La adopción de contenedores y sistemas de orquestación de los mismos - como Kubernetes - se ha incrementado considerablemente en los últimos años. La popularidad de estas plataformas las convierte en objetivos comunes para cibercriminales. Kubernetes incluye herramientas de prevención, como los Admission Controllers, control de permisos RBAC y Pod Security Admission. Sin embargo, ésto se centra en la prevención y no proporciona gran visibilidad sobre las aplicaciones en tiempo de ejecución. ¿Cómo implementar un sistema de seguridad para detectar intrusiones en tiempo real en Linux, contenedores y/o Kubernetes? En este taller, los instructores presentarán qué es Runtime Security y explicarán cómo detectar comportamientos sospechosos e intrusiones. Este taller ofrece una introducción práctica a Falco, un proyecto de código abierto de la CNCF y la herramienta más empleada para la seguridad basada en llamadas al kernel. Se proporcionará a cada participante un sandbox (cluster de k3s) en el que aprenderán cómo instalar y configurar Falco para detectar y generar alertas de seguridad basadas en intrusiones en tiempo real. El taller cubrirá los siguientes puntos, de forma eminentemente práctica: Runtime Security y Falco - qué son y para qué sirven. Instalación y configuración. Entrada de datos para Falco - llamadas al sistema y otros plugins. Filtros - Reglas de Falco. Alertas - Canales de notificación (Syslog, Slack, etc.).