Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2023年6月29日にSudha Duvvuri が投稿したブログ(https://sysdig.com/blog/whats-new-in-sysdig-march-and-april-2023/)を元に日本語に翻訳・再構成した内容となっております。
「Sysdigの最新情報」が2023年5月号と6月号で復活!
テキサス在住のカスタマー・ソリューション・エンジニア、Sudha Duvvuriです。Sysdigの最新機能リリースをご紹介します。
6月:Sysdig は、ワークロード・ベースのイベント・フィードを強化するProcess Treeをリリースしました。問題のプロセスに至る全てのプロセスを特定するのに役立ちます。これはテクニカル・プレビューの状態です。Sysdig はまた、Sysdig Secure Live をリリースしました。Secure Live (プレビュー) は、インフラストラクチャのセキュリティイベント、脆弱性、誤設定への対応と調査を1つの画面で支援する強力なツールで、調査対象のインフラストラクチャの一部にスコープを限定する簡単な方法を備えています。Sysdig Monitorでは、新しいRancher Kubernetes Control Plane(API Server、cAdvisor、Controller Manager、Scheduler、CoreDNS)の統合を紹介しました。
5月:Sysdig は脆弱性管理ランディングページのリリースを発表しました。これは、ユーザの環境における脆弱性リスクの傾向、優先順位、およびトップアクションアイテムの確認をサポートするために設計されています。また、Sysdig SecureのPolicies UIの下に、専用のAccepted Riskページ(プレビュー)が追加されました。
Sysdigの最新情報にご期待ください!
Sysdigは、メトリクスが時間の経過とともに動的に変化する場合にアラートを受信するための新しいアラートタイプ、Changeアラートを導入しました。Changeアラートは、ネットワーク・トラフィックの突然の急増や健全なノード数の急激な減少などのケースを検出します。
Changeアラートは、以下のシナリオにおいて、静的閾値に基づくアラートよりも利点があります:
Sysdigはグループマッピングの設定APIを導入しました。このAPIでは、ユーザがグループを持っていない場合や、競合するグループが存在する場合に、グループマッピングがどのように動作するかを定義することができます。例えば、複数のグループがユーザーを異なる役割で同じチームに配置する場合などです。詳細については、グループマッピングAPIドキュメントを参照してください。
この機能は正式リリースです。
Sysdigは、アップデートされたエージェントライセンス管理APIを発表しました。このAPIでは、各アクセスキーの制限、予約、チームの所有権、メタデータを定義することができます。詳細については、アクセスキーの管理をご覧ください。
この機能は正式リリースです。
サイレンス・ルールが強化され、スコープごとのアラート・サイレンスに加えて、アラートごとにアラート通知をサイレンスする機能が導入されました。詳細については、アラート通知のサイレンスを参照してください。
サービス制限は、Sysdig Monitor 環境が健全な状態を維持し、最適なパフォーマンスを発揮できるようにするための使用しきい値です。サービス制限を超えるアラートは、アラートを無効にします。条件とサービス制限については、サービス制限を参照してください。
Sysdig Secure イベントフィードのプロセスツリー機能のテクニカルプレビューリリースをお知らせします。この機能は、プロセスが開始されたコンテキストを視覚的に表示します。この機能は、インシデント対応を迅速化するために、プロセス間の関係や依存関係を容易に理解できるように、使い慣れたEDRフォーマットで、セキュリティ担当者のためにプロセスの系譜を表示します。
この機能はSysdigエージェントv12.15を必要とし、手動で有効にする必要があります。
脅威検知ルールに追加された更新バッジに加え、比較パネルを使用して正確な変更を確認できるようになりました。これは、Sysdig Threat Detectionチームによって管理されたルールセットに加え、ユーザーによるカスタマイズにも適用されます。
Sysdigは、AWSクラウドアカウントのオンボーディングエクスペリエンスを改善し、ユーザーがタイプ、方法、希望する機能に関するインストール設定を指定できるようにしました。Sysdigは、インストールプロセスを段階的にガイドし、シームレスでパーソナライズされたエクスペリエンスを保証します。
さらに、Sysdig のエージェントレス CDR は AWS CloudTrail 上での脅威検知をサポートするようになり、追加のコンピュートリソースが不要になりました。Sysdig脅威リサーチチームによって管理されるFalcoとその常に更新されるルール、および特定の環境やセキュリティ要件に合わせてカスタマイズされたカスタムルールを活用することで、ユーザは堅牢なイベント処理の恩恵を受けながら、AWSアカウントと組織を容易に接続することができます。
Secure Liveとは?Secure Liveは、インフラストラクチャ内のセキュリティイベント、脆弱性、誤設定への対応と調査を1つの画面で支援する強力なツールであり、調査対象のインフラストラクチャの一部にスコープを設定する簡単な方法を備えています。
どのように機能するのか?
Secure Liveは、クラスタ、ネームスペース、ワークロードなどの階層に基づくスコープごとに、インフラストラクチャの過去24時間を表示します。これらのスコープの1つを選択すると、Sysdig Secureのさまざまな部分から、そのスコープに特化したパネルとタブの厳選されたセットで既存のデータが表示されます。この機能が進化するにつれて、Posture Tab や Cloud Live など、より多くのパネルや「Live」ビューが追加される予定です。
どのような利点があるのか?
Sysdig Secure Liveには、以下のようなメリットがあります:
制限事項は?
Sysdig Secure Liveはまだ開発中なので、いくつか注意すべき制限があります:
今後の予定は?
Sysdigは、Sysdig Secure Liveの継続的な改善に取り組んでいます。将来的には、次のような新機能を追加する予定です:
この機能を有効にして使い始めるには、ドキュメントをご覧ください!
Sysdigは、脆弱性管理のAccept Risk機能のアップデートを発表します。このアップデートにより、ユーザはカスタマイズ可能ないくつかの方法でリスク受容を拡張し、受容範囲をより制御できるようになります。
以前は、CVE、イメージ、またはホストに対して受け入れられるリスクスコープは、グローバルまたは個々のアセットのいずれかでした。
改善点
イメージベースのアクセプトを適用できるようにしました:
Sysdigは、Sysdig Secureのランタイム・イベント・ダッシュボードのテクニカル・プレビューを発表します。ダッシュボードは、インフラストラクチャのすべてのイベントのサマリービューとトレンドビューを提供します。また、フィルタリング機能により、インフラストラクチャの特定の部分に焦点を当てることができます。
このリリースでは、以下のダッシュボードが利用可能です:Events Overview、Kubernetes Events、Cloud Events、Host and Container Events
注:ダッシュボードが表示されるのは、インフラ全体をスコープしているチームのみです。
KubernetesクラスタにはHelmのインストールが推奨されていますが、Kubernetesが稼働していないホストをスキャンしたい場合は、Linuxホスト上のコンプライアンス違反に対するスタンドアロンアナライザも提供しています。
以下のポリシーを更新しました:
Sysdig SecurePosture コントロールライブラリが拡張され、AWS リソースのカバレッジが向上しました。コントロールライブラリには、以下のリソースタイプの新しいコントロールが含まれるようになりました:
Sysdig Secureは、GCPリソースのカバレッジを向上させるため、以下のサービス向けに合計229の新しいリソースタイプを追加しました:
レジストリ・スキャナー0.2.39とチャート1.0.12をリリースしました:
この新しいソースを取り入れることで、すでにスキャンされた資産の中に、これまで発見されていなかった脆弱性が発見される可能性があることにご留意ください。
Sysdigは、脆弱性管理ランディングページのリリースを発表します。このページは、お客様の環境における脆弱性リスクの傾向、優先順位、およびトップアクションアイテムの確認をサポートするために設計されています。
何を?
なぜ?
その他の注意事項
Sysdig Secure Posture コントロールライブラリが拡張され、AWS リソースのカバレッジが向上しました。コントロールライブラリには、以下のサービスに対する新しいコントロールが含まれるようになりました:
Git 統合スキャナーでサポートされている IaC コード・リソースが、Sysdig Secure のインベントリーで利用できるようになりました:
以下のポリシーを更新しました:
チャート1.0.5
Sysdig Secure の脆弱性管理ルールのデフォルトセット「深刻な脆弱性(修正プログラムあり)」の重要なアップデートについてお知らせします。以前、これらのルールの 1 つに「修正がある」という必要条件が欠落していたことが確認され、特定されたポリシー違反の精度に影響を及ぼしていた可能性があります。この問題は現在修正されています。
この改善の結果、以前はポリシー違反としてマークされていた脆弱性が、そのように見なされなくなる可能性があることに注意してください。
グループページには、検出されたグループ情報を並べ替えたり、フィルタリングしたり、ランク付けしたりする方法が多数用意されており、グループのユーザーやポリシーに関連するアイデンティティ・リスクを迅速に修正することができます。
グループに対する最小許可ポリシー提案は、すべての適用されたポリシーの範囲内で、グループのすべての適用ユーザの活動を考慮します。Sysdigの最適化されたポリシー提案を利用することで、グループに対して1つのポリシーを作成することができます。
SlackとMS Teamsの通知チャネルの通知フォーマットが使いやすく簡素化されました。通知には、ルール、ポリシー名、イベントが発生した場所に関するコンテキスト情報のみが含まれるようになりました。利用可能な場合は、Runbookリンクとアクションが表示されます。
ユーザーがリンクをクリックすると、Sysdig UIでイベントの詳細が表示されます。
ランタイムポリシーと ルールライブラリのページに、過去7日間にルールが追加または更新されたことを示すバッジが表示されるようになりました。これには、Sysdigの脅威リサーチチームによる更新や、例外値の指定などユーザーによるカスタマイズが含まれます。
このバージョンの Sysdig Agent では、Sysdig Secure でプロセス・ツリー可視化のサポートが追加され、ワークロード・ベースのイベントのイベント・フィードが充実しました。これは、問題のあるプロセスに至るまでのすべてのプロセスを特定するのに役立ちます。
この機能を有効にするには
Sysdig Agentのバージョン12.10.0から12.14.1では、Javaの依存関係がJava 7をサポートしないバージョンにアップグレードされました。その結果、これらのバージョンでは、Java 7 JDK/JRE上でJMXメトリクスを収集するJavaプロセスを実行できません。このリリースでは、依存関係を Java 7 をサポートするバージョンにダウングレードします。
Sysdig Agentは、thin cointerfaceを使用している場合、ノードコストメトリクスをサポートするようになりました。
エージェントの OpenSSL バージョンを 1.1.1t にアップグレードすることにより、CVE-2023-0286に対処しました。
Sysdig Agentは、secureモードとsecure_lightモードの両方で同じメトリクスセットを報告するようになりました。これは、secureモードでのプログラム・メトリクスも、dragentプロセスまたはコンテナに制限されることを意味します。
エージェントI/Oメトリクスが正しく報告されない原因となっていた、特定のイベントに対するシステム実行時間のアカウンティング処理を修正しました。
Ubuntu v20.04を含む最近のs390x Linuxディストリビューションでは、カーネル・モジュールをビルドする際に、コンパイラーが-march=z13/-mtune=z15フラグをサポートする必要があります。s390xプラットフォーム用のagent-kmoduleイメージで使用されているgccのバージョンは、必要なフラグをサポートするgcc-12にアップグレードされています。
このHotfixリリースでは、以下の機能強化が行われています:
カーネルモジュールがLinuxカーネルバージョン6.3をサポートするように更新されました。
promscrape
のCVE-2023-28840を解決しました。
RHEL6ホストでのプローブビルドエラーを修正
標準エラー(stderr
)に送られるコンソールログメッセージは、警告以上の優先度のみに制限されました。優先度の低いコンソールログメッセージはすべて標準出力に
送られます。
event.type/event.dir フィールド
evt.arg.res = 0 チェック
container.id != host
フィールドを条件から削除エージェント 12.14.0 では、Sysdig Secure のドリフト検知が改善されました。ドリフト検知には最小カーネルバージョン 3.18 が必要で、ドリフト防止には最小カーネルバージョン 5.0 が必要です。
12.14エージェントリリースでドリフト機能(検出と防止の両方)を動作させるには、以下を設定します:
drift_killer: enabled: true
--set agent.sysdig.settings.drift_killer.enabled=true
Sysdig Agentは、デフォルトでDockerコンテナからのPrometheusメトリクスのスクレイピングをサポートするようになりました。スクレイピングはコンテナラベルに基づいて行われます。
RPMベースのディストリビューション用のSysV initスクリプトがエージェントのシャットダウン時間を考慮するようになり、早すぎるSIGKILLを回避できるようになりました。
systemd-sysv-generator
で PID トラッキングが有効になりました。
エージェントが一部のJVMを監視対象から除外できるようになりました。
除外ルールのセットは、エージェントのコンフィグで定義できます。各ルールは、プロパティとパターンのペアです。与えられたJavaプロパティの値がパターンに一致すると、そのJVMのプロセスが監視対象から除外されます。例えば、以下のコンフィギュレーションは、OpenJ9ベースのJVMを監視対象から除外します:
jmx: jvm_exclude: - property: java.vm.name pattern: .+OpenJ9.+Code language: Perl (perl)
以前は、この機能はOpenJ9を拒否するようにハードコードされていましたが、現在はそうではありません。OpenJ9の監視時にヒープ・ダンプが発生する場合は、上記の設定をdragent.yamlに追加してください。
エージェントが不正なプロトコルのハンドシェイクから回復しない問題を修正しました。
v0.7.14が最新リリースです。ツールの使用方法と以前のバージョンのリリースノートは、以下のリンクから入手できます:
https://sysdiglabs.github.io/sysdig-platform-cli/
v0.16.6がリリースされた。
[SP-748] #239の get_team メソッドを修正
v1.9.0がリリースされました。
ドキュメント -https://registry.terraform.io/providers/sysdiglabs/sysdig/latest/docs
GitHubへのリンク- https://github.com/sysdiglabs/terraform-provider-sysdig/releases/tag/v1.7.0
v0.1.0が最新リリースです。
https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
Sysdig Cloud Connector v0.16.39がリリースされました。
Sysdig Admission Controllerはv3.9.21で変更はありません。
ドキュメント :https://docs.sysdig.com/en/docs/installation/admission-controller-installation/
Sysdig CLI Scanner が v1.5.0 にアップデートされました。
ドキュメント:https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/
最新リリースはv3.5.0で変更はありません。
https://github.com/marketplace/actions/sysdig-secure-inline-scan
Sysdig Secure Jenkins Pluginの新しいリリース、v2.3.0がリリースされました。
https://plugins.jenkins.io/sysdig-secure/
統合:
ダッシュボードとアラート
v0.0.5をリリースしました。
https://github.com/sysdiglabs/terraform-eksblueprints-sysdig-addon
オンプレミス・リリースv6.2.1がリリースされました。
ここ数ヶ月の間にいくつかのバージョンのルールがリリースされました。以下は最新のリリースノートです。
https://docs.sysdig.com/en/docs/release-notes/falco-rules-changelog/
Falco 0.35がリリースされました。
https://falco.org/blog/falco-0-35-0/
リリースハイライト
KeePass CVE-2023-32784:プロセスメモリーダンプの検知
Sysdig CDRでクラウド侵害をリアルタイムに阻止し、調査・対応を加速させる
Sysdigの新機能、「プロセスツリー」で 脅威検出への革新的なアプローチを
Sysdig LiveでKubernetesの脅威に即座に対処する
エージェントベースとエージェントレスの両方を活用: End-to-end の検知で疑わしい振る舞いを防止する
CSPM、CIEM、CWPP、CNAPP:クラウドセキュリティを取り巻く環境とは?
Sysdigのリスクベース脆弱性管理でコンテナイメージのリスク傾向を把握する
Sysdigの料金プランやコストをDatadogと比較してみた
Day2 Falcoコンテナセキュリティ - ルールのチューニング
クラウドセキュリティ: もう一つの略語が必要であることが判明(CNAPP)
PrometheusによるElasticsearch監視のTOPメトリクス
Run Faster, Runtime Followers(日本語)
日本語ウェビナーはこちら:
How mx51 manages security and risk without impacting innovation and efficiency
Lessons from the Trenches: Maintaining Effective Security in Cloud
Navigating Cloud and Container Security Risk
Shift Cloud Security Left and Right with CNAPP, Powered by Runtime Insights
Kubernetes Live機能を備えたSysdig Secureのご紹介(動画:日本語字幕付き))
【Kubernetes Live:Sysdig Secure新機能紹介】Sysdig LiveでKubernetesの脅威に即応する(動画:日本語字幕付き)
セキュリティ脅威の調査を改善するSysdig Secureの新しい機能、「プロセスツリー」の紹介(動画:日本語字幕付き)
Windows Monitoring (hands-on lab) (動画)- https://learn.sysdig.com/windows-monitoring
Sysdig Monitorのご紹介(動画) - https://www.youtube.com/watch?v=SyD_4sNadAQ
脆弱性管理の概要(動画) https://www.youtube.com/watch?v=1_uPQnVKZAI