falcosecurity/falcosidekick

Falcosidekick

!https://github.com/falcosecurity/falcosidekick/raw/master/imgs/falcosidekick_color.png

!release !last commit !licence !docker pulls

镜像概述和主要用途

Falcosidekick是一个帮助处理Falco输出的简单守护进程（[***]

核心功能和特性

支持的输出目标

目前可用的输出目标包括：

• Slack
• Teams
• Datadog
• AlertManager
• Elasticsearch
• Loki
• NATS
• Influxdb
• AWS Lambda
• AWS SQS
• SMTP（电子邮件）
• Opsgenie
• https://github.com/statsd/statsd%EF%BC%88%E7%94%A8%E4%BA%8E%E7%9B%91%E6%8E%A7%60falcosidekick%60%EF%BC%89
• DogStatsD（用于监控falcosidekick）
• Webhook

使用场景和适用范围

适用于需要将Falco检测到的安全事件、系统事件等转发到多种通知工具（如Slack、Teams）、监控系统（如Datadog、Prometheus AlertManager）或数据存储（如Elasticsearch、InfluxDB）的场景。可部署在各种架构中，如systemd服务、Kubernetes DaemonSet、Swarm服务等。

使用方法和配置说明

基本使用

可将该守护进程作为架构中的其他守护进程运行（systemd、k8s DaemonSet、Swarm服务等）。

使用Docker

bash
docker run -d -p 2801:2801 -e SLACK_WEBHOOKURL=XXXX -e DATADOG_APIKEY=XXXX falcosecurity/falcosidekick

使用Helm

bash
git clone https://github.com/falcosecurity/falcosidekick.git
cd ./falcosidekick/deploy/helm/falcosidekick/
helm install --name falcosidekick .

Falco配置

在falco.yaml中添加以下配置（根据环境调整）：

yaml
json_output: true
json_include_output_property: true
http_output:
  enabled: true
  url: http://localhost:2801/

或

yaml
json_output: true
json_include_output_property: true
program_output:
  enabled: true
  keep_alive: false
  program: "curl -d @- localhost:2801/"

配置说明

配置可通过文件（yaml） 和环境变量进行，环境变量的值会覆盖文件中的配置。

YAML文件配置

参考config_example.yaml：

yaml
# listenport: 2801 # 守护进程监听端口（默认：2801）
debug: false # 如果为true，所有输出将在stdout中打印发送的 payload（默认：false）
customfields: # 自定义字段将添加到Falco事件中
  Akey: "AValue"
  Bkey: "BValue"
  Ckey: "CValue"

slack:
  webhookurl: "" # Slack Webhook URL（例如：https://hooks.slack.com/services/XXXX/YYYY/ZZZZ），若不为空则启用Slack输出
  # footer: "" # Slack页脚
  # icon: "" # Slack图标（头像）
  outputformat: "text" # all（默认）、text、fields
  minimumpriority: "debug" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
  messageformat: "Alert : rule *{{ .Rule }}* triggered by user *{{ index .OutputFields \"user.name\" }}*" # 用于格式化Slack附件上方文本的Go模板，除SLACK_OUTPUTFORMAT的输出外额外显示，详情参见README中的[Slack消息格式](#slack-消息格式)。若为空，则不在附件前显示文本。

teams:
  webhookurl: "" # Teams Webhook URL（例如：https://hooks.slack.com/services/XXXX/YYYY/ZZZZ），若不为空则启用Teams输出
  # activityimage: "" # 消息部分的图片
  outputformat: "text" # all（默认）、text、facts
  minimumpriority: "debug" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）

datadog:
  # apikey: ""  # Datadog API密钥，若不为空则启用Datadog输出
  # minimumpriority: "" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）

alertmanager:
  # hostport: "" # http://{域名或IP}:{端口}，若不为空则启用AlertManager输出
  # minimumpriority: "" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）

elasticsearch:
  # hostport: "" # http://{域名或IP}:{端口}，若不为空则启用Elasticsearch输出
  # index: "falco" # 索引（默认：falco）
  # type: "event"
  # minimumpriority: "" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
  # suffix: "daily" # 索引轮换的日期后缀：daily（默认）、monthly、annually、none

influxdb:
  # hostport: "" # http://{域名或IP}:{端口}，若不为空则启用Influxdb输出
  # database: "falco" # Influxdb数据库（默认：falco）
  # user: "" # 若Influxdb启用认证，则使用的用户名
  # password: "" # 若Influxdb启用认证，则使用的密码
  # minimumpriority: "" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）

loki:
  # hostport: "" # http://{域名或IP}:{端口}，若不为空则启用Loki输出
  # minimumpriority: "" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）

nats:
  # hostport: "" # nats://{域名或IP}:{端口}，若不为空则启用NATS输出
  # minimumpriority: "" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）

aws:
  # accesskeyid: "" # AWS访问密钥（若使用EC2实例配置文件则可选）
  # secretaccesskey: "" # AWS密钥（若使用EC2实例配置文件则可选）
  # region : "" # AWS区域（若使用EC2实例配置文件则可选）
  lambda:
    # functionname : "" # Lambda函数名称，若不为空则启用AWS Lambda输出
    # minimumpriority: "" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
  sqs:
    # url : "" # SQS队列URL，若不为空则启用AWS SQS输出
    # minimumpriority: "" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）

smtp:
  # hostport: "" # SMTP服务器的host:port地址，若不为空则启用SMTP输出
  # user: "" # 访问SMTP服务器的用户
  # password: "" # 访问SMTP服务器的密码
  # from: "" # 发件人地址（若启用SMTP输出则为必填）
  # to: "" # 收件人地址列表（逗号分隔，若启用SMTP输出则不能为空，必填）
  # outputformat: "" # html（默认）、text
  # minimumpriority: "" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）

opsgenie:
  # apikey: "" # Opsgenie API密钥，若不为空则启用Opsgenie输出
  # region: "eu" # 域名区域（us|eu）（默认：'us'）
  # minimumpriority: "" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）

statsd:
  forwarder: "" # StatsD转发器地址，格式为"host:port"，若不为空则启用StatsD
  namespace: "falcosidekick." # 所有指标的前缀（默认："falcosidekick."）

dogstatsd:
  forwarder: "" # DogStatsD转发器地址，格式为"host:port"，若不为空则启用DogStatsD
  namespace: "falcosidekick." # 所有指标的前缀（默认："falcosidekick."）
  # tag :
  #   key: "value"

webhook:
  # address: "" # Webhook地址，若不为空则启用Webhook输出
  # minimumpriority: "" # 使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）

使用方法：

bash
usage: falcosidekick [<flags>]

Flags:
      --help                     显示上下文相关帮助（也可尝试 --help-long 和 --help-man）。
  -c, --config-file=CONFIG-FILE  配置文件

环境变量配置

守护进程的配置也可通过环境变量进行，这些值会覆盖yaml文件中的配置。环境变量与yaml文件中的字段名称对应关系为：yaml: a.b --> envvar: A_B（注意大小写）：

• LISTENPORT：守护进程监听端口（默认：2801）
• DEBUG：若为true，所有输出将在stdout中打印发送的payload（默认：false）
• CUSTOMFIELDS：要添加到Falco事件的自定义字段列表，格式为"key:value,key:value"
• SLACK_WEBHOOKURL：Slack Webhook URL（例如：[***]
• SLACK_FOOTER：Slack页脚
• SLACK_ICON：Slack图标（头像）
• SLACK_OUTPUTFORMAT：all（默认）、text（仅文本显示）、fields（仅字段显示）
• SLACK_MINIMUMPRIORITY：使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
• SLACK_MESSAGEFORMAT：用于格式化Slack附件上方文本的Go模板，除SLACK_OUTPUTFORMAT的输出外额外显示，详情参见Slack消息格式。若为空，则不在附件前显示文本。
• TEAMS_WEBHOOKURL：Teams Webhook URL（例如：[***]
• TEAMS_ACTIVITYIMAGE：Teams部分图片
• TEAMS_OUTPUTFORMAT：all（默认）、text（仅文本显示）、facts（仅事实信息显示）
• TEAMS_MINIMUMPRIORITY：使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
• DATADOG_APIKEY：Datadog API密钥，若不为空则启用Datadog输出
• DATADOG_MINIMUMPRIORITY：使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
• ALERTMANAGER_HOSTPORT：AlertManager地址，格式为[***]
• ALERTMANAGER_MINIMUMPRIORITY：使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
• ELASTICSEARCH_HOSTPORT：Elasticsearch地址，格式为[***]
• ELASTICSEARCH_INDEX：Elasticsearch索引（默认：falco）
• ELASTICSEARCH_TYPE：Elasticsearch文档类型（默认：event）
• ELASTICSEARCH_MINIMUMPRIORITY：使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
• ELASTICSEARCH_SUFFIX：索引轮换的日期后缀：daily（默认）、monthly、annually、none
• INFLUXDB_HOSTPORT：Influxdb地址，格式为[***]
• INFLUXDB_DATABASE：Influxdb数据库（默认：falco）
• INFLUXDB_USER：若Influxdb启用认证，则使用的用户名
• INFLUXDB_PASSWORD：若Influxdb启用认证，则使用的密码
• INFLUXDB_MINIMUMPRIORITY：使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
• LOKI_HOSTPORT：Loki地址，格式为[***]
• LOKI_MINIMUMPRIORITY：使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
• NATS_HOSTPORT：NATS地址，格式为nats://host:port，若不为空则启用NATS
• NATS_MINIMUMPRIORITY：使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
• AWS_ACCESSKEYID：AWS访问密钥ID（若使用EC2实例配置文件则可选）
• AWS_SECRETACCESSKEY：AWS密钥（若使用EC2实例配置文件则可选）
• AWS_REGION：AWS区域（若使用EC2实例配置文件则可选）
• AWS_LAMBDA_FUNCTIONNAME：AWS Lambda函数名称，若不为空则启用AWS Lambda输出
• AWS_LAMBDA_MINIMUMPRIORITY：使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
• AWS_SQS_URL：AWS SQS队列URL，若不为空则启用AWS SQS输出
• AWS_SQS_MINIMUMPRIORITY：使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
• SMTP_HOSTPORT：SMTP服务器地址，格式为"host:port"，若不为空则启用SMTP输出
• SMTP_USER：访问SMTP服务器的用户
• SMTP_PASSWORD：访问SMTP服务器的密码
• SMTP_FROM：发件人地址（若启用SMTP输出则为必填）
• SMTP_TO：收件人地址列表（逗号分隔，若启用SMTP输出则不能为空，必填）
• SMTP_OUTPUTFORMAT：邮件格式，可选html（默认）、text
• SMTP_MINIMUMPRIORITY：使用此输出的事件最低优先级，顺序为emergency|alert|critical|error|warning|notice|informational|debug或""（默认）
• OPSGENIE_APIKEY：Opsgenie API密钥，若不为空则启用Opsgenie输出
• OPSGENIE_REGION：域名区域（us|