ブログ

Sysdigの最新情報 - 2022年11月

Google Cloudとコンテナの継続的なセキュリティ

本文の内容は、2022年11月23日にMATT SHIRILLAが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-november-2022/)を元に日本語に翻訳・再構成した内容となっております。

Sysdigの最新情報、2022年11月版で再び登場です! テキサス在住のエンタープライズセールスエンジニア、Matt Shirillaです。今回はSysdigの最新機能リリースをご紹介します。

Sysdig Monitorでは、今月はAWS Cloudwatch Metric Streamsの新しいフィルタリングとAWS Lambda Telemetry APIの新しいLambda Extension、それに新しいAdvisoryのリリースがあります。Sysdig Secureについては、いくつかのユーザビリティの改善と、脅威リサーチチームからの新しいFalcoのルールがあります。

Sysdig Monitor

Advisoriesの新機能

以下の新しいAdvisoriesが追加されました。

  • Cluster pod capacity: クラスターがポッドキャパシティに達しているため、新しいポッドをスケジュールすることができません。
  • Replicas unavailable: ワークロードに利用できないレプリカがあり、アプリの可用性に影響を与える可能性があります。
  • Cluster CPU overcommitment: クラスターが CPU をオーバーコミットしており、可用性に影響する可能性があります。
  • Cluster memory overcommitment: クラスターがメモリをオーバーコミットしており、可用性に影響する可能性があります。

AWS Cloudwatchメトリクスストリームのフィルタリング

Sysdigは、Kinesis Firehose経由でAWS CloudWatch Metric Streamsから送られてくるメトリクスをフィルタリング(ドロップ)する機能を提供するようになりました。これにより、AWSユーザーはStreamsから来るメトリクスをSysdig Monitorに取り込み、保存することを完全に制御できるようになりました。CloudWatch Steams Metrics Filteringでは、サービスごとに重要なメトリクスだけを取り込んで保存することを選択できるようになり、データ保存コストを削減することができます。取り込む際に、個々のAWSネームスペースから特定のメトリクスを含めたり除外したりすることができます。

  • AWS CloudWatch StreamsからKinesis Firehose経由で送られてくるメトリクスをお客様がフィルタリング(ドロップなど)する機能により、Streamsから送られてくるメトリクスをSysdig Monitorに取り込み、保存することをAWSのお客様が完全にコントロールすることができます。
  • AWSは現在、Sysdig MonitorのようなエンドポイントにプッシュされるCloudWatch Streamsのメトリクスをフィルタリングする機能を提供しておらず、全てかゼロかです。CloudWatch Streams Metrics Filteringにより、お客様はサービス毎に重要なメトリクスのみを取り込み、保存することを選択できるようになりました。
  • はい、これはすべてのAWSリージョンのすべてのユーザーに対して有効になっています。お客様がAWS CloudWatch Streamsのアカウントを有効にすると、フィルタリングにアクセスできるようになります。
  • AWS CloudWatch Metrics Filtering は Monitor -> Integrations -> Data Sources -> Cloud Metrics -> <AWS Metrics Streams Account> -> Manage Metrics で見つけることができます。
  • CloudWatch Streams Metrics Filteringは、Monitor UIにメトリクスレベルの制御をもたらすための氷山の一角に過ぎません。メトリクス管理で次に何が起こるか、さらなる情報をお楽しみに。


What's New Nov 2022

What's New Nov 2022

詳細については、CloudWatch Metric Streamからメトリクスをフィルタリングするを参照してください。

メトリクスとイベントアラートのマルチスレッショルドとデータ無しのサポート

  • データなしアラートの動作:メトリクスが(設定されたセグメント/スコープ/期間について)データのレポートを停止したときに、アラートシステムがどのように動作するかを設定するオプションをユーザーに提供するようになりました。
  • マルチスレッショルドアラート:メトリクスアラートとイベントアラートで、オプションのアラートしきい値を設定できるようになりました。
  • アラートしきい値を追加することで、ユーザーはアラートをよりコントロールできるようになり、アラートしきい値に基づいて異なる通知チャネルを使用できるようになります。これにより、チームは問題を早期に発見し、インシデントレスポンスを向上させることができます。データのレポートを停止したメトリクスにアラートを出す機能をユーザーに提供することで、サイレント・インシデントに対応することができます。


What's New Nov 2022

What's New Nov 2022

Sysdig Monitor Lambda Extension for AWS Lambda Telemetry APIをリリースしました

クラウドモニターチームは、新しいSysdig Monitor Lambda Extension for AWS Lambda Telemetry APIのプレビュー提供を発表します!この新しいLambda Extensionは、Sysdig MonitorがAWS Lambda Telemetry APIを使用できるようにするものです。この新しいLambda Extensionにより、Sysdig Monitorのユーザーは、functionの実行時にLambdaイベントから直接メトリクスをコンシュームすることができ、AWS CloudWatchなどの他のプラットフォームを経由してLambdaメトリクスをルーティングする必要性を回避することができます。

新しいLambda Extensionは、リアルタイムのLambdaイベントに基づいてメトリクスを生成し、それらのメトリクスをSysdig Monitorにプッシュします。

Lambdaのお客様が機能メトリクスを受け取る通常の方法は、LambdaをAWS CloudWatchに接続することです。Sysdig Monitor Lambda Extension for AWS Lambda Telemetry APIを使用すると、お客様はメトリクス取得の待ち時間を最大85%短縮し、最も重要な関数実行メトリクスを利用することができます。

What's New Nov 2022
新しいSysdig Monitor Lambda Extensionの詳細については、こちらをご覧ください。

ダッシュボードの機能強化

  • PromQLクエリーの最小間隔:PromQL Queriesの最小間隔を定義できるようになり、希少なメトリクスを扱う際に便利になりました。詳細については、PromQL クエリーの最小間隔の定義を参照してください。
  • ダッシュボードの一括削除:Dashboard Manager では、ダッシュボードを一括削除できるようになりました。詳細は、Dashboard Managerを参照してください。

アラートの機能強化


メトリクスがデータのレポートを停止したとき、アラート閾値に関連付けられた通知チャネルで無視または通知するオプションが追加されました。

通知チャネル


Sysdig では、Slack の通知を送信する際にどのセクションを使用するかを絞り込むことができるようになりました。通知のカスタマイズを参照してください。

Monitoring integrations

Integrations

以下のintegrationsを追加しました。

  • OpenShift 4 Scheduler
  • OpenShift 4 Controller Manager
  • OpenShift 4 API Server
  • OpenShift 4 Kubelet
  • Azure Virtual Machines
  • Azure Virtual Machine Scale Sets
  • OpenShift CoreDNSジョブを有効化
  • Fluentd integrationにおけるOpenShiftのサポート追加
  • postgresql-exporterとelasticsearch-exporterのイメージを更新し、重要な脆弱性を修正しました。

ダッシュボードとアラート

  • OpenShift v4 APIサーバーダッシュボードにopenshift-apiスコープを追加しました。
  • AWS MetricsStreamのダッシュボードテンプレートに最小間隔オプションを追加しました

Sysdig Secure

セキュアイベントのユーザビリティを改善

イベントをネットワークアクティビティ、チューナー、ビュールールへリンク

セキュリティ調査担当者が誤検知と実際の問題を区別するために、関連するネットワークアクティビティを確認することが役立つ場合があります。Sysdigのネットワークトポロジー可視化へのリンクを、関連するイベントの詳細の Respond ボタンの下に直接追加しています。

同様に、該当する場合、Runtime Policy Tuning機能がRespondボタンの下に表示されます。ユーザーは、例外を追加し、誤検出を減らすためのフローを実行することができます。

最後に、イベントの詳細パネルからルール定義を表示する機能が追加されました。イベントの詳細とルールの定義を並べて見ることができます。

What's New Nov 2022

What's New Nov 2022
What's New Nov 2022

詳細はドキュメントをご覧ください。

イベント通知にルール名を追加

ランタイムイベントの通知が強化され、ルール名が含まれるようになりました。メール、Slack、Microsoft Teamsの場合、ルール名はルール定義へのリンクになります。

Secure Event Forwarderインテグレーションの新機能:Google セキュリティコマンドセンター

Sysdig SecureのEvent Forwarder機能に新しい統合がリリースされました。
Google Security Command CenterまたはSCCは、セキュリティ態勢を強化し、資産のインベントリとディスカバリーを提供している、一元化された脆弱性と脅威レポートサービスです。

What's New Nov 2022

Falcoルール

Sysdig 脅威リサーチチームは、今週、Secureの新しいルールを1つリリースしました。

Redirect STDOUT/STDIN to Network Connection in Host(STDOUT/STDINをホスト内のネットワーク接続にリダイレクトする):

  • このルールは、新しいネットワーク接続にリダイレクトされたSTDIN/STDOUTファイルディスクリプターのコピーを検出します。これまでコンテナに対して使用してきたものと似ていますが、ホストに適用されます。攻撃者が、侵入したホスト/コンテナで非インタラクティブなシェルを開き、任意のコマンドを実行するために展開するリバースシェルを検出するために使用されます。


Lastlog Files Cleared (ラストログファイルの削除):

  • このルールは、ハニーポットで見られたコマンドに由来し、「lastlog」コマンドの使用またはlastlogsファイルの編集によるlastlogsレコードの削除を検出します。このテクニックは、攻撃者が自分の存在を隠したり、痕跡を消したりするために使用します。

Sysdig エージェント

エージェントの更新

Sysdig Agentの最新リリースはv12.9.1です。以下は、10月のアップデートで取り上げたv12.9.0以降のアップデートの差分です。

不具合修正

  • エージェントとコレクター間のレガシーなプロキシー接続の修正:エージェントとコレクター間のレガシーモードのプロキシー接続は、期待通りに動作します。必要であれば、設定を続けることができます。
  • Prometheusのメトリクスを定期的にラベルでエンリッチする問題を修正しました:5分ごとにほとんどのラベルが Prometheus メトリクスから削除される問題を解決しました。この問題は、Prometheus Integrationsに関連するKubeletジョブ、およびお客様が宣言したカスタムジョブ構成に影響します。
  • 以下の脆弱性を修正しました。
    • CVE-2022-42003
    • CVE-2022-42004
    • CVE-2022-40674
    • CVE-2022-3515

詳細については、v12.9.1 リリースノートをご参照ください。

SDK、CLI、ツール

Sysdig CLI

v0.7.14がまだ最新リリースです。ツールの使用方法と旧バージョンのリリースノートは、以下のリンクから入手できます。

https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

v0.16.4が最新版です。

https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.4


Terraform Provider

新しいリリース v0.5.4 があります。

  • 修正:Falcoのルールで、ルールを追加する際に条件を要求しないように修正しました (#200)
  • 機能: 監視アラート、alertV2に対応しました (#194)
  • CI:プロバイダをローカルにインストール/アンインストールするターゲットを追加 (#191)

ドキュメント - https://registry.terraform.io/providers/sysdiglabs/sysdig/latest/docs
GitHub のリンク - https://github.com/sysdiglabs/terraform-provider-sysdig/releases/tag/v0.5.41


Terraform modules

  • AWS Sysdig Secure for Cloud が v0.10.1 に更新されました。
  • GCP Sysdig Secure for Cloud は v0.9.4 で変更ありません。
  • Azure Sysdig Secure for Cloud は v0.9.3 にアップデートされました。

注:潜在的な破壊的変更については、リリースノートを確認してください。

Falco vs. Code Extension

v0.1.0がまだ最新リリースです。

https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0


Sysdig Cloud Connector

AWS Sysdig Secure for Cloudに変更はありません。現在のリリースはv0.16.23のままです。

AWS Sysdig Secure for Cloud

AWS Sysdig Secure for Cloudは、v0.10.1のまま変更はありません。


Admission Controller

Sysdig Admission Controllerがv3.9.12にアップデートされました。

ドキュメント - https://docs.sysdig.com/en/docs/installation/admission-controller-installation/

ランタイム脆弱性スキャナー

新しい vuln-runtime-scanner は v1.2.13 に更新されました。

ドキュメンテーション - https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/runtime

Sysdig CLI スキャナー

Sysdig CLI Scanner は v1.2.10 のままです。

ドキュメンテーション - https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/


Image Analyzer

Sysdig Node Image Analyzer のバージョンは v0.1.19 のままです。


Host Analyzer

Sysdig ホストアナライザ のバージョンは v0.1.11 のままです。

ドキュメント - https://docs.sysdig.com/en/docs/installation/node-analyzer-multi-feature-installation/#node-analyzer-multi-feature-installation

Sysdig Secure Online Scan for Github Actions

最新リリースはv3.4.0のままです。

https://github.com/marketplace/actions/sysdig-secure-inline-scan

Sysdig Secure Jenkins Plugin

Sysdig Secure Jenkins Pluginはまだv2.2.5です。

https://plugins.jenkins.io/sysdig-secure/

Prometheus Integrations

PromCatチームはPrometheus Integrations v1.2.0を正式にリリースしました!Prometheus Integrations v1.2.0は以下のようになります。

Integrations:

  • 機能: 新しいIntegrationsです。Azure仮想マシンスケールセット
  • Sec: postgresql-exporter image Critical High 脆弱性
  • Sec: elasticsearch-exporterイメージの更新 Critical High 脆弱性
  • 修正: Kube-scheduler と controller-manager のジョブが利用できない。
  • 修正: Kube-schedulerとcontroller-managerのポートが入れ替わっていました。
  • 修正: HAProxy Ingress統合のPrerequisitesに、より良い詳細を追加しました。

ダッシュボードとアラート

  • 機能:AWS MetricsStreamダッシュボードテンプレートに最小間隔オプションを追加
  • 修正: Kubernetesのダッシュボードで正しい関数(rate vs, average)を適用するようにした
  • 修正: いくつかのKubernetesジョブパネルに間違ったPromQLがある
  • 修正: Pod権利化ダッシュボードでパネルに適用されないスコープがある



Sysdig on-premise

Sysdigは、2022年11月に5.1.4 Hotfixをリリースしました。

Secure

  • セキュアUIからレガシーベンチマークボタンを削除しました。この機能は、オンプレミスでのデプロイではまもなく廃止されます。
  • ServiceManagerロールに、グループマッピングのShared with Team権限を追加しました。


不具合修正

  • kernel-headers パッケージで検出された脆弱性を、スキャンしたイメージが正しく報告しない問題を修正しました。
  • インラインスキャナーとノードアナライザーなど複数のソースでイメージをスキャンした場合、UIがユーザーを不正なソースにリダイレクトするセキュアスキャンの問題を修正しました。
  • Agent.tag.accountidスコープが設定され、ユーザーがHostスキャン結果を見ることができない場合、Secureにおけるチームスコープの問題が修正されました。
  • Secure Only on-premise の集計間隔設定を60秒に更新し、Sysdigバックエンドの「ストリームリセット」ログ警告の件数を減らすことができました。

リリースノートの全文はこちらでご覧いただけます。Sysdig Docs または Github 。


新しいウェブサイトリソース

ブログ (日本語:sysdig.jp)、(日本語:SCSK Sysdig特設サイト

ブログ

ウェビナー

トレードショー

教育

Sysdigに関するお問い合わせはこちらから

最近の投稿

カテゴリー

アーカイブ

ご質問・お問い合わせはこちら

top