Definition. Eine eBPF-basierte Komponente aus dem Cilium-Projekt für Runtime-Beobachtung und Policy-Enforcement im Linux-Kernel. Tetragon zeichnet Prozess-, Datei- und Netzwerkaktivitäten kernel-nah auf, kann Aktionen synchron blockieren und arbeitet mit Cilium-CNI auf einer gemeinsamen eBPF-Datenebene.

Warum relevant. Während Falco klassisch in Richtung „Detect & Alert“ geht, kann Tetragon zusätzlich Enforcement übernehmen — relevant für Setups, in denen Runtime-Verstoße nicht nur protokolliert, sondern unterbrochen werden sollen.

Verwandt. Falco, Runtime Security, Threat Detection, Container Escape