 Oi, som, testando. Vou ajustar as telas aqui. Então... Quer dizer, meia-dia agora. Bom dia ainda. Eu não sei se o Ricardo ou alguém da organização quer falar alguma coisinha. Não, você vai falar que seu volume está funcionando. Você fez o testemunho. Beleza. Obrigado. Então tá, pessoal. Bom dia para que ainda está no último segundo do meia-dia. Boa tarde se você já almoçou. Primeiramente, gostaria de agradecer aos palestrantes. Já passaram aqui hoje e os que vão passar. É muito legal. Eu já aprendi muito com o evento de comunidade e hoje eu estou aqui para retribuir um pouco do que eu aprendi pelos outros, pelo documento que a gente viu, pelo que a Vi trouxe hoje de manhã no keynote. Então, vamos lá. Meu propósito da palestra hoje é a gente falar o que diabos está acontecendo dentro dos meus containers. Eu sei que muita gente pia no log para saber o que está acontecendo mas será que isso é suficiente? Então, venha comigo para a gente dar uma conversada sobre esse assunto. Importante, pessoal, só quem quiser, aqui ou aqui, eu não sei exatamente onde está no teu browser, mas tem a sessão de perguntas e respostas, vai ter o Q&A está em inglês ou PIR. Então, clica lá que no final da apresentação a gente vai junto, se tiver tempo a gente conversa e fica organizadinho para dar uma olhada. Então, primeira coisa eu. Então, meu nome é Bruno Gabriel da Silva uma das atividades que eu mais gosto de fazer é assistir e jogar um sessinho. Foi graças ao Counter Strike na época de Landhouse então se você consegue ter uma ideia do quão velho eu já sou na época de Landhouse eu comecei com isso e um certo dia fiquei muito inculcado por que eu não conseguia conectar na internet, na casa do meu amigo e realmente na internet, a gente não conseguia fazer os dois Counter Strikes encontrar e quando eu ia na Landhouse, isso foi a gente de connect, o 9268 alguma coisa, e eu achava que por que que eu me acreditava em casa então ali começou a minha curiosidade de entrar de casa na Landhouse funciona naturalmente, como Counter Strike é um jogo, eu acabei indo para um mundo de sessão comecei a ter essa pegada de Windows eu trabalhei por muitos anos de uma empresa obviamente chamada Banner Systems e lá eu comecei literalmente de carregando máquina bem júnior até o ponto que eu cheguei na formação Senior, então tinha uma base muito legal do Windows e aí eu me converti para o lado como a gente está hoje falando sobre CNCF, onde eu comecei a trabalhar com Kubernetes se vocês estão vendo aqui essa foto com essa criança como eu, acredito que se quiser eu moro na Irlanda, mas eu estou em Blumenau e essa aqui é a foto de criança que eu estou no meu quarto antigo de criança que meu pai guarda até hoje, então estou eu se você quiser me encontrar nas redes sociais linkedin, twitter, github quer trocar uma ideia, quer falar sobre o projeto tem esse QR code, acho que está um tamanho bem legal tira o print screen, scannei agora ou vai no about me barra bgsilva it um pouquinho sobre a minha carreira, eu comentei ali, comecei quando eu fui trabalhar na Irlanda, fui trabalhar na AWS eu conheci de fato Kubernetes, comecei a ter interação com clientes, interação com o ambiente de produção de Kubernetes foi uma coisa que eu me apaixonei acabei indo para o lado das certificações e isso posso comentar que a gente falou sobre pessoas e a gente comentou dá muita visibilidade pessoal trabalhar o compensor, se você quer dar um próximo passo na carreira, como a Tata e o somatório, como é que vocês falaram terraform, cloud isso é uma coisa que dá muito impulso e é muito legal, e eventos como esse são ótimos para você dar os primeiros passos ou pegar aquele estalinho que pode te ajudar se você está pensando em evoluir a carreira ou dar o próximo passo para finalizar hoje eu trabalho como engenheiro de vendas na sysdig que é praticamente a parte técnica de mostrar o produto e a minha empresa é especializada nessa questão de segurança e container e cloud e foi onde eu consegui juntar o meu background qual que é a agenda que a gente vai ver hoje então a gente vai falar um pouquinho sobre run time security, a gente vai falar sobre a ferramenta falco, como eu posso usar ela como essa ferramenta funciona um pouquinho sobre como as regras funcionam uma demonstração, espero que tudo dá certo porque eu estou bem nervoso para bastante pessoas, mas acho que vai dar certo e um pouquinho do ecossistema que a gente está falando em projeto open source sempre tem um ecossistema por trás então vamos começar no que consiste o run time security então eu preciso entender o comportamento do meu sistema fundo a partir de uma fonte confiável aí como é que eu posso fazer isso então eu preciso monitorar esse comportamento em tempo de execução esse conceito pode parecer meio estranho, mas vamos tentar um exemplo que provavelmente é mais apalpável para quem já está usando, quem já trabalha com sysadmin eu devolvo isso um tempo por exemplo se eu pegar uma placa de rede no linux e eu simplesmente olhar para ela eu vou ver o IP dela, o MAC address eu não vou ter muito entendimento do que está acontecendo na minha rede então eu preciso em tempo de execução ou seja, enquanto a placa de rede está trabalhando recebendo o tráfico, enviando o tráfico enfim, é performando a sua tarefa eu preciso por exemplo rodar um pcp dump nesse tempo de execução ou seja, enquanto a placa está trabalhando esse comportamento e depois eu pegar esses dados e levar para uma ferramenta como por exemplo o airshark, que já deve ter ouvido falar e pegar esses dados que são coisas de sistema operacional aqueles p-caps, coisas na mesma linha difícil de entender e transformar informações porque o ser humano precisa de informações então de encontro que a Vi falou hoje de manhã, a gente precisa pensar que as ferramentas têm que ser para humanos os humanos podem por si só, não vai trazer um benefício se estão trouxer alguma coisa prática ou boa para o ser humano se a gente pegar essa questão e trazer para segurança nesse caso o comportamento vai ser assistant calls ou seja, as chamadas de sistema e como eu preciso de uma fonte o kernel é a minha fonte de confiabilidade é importante lembrar que o kernel nunca mente, o que está lá é a verdade absoluta entendi mas por que eu preciso disso será que eu preciso, será que eu tenho necessidade o runtime security é importante para a gente detectar comportamentos maliciosos na minha aplicação no meu sistema um dos pontos muito importantes o drift da imagem já escaneada então quando a gente está falando de container ela não comentou na palestra dele a gente faz um link do Dockerfile se a gente procura por vulnerabilidades lá no Dockerfile mas a gente, e por padrão uma imagem dela deve ser imutável ou seja, ela é projetada para rodar aquele aplicativo, por exemplo, o enginex ela deveria só executar aquela aplicação mas se você já trabalhou um pouquinho com container você sabe que você pode, por exemplo, entrar no terminal no container e instalar um pacote, fazer alguma alteração e isso abre brechas para que um por exemplo, instale um ou faça alguma ação maliciosa após a imagem de se escanear eu preciso ter alguma coisa que me avise nesse drift algo que é só presente no runtime eu estou escaneando o código lá e eu não consigo encontrar nada naquele código que é malicioso, porque aquele comportamento ele só se manifesta no momento que aquele processo está rodando de novo fazendo um paralelo com a placa de rede se eu escanear e passar um software na placa de rede eu não vou encontrar nada de errado agora se eu escanear o comportamento ou seja, os pacotes que redes estão entrando sem dela eu posso talvez encontrar que de repente eu peguei, eu não conheço e claro, coisas desconhecidas a gente sabe que vai ter vulnerabilidades de novo pegando um gancho da ótima palestra de hoje e manhã do Magno projetos grandes como Kubernetes vão parecer mais vulnerabilidades mais pessoas estão usando é mais interessante para um ataque e atrás desse tipo de coisa e o 010, ou seja um expo... é detectado no dia, ou foi lançado e ainda não existe uma correção ou seja, alguma coisa no seu sistema para evitar também é importante, a gente precisa para a resposta em acidentes, então a gente precisa alertar sobre a atecção no exato momento que ela ocorre não faz muito sentido hoje em dia quando eu estou trabalhando em coisa em real time em DevOps, eu simplesmente mandar um alerta ou um log para um syslog ou para um splunk, alguma ferramenta e depois eu levar uma semana para fazer minha análise eu preciso de algo que me dê com uma alerta no tempo que aquilo ocorre e se a tua empresa, por exemplo, usa cartão de crédito tem um site com o texto que já ouviu falar de PCI que é um dos compliance e segurança que os standards para que a tua empresa tenha certificado e possa operar acabei de comentar, NIST e SOC se você não tem nenhuma ideia de qual pode ser o runtime que só apresenta só o que manifesta no runtime no runtime security o log4j acho que todo mundo viu em dezembro e continua fazendo bastante fusuel, diria é um comportamento que essa biblioteca do Java já estava lá há muito tempo, muitas pessoas utilizando e de repente foi descoberto uma falha só que essa falha só se manifesta quando o Java está rodando eu não vou entrar em detalhes aqui, mas quem quiser pesquisar queria trazer essa importância importante ter algo que monitore o runtime e não mais estaticamente vamos lá falar então do falco, o que é o falco o falco é um ferramente open source para runtime security que foi desenvolvido originalmente pela CISDIG a CISDIG contribuiu o falco para a CNCF se você não conhece a CNCF, é o órgão que está organizando esse evento então aconselho vocês aí na página e claro um projeto mais conhecido ou mais importante da CNCF que inclusive gerou esse evento, é o Kubernetes e hoje ele está no projeto encubado mas o que o falco faz então Bruno o falco ele utiliza system calls para fazer a segurança e o monitoramento do meu sistema e como é que ele faz isso? ele interpreta as CISCOLs do Linux do kernel Runtime então fazendo um paralelo de novo para o Arshark eu tenho aquele monte de dados estranhos tudo na minha entender e eu vou usar uma ferramente que ela vai interpretar aquilo, vai me gerar informações então o falco vai coletar essas CISCOLs do Linux e a partir disso vai me gerar informações eu também posso usar ele para a ditoria do Kubernetes então por exemplo se alguém cria um config map e passa por exemplo uma access key uma secret key que já trabalha um pouquinho o Kubernetes sabe que deveria usar um secrets o config map não deveria conter informações excessivas então eu posso usar o falco também para alimentar ele com a ditoria do Kubernetes e fazer esses alertas rapidamente como é que ele faz isso então ele compara esse stream de dados ou seja essa entrada que a gente alimenta o falco com o poderoso processador e ele me alerta como uma regra violada então aqui do lado a gente tem pessoalmente desde a primeira vez que eu vi o falco eu vejo uma espada se você nunca viu uma espada, parabéns agora você vai ver uma espada o tempo todo agora você está junto comigo vamos falar um pouquinho do projeto falco então hoje ele conta com mais loads, ele tem aproximadamente mais de 600 contribuidor e é uma ferramente que trabalha na taxão de tempo real se você e mais números você pode ir lá na landscape de cncf onde tem todos os produtos que são abaixo do guarda-chuva da cncf e dar uma filtrada por falco outra coisa importante é que se você está pensando em certificação de Kubernetes inclusive para quem perdeu o Ricardo comentou que vai ter um sorteio de algumas falchas de CKA então fiquem ligados a campanha em todas as informações se você for dar o próximo um step da CKA para CKS que é a certificação de segurança de Kubernetes o falco é um major então o que eu vou mostrar aqui hoje pode te ajudar e vai te ajudar a entender um pouco melhor a ferramenta e se você está querendo vai ser bem legal hoje o falco ele se tornou a ferramenta de estado da arte para a taxão de runtime no Kubernetes algumas publicamente utilizam o falco para fazer a taxão de runtime por exemplo gitlab CKA Skinner, Shopify entre outros legal tive uma ideia de runtime security estou achando que isso é importante como é que eu posso usar o falco então eu posso rodar o falco manualmente como binário executável eu posso chamar no meu terminal o falco passar os parâmetros é claro que esse modo ele é mais importante para quando eu estiver estudando aprendendo a ferramenta do que quando eu estiver rodando em produção se eu quiser rodar em produção ou seja um demon no linux a partir do momento que o meu sistema operacional iniciar o falco já vai estar lá fazendo o trabalho dele esperando para alertar caso alguma regra seja obrigada eu posso rodar ele então posso rodar ele diretamente se não quiser fazer uma instalação e eu posso rodar ele como um Kubernetes demon set ou seja eu vou garantir que cada um dos nós do meu cluster tenha uma copia desse container falco rodando logo eu vou estar de olho em todos os meus nós então tudo o que estiver rodando naquele meu nó eu vou estar de olho como eu tenho instalação em todos os nossos eu vou estar de olho em tudo o que acontece no meu ambiente e como é que o falco funciona tecnicamente então a gente por exemplo tem uma aplicação pode ser por exemplo o nginx que é bem comum da gente utilizar essa aplicação ela precisa falar com kernel por exemplo o nginx precisa abrir uma porta então ele digamos abrir a porta 80 ele precisa que o kernel libera esse socket tcp e como é que ele faz isso utilizando essas chamadas então ele utiliza as chamadas temas para falar com kernel o kernel executa a sua operação devolve, a mesma coisa se for uma chamada o nginx precisa ler o seu arquivo de configuração você dá um read no file então isso tudo a partir desses calls que fala com kernel da mesma forma que a gente utiliza containers imaginando a mesma aplicação a mesma ideia o nginx ela também vai seguir o mesmo caminho para ir até o kernel para eu conseguir executar a operação a única diferença é que eu estou usando uma ferramenta que digamos de virtualização para simplificar o containerização que vai me ajudar a gente sabe as vantagens do container vou entrar no merto aqui que é para facilitar mas o processo é o mesmo a fonte única de verdade nesse caso então para eu saber o que diabos está acontecendo dentro dos meus containers na verdade eu preciso saber o que diabos está acontecendo no meu kernel e se eu alimento o falco através de um kernel module ou de BPF que são ferramentas para que eu consiga me atachar no kernel sem que eu interrompa não vou causar delay na chamada de sistema porque eu vou estar trabalhando do ladinho do kernel ficando de olho no que está acontecendo algo importante para se alentar aqui é eu não preciso instrumentar o meu container com o falco o falco roda a nível do host mesmo nesse container ele está trabalhando direto no kernel então eu vou alimentar o falco vou alimentar ele do kernel ou seja toda a verdade absoluta que está acontecendo independente seja diretamente no kernel pode ser uma aplicação contranarizada eu tenho acesso a isso porque no final eu estou indo na mesma fonte e isso vai me gerar uma e aí é importante a gente entender bom, beleza se a gente rodar um comando links por exemplo p3, s3, para dar uma olhada nesse score você vai ver que é muita coisa porque tem muita coisa acontecendo no seu sistema operacional então usando um jargão aqui do nosso amigo Jefferson eu vou dar uma descomplicada aqui nas regras para vocês para ver que parece difícil a primeira coisa que eu queria que vocês dêem uma olhada é que a gente tem 5 campos que são requisitos regra, descrição condição, output e priority como a maioria das ferramentas de DevOps tem hoje em dia isso aqui é escrito em AMO então a gente sabe, chave e valor fica fácil de detectar quando tem um um processo uma nova linha então nada que eu vou criar um POD que também posso usar AMO então vamos dar uma olhadinha nela então vou criar uma regra um show in container uma descrição porque a gente sabe nem todo mundo tem a memória ótima para lembrar que todas as regras vou criar uma descrição que seja de novo humanamente possível de detectar o que está acontecendo e aqui na condição é onde ou seja eu vou passar um certo parâmetro por falco que a partir do momento que essa condição aconteça que seria o tipo de evento de executar o tipo de direção algo está acontecendo dentro de um processo meu que o container é de seja diferente de host, ou seja eu estou eliminando essa parte do host nesse momento eu criando um filtro e que o processo que ele vai procurar é o bash caso essa condição seja atingida eu espero que ele dê esse output um show in container onde o usuário é igual aqui que vem a mágica do falco ele vai traduzir essa variável para o usuário que está rodando então imagina que eu vou ter que fazer uma captura desses colos, fazer um parse dela um grape, enfim, várias técnicas é isso que o falco faz e traz para você como mais ou menos fica essa saída esse é o resultado que quando essa regra for brigada, esse é o resultado que a gente vai ver show in container, parte texto e o falco vai substituir o valor é igual root, container ID o nome do container qual foi o shell qual foi o processo pai, ou seja a gente sabe que mesmo que esteja rodando docker quem faz a mágica de realmente rodar é o Run C inclusive o possuidão vai dar uma falada bem legal sobre isso nas palestras que ainda vem sobre hoje e qual foi a command line tá Bruno, beleza deu uma entendida nas regras mas eu preciso criar todas as regras na mão eu vou ir lá na documentação e ler tudo para saber claro que na documentação é super importante para você ver o que é suportivo mas quando você está no falco a gente já tem aproximadamente 67 regras para sistema operacional plus mais 50 regras se eu não me engano para a Kubernetes então você já tem uma infinidade de regras criadas que você pode dar uma olhadinha lá no falco.org e como é um projeto open source a comunidade pode contribuir e nos ajudar, então se você criar uma regra se você criar por exemplo um blog alguma coisa, você pode lá no github contribuir e aumentar essa pool de regras que no caso a gente entende que como é por exemplo quanto mais pessoas contribuem quanto mais pessoas se preparam melhor para todo mundo e aí a gente precisa também pensar um pouco legal a regra não é tão difícil quanto parece mas eu preciso dar uma simplificada na regra então o falco também contém duas outras opções bem legais e as listas o que é uma macro nesse caso você já deve, se você já usou da Kubernetes é bem comum a gente criar por exemplo kubectl, getpods, não toda vez que está digitando digitando, eu vou lá aqui um alias no Linux, ou seja, quando eu digitar kpc, eu quero esse comando, então a macro nada mais faz do que isso, eu vou substituir quando a palavra container aparecer eu vou estar substituindo essa condição container ID de frente de host pegando a mesma lógica se eu utilizar spawned um processo sendo spawnado, sendo criado, sendo iniciado eu vou substituir essa condição e também é importante a gente usar listas por exemplo, no exemplo anterior eu passei que eu queria detectar bash mas existem vários binários por exemplo bash, cssh, ksh, sh então em vez de eu ficar escrevendo a lógica and processname, and processname deixa a regra super complexa eu posso pegar e usar uma lista como que vai ficar esse mesmo evento que a gente viu antes, desculpa, essa é a mesma condição que a gente viu antes eu vou substituir basicamente spawn process equivale a sh equivale a sh, e o processname agora vou usar uma shell binaries, uma lista então vai me dar uma infinidade de outras opções também, de novo o projeto já vem com aproximadamente 290 macros e 100 listas, e claro, elas estão lá é um YAML, se você precisar fazer qualquer modificação você pode adicionar elas editar elas e fazer como você bem quiser e agora a parte legal, espero que tudo der certo, que é a gente fazer uma condiçãozinha do falco rodando então, bora lá espero que o tamanho esteja ok, da fonte então, primeira coisa que eu vou fazer aqui, como eu quero para vocês no ambiente de treino o ambiente de demonstração, eu vou rodar o falco um binário, então vou rodar o falco vou passar um parâmetro menos r, ou seja, menos rules ou menos regras, e vou passar o caminho das regras, o falco vai me dizer inicializando as configurações a partir deste arquivo, isso é uma coisa muito importante que as pessoas fazem em confusão o Etsy falco, falco YAML são as configurações do falco e não as regras, as regras ele fala bem claro olha, eu estou lendo as regras a partir de etc falco falco YAML isso é uma coisa muito importante especialmente uma dica para quem está pensando em CKS é dar uma olhada nesses dois arquivos e entender bem a diferença entre eles e ele também sobe um web server na porta 8.765 caso eu precise utilizar o Kubernetes auditoria para quem já trabalhou um pouquinho com Kubernetes eu tenho que apontar um web server ou local para onde eu vou interceptar essa auditoria, essa é a porta que ele vai rodar beleza então vamos dar uma olhadinha naquele exemplo que a gente teve antes comando docker, executar e vou me agarrar no terminal e vou rodar um comando interativo no meu container chamado kcdvr e vou rodar o bash então essa é a resposta que o falco vai me trazer olha um shell foi feito spawn e foi achado no terminal e as informações é por exemplo esse skull baseado na regra que você me colocou que você quer saber qual foi o usuário, qual foi o login edi o nome do container qual foi o shell nesse caso foi bash o processo parente qual foi o command lining qual foi o bid do terminal e qual foi a imagem então rapidamente eu consigo que aqueles dados, aquele monte de syscall que acontece no processo de criar um bash eu consigo tirar informações outra coisa bem clássica de acontecer é quando o atacante consegue passar pelo por exemplo uma file no seu front-end ou log4j ele vai tentar instalar uma ferramenta pra ele começar o que a gente chama em segurança do movimento lateral ele vai tentar se esconder pela tua rede escanear a tua rede e é muito comum que ele tente instalar um pacote então por exemplo a partir do momento que eu tentei rodar um apt-get update o falco também detectou e falou olha um processador de pacotes um processador de pacotes foi rodado localmente qual foi o usuário qual foi o edi então vai te dar informações outra coisa muito comum do atacante fazer é ele tentar selectar o bash history porque eu quero que eu quero ficar sem larce fazer uma execução quer invadir a tua, por exemplo sua atacante, quer invadir a tua empresa, rodar alguma coisa eu vou rodar o meu script mas eu quero que você não veja o que está acontecendo então eu posso pegar e é legal o que vocês vão ver o falco trabalha no nível de chamada o sistema ele trigou duas regras a gente pode ver que a regra na verdade é a mesma mais o tipo porque lá no nível de kernel quando eu dou um rm, não é só rm isso gera um unlink então quando a gente fala bem a nível de kernel o falco está tirando mais de uma ação e o falco não deixa passar ele vai me dizer o que é qual foi o comando e para onde foi executado como eu comentei antes a gente está trabalhando no kernel eu fiz esses exemplos no container porque acho que faz bastante sentido o que a gente está falando de cobernets mas é varda lembrar que de novo o falco está olhando o kernel então por exemplo se eu tentar ler um arquivo de informações exportando links, por exemplo, Etsy Shadow vários diretamente no meu host o falco também vai ser trigado por uma das regras e vai me trazer novamente informações do que está acontecendo qual é o comando então é bem importante que você tenha uma ideia de que, para eu saber o que diabos está acontecendo dentro dos meus containers na verdade eu preciso saber o que diabos está acontecendo no meu kernel e usar uma ferramente runtime security como falco para que ele interprete o que o kernel está fazendo ou seja, querendo explicações que a gente está salvando o kernel para que eu consiga de uma forma segura ter esses alertas facando um pouquinho do ecossistema do falco a gente... eu comentei lá no início que o falco também pode ler cobernets então, o importante é realmente pensar um falcão como um animal então eu vou alimentar ele com dados com stream, com system call events a partir de system calls eu quero ou algumas links como por exemplo a pbpf eu vou fazer um cross dessa informação que eu estou alimentando o falco com as regras dele que vai humanamente vamos dizer visível ou entendível, digamos assim e a partir desse poder dele ele vai passar isso para frente quais são os outputs que o falco gera por padrão? então ele pode gerar para std out que é o que a gente estava vendo, então ele estava me jogando no terminal a saída eu posso jogar para arquivo caso eu precise manter o histórico eu posso jogar para grp 100 então eu posso fazer uma... tirar isso com outros produtos para shell, para http e um projeto muito legal chamado falco sidekick que foi criado pela comunidade e estende algo que as regras é, o falco ele não toma uma ação então por exemplo se alguém estiver rodando um shell dentro do seu container produção o falco vai te alertar por exemplo de matar o container ou fazer algo a mais a partir do momento que eu uso o sidekick que é uma extensão do falco eu plugo a série do falco no sidekick e eu posso plugar o sidekick com vários outros como amazon sns alguém hoje foi o davi falou hoje mesmo sobre flux ou gitops ou argo e eu posso falar o seguinte argo e ele é inseguro, mata ele como o argo tem permissão ou flux dentro do meu cluster ele vai lá e pode matar o container então eu posso usar o falco conectar ele com o falco sidekick e do sidekick eu posso juntar com várias outras ferramentas aqui é uma parte vocês alguns links muito importantes o primeiro que eu gostaria muito que vocês dessem uma olhada é o Ricardo é em português algo que a gente comentou aqui é muito legal a gente comentar cada vez mais no português, eu to muito feliz da essa placa em português porque quando eu comecei na TI low level e era muito difícil para eu conseguir ler então se encontro mais contudo a gente conseguir gerar no nosso idioma é muito legal e isso só ajuda a comunidade também tem outros links por exemplo se ela é um blog como a Tata comentou tem gente que não gosta de vídeo, prefere ler tem um blog que meio legal que explica que eu começo só que em inglês assisti que também falco ano a ano eu não quero testar, quero ir mais a frente quero ir a fundo de regras, quero começar a customizar minhas regras a gente lançou recentemente a ferramenta de novo baseado no open source falco para você entender o ano a ano, ou seja, começar dos primeiros baby steps até o momento que eu sou um usuário mais avançado super importante dar uma documentação do projeto encontrei algum bug encontrei algum problema, quero ajudar a traduzir o projeto falco de novo o que estava esperando para você ajudar o falco sidekick que eu acabei comentando o projeto do falco se você quiser entrar, a gente tem um canal no slack da Kubernetes hashtag falco, quer entrar lá quer dúvida, quer trocar uma ideia comigo quer trocar ideias com desenvolvedores o pessoal está lá, claro que você vai trocar uma ideia comigo nos redes sociais só pegar aquele QR code no começo e também tem a questão dos falco plugins então o projeto falco ele inicializou com system calls para o direito de Kubernetes e agora a ideia que inclusive foi anunciada na kubicon na norte-américa e vai ser agora no final de janeiro e nesse fevereiro a ideia é de você começar a plugar outras coisas então o primeiro plugin que já está na página da documentação blog esparte experimental é eu utilizar essa mesma linguagem, essa mesma lógica da regra para eu fazer filtro por exemplo da ws code trail então quem já usou a ws code trail sabe que não você não console e achar alguma coisa ou principalmente criar um trigger a partir dele então o falco agora vai começar essa ferramenta que ela vai te ajudar a estender utilizando outros plugins muito importante pessoal muito obrigado por estar aqui a gente passou eu acho ali já mais de 1900 pessoas você tem twitter, vine twitter hashtag kubiconbr é um projeto do pessoal que a gente quer cada vez mais fomentar quanto mais a gente conseguiu fazer barulho para cncfv a gente aqui no brasil vê que a nossa comunidade é forte, é grande, vai lá faz um twitter, fala qual pra lá se você gostou vamos me engajar para que a gente continuar e tenha os próximos passos vou dar uma olhadinha que vocês têm alguma pergunta primeiro aqui que eu tenho um falco em pods via pipeline então o falco ele não precisa ser injetado ele trabalha a nível de kernel o falco ele trabalha a nível do kernel então eu não preciso instrumentar os meus pods então eu não vou na pipeline o que eu preciso garantir é vai ter um falco rodando no meu kernel eu posso rodar manualmente ou eu posso rodar por exemplo se você está falando de pods em cobernets você roda um demon set o próprio cobernets vai tomar conta de garantir que você tenha um falco rodando em uma das dos seus nós o registro dos logs do falco pode ser exposto para o meteus ou ser enviado para um webhook externo, sim o falco tem aquelas saídas então você pode usar o grpc por exemplo pra fazer para o webhooks ou até htp ou se você quiser o sidekick ele facilita muito essa extensão do falco eu posso exportar dados telemetrido do falco para a criação de algum alert como alert manager, grafana, datadog e vida sim, de novo a partir de alertas eu posso usar aquelas saídas default ou um projeto como sidekick e aí conectar com outros com outros players como grafana, datadog etc os processos acostados por outros serviços também vão ser mostrados pelo falco sim, o falco ele vai estar lendo todas as system calls do kernel a diferença é, ele vai alertar quando alguma das minhas regras for intrigadas então por exemplo se eu tiver o falco rodando e eu criar um arquivo por exemplo no barra tmp do meu linux ele não vai alertar por padrão porque ele não entende que isso é inseguro, mas como você viu no que eu rodei um cart para etcshadow que ele entende que o local que você não deveria estar de olho lá, ou pelo menos é estranho você deveria, você vai ser alertado então é tudo uma questão de você customizar as regras, o falco está olhando tudo que está acontecendo, a gente alimenta as regras para que ele gere essas informações para nós pergunta do regional, do quais os kernel são suportados, hoje o falco ele roda no linux kernel então se você olhar na documentação do falco.org vai ter exatamente a versão de kernel, versão de header, como ele foi no cost, quem usa gki ele usa bpf em vez do módulo kernel então a documentação vai ter certinho não vou saber te dizer exatamente as versões de kernel, existe alguma construção especial para utilizar o falco quando se tem interface baseado em bpf então o ebpf é uma coisa relativamente nova se exame no mundo linux que está ajudando muito a gente poder criar programas da vez menos no kernel e trabalhando do lado do kernel, para quem quiser dar uma olhadia o backlight packet filter quem quiser dar uma googleada depois então tem algum sistema operacional que não possa sacar no módulo, por exemplo cost que roda de gki no google cloud eu preciso utilizar o bpf nesse caso para que eu consiga fazer o falco para o trabalho dele tem como customizar as julas e base tem como customizar as julas com base eu não sei se você está falando aqui Eduardo de roles exatamente de cloud as regras são 100% customizáveis eu acho o falco ele vai vir em casa e regras padrões depois você pode criar a sua própria de tal uma regra padrão então é possível customizar não consegui entender exatamente o que você quis dizer com a role mas se você não está documentando o falco tem todos os eventos e todos os tipos de eventos que ele pode filtrar posso usar regras ou seja, criar logo de tudo direcionar regras para ignorar peraí que está subindo bastante coisa aqui regras do contrário, ou seja, criar logo de tudo e adicionar o que não talvez interesse eu posso limitar o falco a partir de files sim, por padrão ele vai ser a partir de system calls mas lá no falco no falco configuração você pode ligar os inputs pergunta bem importante do Everton florentico o falco precisa para operar noção operacional ele precisa olhar as chamadas tema então se você separar quando eu rodei na demo eu precisei rodar como sudo então ele precisa de permissão de missão porque ele realmente vai se entranhar lá no kernel para pegar os dados Bruno, a gente está um pouquinho estourado já estão meio dia aí 36, estão estourados 6 minutos aí então eu vou agradecer aí vou pedir para você poder depois pegar essas questões e respondendo mais ou lá no slack eu posso ser aqui no chat mesmo você tem acesso ainda às questões aí tá pessoal desculpa mas é que se não tem cara a gente vai acabar mas obrigado muito obrigado pela apresentação muito bacana acho o falco, você viu né pelo artigo eu acho animal, acho que tem bastante coisa para fazer lá e ele é uma das pessoas que contribuiu bastante com o falco sidekick um tempo atrás ele fazia bastante coisa lá, acho que ele fez uma trigger lá pro open fast então tem bastante coisa acho que o sidekick é bem legal