コンテナ・Kubernetes環境向けセキュリティ・モニタリング プラットフォーム

本文の内容は、2022年8月23日にJoshua Maが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-august-2022/)を元に日本語に翻訳・再構成した内容となっております。

今月も2022年のSysdigの最新情報をお届けします。私はロサンゼルス在住のカスタマー・ソリューション・エンジニア、Joshua Maです。5ヶ月前にSysdigのカスタマーサクセスチームに加わりました。2019年の北米KubeCon/CloudNativeConで初めてK8s、コンテナ、Falcoを味わってから、それ以来振り返ることはありません!

8月は忙しい月で、Sysdigは多くの新機能を発表することができました。Sysdig Monitor では、Advisories の一般提供によりトラブルシューティングを加速し、新しい Dashboard Manager などでインターフェースを強化し、可視化を実現しました。Sysdig Secureでは、機械学習によるクリプトマイニングの検知、アクショナブルなコンプライアンス、マネージドポリシーなどの強力な新機能を提供しました。

Sysdig Monitor

Advisor： アドバイザリーでトラブルシューティングを最大10倍高速化

アドバイザリーは、Sysdigエージェントが収集した何千ものデータポイントを評価し、クラスターとその上で実行されているワークロードの健全性と可用性に影響を与えるインフラストラクチャーの主要な問題について優先順位を付けて表示します。



Sysdig Advisorを参照してください。SysdigブログのKubernetesのトラブルシューティングを楽にするをご覧ください。

ダッシュボードに新しいホームができました！

Dashboard Managerは、ユーザーがすべてのダッシュボードを簡単に探索し、すぐに使えるDashboard Templatesを簡単に参照できる新しいページです。

詳しくは、Dashboard Manager を参照してください。

Contextual Tooltip（プレビュー）

ダッシュボードパネルで、すべてのセグメントを時系列で探索できる拡張ツールチップです。Contextual Tooltipは現在プレビュー中です（Settings > User Profileから選択できます）

Prometheus Alertmanagerの通知機能

Sysdig Monitorの通知チャネルとしてPrometheus Alertmanagerを統合できるようになりました。詳細は Prometheus Alertmanager Notifications を参照してください。

ラベルセレクターの強化

Dashboards and Metrics Explorerのラベルセレクターは、以下の要望のある機能を充実させました：

• ラベルのドキュメント
• ラベルの値のプレビュー
• 推奨されるラベル

新しいPromQL変数

以下の PromQL 変数が追加されました：

• $__interval_sec
• $__range_sec

これらは、PromQL で変化率をクエリーする必要がある場合など、$__interval や $__rangeと同等のスカラー値が必要な場合に便利です：

avg(sum_over_time(sysdig_container_cpu_used_percent{$__scope}[$__interval]) / $__interval_sec)

詳細はPromQLの利用を参照してください。

テーブル可視化におけるPromQLサポート

PromQL をサポートするために，Table Visualization をさらに強化しました．これにより、ラベルで示されたエンティティ上のメトリクスを強力に相関させることができます（以下の例では、コンテナごとの cpu とメモリの使用量を示しています）。


製品のアップデートに関する詳細はリリースノートをご覧ください。また、ここで取り上げた内容についてご質問がある場合は、お近くのSysdigの担当者にお問い合わせください。

Sysdig Secure

機械学習によるクリプトマイナーの検知

99%の精度でクリプトジャッキングを検知する機械学習（ML）ソリューションを発表しました。Sysdigのイメージプロファイリング機能をベースに、実行中のコンテナのプロセスアクティビティからクリプトマイナーの構造を認識するように訓練されたMLモデルに基づいて、このソリューションを提供します。Sysdigは、実行時にコンテナを深く可視化し、クリプトマイナーの挙動を特定できるようにするために必要な種類のデータを収集します。

Sysdigの高精度な機械学習によるクリプトジャッキングの検知方法については、ブログで詳しくご紹介しています。

マネージド脅威検知ポリシー

マネージドポリシーをすべてのお客様にリリースしました。これにより、お客様は脅威検知チームが管理する実行時セキュリティポリシーの最新フィードを受け取ることができます。マネージドルールセットやカスタムポリシーに変換することで、お好みに合わせてカスタマイズすることができます。

お客様の既存のポリシーは、カスタムポリシーとしてラベル付けされ、お客様が何もしなくても、これまでと全く同じように機能します。しかし、Sysdig脅威リサーチチームの力を得るには、新しいマネージドポリシーに移行することをお勧めします。

マネージドポリシーの種類については、更新されたドキュメントをご覧ください。

Falcoルール

v0.80.2が最新バージョンです。ここでは、7月に取り上げたv0.74.3からの変更点のハイライトを紹介します。

以下のルールを追加しました；

• GPGキーの偵察
• ユーザー用アクセスキーの作成
• PTRACEによるアンチデバッグの試み
• プロセスにアタッチされたPTRACE
• 偵察用スクリプトの検出
• 悪意のあるcmdlineの検出
• GCP DNSレコードの作成
• GCP DNSゾーンの作成
• GCP DNSレコードの削除
• GCP DNSレコードの更新
• GCP DNSゾーンの更新
• GCP Cloud Armorブロックされた接続
• GCP Cloud IDSアラート
• AWSユーザーの削除(SSO)

詳細と変更履歴は、Sysdigのドキュメントをご覧ください。

Sysdig agent

Sysdig Agentsの新しいデータソースページ(プレビュー)

データソースインターフェースにSysdig AgentsのOverview ページをリリースしました。このテクニカルプレビューは全てのお客様にご利用いただけます。このページでは、Sysdigのバックエンドに報告された全てのSysdigエージェントを表示します。

これにより、ユーザーは以下のことを迅速に判断することができます：

• どのエージェントが最新か、古くなっているか、または古くなりかけているか。
• クラウド環境で検出されたが、まだSysdigエージェントで計測されていないマネージドクラスター。

詳細については、新しいドキュメントを参照してください。

Agentの更新

Sysdigエージェントの最新リリースはv12.8.0です。以下は、前回のアップデートで取り上げたv12.7.1以降のアップデートの差分です。

• Kubernetes Stateを取得することを示す新たなメトリクス
• 証明書チェーンの読み込み
• dup() Syscallのサポート
• Falcoルールオプティマイザー
• 新しいFalco ルールパーサー

詳細については、v12.8.0リリースノートを参照してください。

SDK、CLI、ツール

Sysdig CLI

v0.7.14がまだ最新のリリースです（ダウンロードリンク）。ツールの使用方法と旧バージョンのリリースノートは、以下のリンクから入手できます。

https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

v0.16.4はまだ最新のリリースで、10月のアップデートで取り上げました。

https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.3

Terraform Provider

v0.5.39 が最新版です。

ドキュメント - https://registry.terraform.io/providers/sysdiglabs/sysdig/latest/docs

Github のリンク - https://github.com/sysdiglabs/terraform-provider-sysdig

Terraform Modules

• AWS Sysdig Secure for Cloud: v0.9.4
• GCP Sysdig Secure for Cloud は変更なく、v0.9.0 のままです。
• Azure Sysdig Secure for Cloudは、v0.9.0のまま変更されていません。

注: 詳細については、リリースノートをご覧ください。

Falco vs. Code Extension

v0.1.0が最新のリリースです。

https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0

Sysdig Cloud Connector

AWS Sysdig Secure for Cloudに新しいリリースがあります！v0.16.13には新機能といくつかのマイナーな修正が含まれています。

機能は以下の通りです：

• GuardDuty Ingestor

詳細については、変更点のリストをご覧ください。

Admission Controller

Sysdig Admission Controllerがv3.9.7にアップデートされました。

ドキュメント - https://docs.sysdig.com/en/docs/installation/admission-controller-installation/

ランタイム脆弱性スキャナー

新しい vuln-runtime-scanner は v1.2.5 で GA 状態にてリリースされました。

ドキュメント - https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/runtime

Sysdig CLI スキャナー

Sysdig CLI Scanner が v1.2.5 でリリースされました。

ドキュメンテーション - https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/

Image Analyzer

Sysdig イメージアナライザーは、v0.1.18 です。

Host Analyzer

Sysdig ホストアナライザーのバージョンはv0.1.9です。

ドキュメント - https://docs.sysdig.com/en/docs/installation/node-analyzer-multi-feature-installation/#node-analyzer-multi-feature-installation

Sysdig Secure Inline Scan for Github Actions

最新リリースは、v3.4.0のままです。

https://github.com/marketplace/actions/sysdig-secure-inline-scan

Sysdig Secure Jenkins Plugin

v2.1.16がまだ最新リリースです。

https://plugins.jenkins.io/sysdig-secure/

Prometheus インテグレーション

Integrations:

• 修正: OpenShift HAProxyの設定がClusterRoleを使うように改善されました。
• 修正: 正式な統合機能の名称を記載したドキュメントを改善しました。
• 修正: Application Integrationsのドキュメントページを修正しました。
• 修正: Istioエージェントの設定で、envoyジョブのメトリクスフィルタリングを削除しました。これにより、Envoyのサイドカーにマージされた他のカスタムメトリクスが送信されないようになっていました。

ダッシュボードとアラート:

• 修正: ALBとELBのAWS Metrics Streamサービスのメトリクスにタイポがありました。
• 修正: PostgreSQLのRDSテキストが改善されました。
• 修正: Kubernetes Capacity Planningダッシュボードで、使用量とリクエスト/リミットの計算を改善しました。
• 修正: エフェメラルコンテナで発生するアーティファクトを避けるために、KubernetesダッシュボードにおけるpromQLを改善しました。
• 修正: 重複するダッシュボードテンプレートを削除しました。
• リファクタリング: ダッシュボードテンプレートのKubeletメトリクス(Kubernetes >1.19)を更新しました。
  • kubelet_running_container_count -> kubelet_running_containers.
  • kubelet_running_pod_count -> kubelet_running_pods.
• 修正: ダッシュボードのテンプレートの重複を削除しました。

Promcat.io

• 修正: OpenShift HAProxyの設定をClusterRoleを使用するように改善しました。

エクスポーターイメージ

機能：スクラッチイメージとubiイメージのエクスポートJenkinsfileをアップグレードしました。

Sysdigオンプレミス

5.1.0 On-Premiseのマイナーリリースが正式リリースされました。このマイナーリリースのハイライトは以下の通りです。

• Kubernetesバージョン1.22と1.23のサポートが追加されました。
• お客様から提供されたコンテキストで、クラスターのkubectlとK8sのバージョンを確認するプリフライトチェックを追加しました。
• Sysdig SecureのAPIドキュメントがデフォルトで有効になりました。
• 機能の強化 Falco Exceptions - デフォルトルールへの例外オブジェクトの作成。
• 様々なバグフィックス。

リリースノート全文はこちらでご覧いただけます。Sysdig Docs または Github 。

新しいウェブサイトのリソース

ブログ (日本語:sysdig.jp）、(日本語：SCSK Sysdig特設サイト）

Blogs

• Kubernetes 1.25 - What's new?
• Blackhat 2022 recap - Trends and highlights
• Cryptominer detection: a machine learning approach
• Detect cyrptojacking with Sysdig's high-precision machine learning
• Cloud DNS Security - How to protect DNS in the Cloud

Webinars

• August 24 - 5 Easy Ways to Secure Images & Prioritize Risk from Source to Run On AWS
• Sept. 06 - How Does Your Kubernetes Environment Stack Up?
• Sept. 13 - How to Improve Security for Cloud-Native App Platform in 3 Easy Steps for Azure
• Sept. 15 - Becoming a Cloud Security Ninja: Sharpen your Cloud Threat Detection Sword with Machine Learning
• Sept. 20 - 5 Best Practices to Prevent, Detect, and Respond to Threats Lurking Within Your Azure Cloud Workloads

Tradeshows

• Oct. 10-12, ISC2, Las Vegas NV
• Oct. 11-13, Google Next, San Francisco CA
• Oct. 24-28, Kubecon NA 2022, Detroit MI
• Nov. 28 - Dec. 2, AWS Reinvent, Las Vegas NV

Education

• Troubleshooting a containerized app with captures
• Application Performance Analysis

Sysdigに関するお問い合わせはこちらから