# Falco

##### Descripción

[Falco](https://falco.org/) es un sistema de detección de intrusos para Kubernetes y contenedores. Monitorea el comportamiento en tiempo real basado en reglas.

##### Uso local

```
falco        # Inicia la monitorización
```

##### Reportes

- Logs, [JSON](https://falco.org/docs/concepts/outputs/channels/#:~:text=Para%20todos%20los%20canales%20de,evento%20que%20activ%C3%B3%20la%20alerta.), [alertas](https://falco.org/docs/concepts/outputs/#:~:text=Integraci%C3%B3n%20con%20terceros,m%C3%A1s%20de%2050%20sistemas%20diferentes.).
- Puede enviar a [Syslog](https://falco.org/docs/#:~:text=see%20Falco%20Rules.-,What%20are%20Falco%20alerts?,client%20through%20the%20gRPC%20API), [Slack](https://falco.org/blog/integrate-runtime-security-with-falcosidekick/#:~:text=For%20example%2C%20if%20you'd,directed%20to%20your%20alerting%20platform.), [Webhooks](https://docs.port.io/build-your-software-catalog/custom-integration/webhook/examples/falco/#:~:text=Configure%20Falco%20Sidekick%20to%20send,update%20the%20catalog%20entities%20accordingly.), [Prometheus](https://github.com/falcosecurity/falco-exporter).

##### Integración en CI/CD

- No escanea código, pero puede monitorear pods en tiempo real durante tests.

##### Integraciones

- [Prometheus](https://spacelift.io/blog/prometheus-kubernetes), [Grafana](https://www.freecodecamp.org/news/secure-server-infrastructure-clouds-using-falco-prometheus-grafana-and-docker/#:~:text=We%20will%20use%20Docker%20containers,file%20is%20written%20to%20/dev.), [Slack](https://falco.org/blog/integrate-runtime-security-with-falcosidekick/#:~:text=For%20example%2C%20if%20you'd,directed%20to%20your%20alerting%20platform.), [Microsoft Teams](https://marketplace.crowdstrike.com/listings/soar-actions-built-for-microsoft-teams), [Elasticsearch](https://www.elastic.co/blog/falco-elastic-security-cloud-workload-protection), [Jira.](https://docs.port.io/build-your-software-catalog/custom-integration/webhook/examples/falco/#:~:text=Log%20in%20to%20your%20server,Save%20the%20file)
- VSCode: no aplicable.

##### UI

- No posee UI, se integra con dashboards como [Grafana.](https://grafana.com/)

##### Licencia

- **Open source (Apache 2.0)**.
- Instalación sencilla en VMs o clústeres.

##### Facilidad de uso

- Avanzado. Requiere conocimientos de reglas y eventos del sistema.

##### Cumplimiento con estándares:

- **OWASP:** No aplica directamente, pero puede apoyar seguridad operacional en ambientes donde se despliegan apps OWASP.
- **NIST:** Compatible con NIST 800-53 en controles como SI-4 (detección de incidentes), AU-6 (auditoría y monitoreo).
- **ISO/IEC 27001:** Apoya el cumplimiento de controles como A.12.4 (registro de eventos) y A.16.1 (gestión de incidentes).
- **CIS Benchmarks:** Se utiliza para detectar desviaciones en tiempo real de configuraciones definidas por CIS.