このブログでは、ホスト侵入検知システム（HIDS）としてのFalcoとAuditDを比較します。
AuditDはLinuxカーネルのネイティブ機能で、特定のシステムアクティビティを収集しますが、コンテナのランタイム情報を充実させる機能はありません。
Falcoは、コンテナやKubernetesのランタイム脅威検出に特化したCNCFオープンソースプロジェクトで、デフォルトルールが豊富です。
どちらのツールもシステムコールに依存して侵入を検知し、検出ルールの作成やイベントデータの出力方法に大きな違いがあります。
Falcoはクラウドネイティブ環境に適しており、AuditDはLinuxとの統合が深いです。
両ツールはインストールが容易で、システムサービスとして実行され、リソース消費やイベント転送の点でも比較されています。