皆さん、こんにちは！
第17回担当の川杉です。第X回でご紹介したSysdig SageでFalcoを勉強してみよう①の続編となります。

振り返り

以前のブログにてFalcoについてご紹介し、Falcoが初学者に難しいと思われがちな理由について以下の考察をご紹介しました。

• Falcoドキュメントの最新情報が英語しかない
• 設定可能なフィールド数がとても多い
• 学習に適当な情報が乏しい(ルールの作成方法に焦点をあてた情報があまりない)

以前のブログはこのような課題に対してSysdig Sageでどの程度解決できるか試していく趣旨の内容でした。Sysdig Sageは最近登場したSysdigの生成AI機能で日本語にも対応しており、Sysdigが提供しているFalcoルールの内容や作成方法の知見などを提供します。
実際にご紹介した内容はユースケース①についてどのような内容が確認できるかといったものでした。

① Falcoルールの検知条件の詳細を調べたい
② 特定の条件に合致するFalcoルールの作り方を知りたい

今回はユースケース② 特定の条件に合致するFalcoルールの作り方を知りたい でのSysdig Sageの活用法をご紹介します。

事前準備

• 作成したルールの検知確認用にSysdigエージェントの導入されたノード(Kubernetes、Linuxどちらでも可)

　※今回はLinuxサーバーにSysdigエージェントを作成して検証しています。

実際に使ってみよう

それでは実際にやってみましょう。
Sysdigにログインして、Sysdig Sageのチャット画面を開きます。
今回は、nginxディレクトリ(/etc/nginx/conf.d)配下のファイルの改ざんを検知するシナリオでFalcoルールを作成してみましょう。
まずは以下のように尋ねてみましょう。

下記の結果が返ってきました。

Falcoルールの作成例とcondition句の詳細を教えてくれました。検知したいイメージ通りのFalcoルールであるように見えます。
念のため出力された内容のsyntaxエラーの確認を依頼してみましょう。

Syntaxエラーもなさそうです。

教えてもらったFalcoルールを試してみましょう。
Sageに教えてもらったルールを元にFalcoルールを作成します。

次に検知ポリシーも作成します。

これで準備が整いました。
実際にファイルを編集してみましょう。
今回の検証では、/etc/nginx/conf.dの配下にhogehoge.confというファイルがあります。

[root@     conf.d]# pwd
/etc/nginx/conf.d
[root@     conf.d]# ls
hogehoge.conf

Vimコマンドで編集してみます。

[root@     conf.d]# vi hogehoge.conf
[root@     conf.d]# 

編集した結果、Sysdigでイベントが検知されました。
下画像の通り、vimコマンドでファイル編集したことを検知しました(下図青枠)。

Sageを利用することで自分の作成したいFalcoルールの例を教えてくれるのはありがたいですね。また作成例の詳細な情報も教えてくれるので勉強がはかどりそうです。ただし、教えてくれた情報はoutput句などの情報が少ないので、本番で利用するためにはもう少し修正が必要そうでした。

最後に

今回もSysdig Sageを使ってFalcoの理解を深める記事でした。Falcoルールの作成をアシストしてくれるので心強いですね。 今後も生成AI機能の活用法についてブログで紹介していこうと思います。
それでは、またの機会に！

担当者紹介

担当者名

川杉

コメント

3年ほど前からSysdigを中心にコンテナ・Kubernetes領域で仕事をしています。社内でコンテナ技術の啓蒙活動も積極的に行っています。

保有資格

Certified Kubernetes Administrator
Certified Kubernetes Security Specialist