<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Cilium-Tetragon on Tarragon</title><link>https://tarrragon.github.io/blog/tags/cilium-tetragon/</link><description>Recent content in Cilium-Tetragon on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Mon, 18 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/cilium-tetragon/index.xml" rel="self" type="application/rss+xml"/><item><title>Cilium Tetragon</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/cilium-tetragon/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/cilium-tetragon/</guid><description>&lt;p>Tetragon 是 Cilium 旗下的 &lt;em>eBPF-based runtime security + enforcement&lt;/em> 元件、Isovalent 主導、2024 年起在 CNCF 屬 Incubating 階段。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/falco/" data-link-title="Falco" data-link-desc="CNCF Graduated runtime cloud-native threat detection、eBPF / kmod driver、Rule YAML &amp;#43; Falcosidekick &amp;#43; Talon、K8s container runtime 偵測為主">Falco&lt;/a> 的核心差異在於 &lt;em>偵測 vs 偵測 + 可 enforce&lt;/em> — Falco 預設 alert-only、Tetragon 設計支援 &lt;em>kernel-level inline enforcement&lt;/em>（直接 kill process、override syscall return value）；對 K8s heavy + 已用 Cilium CNI 的環境、Tetragon 把 &lt;em>network policy + process policy&lt;/em> 收進同一個 eBPF 生態。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Tetragon 的核心定位是 &lt;em>eBPF 為基底的 runtime observability + enforcement&lt;/em>、TracingPolicy CRD 是 first-class concept — 一份 YAML 同時描述 &lt;em>要觀察什麼 syscall / kprobe / tracepoint&lt;/em> 跟 &lt;em>觀察到後要不要 enforce&lt;/em>。底層 hook 點包括 syscall entry/exit、kprobe（任意 kernel function）、tracepoint（穩定 kernel event）、uprobe（user-space function），enforcement action 包括 &lt;code>Sigkill&lt;/code>（kill process）、&lt;code>Override&lt;/code>（override syscall return value）、&lt;code>NotifyEnforcer&lt;/code>、&lt;code>Post&lt;/code>（送 event 出 plane）。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/falco/" data-link-title="Falco" data-link-desc="CNCF Graduated runtime cloud-native threat detection、eBPF / kmod driver、Rule YAML &amp;#43; Falcosidekick &amp;#43; Talon、K8s container runtime 偵測為主">Falco&lt;/a> 比、Falco rule 用 Sysdig filter syntax、Tetragon 用 K8s CRD + JSON schema、對 K8s native 模型更貼近；Falco 主走 &lt;em>alert&lt;/em>、Tetragon 主走 &lt;em>alert + enforce&lt;/em>；Falco 對非 K8s VM-heavy 場景更 mature。跟 &lt;em>Datadog Cloud Workload Security&lt;/em> 比、Datadog 是 SaaS-only + per-host 計費、Tetragon 是 OSS Apache 2.0 + 自管 + Isovalent Enterprise 付費版可選。跟 &lt;em>Prisma Cloud Defender&lt;/em> 比、Prisma 是 CSPM/CWPP 一體化平台、Tetragon 專注 runtime + 跟 Cilium L3-L7 network policy 同 plane。&lt;/p>
&lt;p>關鍵張力：&lt;em>eBPF inline enforcement 的爆炸半徑&lt;/em> ↔ &lt;em>偵測即時性&lt;/em>。在 kernel-level 直接 kill process 比 userspace agent 更難 bypass、但 TracingPolicy 寫錯（match 太寬）可能誤殺合法 workload、且回退路徑只能改 CRD 再 reload。要看清楚自己 &lt;em>能不能承擔 enforcement 規則錯誤的 blast radius&lt;/em>、再決定哪些 policy 進 enforce、哪些只 observe。&lt;/p></description><content:encoded><![CDATA[<p>Tetragon 是 Cilium 旗下的 <em>eBPF-based runtime security + enforcement</em> 元件、Isovalent 主導、2024 年起在 CNCF 屬 Incubating 階段。跟 <a href="/blog/backend/07-security-data-protection/vendors/falco/" data-link-title="Falco" data-link-desc="CNCF Graduated runtime cloud-native threat detection、eBPF / kmod driver、Rule YAML &#43; Falcosidekick &#43; Talon、K8s container runtime 偵測為主">Falco</a> 的核心差異在於 <em>偵測 vs 偵測 + 可 enforce</em> — Falco 預設 alert-only、Tetragon 設計支援 <em>kernel-level inline enforcement</em>（直接 kill process、override syscall return value）；對 K8s heavy + 已用 Cilium CNI 的環境、Tetragon 把 <em>network policy + process policy</em> 收進同一個 eBPF 生態。</p>
<h2 id="服務定位">服務定位</h2>
<p>Tetragon 的核心定位是 <em>eBPF 為基底的 runtime observability + enforcement</em>、TracingPolicy CRD 是 first-class concept — 一份 YAML 同時描述 <em>要觀察什麼 syscall / kprobe / tracepoint</em> 跟 <em>觀察到後要不要 enforce</em>。底層 hook 點包括 syscall entry/exit、kprobe（任意 kernel function）、tracepoint（穩定 kernel event）、uprobe（user-space function），enforcement action 包括 <code>Sigkill</code>（kill process）、<code>Override</code>（override syscall return value）、<code>NotifyEnforcer</code>、<code>Post</code>（送 event 出 plane）。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/falco/" data-link-title="Falco" data-link-desc="CNCF Graduated runtime cloud-native threat detection、eBPF / kmod driver、Rule YAML &#43; Falcosidekick &#43; Talon、K8s container runtime 偵測為主">Falco</a> 比、Falco rule 用 Sysdig filter syntax、Tetragon 用 K8s CRD + JSON schema、對 K8s native 模型更貼近；Falco 主走 <em>alert</em>、Tetragon 主走 <em>alert + enforce</em>；Falco 對非 K8s VM-heavy 場景更 mature。跟 <em>Datadog Cloud Workload Security</em> 比、Datadog 是 SaaS-only + per-host 計費、Tetragon 是 OSS Apache 2.0 + 自管 + Isovalent Enterprise 付費版可選。跟 <em>Prisma Cloud Defender</em> 比、Prisma 是 CSPM/CWPP 一體化平台、Tetragon 專注 runtime + 跟 Cilium L3-L7 network policy 同 plane。</p>
<p>關鍵張力：<em>eBPF inline enforcement 的爆炸半徑</em> ↔ <em>偵測即時性</em>。在 kernel-level 直接 kill process 比 userspace agent 更難 bypass、但 TracingPolicy 寫錯（match 太寬）可能誤殺合法 workload、且回退路徑只能改 CRD 再 reload。要看清楚自己 <em>能不能承擔 enforcement 規則錯誤的 blast radius</em>、再決定哪些 policy 進 enforce、哪些只 observe。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Tetragon 在 K8s runtime stack 中承擔哪一段（process visibility / file access / network syscall / enforcement）、哪些要外接（<a href="/blog/backend/07-security-data-protection/vendors/falco/" data-link-title="Falco" data-link-desc="CNCF Graduated runtime cloud-native threat detection、eBPF / kmod driver、Rule YAML &#43; Falcosidekick &#43; Talon、K8s container runtime 偵測為主">Falco</a> for VM-heavy、SIEM for log aggregation）</li>
<li>TracingPolicy 的 ownership 設計（誰寫 CRD、enforcement action 誰簽核、staging vs production rollout）</li>
<li><em>Observe</em> vs <em>Enforce</em> 的階段化決策、什麼樣的 policy 適合 inline kill、什麼樣的應該停在 alert</li>
<li>何時用 Tetragon、何時走 Falco / Datadog CWS / Prisma Defender 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Tetragon deployment 是否健康、最少看四件事：</p>
<ul>
<li><strong>TracingPolicy 治理</strong>：CRD 是否走 Git + PR review、enforcement action（Sigkill / Override）是否需額外簽核、staging cluster 是否先跑 24-48hr 觀察 false positive 才 promote production</li>
<li><strong>跟 Cilium 整合深度</strong>：Hubble flow + Tetragon process event 是否同 plane export、Pod identity 是否在 process event 自動 enrich、跟 Cilium NetworkPolicy 是否雙層 enforcement 設計</li>
<li><strong>Enforcement coverage 分層</strong>：哪些 policy 處於 observe-only（log JNDI lookup / setuid abuse / unexpected outbound）、哪些升到 enforce（kill known exploit pattern）、升級條件是什麼</li>
<li><strong>Event export pipeline</strong>：Tetragon event 是否進 SIEM（OpenTelemetry / JSON log → Splunk / Elastic）、是否跟 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 邊界一致</li>
</ul>
<p>四件事任一缺失、就是 runtime security 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>TracingPolicy CRD</strong>：Tetragon 的 first-class concept、一份 YAML 描述 hook 點 + match selector + enforcement action。Hook 點包含 <em>syscall</em>（最穩定但 surface 廣）、<em>kprobe</em>（任意 kernel function、版本相依）、<em>tracepoint</em>（穩定 kernel event、首選）、<em>uprobe</em>（user-space function、低層用）。Match selector 支援 K8s namespace / pod label / container image、process credentials（UID / GID / capabilities）、parent process。Production rule 用 <em>pod label selector + 具體 syscall name + 額外 process credentials 條件</em>、避免 cluster-wide 寬鬆 match 誤殺。</p>
<p><strong>kprobe / tracepoint / syscall hook 的選擇</strong>：tracepoint 是 kernel 公開穩定介面、跨版本不變、首選；kprobe 可 hook 任意 kernel function 但跟 kernel build 緊綁、kernel upgrade 後可能要重寫；raw syscall 適合 audit 整類 syscall（如全部 <code>execve</code>）但量大、需要 in-kernel filter 控成本。</p>
<p><strong>Process credentials tracking</strong>：Tetragon 從 process exec 開始 track UID / GID / capabilities / namespace、偵測 <em>privilege escalation</em>（setuid abuse、capabilities drift、container escape）是 first-class use case。跟 audit log 比、credentials drift 是 <em>狀態變遷</em>、不是單一事件、更能 surface lateral movement 早期訊號（process 開始時 UID 1000、跑到一半變 0 是異常）。</p>
<p><strong>Pod identity correlation</strong>：Tetragon 在 K8s 環境會自動把 process event enrich K8s metadata（namespace / pod name / container image / service account）、不用後處理 join；event schema 跟 Hubble flow 同根、可在 Hubble UI 看 <em>某 Pod 的 network flow + process event</em> 同 timeline。</p>
<p><strong>跟 Cilium NetworkPolicy 雙層 enforcement</strong>：Cilium 控 <em>network ingress / egress / L7 HTTP</em>、Tetragon 控 <em>process / syscall / file access</em>。雙層設計的意義是 — network layer 擋不住的（如 process 內部 lateral movement、container escape syscall）由 process layer 補上；process layer 漏的（如合法 process 突然 outbound 異常 destination）由 network layer 補上。對 supply chain 攻擊特別有效、攻擊鏈通常跨 <em>malicious process spawn + outbound C2</em>。</p>
<p><strong>Event export 跟 SIEM 整合</strong>：Tetragon event 預設走 JSON log 到 stdout、可走 OpenTelemetry exporter 進 collector pipeline、再 fanout 到 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a>。在 SIEM 端做跨來源 correlation（process event + IdP audit + cloud control plane）是 production 標配、不可只看 Tetragon 自家視圖。</p>
<p><strong>Observe → Enforce 階段化</strong>：TracingPolicy 通常 <em>先進 observe-only</em>、跑 1-2 週收 baseline、確認 false positive 可控、再加 enforcement action 進 staging cluster、staging 觀察 24-48hr 才 promote production。對應 <a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a> 的章節原則 — runtime enforcement 不是 console 直改、是 detection content lifecycle。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Cilium Tetragon</th>
          <th>Falco</th>
          <th>Datadog CWS</th>
          <th>Prisma Cloud Defender</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>偵測技術</td>
          <td>eBPF（kprobe / tracepoint / syscall / uprobe）</td>
          <td>eBPF + kernel module 兩種 driver</td>
          <td>eBPF agent</td>
          <td>eBPF + kernel module</td>
      </tr>
      <tr>
          <td>Enforcement</td>
          <td>內建（Sigkill / Override syscall return）</td>
          <td>預設 alert-only（plugin 可擴 response）</td>
          <td>自動 response（kill / isolate、SaaS 控）</td>
          <td>內建（block process / file / network）</td>
      </tr>
      <tr>
          <td>規則語言</td>
          <td>K8s CRD（TracingPolicy YAML）</td>
          <td>Sysdig filter syntax（YAML rule）</td>
          <td>Datadog Security Rules（JSON / UI）</td>
          <td>Prisma Runtime Rules（UI / JSON）</td>
      </tr>
      <tr>
          <td>計費 / 授權</td>
          <td>OSS Apache 2.0、Isovalent Enterprise 付費</td>
          <td>OSS Apache 2.0、Sysdig Secure 付費</td>
          <td>SaaS per-host</td>
          <td>商業 per-defender</td>
      </tr>
      <tr>
          <td>K8s native</td>
          <td>強 — Pod identity 自動 enrich、跟 Cilium 同源</td>
          <td>中 — K8s metadata 需 audit endpoint</td>
          <td>強 — Datadog Agent 已熟</td>
          <td>強 — Prisma 平台一體</td>
      </tr>
      <tr>
          <td>Network policy</td>
          <td>跟 Cilium L3-L7 雙層（同 plane）</td>
          <td>無 — 純 process / file</td>
          <td>無 — 跟 Datadog Network 分離</td>
          <td>內建 micro-segmentation</td>
      </tr>
      <tr>
          <td>VM / 非 K8s</td>
          <td>弱 — Linux only、K8s-first</td>
          <td>強 — VM / bare metal mature</td>
          <td>中 — 跨環境同 agent</td>
          <td>強 — VM / serverless / container 全覆蓋</td>
      </tr>
      <tr>
          <td>部署模型</td>
          <td>Self-hosted DaemonSet（K8s）</td>
          <td>Self-hosted DaemonSet / VM agent</td>
          <td>SaaS</td>
          <td>商業 self-hosted + SaaS console</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>K8s heavy + 已用 Cilium + 要 inline enforce</td>
          <td>VM-heavy / K8s 混合、需要 mature alert ecosystem</td>
          <td>Datadog 已用、要 unified observability</td>
          <td>多雲 CSPM/CWPP 一體化、合規驅動</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>中 — TracingPolicy CRD 跨 cluster 可移植</td>
          <td>中 — Falco rule 跟 Sigma 可互轉</td>
          <td>高 — SaaS lock-in</td>
          <td>高 — 商業平台 lock-in</td>
      </tr>
  </tbody>
</table>
<p>選 Tetragon 的核心訴求：<em>K8s heavy + 已用 Cilium CNI + 想要 kernel-level inline enforcement + OSS 免授權成本</em>、且有 SRE / security team 能維護 TracingPolicy CRD lifecycle。VM-heavy 或 K8s 但用其他 CNI 走 Falco 更划算。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Inline enforcement 的 blast radius 設計</strong>：<code>Sigkill</code> 直接 kill 觸發 process、<code>Override</code> 改寫 syscall return value（讓 process 以為成功但實際沒做）— 兩者都在 kernel-level、攻擊者很難 bypass、但寫錯規則的 blast radius 是 <em>整個 cluster 內 match 到的 process 全死</em>。實務治理：enforcement action 規則進 GitOps、PR 需 security + SRE 雙簽、staging cluster 跑 namespace-scoped 規則先驗證、production rollout 走 canary namespace 再擴散。</p>
<p><strong>Process credentials drift detection</strong>：track UID / GID / capabilities 變遷、偵測 setuid abuse（process 從 uid 1000 變 0）、capabilities 突然新增（特別是 CAP_SYS_ADMIN / CAP_NET_ADMIN）。對 lateral movement 早期警報是 first-class signal — 攻擊者拿到初始 access 後通常要 escalate privilege、credentials drift 是必經訊號。配對 <a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a> 的 lesson：簽章驗證通過但 runtime 行為異常需 <em>runtime credentials + process behavior</em> 雙重 baseline。</p>
<p><strong>跟 Cilium L3-L7 雙層 enforcement</strong>：典型 supply chain 攻擊鏈 — <em>malicious dependency loaded → process spawn → C2 outbound</em>、network layer 擋 outbound（Cilium NetworkPolicy 限制 egress destination）、process layer 擋 process（Tetragon KillerAction kill 異常 spawn）。雙層任一通則攻擊鏈中斷。對應 <a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/3cx-2023-desktopapp-supply-chain/" data-link-title="7.R7.2.8 3CX 2023：桌面軟體更新鏈攻擊" data-link-desc="合法更新流程被植入後，桌面端供應鏈事件如何傳到企業端點">3CX 2023 Desktop App Supply Chain</a> 的 case shape。</p>
<p><strong>跟 SBOM / image signing 整合 baseline</strong>：Tetragon 偵測 runtime 行為偏離 baseline、SBOM / image signing 控 build-time 信任、合在一起是 <em>trusted artifact + verified runtime behavior</em> 雙重保障。runtime 行為 baseline 通常從 SBOM 列出的合法 process / syscall set 出發、deviation 進 alert。</p>
<p><strong>Isovalent Enterprise</strong>：商業版加值在 multi-cluster management、policy 集中下發、support SLA、跟 Isovalent Hubble Enterprise / Cilium Service Mesh Enterprise 整合。OSS 版本核心功能完整、Enterprise 主要解 <em>多 cluster 大規模管理</em> 跟 <em>企業 support</em>、不是 feature gating。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>TracingPolicy 誤殺合法 workload</strong>：match selector 太寬、cluster-wide 沒加 namespace / pod label 條件 — 改 namespace-scoped + 加 process credentials 額外條件、staging 跑 48hr 再 promote</li>
<li><strong>kprobe rule kernel upgrade 後壞</strong>：hook 的 kernel function 改名或 signature 變 — 改用 tracepoint（穩定介面）、kprobe 進 staging 版本相依測試</li>
<li><strong>Event volume 爆炸 / SIEM ingestion cost 飆</strong>：raw syscall hook 沒做 in-kernel filter、所有 <code>execve</code> 都進 event — 加 in-kernel filter（按 pod label / process name），讓 filter 在 eBPF 端做、不要事後 drop</li>
<li><strong>Inline enforcement 規則錯誤 blast radius 太大</strong>：production 直接上 <code>Sigkill</code> 沒走 staging — enforcement action 規則一律先 observe-only 1 週、staging cluster 24-48hr、canary namespace、才 production</li>
<li><strong>跟 Cilium NetworkPolicy 重疊或衝突</strong>：同一個 attack pattern 被 network + process 同時阻擋、log 重複、誤判 — 設計時雙層各管 <em>互補面</em>（network 管 destination、process 管 process spawn）、不重複管同一面</li>
<li><strong>non-K8s workload 進不來</strong>：Tetragon DaemonSet 只在 K8s 跑、VM / bare metal 不支援 — VM-heavy 環境改走 <a href="/blog/backend/07-security-data-protection/vendors/falco/" data-link-title="Falco" data-link-desc="CNCF Graduated runtime cloud-native threat detection、eBPF / kmod driver、Rule YAML &#43; Falcosidekick &#43; Talon、K8s container runtime 偵測為主">Falco</a>、K8s + VM 混合走雙 stack</li>
<li><strong>Pod identity enrich 不全</strong>：某些 process event 缺 namespace / pod name — 通常是 process 在 pod sandbox 啟動前 spawn、或 short-lived process 太快結束、調 Tetragon 的 process cache lifetime + K8s API server 連線健康</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>VM-heavy / 非 K8s 為主</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/falco/" data-link-title="Falco" data-link-desc="CNCF Graduated runtime cloud-native threat detection、eBPF / kmod driver、Rule YAML &#43; Falcosidekick &#43; Talon、K8s container runtime 偵測為主">Falco</a></td>
      </tr>
      <tr>
          <td>Datadog observability 已用</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a>（Cloud Workload Security）</td>
      </tr>
      <tr>
          <td>多雲 CSPM/CWPP 一體化、合規驅動</td>
          <td>Prisma Cloud Defender（商業）</td>
      </tr>
      <tr>
          <td>SIEM 偵測為主、不需 inline kill</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a></td>
      </tr>
      <tr>
          <td>Endpoint EDR（user laptop / VDI）</td>
          <td>CrowdStrike Falcon / Microsoft Defender for Endpoint</td>
      </tr>
      <tr>
          <td>偵測覆蓋率治理</td>
          <td><a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a></td>
      </tr>
      <tr>
          <td>Incident routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>TracingPolicy CRD 完整欄位 reference 跟 kprobe / tracepoint 寫法 cookbook</li>
<li>Cilium NetworkPolicy 寫法（屬 network 治理、跨章節）</li>
<li>eBPF kernel programming 內部原理跟 verifier 限制</li>
<li>Isovalent Enterprise 跟 Cilium Service Mesh 商業整合細節</li>
<li>Hubble UI 操作（屬 observability 視角、跨章節）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Tetragon 在 07 案例庫沒有直接 vendor-level 事件、但所有 runtime detection + supply chain case 都是 eBPF inline enforcement 的對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Tetragon 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell CVE-2021-44228</a></td>
          <td>TracingPolicy 可 hook JNDI lookup 相關 syscall、配 <code>Sigkill</code> 直接 kill exploit process、比 userspace WAF 更難 bypass</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>process credentials drift detection 對 lateral movement 早期警報、簽章驗證通過但 runtime 行為異常需 runtime baseline 補位</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/3cx-2023-desktopapp-supply-chain/" data-link-title="7.R7.2.8 3CX 2023：桌面軟體更新鏈攻擊" data-link-desc="合法更新流程被植入後，桌面端供應鏈事件如何傳到企業端點">3CX 2023 Desktop App Supply Chain</a></td>
          <td>偵測 desktop app 異常 outbound、Tetragon 抓 process + Cilium NetworkPolicy 同層擋 destination、雙層 enforcement 中斷攻擊鏈</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle (section)</a></td>
          <td>TracingPolicy CRD 走 GitOps + PR review + staging tune + canary rollout、inline enforcement 不可 console 直改</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/alert-fatigue-and-signal-quality/" data-link-title="7.B10 Alert Fatigue and Signal Quality" data-link-desc="建立告警疲勞治理方法，讓訊號品質、分級一致性與處置效率同步提升">Alert Fatigue and Signal Quality (section)</a></td>
          <td>observe-only 階段先收 baseline、in-kernel filter 控 event volume、enforcement 只升給高 confidence pattern、避免 alert / log 雙重 fatigue</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/falco/" data-link-title="Falco" data-link-desc="CNCF Graduated runtime cloud-native threat detection、eBPF / kmod driver、Rule YAML &#43; Falcosidekick &#43; Talon、K8s container runtime 偵測為主">Falco</a>、<a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a>（Tetragon event 進 SIEM 做跨來源 correlation）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a>（network edge 擋 + process 層補位）、<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a>（credentials drift 配 secret rotation）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（runtime alert → IR routing）、<a href="/blog/backend/04-observability/" data-link-title="模組四：可觀測性平台" data-link-desc="整理 log、metric、trace、dashboard 與 alert 的後端操作實務">4 observability</a>（Hubble + Tetragon event pipeline 共用）</li>
<li>官方：<a href="https://tetragon.io/">Tetragon Documentation</a>、<a href="https://cilium.io/">Cilium Project</a></li>
</ul>
]]></content:encoded></item></channel></rss>