Это современная альтернатива auditd, перехватывает системные запросы ядра
https://wazuh.com/blog/cloud-native-security-with-wazuh-and-falco/ https://falco.org/docs/getting-started/falco-linux-quickstart/
Установка falco на серверах с wazuh-agent Ссылка на заголовок
# настраиваем репу
curl -fsSL https://falco.org/repo/falcosecurity-packages.asc | gpg --dearmor -o /usr/share/keyrings/falco-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/falco-archive-keyring.gpg] https://download.falco.org/packages/deb stable main" > /etc/apt/sources.list.d/falcosecurity.list
apt update
# зависимость для ответов установщика
apt-get install -y dialog
apt install -y falco
systemctl status falco-modern-bpf
# проверяем, провоцируем
cat /etc/shadow > /dev/null
journalctl _COMM=falco -p warning
grep Sensitive /var/log/syslog
systemctl restart wazuh-agent falco-modern-bpf
Настройка wazuh-server Ссылка на заголовок
конфиг для агентов /var/ossec/etc/shared/default/agent.conf
<localfile>
<location>/var/log/falco_events.json</location>
<log_format>json</log_format>
</localfile>
правила для falco /var/ossec/etc/rules/falco_rules.xml
<group name="falco,">
<rule id="100600" level="0">
<decoded_as>json</decoded_as>
<field name="output_fields.wazuh_integration">falco</field>
<description>Falco: run-time security logs.</description>
<options>no_full_log</options>
</rule>
<rule id="100601" level="4">
<if_sid>100600</if_sid>
<field name="priority">Info</field>
<description>"Falco Alert - " $(output)</description>
<options>no_full_log</options>
</rule>
<rule id="100602" level="6">
<if_sid>100600</if_sid>
<field name="priority">Notice</field>
<description>"Falco Alert - " $(output)</description>
<options>no_full_log</options>
</rule>
<rule id="100603" level="8">
<if_sid>100600</if_sid>
<field name="priority">Warning</field>
<description>"Falco Alert - " $(output)</description>
<options>no_full_log</options>
</rule>
<rule id="100604" level="10">
<if_sid>100600</if_sid>
<field name="priority">Error</field>
<description>"Falco Alert - " $(output)</description>
<options>no_full_log</options>
</rule>
<rule id="100605" level="12">
<if_sid>100600</if_sid>
<field name="priority">Critical</field>
<description>"Falco Alert - " $(output)</description>
<options>no_full_log</options>
</rule>
<rule id="100606" level="14">
<if_sid>100600</if_sid>
<field name="priority">Alert</field>
<description>"Falco Alert - " $(output)</description>
<options>no_full_log</options>
</rule>
<rule id="100607" level="16">
<if_sid>100600</if_sid>
<field name="priority">Emergency</field>
<description>"Falco Alert - " $(output)</description>
<options>no_full_log</options>
</rule>
</group>
рестарт wazuh
systemctl restart wazuh-manager
логи falco смотри в индексе wazuh-alerts-* с таким фильтром
data.output_fields.wazuh_integration:falco
Настройка falco на wazuh-server-1 Ссылка на заголовок
ставим falco как и везде, но интеграцию пишем в ..ossec/etc/ossec.conf
...
</localfile>
<localfile>
<location>/var/log/falco_events.json</location>
<log_format>json</log_format>
</localfile>
...