Kapitel 8. Der Output-Rahmen
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
In den vorangegangenen Kapiteln hast du gelernt, wie Falco Ereignisse sammelt (Input) und wie es diese verarbeitet, damit du wichtige Sicherheitsmeldungen erhältst (Output). Am Ende dieser Verarbeitungspipeline steht ein wichtiger Teil von Falco - das Ausgabe-Framework - das es ermöglicht,diese Benachrichtigungen (auch Alerts genannt) an die richtige Stelle zu senden. Wir nennen es Framework, weil sein modularer Aufbau alles bietet, was du brauchst, um Benachrichtigungen an jedes gewünschte Ziel zu senden. In diesem Kapitel erfährst du, wie das Output-Framework funktioniert und wie du es konfigurieren und erweitern kannst.
Falco's Output Architektur
Das Output-Framework ist der letzte Teil der Ereignisverarbeitungspipeline, die wir in diesem Teil des Buches beschrieben haben. Das User-Space-Programm von Falco implementiert den Kernmechanismus intern, aber externe Tools können ihn erweitern. Seine Aufgabe ist es, Benachrichtigungen rechtzeitig an das richtige Ziel zu liefern. Immer wenn ein vorgelagertes Ereignis (das von einem Treiber, einem Plugin oder einer anderen von Falco unterstützten Eingabequelle erzeugt wird) die Bedingung einer Regel erfüllt, bittet die Regel-Engine das Output-Framework, eine Benachrichtigung an einen nachgelagerten Verbraucher zu senden, bei dem es sich um ein beliebiges anderes Programm ...
Get Praktische Cloud Native Sicherheit mit Falco now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
