ブログ

Sysdigの新機能 - 2020年10月

Sysdigの新機能 - 2020年10月

本文の内容は、2020年10月22日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-october-2020/)を元に日本語に翻訳・再構成した内容となっております。

Sysdigの最新情報を毎月更新しています。

CloudTrailのサポート

今月の大きな発表は、CloudTrailとFargateスキャンのサポートに関するものでした。CloudTrailのサポートにより、Sysdig SecureはCloudTrailイベントをインジェストする機能を提供します。これらはランタイムセキュリティエンジンにフィードされ、Falcoルール言語を使用してルールを作成することができます。これにより、コンテナ、プロセス、またはKubernetesランタイムだけでなく、AWSクラウドにもランタイムセキュリティ検出を提供できるようになり、Sysdig Secureの顧客へのリーチが広がりました。CloudTrailは170以上のAWSサービスをサポートしており、Sysdigはこれらのいずれかのアクティビティを検出する機能を提供しています。私たちの初期の例では、IAMで特権ユーザーを作成したり、TLSを使わずにロードバランサーを作成したり、パブリックS3バケットを作成したりといったアクションが含まれています。

Fargateスキャンのサポート

Fargateイメージスキャンは、DevOpsパイプラインとワークフローに直接フィットします。Sysdigは、Fargateワークロードのセキュリティスキャンを提供するために、いくつかの方法で使用することができます。自動化されたFargateイメージスキャンはここでは新しいものですが、AWSワークロードのカバレッジを提供するすべての方法を再確認する価値があります。

  1. AWS CodePipelineやAWS CodeBuildなどのCI/CDパイプラインに統合して、ビルド中やレジストリにプッシュされる前にイメージを自動的にスキャンする。
  2. レジストリにプッシュされたイメージを自動的にスキャンするためにECRに統合します(おそらくビルドパイプラインの外で手動で)。
  3. そして、新しいジョブを検出して、外部レジストリからのものであっても、イメージを自動的にスキャンするために、Fargateと直接統合します。

ちなみに、これらのスキャンジョブはすべてローカルで実行できるので、イメージがAWSアカウントを離れることはありませんし、アクセスを公開するように要求されることもありません。

セキュリティが向上し、egressコストを節約できます。

先月発売したばかりのものだけではないので、パートナーのページでAWSとの連携を確認してみてください!

その他の製品アップデート

いつものように、製品アップデートの詳細については、リリースノートを確認し、また、ここに記載されている内容についてご質問がある場合は、お近くのSysdigのお問い合わせ先にご連絡ください。

Sysdig セキュア

イベントの転送にKafka と Webhook が追加されました。

Sysdig Secure Event Forwarderに新たにサポートされた2つの統合が追加されました。

0.png

Kafkaトピックの統合には、以下のサポートが含まれています。

  • 複数の Kafka ブローカー
  • パーティショナー/バランサアルゴリズム。Murmurur2, ラウンドロビン, 最小バイト, ハッシュ, CRC32
  • 圧縮アルゴリズム。LZ4、Snappy、Gzip、Zstandard

Webhook の統合には、以下の機能が含まれています。

  • 認証方法。基本認証、ベアラートークン、署名ヘッダ
  • 受信側で必要とされる追加のパラメータに対応するために、ユーザーが定義したカスタムヘッダ。

お客様はどのようにこれを使用しているのか

このリクエストは、複数のソースからのセキュリティイベントを一元化されたプラットフォームに集約したいと考えているお客様からのものでした。これは、可視性と管理のための集中型SIEMを可能にするためのものでしたが、分析目的でこれを行っているお客様も複数いらっしゃいます。Kafkaストリームは、さらなる分析のためにビッグデータ/データウェアハウスプラットフォームにセキュリティイベントを保存するために使用することができます。

脆弱性例外処理の強化

Sysdig Secure の脆弱性例外機能が再設計され、強化されました。

1.png

これにより、以下の機能が提供されるようになりました。

  • 脆弱性とフィードのコンテキストの追加。
  • イメージとそれに関連する例外の間の正確なマッピング。
  • より優れた例外管理ライフサイクル
  • 複数の脆弱性リストは、スキャンポリシーの割り当てを使用して、異なるイメージセット(または特定のイメージのみ)に柔軟に割り当てることができます。
  • チームの意識とセキュリティコンテキストを向上させるための追加情報の表示:脆弱性の説明、ユーザー定義のメモ、脆弱性のフィード情報(フィードごとに提供される深刻度とリンク付き)。
  • 設定可能な有効期限:有効期限に達した場合、例外が自動的に無効化されます。日の解像度、すべての時間をUTC 0:00を基準とした相対時間で表示。
  • 個々のイメージの「スキャン結果」ページとのワークフロー統合を強化し、フラグの立った脆弱性を素早くリストに追加できるようになりました。

移行:機能アップグレード後も、現在の環境での例外や評価の動作は維持されます。特に以下の点に注意してください。

  • 既存の脆弱性例外は、デフォルトの例外リストに移行されます。
  • 既定の例外リストは、既存のポリシーの割り当てごとに割り当てられます。
  • 既存の脆弱性例外の有効期限はすべて "Never "に設定されます。

脆弱性例外とグローバルリストの管理も参照してください。

お客様はどのようにこれを使用しているか

脆弱性を評価したり、その脆弱性を緩和するためのさまざまな方法を検討したりする間、一時的な例外を許可したいというフィードバックをいただいたお客様もいました。私たちが見てきた多くの脆弱性は、使用されていないライブラリや引退したライブラリに由来しているため、お客様は、次のスプリントで更新されたイメージがプッシュアウトされるまでの間、一時的な例外を適用できるようにしたいと考えていました。

多くの顧客は、特定の脆弱性を分析した後、追加の緩和策を実施し、潜在的な脅威が無視できる程度であると判断したために、より恒久的な例外要件を設定しています。監査を受ける際には、例外を設けるだけでは何の役にも立たないので、例外にメモを追加できる機能は非常に重要であり、何が行われたのか、なぜ特定の除外ルールが導入されたのかを誰もが理解できるようにすることを意味しています。

そしてもちろん、事業部門によってルールは異なります。当社の顧客の多くは金融サービスのため、特定のインフラストラクチャーのワークロードでは例外を追加しても問題ないかもしれませんが、金融データやカード決済サービスなどを扱うアプリケーションでは、異なるルールのセットが必要になることがよくあります。ビジネスの異なる領域に適用するための異なるルールを柔軟に作成できることは非常に重要であり、Sysdigではいつものように、Kubernetesやコンテナイメージリポジトリ、コンテナやホスト自体に既に存在するネイティブラベルを使用することができます。

CloudTrailとSysdig Secureを使ったAWSの脅威検知

Sysdigは、クラウドネイティブの運用セキュリティエンジンをデプロイするCloudFormation Templateの一般提供を開始しました。AWS CloudTrailとFalco言語を活用することで、AWSアカウントの予期せぬ動作や不要な動作を検知することができます。

2.png

Sysdig Cloud Connectorは、AWSアカウントのガバナンス、コンプライアンス、運用監査、リスク監査を可能にするための真実のソースとしてAWS CloudTrailを活用しています。

インフラストラクチャーリソース上のすべてのAPIアクションは、CloudTrailエントリのセットとして記録されます。統合がインフラストラクチャにデプロイされると、Sysdig Cloud Connectorはこれらのエントリをリアルタイムで分析し、柔軟なセキュリティルールに照らし合わせてフィルタリングすることでAWSの脅威を検知します。

このリリースに含まれる検出ルールの例:

  • 管理者ポリシーにユーザーをアタッチ
  • SSLを使用せずにHTTPターゲットグループを作成する
  • ユーザーアクセスのためのMFAを無効にする
  • S3バケットの暗号化を削除

Sysdig Cloud Connectorでは、AWS CloudWatchやAWS Security Hubへのセキュリティ調査結果の送信など、いくつかの通知オプションが用意されています。設定しておけば、クラウドコンソールから離れることなくセキュリティイベントを把握することができます。

参照:https://sysdiglabs.github.io/cloud-connector/

お客様はどのようにこれを利用しているのか

これは既存のSecure Runtimeの機能を大きく拡張したもので、まだ非常に新しい機能ですが、すでにAWSアカウントの可視性を得るために利用されています。具体的には、管理者権限を持つ全てのIAMユーザ/ロールの明確な記録を必要とする監査要件や、全てのロードバランサがTLSを使用しているかどうかを検証するために使用されています。これは、コンプライアンス要件のボックスのいくつかをチェックするのに非常に有用であると言われています。

Fargateイメージの自動スキャン

Sysdigは、AWS Elastic Container Service (ECSまたはFargate)を使用して作成されたタスクに使用されているベースイメージを自動的に分析するためのSysdigインラインスキャン機能を活用した新しい統合機能の一般提供を発表しました。

4.png

CloudFormationテンプレートを使用した簡単なデプロイメント - 必須のパラメータはSysdig APIトークンのみです。

インラインスキャンがAWSアカウント内に常駐しているため、セキュリティの向上が期待できます。

  • AWSのプライベートレジストリを公開したり設定したりする必要はありません。
  • イメージのメタデータのみがSysdig Secureに送信され、実際のイメージの内容は送信されません。
  • 機密情報がAWSアカウントから流出することはありません。
  • 発見された各イメージを並行して解析するためのエフェメラルタスクが生成されます。

AWS ECS/Fargateに新しいタスクをデプロイするたびに、EventBridgeイベントがトリガーされ、lambda関数がCodeBuildパイプラインジョブでどのイメージを解析する必要があるかを解析します。

  • 完全に自動化されています。
  • スキャン結果とスキャンポリシーは、Sysdig Secureを使用して単一のセキュリティガバナンスポイントから管理されます。

お客様はどのようにこれを利用しているのか

何人かのお客様がこの機能を楽しみにしていたので、すぐに使い始めました。当社のECRとCodePipelineの統合と組み合わせることで、Fargateで実行されるワークロードの最も一般的な脅威モデルまでカバー範囲が広がります。コンテナがどこから来たかに関係なく、Sysdigはこれをカバーしています。

これは、複数のアカウントがある大規模な環境でも素晴らしいと聞いていますし、一部のアカウントはより自由にアクセスできるので、様々な外部ソースからイメージを引き出すことができます。これは、外部または代替のレポから来たものであっても、Fargateで実行されるすべてのものがスキャンされたことを確認するための保護の最終ゲートを提供します。当社の顧客の中には、ユーザーが好むレポやビルドパイプライン技術を選択できるようにしているところもあります(または、企業の合併や買収による複数の技術を扱っているところもあります)。これにより、最終ゲートを提供することができるので、Sysdigをすべてのビルドパイプラインやリポジトリに統合していなくても、管理されていないリポジトリをサポートする必要があっても、コンテナが環境内で実行された後にイメージスキャンによる保護を受けることができます。

法規制コンプライアンス検証エンジン

これは、規制コンプライアンス検証エンジンの最初のリリースです。このリリースには、イメージスキャン、Falcoルール、ランタイムポリシー、キャプチャー、トポロジーマップなどの機能を使用してSysdigがカバーしているPCI-DSSコントロールチェックが含まれています。このリリースにより、将来的には他の規制コンプライアンスフレームワークへの拡張が可能になりますが、この最初のリリースではPCI-DSSに焦点を当てています。

5.png

この新機能は、Sysdigが提供するカバレッジに対して様々なコンプライアンスコントロールをマッピングし、カバレッジが現在満たされていない場合には、カバレッジを提供する方法を示すガイダンスを提供します。このレポートは、現在のコンプライアンスの状態を迅速に把握できるように設計されており、監査人が実施されているコントロールを検証するために使用することができます。

6.png

この機能は10月12日の週に完全リリースされる予定で、現在は限定リリース中です。これを読んでいてこの機能が有効になっていないが、テストしてみたいという方は、Sysdigの担当者に連絡してみてください。

お客様はどのようにこれを使用しているか

金融サービスのお客様からは、これは非常に便利な機能であり、コンプライアンスの義務を追跡するために使用して、自分たちが思っていた通りのカバレッジを確保しているかどうかを確認していると聞いています。お客様からは、現在のコンプライアンス態勢とエクスポージャーを継続的に最新の状態で把握することは、自社のビジネスにとって不可欠であり、また監査人が求め始めていることでもあるとのお声をいただいています。いくつかの組織では、現在、無作為化された内部監査を実施しているため、コンプライアンスダッシュボードは、コンテナ化された環境のコンプライアンスを証明するための非常に有用なツールであることが証明されています。

Falcoルールのアップデート

Falcoルールの最新バージョンはSysdig 0.10.0です。

新しいタグが追加され、要件やユースケースに関連するルールを簡単に見つけることができるようになりました。

  • SOC2
  • NIST 800-53
  • PCI-DSS
  • NIST 800-190

ルール変更(執筆時点で最新の0.10.0と先月取り上げた0.8.3との差分)

  • すべてのルール:出力フィールドとして user.loginuid を追加しました。この uid は一般的に sudo/su コマンド間で不変であり、より確実にユーザを識別することができます。
  • Write below root:プロセス名がない場合、イベントは発生しません。
  • Delete or rename shell history:コンテナファイルシステム(/.bash_history)とホストファイルシステム(/var/lib/docker/overlay/..././.bash_history)内でパスが表現されている場合、シェル履歴の変更を妨げるような docker プログラムを無視します。
  • Launch Sensitive Mount Container:"sysdig.... "で始まる名前と比較して、Sysdigイメージを正しく識別するようにイメージマッチングを変更しました。
  • Detect shell history deletion:var/lib/docker以下のパスは無視します。例えば、コンテナが削除されたときに削除されるコンテナファイルシステムのオーバーレイイメージなど。
  • Packet socket created in container:デフォルトで有効になりました。
  • Launch Privileged Container:privileged=true で起動できるイメージを追加しました。
  • Launch Sensitive Mount Container:docker.io/sysdig/agent-slim でセンシティブマウントを実行できるようにするタイプミスを修正しました。
  • Read sensitive file untrusted:linux-bench がユーザー情報を含む機密ファイルを読み込めるようにしました。
  • Update Package Repository:チェック対象を既知のパッケージ管理ディレクトリ以下のファイルに制限します。
  • Write below etc:コンテナ内の calico に関連する例外を追加しました。
  • Write below root:mysqlsh の /root/.mysqlsh への書き込みを許可します。
  • Read sensitive file untrusted:google_oslogin_{control}が機密ファイルを読むことを許可します。
  • Change thread namespace:プロセス名がわかっている場合にのみトリガーされます。
  • Create HostNetwork Pod: hostnetwork=true で実行される GKE + デフォルトのメトリクス/ルーティングサービスに関連するいくつかのイメージを許可する。
  • Disallowed Kubernetes User: 複数の既知のKubernetesユーザーを許可リストに追加します。
  • Pod Created in Kube Namespace:GKE に関連するいくつかのイメージ + デフォルトのメトリクス/ルーティング サービスが kube-system/kube-public ネームスペースで実行されることを許可します。
  • System ClusterRole Modified/Deleted:ロール system:maged-certificate-controller の変更を許可します。

Sysdig モニター

Prometheusネイティブのサービスディスカバリー

サービスディスカバリーは、クラスターや環境内のメトリクスをスクレイプするエンドポイントを見つける方法です。エージェントv10.5.0では、SysdigはネイティブのPrometheusサービスディスカバリーをサポートしています。Sysdig の prometheus.yaml ファイルに、バニラの Prometheus で行うのと同じように、任意の設定を追加することができます。これをPromscrape v2と呼んでいます。

今までは、Sysdigエージェントは prometheus: セクションの下にある dragent.yaml の process_filter ルールを使って、どのエンドポイントをスクレイプするかを自動的に検出していました。

現在は、 dragent.yaml の prometheus: セクションの prom_service_discovery: true で Prometheus native Service Discovery が有効になっている場合、新バージョンの Promscrape は、設定された prometheus.yaml を使用して、スクレイプするエンドポイントを検出します。

デフォルトの prometheus.yaml は Sysdig エージェントコンテナと弊社のドキュメントサイトにあります。カスタマイズしたい場合は、外部ボリューム、通常はKubernetes ConfigMapを通してマウントすることをお勧めします。

Promscrape v2は、Federationを介して既存のPrometheusサーバからメトリクスを収集したり、blackbox-exporterで典型的に使用されるマルチターゲットエクスポーターパターンなどの高度なユースケースをサポートするために、あらゆるタイプのスクレイピング設定をサポートしています。

完全な設定オプションと詳細については、Sysdigのドキュメントを参照してください。

お客様がどのように使用しているか

PrometheusをSysdigで使用する際には、ネイティブの互換性を維持しつつ、可能な限り簡単に使用できるようにしたいと考えています。この設定方法では、フェデレーションとマルチターゲットエンドポイントを主な使用例として、バニラのPrometheus環境で使用するのと同じ設定を維持することができます。

私たちは、何千もの時系列を放出するアプリケーションを持っていて、そのアプリケーションが必要としていないという話を何人かの顧客から聞いています。不要なメトリクスを削除するルールを簡単に作成できることで、重要なメトリクスに集中しやすくなり、スケーリング能力が向上します。

また、リラベル化により、アプリケーションやエクスポート先でのメトリクスの表示方法をチームに変更してもらうことなく、Prometheusのメトリクスをインジェストすることができます。再ラベリングにより、類似のメトリクスに対して異なるラベリング規約を使用している可能性のある、異なる環境やビジネスユニット間でのパリティをもたらすための変更を導入することができます。これにより、比較が容易になります。

マイナーアップデート

  • ユーザ削除時に共有ダッシュボードを保存(以前は失われていました)。
  • イベントの時間ナビゲーションにより、インフラストラクチャーで何が起こったかを歴史的に理解するために、時間を素早く遡ってジャンプできるようになりました。
  • ダッシュボードの時間ナビゲーションに「ズームアウト」ボタンが追加され、ダッシュボードのスコープされた時間を素早く拡張できるようになりました(例:1時間→2時間→4時間など)。

Sysdigエージェント

Sysdig Agentの最新リリースは10.5.1です。以下は前回のアップデートで取り上げた10.4.1からのアップデートの差分です。このエージェントリリースにはいくつかの重要な修正があり、できるだけ早く10.5.xにアップグレードすることを強くお勧めします。もし :latest を使用していない場合は、デーモンセットを編集して、これを再適用し、ポッドを再起動してください。

新機能と機能強化

  • HTTP(s)プロキシサーバーを介したエージェントとコレクター間の通信を有効にします。
  • デフォルトの Prometheus 設定ファイル - Promscrape v2 については、上述の Sysdig Monitor の注意事項を参照してください。
  • ポッドアノテーションを尊重するために、Prometheus構成に新しいルールを追加しました。
  • セキュアモード - Sysdigエージェントは、セキュアのみの機能を提供するセキュアモードをサポートするようになりました。詳細は「セキュアモード」を参照してください。
  • エージェントがコレクターとの接続を失った場合(または初期接続に失敗した場合)の再接続ロジックを改善しました。

修正点

  • エージェントおよび agent-slim コンテナで報告された脆弱性に対処しました。その中には、イメージスキャンに関連する依存性ライブラリの CVE-2017-18640 に対応したものも含まれています。
  • ポート番号がリマップされたDockerコンテナ内のエンドポイントからPrometheusメトリクスをスクレイプできるようになりました。
  • 大規模システムでのエージェントクラッシュを防止 - 何千ものプロセスと何百ものコンテナを持つシステムでエージェントがより速く起動するようになりました。
  • Prometheusメトリクス制限の警告 - Prometheusメトリクス制限に達すると、エージェントは1分に1回警告をログに記録するようになりました。
  • Prometheus メトリクスの送信は、サービス発見が有効な場合に期待通りに動作します。
  • アプチェック・メトリクスが見つからなくなることがなくなりました - エージェントで 10 秒間のアグリゲーションが有効な場合に、特定のアプチェック・メトリクスが見つからなくなる問題が修正されました。
  • コレクターへの接続試行が機能しない場合、エージェントがタイムアウトするようになりました。
  • Java サービスの再起動後、エージェントが新しいプロセスから JMX メトリクスを収集するようになりました。
  • ポッドからサービスへの接続 - 同じセレクタを持つ別のネームスペースに他のサービスが存在する場合、誤ったサービスの下にポッドが表示される問題が修正されました。これは、thin_cointerface_enabled プロパティが true に設定されている場合に発生しました。
  • If Not Matching ルールが選択されている場合に、安全な高速エンジンの syscall ルールの評価が修正されました。
  • ポッドが不正なデプロイメントに関連付けられなくなりました - ポッドが不正なデプロイメントに関連付けられる原因となっていた問題を修正しました。

Helm Chart

Helm Chart 1.10.1がリリースされ、Agent 10.5.1に対応しました。前述の通り、アップグレードをお勧めします。

https://charts.sysdig.com/

ノードイメージアナライザ

今月、バージョン0.1.3と0.1.4がリリースされました。最近の修正のほとんどは内部的なもので、より効率的にしたり、レガシーなコードやライブラリをクリーンアップしたり、Google COSのサポートを拡大したりしています。

まだノードイメージアナライザーを使ったことがない方には、ぜひお勧めします。ノードイメージアナライザーは、アナライザーがインストールされているホスト上で実行を開始するとすぐにイメージをスキャンする機能を提供します。通常はSysdigエージェントコンテナと一緒にインストールされます。このコンポーネントは、Sysdigバックエンド(SaaSまたはオンプレミス)内でのイメージ分析への依存度を減らすために導入されました。いくつかの利点があります。

  • イメージを引き出すためにSysdigバックエンドとクレデンシャルを共有する必要がありません。
  • Sysdigバックエンドとイメージのコンテンツやコードを共有する必要はなく、メタデータのみが送信されます。
  • Sysdigバックエンドがユーザーのレジストリに到達するためのネットワークルートを開く必要はありません。
  • エグレス帯域幅のコストが削減されます。

ノードアナライザがインストールされていれば、実行中のイメージスキャンを手動でトリガーする必要がなくなります。

ノードイメージアナライザーは、Sysdigエージェントのインストールの一部としてインストールすることができます。

インラインスキャンエンジン

今月1.0.4をリリースしました。以下の変更が行われました。

  • イメージサイズの縮小(200MBに縮小)により、初回実行時のレイテンシーが改善されました。
  • アナライザーとスキャンバックエンド間のデータ転送をより強固で信頼性の高いものにしました。
  • シェル文字列とパラメータ処理に関するお客様から報告されているマイナーなバグ修正。

SDK、CLI、ツール

Sysdig CLI

v0.4.6、v0.5.0、v0.6.1がリリースされ、以下のアップデートが含まれています。

新機能

  • インラインスキャンのオプションを削除: sdc-cli スキャンイメージのインラインスキャンは使用できなくなりました。インラインスキャンを使用する必要がある場合は、インラインスキャンエンジンを確認してください。
  • sdcclientを0.13.0にアップデートし、Dashboards v3をサポートしました。
  • これによりclient_v3の使用が必須ではなくなったため、削除されています。これはCLIのユーザーには影響しません。
  • 以下の新しいエンドポイントで脆弱性の詳細エンドポイントと例外管理を追加しました。
sdc-cli scanning vulnerability add_exception
sdc-cli scanning vulnerability del_exception
sdc-cli scanning vulnerability get_info
sdc-cli scanning vulnerability bundle list
sdc-cli scanning vulnerability bundle add
sdc-cli scanning vulnerability bundle del
sdc-cli scanning vulnerability bundle get 

バグ修正

  • クライアントの更新中に、ダッシュボード v2 が v3 エンドポイントを使用していたため、下位互換性がないという問題が見つかりました。
  • このリリースでは、ダッシュボードのユーザ名のフォーマットが「Email」ではなく「FirstName LastName (Email)」に変更され、-all-usersなしでリストアされたダッシュボードが無視されていました。
  • ダッシュボードの古いバージョンをリストアする場合の KeyError を解決しました。
  • Python>>=3.8.4で動作するように依存関係を更新。

https://github.com/sysdiglabs/sysdig-platform-cli/releases/tag/v0.5.0

https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

v0.12.0とv0.13.0がリリースされ、以下のアップデートが含まれています。

バグ修正

  • 例:マップを更新すると null を返します。
  • 例:restore_alerts の例で 'updated via' を追加しないでください。
  • falcoマクロとリスト作成にアペンドフィールドを追加
  • Falcoルールバージョン比較
  • マップを使ったjson.dumps
  • リストイベントはフィルタリングする名前を受け取ることができます
  • イベントのリストはv2 APIを使用していなかった
  • URLからのストリップ/文字
  • Policy API の起源が変更され、Secure UI が必要になりました。

追加機能

アクセスキーのサポートを追加

SdScanningClientに脆弱性の詳細メソッドを追加しました。

  • get_vulnerability_details

SdScanningClient用の脆弱性例外メソッドを追加しました。

  • add_vulnerability_exception_bundle
  • delete_vulnerability_exception_bundle
  • list_vulnerability_exception_bundles
  • get_vulnerability_exception_bundle
  • add_vulnerability_exception
  • delete_vulnerability_exception
  • update_vulnerability_exception

画期的な変更

ダッシュボード v3 のサポートを追加

SdMonitorClientをバージョンv2とv3の両方からDashboardClientのものに分割します。デフォルトでは、SdMonitorClientはDashboardClientV3を継承するようになったため、すべてのインターフェイスを実装していますが、以下のメソッドでシグネチャーが変更されています。

  • add_dashboard_panel
  • remove_dashboard_panel:ダッシュボードV3では、V2で実装されたものと同じようなパネルが実装されていないため、これが必要になります。

https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.13.0

Terraform プロバイダー

v0.5.0がリリースされ、以下のアップデートが含まれています。

  • Removed Resource:sysdig_secure_notification_channelは最新バージョンでは非推奨とマークされていましたが、今回のアップデートで削除されました。
  • Terraform SDKがv2にアップデートされ、Goのコンテキストをキャンセルに利用するようになり、Terraform適用をキャンセルする際の信頼性が向上しました。
  • New Resource: PromQLをサポートしたDashboards v3を実装したsysdig_monitor_dashboard。
  • New Datasource:sysdig_current_user。APIコールを実行している現在のユーザーから情報を取得します。
  • sysdig_monitor_team と sysdig_secure_team はデフォルトで追加されているので、管理者はチーム作成から無視されます。

Monitorドキュメント

Secureドキュメント

Promcatリソース

Promcat.ioは、Sysdigがお客様に全面的なサポートを提供するPrometheusエクスポーターのキュレーションセットです。これは公開されているので、お客様以外の方でも利用することができますが、正式なサポートは提供できません。

以下の新しいPrometheusエクスポーターが追加されました。

  • Cassandra
  • AWS EKS with Fargate
  • Oracle DB
  • CoreDNS (統合およびコントロールプレーンの一部として)
  • CEPH
  • AWS SQS

また、以下のような機能強化を行いました。

  • FargateのEC2にECSを追加しました。
  • Sysdigのダッシュボードにスコープ変数を追加
  • AWSリソースをYace v0.18にアップデートする
  • helmfile を etcd secrets で更新しました
  • OpenShiftのレコーディングルールのバグを修正

非推奨のお知らせ

イメージスキャンアラートから未スキャンイメージをスキャンするアクションを削除します。代替方法(インライン スキャンとノード イメージ アナライザを含む)は、スキャンされていないイメージをスキャンするためのより高速で安全な方法を提供します。

新しいウェブサイトリソース

ブログ (日本語

Webinars

ケーススタディ

ご質問・お問い合わせはこちら

top