이 블로그는 Falco와 Auditd를 호스트 침입 탐지 시스템 (HIDS)으로 비교합니다.
Auditd는 특정 시스템 활동을 수집하지만 컨테이너의 런타임 정보를 풍부하게하는 기능이없는 기본 Linux 커널 기능입니다.
FALCO는 컨테이너 및 Kubernetes 런타임 위협 감지를 전문으로하는 CNCF 오픈 소스 프로젝트입니다.
두 도구 모두 침입을 감지하기 위해 시스템 호출에 의존하며 감지 규칙이 생성되고 이벤트 데이터가 출력되는 방법에는 상당한 차이가 있습니다.
Falco는 클라우드 네이티브 환경에 적합하지만 Auditd는 Linux와의 깊은 통합을 가지고 있습니다.
두 도구 모두 설치하기 쉽고 시스템 서비스로 실행되며 리소스 소비 및 이벤트 전달 측면에서도 비교됩니다.