Kapitel 6. Felder und Filter
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Endlich ist es an der Zeit, die Theorie, die du in den vorherigen Kapiteln gelernt hast, in die Praxis umzusetzen. In diesem Kapitel lernst du die Falco-Filter kennen: was sie sind, wie sie funktionieren und wie man sie einsetzt.
Filter sind das Herzstück von Falco. Sie sind auch ein mächtiges Untersuchungsinstrument, das in verschiedenen anderen Tools wie sysdig verwendet werden kann. Wir gehen davon aus, dass du dieses Kapitel auch nach Beendigung des Buches noch oft zu Rate ziehen wirst, deshalb haben wir es so aufgebaut, dass du es als Nachschlagewerk nutzen kannst. Es enthält zum Beispiel Tabellen mit allen Operatoren und Datentypen, die die Filtersprache zur Verfügung stellt, damit du sie schnell nachschlagen kannst, sowie eine gut dokumentierte Liste der nützlichsten Felder von Falco. Der Inhalt dieses Kapitels wird dir so ziemlich jedes Mal nützlich sein, wenn du eine Falco-Regel schreibst, also setze ein Lesezeichen!
Was ist ein Filter?
Beginnen wir mit einer semiformalen Definition:
Ein Filter in Falco ist eine Bedingung, die eine Folge von Vergleichen enthält, die durch boolesche Operatoren verbunden sind. Jeder der Vergleiche wertet ein Feld, das aus einem Eingabeereignis extrahiert wird, gegen eine Konstante aus, wobei ein Vergleichsoperator verwendet wird. Vergleiche in Filtern werden von links nach rechts ...
Get Praktische Cloud Native Sicherheit mit Falco now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
