Definition. Ein Open-Source-Werkzeug für Runtime-Sicherheit auf Linux- und Kubernetes-Systemen. Falco beobachtet System-Aufrufe (über Kernel-Modul oder eBPF), wertet sie gegen ein Regelwerk aus und meldet verdächtige Aktivitäten — z.B. Shells in Containern, unerwartete setuid-Aufrufe oder Zugriffe auf sensible Pfade. Wird von der CNCF unter „Graduated“ geführt.

Warum relevant. Falco ist ein etablierter Baustein, um Threat Detection in Kubernetes-Umgebungen auf Open-Source-Basis aufzubauen — ohne proprietäre Agent-Lizenzen, mit nachvollziehbaren Regeln.

Verwandt. Tetragon, Runtime Security, Threat Detection, Container Escape