![クラウドネイティブ・オファリング [ネビュラシフト]](../../common/img/logo.avif){kind=logo}
コンテナ環境では従来のEDR製品では対応できないケースが多く、セキュリティ対策に課題を抱える企業も多い中、Sysdigはコンテナ環境に特化したEDR機能を提供しています。
Sysdigのマルウェア検知機能は、コンテナ内のバイナリファイルのハッシュ値と既知のマルウェアのハッシュ値を照合し、マルウェアの実行を検知・防御します。リアルタイム検知、システムコールベースのログ、攻撃経路調査機能なども備えており、コンテナ向けのEDRとして有効です。
Sysdigの振る舞い検知機能は以下の通りです。
Falco: システムコールを監視し、定義されたルールに基づいて怪しい振る舞いを検知・防御。未知の攻撃にも対応可能。
マルウェア検知: 既知のマルウェアの実行を防止。設定が容易。
コンテナドリフト検知: 本番環境で変更されないはずのファイルシステムの変更と実行を検知・防御。設定が容易。
クリプトマイニングコンテナの検知: 機械学習でクリプトマイニングの実行が疑われるコンテナを検知。設定が容易。
これらの機能を組み合わせることで、既知/未知の脅威双方への対策が可能になります。
ブログでは、マルウェア検知機能の検証手順も紹介されています。
Sysdig agentを導入したKubernetes環境と、マルウェア検知機能が有効化されたSysdig SaaSアカウントを用意。
Runtime Policyの作成画面で"Malware"を選択し、ポリシーを作成。
検証用コンテナを作成し、Sysdigが提供するeicarファイルをダウンロードして実行。
実行結果、コンテナ内でマルウェアの実行がブロックされ、Sysdig GUI上でも検知結果が確認できました。検知結果からは、マルウェアがブロックされた時刻、場所、実行されたプロセス、マルウェア情報などが分かります。
Sysdigのマルウェア検知機能は、既知のマルウェアを容易に検知・防御できる効果的なセキュリティ対策です。
シェア
ポスト
ブックマーク
LINE
