⚠️開発段階のお知らせ: falco-plugin-nginx は現在プロトタイプ公開段階です。開発更新・デバッグを高頻度で実施中のため、予期しない動作が発生する可能性があります。
🛡️Falco Plugin for Nginx

攻撃の兆候を、鮮明に。
Falco + Nginxログで、攻撃を可視化。

falco-plugin-nginx は、リアルタイムでNginxアクセスログをFalcoで解析し、SQLi・XSS・パストラバーサル・DDoS などの攻撃パターンを即時に検知するプラグインです。

▶️インストール📁GitHub
0
種類の脅威検知
0
コマンドでインストール
24X7
監視
Falco 検知例
*** XSS Attack Detected ***
 
Priority: Warning
Rule: Nginx XSS Attack
 
Time: 2024-08-11T10:30:45.123Z
Source IP: 192.168.1.100
Request: GET /?q=<script>alert('xss')</script>

falco-plugin-nginxとは

  • Go言語で開発されたFalco用プラグイン
  • Nginx 1.14.0+ のCombinedログフォーマットに対応
  • ローオーバーヘッドでリアルタイム監視を実現
  • Falco 0.36.0+ と Linux x86_64 で動作

脅威検知機能

falco-plugin-nginxは、4つのカテゴリ・10種類のセキュリティルールで包括的な脅威検知を実現します

CRITICALセキュリティ攻撃検知ルール

SQL Injection 攻撃検知

🔴

悪意のあるSQL文の挿入を検知し、データベースへの不正アクセスを即座にブロック

検知パターン例:
  • &apos; OR 1=1 - 認証回避
  • UNION SELECT - データ窃取
  • ; DROP TABLE - データ破壊

Command Injection 攻撃検知

🔴

システムコマンドの不正実行を検知し、サーバー乗っ取りを防止

検知パターン例:
  • ;ls -la - コマンド連結
  • |cat /etc/passwd - パイプ実行
  • $(whoami) - コマンド置換

WARNINGWeb攻撃検知ルール

XSS 攻撃検知

🟡

クロスサイトスクリプティング攻撃を検知し、悪意のあるスクリプト実行を防止

検知パターン例:
  • &lt;script&gt;alert(&apos;xss&apos;)&lt;/script&gt;
  • javascript:void(0)
  • onerror=&quot;alert(1)&quot;

Path Traversal 攻撃検知

🟡

ディレクトリトラバーサル攻撃を検知し、意図しないファイルアクセスをブロック

検知パターン例:
  • ../../../etc/passwd
  • ..\\..\\windows\\system32
  • /etc/shadow

機密ファイルアクセス検知

🟡

重要な設定ファイルへの不正アクセスを監視し、情報漏洩を防止

検知パターン例:
  • .env - 環境変数ファイル
  • .git/config - Git設定
  • wp-config.php - WordPress設定

NOTICE偵察・認証攻撃検知ルール

セキュリティスキャン検知

🔵

攻撃前の偵察活動を検知し、事前に脅威を把握

検知対象:
  • 自動化ツールによる大量アクセス
  • 脆弱性スキャナーの活動
  • システム情報の収集試行

ブルートフォース攻撃検知

🔵

総当たり攻撃による認証突破の試みを検知

検知対象:
  • 連続した認証失敗
  • 辞書攻撃パターン
  • 異常なログイン試行

INFOシステム監視ルール

システム異常状態監視

🟢

Webサーバーの異常な動作やエラー状態を監視し、システムの健全性を確保

監視項目:
  • 大量の4xx/5xxエラー
  • 異常なレスポンス時間
  • リソース枯渇の兆候
📚 詳細なルールリファレンスを見る

インストール方法

1

ワンライナーインストール

curl -sSL https://raw.githubusercontent.com/takaosgb3/falco-plugin-nginx/main/install.sh | sudo bash
2

Falcoを起動

sudo systemctl start falco
3

ログで確認

sudo journalctl -u falco -f

要件

  • Falco 0.36.0 以上
  • Linux x86_64
  • Nginx 1.14.0+ (Combined ログフォーマット)
$ curl -sSL https://raw.githubusercontent.com/takaosgb3/\
  falco-plugin-nginx/main/install.sh | sudo bash

✓ Downloading falco-plugin-nginx...
✓ Installing plugin to /usr/share/falco/plugins/
✓ Installing rules to /etc/falco/
✓ Configuring /etc/falco/falco.yaml

Installation completed successfully!