Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2022年10月5日にDurgesh Shuklaが投稿したブログ(https://sysdig.com/blog/extract-maximum-value-from-your-microsoft-sentinel-siem-with-sysdig-secure/)を元に日本語に翻訳・再構成した内容となっております。
Sysdigは、セキュリティ、監視、コンプライアンス機能を複数のAzure関連サービスで検証しています。最新のものはMicrosoft Sentinelで、Azure上のSIEM(セキュリティ情報およびイベント管理)ソリューションであり、Sysdigのクラウドワークロード保護機能と非常によく連動しています。SysdigとMicrosoftは、お客様がクラウドアプリケーションをより早く提供できるよう、より多くの情報を把握し、より安全にし、デプロイされたマイクロサービスのトラブルシューティングの時間を短縮できるよう支援するという共通の目標を持っています。
優れたSIEM戦略には、重要なデータを送信する重要な資産の特定と、そのデータに関連するコンテキスト、ログ、イベントをSIEMに送信することが含まれます。
ゴミが入れば、ゴミが出る。SIEMに正しい種類のデータを取り込むには、正しいソースからデータを取得する必要があります。
また、SIEMに流れ込むイベントストリームを制御するルールが、誤検出を起こしすぎず、深いレベルの可視性を維持する必要があります。このように、イベントストリームに関するポリシー、ルール、およびフィルターは、SIEMの成功にとって非常に重要になります。SIEMに適切なイベントストリームを送信するための適切なシステムがあるかどうかを検討する必要があります。
Sysdig SecureとMicrosoft Sentinelの組み合わせ - ブロック図
Sysdigの中核には、オープンソースのFalcoのルールエンジンがあります。Sysdigは、オープンソースのFalcoルールエンジンを搭載しているため、不審な動きを検知し、エンリッチしたイベントをMicrosoft SentinelなどのSIEMに送信することが可能です。
例えば、Falcoはコンテナに関連するあらゆるアクティビティを識別し、それに対してアラートを発することができます。しかし、これにはコンテナ内で起きている正当な活動も含まれる場合があります。Sysdig Secureは、システムコールレベルの詳細を調べることができ、コンテナ内でのターミナルシェルの起動などのアクティビティを検出するためのルールを提供します。Falcoに加え、Sysdig SecureはKubernetesのコア機能を活用し、もう一つの重要なデータソースとしてKubernetes APIコールにアクセスすることが可能です。KubernetesのAPIコールをシステムコールと一緒に監視することで、疑わしい活動を検知し、Kubernetesのコンテキストを含む詳細をMicrosoft Sentinelに送信することができるのです。 Sysdig Secureの他の洗練されたルールは、データ操作、SSHの改ざん、さらには本番環境にデプロイされたイメージに関するドリフトを検出することもできます。Sysdigは、Falcoの能力を次のレベルに引き上げ、市場で選ばれるクラウド検知・対応ツールになりつつあります。
これらの機能をまとめると、以下のようになります:
今回のMicrosoft Sentinelとの提携は、企業のクラウドセキュリティとコンテナセキュリティを強化するためのSysdigの幅広い取り組みの重要な一部です。
Sysdig Secureは、サードパーティのSIEMプラットフォームやロギングツールにさまざまな種類のセキュリティデータを送信するイベント転送機能を提供しています。これにより、分析に使用しているツールで、Sysdigのセキュリティ上の発見を直接表示し、相関させることができます。イベントの一覧は、以下のように列挙できます。
Sysdig SecureとMicrosoft Sentinelを接続するためのPoC検証を行いました。以下の手順(および必要に応じて前提条件)で、2つのセキュリティシステムを迅速に統合してください。
(前提条件となる手順)
Sysdig Secure - Overviewページ
Sysdig Secureの利用開始は簡単です。無料体験の開始|Sysdigから、30日間の無料体験からスタートできます。
Microsoft Sentinel - Home
Microsoft Azureポータルで、Microsoft Sentinelのインスタンスが有効になっていることを確認します。このインスタンスによって、SIEM関連のタスクが実行できるようになります。
Azure Log Analytics Workspace
これは基本的に、Microsoft Sentinelに関するデータ収集のためにAzure Monitor Logsをセットアップします。
Azure Workspace & Agents management
このワークスペースIDとトークンは、Microsoft SentinelとSysdig Secureなどの他のSaaSソフトウェアとの間でデータを交換するための安全な統合を設定するために必要です。
(主な手順)
Sysdig Secure統合の設定
Sysdig Secure内で、"Settings" > "Event Forwarding"から、"Add Integration"を選択します。Microsoft Sentinelを選択します。次に、統合名、ワークスペースID、シークレットキーを入力します。また、Microsoft Sentinelに送信したいイベントデータの種類を選択します。
Microsoft Sentinel - クエリーのセットアップ
Microsoft SentinelのUIで、"Logs>>New Query "に進みます。そして、すべてのSysdig Secureイベントのリストを選択し、クエリーを実行します。これで、Falcoのランタイム脅威の検出によるイベントを含む、すべてのSysdigイベントのリストが得られます。
Microsoft Sentinel - イベント詳細
Microsoft SentinelのUIでは、Sysdigの全イベントのリストから任意のイベントを深く掘り下げることができ、さらにフォレンジック調査に利用することができます。
Microsoft Sentinel - Dashboard
フォレンジック以外にも、Microsoft Sentinel内ですべてのSysdigイベントを視覚化することができます。これらの可視化は、関連する脅威調査のダッシュボードに追加することができます。
Microsoft Sentinel SIEM(または他のSIEM)は、組織が定期的に理解し活用する努力と同じくらい有用です。その有効性は主に、セキュリティチームが監視とログ記録システムによって追跡された疑わしいイベントを確認できるかどうかに基づいており、さらにこれらのイベントがさまざまなビジネスリスクをどのように提示し、上昇させるかにも基づいています。Sysdig SecureをMicrosoft Sentinelのセットアップと一緒に試すことで、SIEMのセットアップとSecOpsチームの価値を完全に引き出すことができます。
