Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2022年12月7日に DURGESH SHUKLA が投稿したブログ(https://sysdig.com/blog/sysdig-secure-google-chronicle-integration-why-what-and-how/)を元に日本語に翻訳・再構成した内容となっております。
クラウドの導入とデジタルトランスフォーメーションにより、悪意のある行為者が組織に危害を加える攻撃対象が拡大しました。従来のSIEMやEDRは、クラウドネイティブではなく、拡張も困難なため、十分な機能を備えているとは言えません。さらに、最新の脅威検知の仕組みを導入する際には、固定費が発生することも考慮する必要があります。
クラウドワークロードプロテクションプラットフォーム(CWPP)とセキュリティ情報およびイベント管理(SIEM)ソリューションの組み合わせは、チームに明確なシグナルとセキュリティインテリジェンスを提供し、疑わしい活動を検知できないようにするために不可欠となってきています。
2022年以降、Googleはクラウドセキュリティ企業に対して大規模な投資を行い、また買収も行ってきました。現在、このように強化されたGoogleのセキュリティスタックには、以下のようなものがあります。
Google Chronicleは、従来のSIEMが抱えていた問題を解決し、関連するCAPEX投資も不要にするクラウド向けの最高峰のSIEMソリューションです。Google Chronicleは、以下の6つの重要なバリュードライバーに焦点を当てています。
Chronicleを使用すると、Google Cloudのテクノロジーのスピードとスケーラビリティを利用して脅威を探し出し、あらゆるインシデントについて即座に分析とコンテクストを得ることができます。
また、統一されたデータモデルを備えているため、不審なアクティビティに対するディープラーニングと相関分析が可能です。Chronicleの高度な脅威ハンティングとセキュリティ分析が、Seimplifyで増幅されます。これにより、SOCの運用を効率化し、インシデントの調査にかかる時間を短縮することができます。
ランタイムセキュリティにおける脅威の検知とインシデントレスポンスは、包括的なクラウドセキュリティのために必要な機能です。Sysdig SecureとGoogle Chronicleの連携により:
Sysdigは、複数のGCP関連サービスでセキュリティ、監視、コンプライアンス機能を検証しています。SysdigとGCPは、お客様がデプロイされたマイクロサービスのトラブルシューティングにおいて、より多くの情報を確認し、より多くのセキュリティを確保し、時間を短縮することで、クラウドアプリをより早く出荷できるようにするという共通の目標を持っています。
Sysdig Secureは、Falcoのルールエンジンをコアに構築されており、疑わしい活動を簡単に検出することができます。Sysdig Secureは、SysdigからGoogle Chronicle SIEMやSOARのセットアップにエンリッチされたイベントを転送することができます。
Sysdig Secureは、コンテナやホストのシステムコールレベルの詳細を見ることができます。Falcoのルールを活用し、コンテナ内でのターミナルシェルの起動などのアクティビティを検出します。Kubernetes APIコールをシステムコールと一緒に監視することで、疑わしい活動を検出し、Kubernetesコンテキストを含む詳細をChronicleに送信することができます。Sysdigを使用すると、エージェントレスソリューションの機能を超えることができます。
これらの機能をまとめると、以下のようになります:
Sysdig Secureは、Falcoのルールによって検出されたRuntime Policy EventsをGoogleのSIEMやSOARプラットフォームに送信するイベント転送機能を提供しています。これにより、お客様は分析に使用しているツールで直接Sysdigセキュリティの所見を表示し関連付けることができ、またSOARプレイブック内でこれらのイベントをトリガーとして使用することができます。
Phil Williams(Sysdig、パートナーシップ担当SVP)は次のように述べています。「セキュリティチームは、インシデントのフォレンジックストーリーがその最も細かい部分まで完全に語られて初めて安心することができます。Sysdigの統合により、セキュリティチームはGoogle Chronicleの強力なセキュリティインテリジェンス機能を使って発見したものからさらに価値を引き出せるようになります。ワークロード側のストーリーをネットワークやクラウドのメトリクスと組み合わせることで、セキュリティチームは、緩和、影響半径の調査、行為者と手段の特定を行うための座標に加えて、イベントが危険につながったことをより確信することができるようになります。
今回、Sysdig SecureとGoogle Chronicleを連携させるための概念実証を行いました。以下の手順で、この2つのセキュリティシステムを迅速に統合することができます。
Sysdig Secureの "Settings" > "Event Forwarding" で、"Add Integration." を選択します。Chronicleを選択します。次に、インテグレーション名とAPIシークレットキーを入力します。また、Google Chronicleに送信するイベントデータの種類として、 "Runtime Policy Events" を選択します。
Google Chronicleでは、Sysdigの全イベントの一覧から任意のイベントに深くダイブし、さらなるフォレンジック調査に役立てることができます。
フォレンジック以外にも、Chronicle用のLookerダッシュボードですべてのSysdigイベントを視覚化することができます。これらの可視化は、関連する脅威の調査ダッシュボードに追加することができます。