新企画！SCSK技術者によるブログ！
第1回担当の川杉です。SysdigやKubernetesを中心にコンテナセキュリティやモニタリングの技術情報を皆さんにお伝えしていきたいと思い本ブログを開設しました。
それでは早速参りましょう。

SysdigのKill Process機能とは？

本日のテーマは2024年3月リリースされた新機能Kill Processです。
実はお客様から「Sysdigには防御機能はあるんですか？」というご質問をいただくことがよくあります。どうもSysdigはFalcoによって高精度の脅威検知のみができるソリューションというイメージが根強いようです。
そんな時は「大丈夫です！防御機能ももちろん搭載しています」とお答えしておりますが、今回Sysdigの防御機能を一段と強化する新機能がリリースされました。

それがKill Processです。 Kill ProcessはSysdigの脅威検知に新規実装された防御機能で、Sysdigが脅威とみなしたプロセスを強制終了します。 サイバー攻撃が疑われるプロセスのみを強制終了できるためアプリコンテナの停止を気にすることなく使える点がナイスですね！

Sysdigエージェントが導入可能な環境であればLinuxサーバ、コンテナ環境(Kubernetes、Docker、AWS Fargate)の区別なくどこでも利用可能な機能です。

事前準備

それでは早速検証の準備から始めていきましょう。
今回の検証で事前に用意するものは以下の通りです。

• Sysdig agentを導入したDockerサーバー(Kubernetesでも可)

いざ検証

まずは検証用の脅威検知ポリシーを作成します。
今回は「Terminal shell in container」というFalcoルールを使って検証します。
こちらのルールはコンテナ内にシェルを起動してアクセスすることを検知します。
そのためコンテナへの不正アクセス検知に役立ちます。
このFalcoルールの詳細については下記URLで詳しく解説されています。
気になる方は是非チェックしてみてください。
Falco Ruleを紹介するシリーズ - Terminal shell in container
https://qiita.com/yotake/items/b7ff07a99ef07123b6f4

それでは検証用のポリシーを作成していきましょう。
ポリシー名に任意の名前を入力し、Policy RulesにTerminal shell in containerを設定、Kill Processのトグルボタンを有効化して「Save」を押すだけです。
複雑な設定も必要なくとても簡単に有効化できました。
もちろん既存のポリシーに後から設定することもできます。

それでは実際に試してみましょう。
まずは標的となるコンテナを作成します。
下記コマンドでtestという名前のコンテナを作成し、docker psコマンドで起動を確認します。

次にdocker execコマンドでコンテナに侵入してみましょう。

通常はexitコマンドを実行しないとコンテナのシェルから抜けられませんが、Kill Processを有効化するとコマンドを実行する間もなくシェルから抜けています。
画像だと伝わりづらいですがシェルからコマンドを実行する時間はありませんでした。
通常時の動きと比較するとSysdigが検知したプロセスが強制終了されて元のシェルに戻っていることが分かります。

SysdigのGUIから確認するとこのような感じで表示されます。
検知されたプロセスが強制終了されたことやプロセスの詳細が確認できます。

最後に

Sysdigの新機能Kill Processはいかがでしたでしょうか。攻撃が疑われるプロセスを特定し、強制終了することで環境を守るというシステムコールに精通したSysdigらしいGoodな機能でしたね。サイバー攻撃からコンテナを水際で守る機能として今後活躍してくれそうです。
本ブログでは次回以降もSysdigやコンテナ、Kubernetesを中心としたセキュリティやモニタリングについてとりあげていきたいと思います。
それでは、またの機会に！

※今回ご紹介した機能の詳細情報は下記URLに掲載されております。

https://docs.sysdig.com/en/docs/sysdig-secure/policies/threat-detect-policies/manage-policies/workload/#kill-process