Sysdig

SCSK株式会社

ブログ

HOME ブログ 【SCSK技術者によるブログ】Sysdig Sageを使ってみた

【SCSK技術者によるブログ】Sysdig Sageを使ってみた

SCSK技術者によるブログ!
第13回担当の川杉です。今回はSysdig Sageについてご紹介します。
それでは、参りましょう!

Sysdig Sageが使えるようになりました

Sysdigの生成AI機能Sysdig Sageがついにリリースされました。 この1年、多くのお客様が心待ちにしていたこともあり、このテーマでブログを書けることを大変嬉しく思います。
Sysdig Sageは、Sysdigが収集した情報に関する深い洞察と観察したイベントに基づいた推奨事項をユーザーへ提供します。
セキュリティ担当者の業務負荷軽減を設計思想に持つSysdigらしいナイスなアプローチですね!

現在はCDR(Cloud Detection & Response)領域のみに限定したリリースとなっておりますが、その他の機能にも随時対応していく予定の様です。 一般的な生成AIツールと同じようにチャット形式の会話が可能で、日本語にも対応しています。 Sysdig Sageの詳細情報につきましては公式ドキュメント(下記URL)をご覧ください。

https://docs.sysdig.com/en/docs/sysdig-secure/sage/

※SaaS側での機能有効化が必要となりますため、弊社のお客様はSCSK Sysdigサポートまでお問い合わせください。

Sysdig Sageを触ってみた所感

触ってみた所感としてSysdig Sageを利用することで以下のメリットを享受できるのではないかと考えます。

  • Sysdig機能学習コストの軽減(Falcoルール理解の促進)
  • セキュリティ担当者の負荷軽減(Sysdig操作の負荷軽減)
  • ユーザーの迅速な意思決定への貢献

Sysdigの操作や情報整理などをAIにお任せすることで、ユーザーがセキュリティの本質的な業務に集中できるように支援することに重きを置いているようです。

色々と試してみた結果、現時点では以下の内容で効果的な回答が得られそうでした。

  1. セキュリティイベントの発生状況を確認する(条件に応じたフィルタリングビューを提示)
  2. セキュリティイベントのトリガー条件や対策方法を確認する
  3. ユーザーが指定した条件でトリガーするFalcoルール作成方法の提示
  4. 自作したFalcoルールのレビュー(Syntaxの確認やテスト方法の例の提示)

今回は項番1.2にフォーカスしてどういった回答が得られるか実際に試した結果をお伝えします。

Sysdig Sageを試してみる

ここからはSysdig Sageを利用して、セキュリティイベントの発生状況をどの程度可視化できるか見てみましょう。
まずはSageのチャットボックスを表示します。 Sageが有効になっている環境では、Sysdig GUIの画面右上の青枠のマークをクリックするとチャットボックスが表示されます。

早速Sageに質問してみましょう!
まずはこんな質問をしてみました。

Sageからはこんな回答が来ました。

「詳細なイベントリストはこちらをご覧ください。」と書いてあったのでリンクをクリックしてみると、、、

なんと質問した条件でフィルタされたイベントリストが表示されました。これは便利ですね!

続けて上記の質問をしてみました。
どうやらnginxコンテナでLaunch Root User Containerという緊急度"高"のイベントが79件も発生しているみたいですね。

イベントのトリガー条件や対策方法について尋ねてみましょう。

トリガー条件や対策方法について非常にわかりやすく教えてくれました。
直感的に使えて実用的な内容を教えてくれるのはナイスですね!

最後に

今回はユーザー待望の新機能Sysdig Sageのご紹介でした。 色々試していくうちに効果的なプロンプトを発見することも思うので機会があればまた取り上げたいですね! 学習度合いが成熟していくと回答できる内容や範囲も進化していきそうなので今後も目が離せません。 それでは、またの機会に!

担当者紹介

SCSK 川杉
担当者名
川杉
コメント
3年ほど前からSysdigを中心にコンテナ・Kubernetes領域で仕事をしています。社内でコンテナ技術の啓蒙活動も積極的に行っています。
保有資格
Certified Kubernetes Administrator
Certified Kubernetes Security Specialist

SCSK技術者ブログ

【SCSK技術者によるブログ】Falco初学者講座 - condition編

【SCSK技術者によるブログ】Falco初学者講座 - condition編

【SCSK技術者によるブログ】Sysdig Sageを使ってみた

【SCSK技術者によるブログ】Sysdig Sageを使ってみた

【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編②~

【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編②~

【SCSK技術者によるブログ】Sysdigをセキュアに使おう~IP Allowlist編~

【SCSK技術者によるブログ】Sysdigをセキュアに使おう~IP Allowlist編~

【SCSK技術者によるブログ】Node ExporterをSysdig Monitorに連携してみた

【SCSK技術者によるブログ】Node ExporterをSysdig Monitorに連携してみた

【SCSK技術者によるブログ】Sysdigの設定をTerraformで管理してみた

【SCSK技術者によるブログ】Sysdigの設定をTerraformで管理してみた

【SCSK技術者によるブログ】CNAPPの理解とSysdigのカバレッジ

【SCSK技術者によるブログ】CNAPPの理解とSysdigのカバレッジ

【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~マルウェア検知編~

【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~マルウェア検知編~

【SCSK技術者によるブログ】Sysdigのライセンス体系

【SCSK技術者によるブログ】Sysdigのライセンス体系

【SCSK技術者によるブログ】Sysdig とMicrosoft Entra ID間でSAML認証設定を試してみた

【SCSK技術者によるブログ】Sysdig とMicrosoft Entra ID間でSAML認証設定を試してみた

【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編~

【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編~

【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~AWSサインインなりすまし検知編~

【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~AWSサインインなりすまし検知編~

【SCSK技術者によるブログ】Sysdig SecureのRisks機能を試してみた

【SCSK技術者によるブログ】Sysdig SecureのRisks機能を試してみた

【SCSK技術者によるブログ】Sysdigの防御機能Kill Processを試してみた

【SCSK技術者によるブログ】Sysdigの防御機能Kill Processを試してみた

ページトップへ