热门搜索:
trendmicrocloudone/falco
trendmicrocloudone
用于与Cloud One容器安全配合使用的Falco容器,提供容器运行时安全监控功能。
下载次数: 0状态:社区镜像维护者:trendmicrocloudone仓库类型:镜像最近更新:7 个月前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Falco (Cloud One Container Security 集成版) 镜像文档
1. 镜像概述
本镜像是 Falco 与 Cloud One Container Security 集成的容器化版本,基于开源 Falco 构建,预装 Cloud One Container Security 适配组件。主要用途是为容器环境(Docker/Kubernetes)提供运行时安全监控能力,通过与 Cloud One Container Security 平台联动,实现威胁检测、告警上报、策略集中管理及安全响应自动化。
2. 核心功能与特性
-
Falco 原生能力
- 实时监控系统调用、进程行为及文件操作
- 基于规则引擎的异常行为检测(如未授权访问、敏感文件修改、特权升级)
- 支持多环境:容器、主机、Kubernetes Pod
-
Cloud One 集成特性
- 与 Cloud One 威胁情报实时同步,提升检测准确性
- 告警事件集中上报至 Cloud One 平台,支持可视化分析与响应
- 安全策略(检测规则、响应动作)通过 Cloud One 统一配置与分发
-
容器化优势
- 简化部署流程,无需手动配置 Falco 与 Cloud One 集成组件
- 环境一致性,避免依赖冲突(内置 Falco 运行所需依赖)
- 资源隔离,降低对主机系统的直接影响
-
灵活配置
- 支持自定义检测规则(覆盖/补充默认规则)
- 可调整日志级别(debug/info/warn/error)与输出格式
- 内置指标收集功能(Prometheus 兼容),支持性能监控
3. 使用场景与适用范围
-
企业容器环境运行时安全监控
适用于部署 Docker 或 Kubernetes 的生产环境,实时检测容器逃逸、***进程、敏感数据泄露等威胁。 -
云原生应用安全防护
针对微服务、Serverless 等云原生架构,监控应用运行时行为,识别异常请求、资源滥用等风险。 -
Cloud One 平台整合的安全运营
与 Cloud One 安全生态(如 Workload Security、Network Security)联动,构建端到端云安全防护体系。 -
合规性审计
满足 GDPR、PCI-DSS 等合规要求,检测未授权访问、特权操作、日志篡改等违规行为,并生成审计记录。
4. 使用方法与配置说明
4.1 前提条件
- 已注册 Cloud One 账户,且开通 Container Security 服务
- 拥有有效的 Cloud One API 密钥(需具备 Container Security 管理权限)
- 部署环境:Docker 19.03+ 或 Kubernetes 1.16+
- 主机要求:Kernel 版本 ≥ 4.14(支持 eBPF 或 Falco 内核模块)
- 网络要求:容器需访问 Cloud One API 端点(根据区域,如
us-1.cloudone.trendmicro.com,端口 443)
4.2 镜像拉取
bashdocker pull trendmicro/falco-cloudone:latest
4.3 Docker 部署示例
基础部署(Docker 环境)
bashdocker run -d \ --name falco-cloudone \ --privileged \ # 需特权模式以访问系统资源 --restart unless-stopped \ -v /proc:/host/proc:ro \ # 挂载主机 proc 目录(只读) -v /sys:/host/sys:ro \ # 挂载主机 sys 目录(只读) -v /var/run/docker.sock:/var/run/docker.sock:ro \ # 访问 Docker 元数据(Docker 环境必填) -e CLOUD_ONE_API_KEY="your-cloudone-api-key" \ # 替换为实际 API 密钥 -e CLOUD_ONE_REGION="us-1" \ # 替换为 Cloud One 区域(如 us-1, eu-1, ap-1) -e LOG_LEVEL="info" \ # 日志级别:debug/info/warn/error(默认 info) trendmicro/falco-cloudone:latest
4.4 Docker Compose 配置
创建 docker-compose.yml:
yamlversion: '3.8' services: falco-cloudone: image: trendmicro/falco-cloudone:latest container_name: falco-cloudone privileged: true restart: unless-stopped volumes: - /proc:/host/proc:ro - /sys:/host/sys:ro - /var/run/docker.sock:/var/run/docker.sock:ro - ./custom-rules:/etc/falco/rules.d:ro # 挂载自定义规则目录(可选) environment: - CLOUD_ONE_API_KEY=your-cloudone-api-key # 必填 - CLOUD_ONE_REGION=us-1 # 必填,Cloud One 区域 - LOG_LEVEL=info # 可选,默认 info - METRICS_ENABLED=true # 可选,是否启用指标收集(默认 true) - FALCO_RULES_REPO=https://github.com/falcosecurity/rules # 可选,默认规则仓库
启动服务:docker-compose up -d
4.5 Kubernetes 部署(简要)
通过 DaemonSet 实现集群级部署(确保每个节点运行一个实例):
yamlapiVersion: apps/v1 kind: DaemonSet metadata: name: falco-cloudone namespace: security spec: selector: matchLabels: app: falco-cloudone template: metadata: labels: app: falco-cloudone spec: hostPID: true containers: - name: falco-cloudone image: trendmicro/falco-cloudone:latest securityContext: privileged: true volumeMounts: - name: proc mountPath: /host/proc readOnly: true - name: sys mountPath: /host/sys readOnly: true - name: var-run mountPath: /var/run/docker.sock readOnly: true env: - name: CLOUD_ONE_API_KEY valueFrom: secretKeyRef: name: cloudone-credentials key: api-key - name: CLOUD_ONE_REGION value: "us-1" - name: LOG_LEVEL value: "info" volumes: - name: proc hostPath: path: /proc - name: sys hostPath: path: /sys - name: var-run hostPath: path: /var/run/docker.sock
4.6 环境变量配置
| 环境变量名 | 必填 | 描述 | 示例值 |
|---|---|---|---|
CLOUD_ONE_API_KEY | 是 | Cloud One API 密钥,用于鉴权(从 Cloud One 控制台 > 账户 > API 密钥获取) | 12345678-1234-1234-1234-1234567890ab |
CLOUD_ONE_REGION | 是 | Cloud One 服务区域 | us-1(美国)、eu-1(欧洲)、ap-1(亚太) |
LOG_LEVEL | 否 | 日志输出级别 | debug/info(默认)/warn/error |
METRICS_ENABLED | 否 | 是否启用 Prometheus 指标收集 | true(默认)/false |
METRICS_PORT | 否 | 指标暴露端口(仅当 METRICS_ENABLED=true 时生效) | 2801(默认) |
FALCO_RULES_REPO | 否 | 默认规则仓库地址(用于同步官方规则) | https://github.com/falcosecurity/rules |
CUSTOM_RULES_PATH | 否 | 容器内自定义规则文件路径(需通过挂载实现) | /etc/falco/rules.d/custom-rules.yaml |
4.7 自定义规则配置
如需添加自定义检测规则,可通过挂载规则文件实现:
-
本地创建规则文件(如
custom-rules.yaml),遵循 Falco 规则语法:yaml- rule: 检测敏感文件修改 desc: 监控 /etc/passwd 或 /etc/shadow 的写入操作 condition: (open_write and fd.name in (/etc/passwd, /etc/shadow)) output: "敏感文件被修改 (user=%user.name, process=%proc.name, file=%fd.name)" priority: CRITICAL -
部署时挂载该文件至容器内规则目录:
bashdocker run -d \ ...(其他参数)... -v ./custom-rules.yaml:/etc/falco/rules.d/custom-rules.yaml:ro \ trendmicro/falco-cloudone:latest
5. 注意事项
- 特权模式说明:容器需以
--privileged运行,以获取系统调用监控所需的内核访问权限,建议仅在可信环境部署。 - 规则更新:默认规则通过
FALCO_RULES_REPO定期同步,自定义规则需手动维护版本。 - 网络连通性:确保容器能够访问 Cloud One API 端点(可通过
telnet <REGION>.cloudone.trendmicro.com 443验证)。 - 性能影响:Falco 基于 eBPF 或内核模块监控系统调用,低负载场景下性能开销 < 5%,高并发环境建议测试验证。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 falco 镜像标签
docker pull docker.xuanyuan.run/trendmicrocloudone/falco:<标签>
DockerHub 原生拉取命令
docker pull trendmicrocloudone/falco:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"