次本地部署。第二部分介绍Falco的架构和内部工作方式。第三部分是Falco用户的参考手册，将指导你在各种环境中部署、配置、运行和调优Falco。第四部分是给***的参考资料，涵盖扩展Falco的方法。本书旨在帮助读者了解云原生**的重要性，学会使用Falco工具进行风险和威胁检测，从而提高云原生应用的**性能。

目录 前言1 **部分 认识Falco9 第1章 Falco简介11 1.1 Falco概览11 1.2 Falco的设计原则15 1.3 你可以用Falco做什么18 1.4 你不能用Falco做什么18 1.5 Falco的历史背景19 第2章 从本地环境开始24 2.1 在本地环境上运行Falco24 2.2 生成事件27 2.3 理解Falco的输出30 2.4 自定义Falco实例32 2.5 小结35 第二部分 Falco的架构37 第3章 深入理解Falco架构39 3.1 Falco和Falco库：数据流视图41 3.2 驱动程序42 3.3 插件43 3.4 libscap44 3.5 libsinsp47 3.6 规则引擎50 3.7 小结50 第4章 数据源51 4.1 系统调用51 4.2 捕获系统调用58 4.3 Falco驱动程序64 4.4 运行Falco驱动程序67 4.5 Falco插件69 4.6 小结72 第5章 数据扩充73 5.1 理解系统调用的数据扩充73 5.2 用插件进行数据扩充83 5.3 小结83 第6章 字段和过滤器84 6.1 什么是过滤器84 6.2 过滤语法参考86 6.3 字段88 6.4 使用字段和过滤器92 6.5 Falco的*有价值字段95 6.6 小结101 第7章 Falco规则102 7.1 Falco规则文件102 7.2 解析Falco规则文件104 7.3 替换、追加和禁用规则110 7.4 小结113 第8章 输出框架114 8.1 Falco的输出架构114 8.2 输出格式化116 8.3 输出通道117 8.4 小结124 第三部分 运行Falco125 第9章 安装Falco127 9.1 选择安装方式127 9.2 直接在主机上安装128 9.3 在容器中运行Falco134 9.4 将Falco部署到Kubernetes集群139 9.5 小结142 第10章 配置和运行Falco143 10.1 配置Falco143 10.2 不同安装方式下Falco的差异144 10.3 命令行选项和环境变量145 10.4 配置文件151 10.5 规则集152 10.6 使用插件154 10.7 更改配置156 10.8 小结157 第11章 使用Falco实现云**158 11.1 为什么要为AWS**选择Falco158 11.2 Falco的架构和AWS**159 11.3 配置和运行CloudTrail插件161 11.4 扩展Falco的AWS规则集167 11.5 其他云环境168 11.6 小结168 第12章 Falco事件169 12.1 Falco输出169 12.2 可观测性和分析174 12.3 获取通知175 12.4 威胁响应引擎176 12.5 小结177 第四部分 扩展Falco179 第13章 编写Falco规则181 13.1 自定义Falco的默认规则181 13.2 编写新规则182 13.3 编写规则的注意事项189 13.4 小结193 第14章 Falco开发194 14.1 使用代码库195 14.2 使用gRPC API扩展Falco198 14.3 使用插件扩展Falco199 14.4 小结208 第15章 如何做贡献209 15.1 为Falco做贡献的意义209 15.2 应该从哪里开始210 15.3 为Falcosecurity项目做贡献210 15.4 小结214