Sysdigの最新情報 – 2023年1月

By 清水 孝郎 - JANUARY 26, 2023
Topics: Sysdig機能

SHARE:

Sysdigの最新情報 – 2023年1月

content:

Table of Contents #1. Know how #2. Scale #3. Infrastructure costs

本文の内容は、2023年1月26日にKATARINA ZIVKOVICが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-january-2023)を元に日本語に翻訳・再構成した内容となっております。 Sysdigの最新情報、2023年1月版で再び登場です! カナダ・バンクーバー在住のカスタマー・ソリューション・エンジニア、ダスティン・クリサックと申します。 今月は、Sysdig SecureのホストスキャンとCSPMコンプライアンス機能の一般提供を開始しました。その他にも、ホストの脆弱性レポート、AWSのTerraformのIaCスキャンなど、様々な変更があります! また、SDK、CLI、ツールにもいくつかのアップデートと改良が加えられました。

Sysdig Monitor

  • 1月のアップデートはありません。
最新の情報は、12月のSysdig Monitorリリースノートをご参照ください。

Sysdig Secure

ホストスキャンの機能強化と一般提供の開始

ホストの脆弱性管理は、いくつかのアップグレードを受け、現在一般利用可能な状態になっています。

新たにサポートされたホストOS

ホストスキャン機能の開発において、多くのサポート対象OSが追加されました。1月に追加されたのは以下の通りです。
  • Alibaba Cloud Linux (通称:Aliyun Linux)
  • Google Container-Optimized OS (COS)、ビルド89+。
対応するホストOSの一覧はこちら。

ホスト脆弱性レポート

Sysdig製品でスキャンしたHostを対象とした脆弱性レポートを定期的に作成することが可能になりました。 What's New with Sysdig - January 2023 Sysdig Secureのレポート機能から、ランタイムワークロードとランタイムホストのどちらを対象とするかを選択できるようになりました。スコープラベルとレポートカラムは、ホストスキャンのメタデータ(ホスト名やクラウドプロバイダーリージョンなど)に従いますので、ご注意ください。

CSPMコンプライアンスGAリリース

Sysdigは、新しいCSPM ComplianceのGAリリースを発表します。最も重要な環境とアプリケーションのコンプライアンス結果に焦点を当てましょう! 新しい機能が導入されました:
  • コンプライアンスページを導入し、ゾーンの順番で表示します。
  • CSPM ゾーン管理
    • お客様ごとにデフォルトの「インフラストラクチャー全体」ゾーンが作成されます。
    • 独自のゾーンを作成します:
      • 評価したいリソースのスコープを定義します
      • ゾーンにポリシーを適用して、コンプライアンスページに追加します。
  • 40以上のリスクとコンプライアンスポリシーを含む
検出から修復までの道筋、リスクの許容、ゾーン管理、インストール、移行のガイドラインを知るには、ドキュメントをご覧ください。 なお、新しいコンプライアンス・モジュールは、IBM Cloud および OnPrem ユーザーには提供されません。引き続き、Unified Complianceをご活用ください。

IaC ScanningがTerraform AWSに対応しました

Sysdigは、AWSプロバイダーのTerraformリソースのサポートをリリースしています。Git IaC Scanningを実装している場合、プルリクエストチェックでAWSリソースをスキャンし、CIS AWS Foundations Benchmarkの違反を報告するようになりました。 サポートされるリソースとソースの種類のリストが追加されました:
  • YAML マニフェストの Kubernetes ワークロード
  • Kustomize の Kubernetes ワークロード
  • Helm チャートの Kubernetes ワークロード
  • TerraformでのKubernetesワークロード
  • TerraformにおけるAWSクラウドリソース
対応するリソースとソースの種類のリストが追加されました: このリリースの他の変更点としては、TerraformでのKubernetesリソースのスキャンを改善し、さらなるユースケースをサポートします。 詳細については、IaC Security のドキュメントをご確認ください。

脆弱性管理にGolangのフィードを追加しました

Sysdigは、Golang関連の脆弱性をより幅広く検出するためのフィードを追加しました。Golangのバイナリで宣言されているパッケージを抽出することで、そのバイナリをビルドするために使用されているライブラリの脆弱性を表面化させています。特に:
  • GitLab アドバイザリデータベース
  • Go 脆弱性データベース
What's New with Sysdig - January 2023

Google COSの脆弱性ホストスキャンが追加されました

(プレビュー機能である)Host ScanningにGoogle COSのサポートが追加されました。 Host Scanningは、Helmチャートのsysdig-deployバージョン1.5.0+でデプロイする際にデフォルトでインストールされます。
  • Google COSのサポートには、HostScannerコンテナバージョン0.3.1+が必要であることに注意してください。
デフォルトのセットに追加された新しいディレクトリは、以下のものをスキャンします。
  • 汎用バイナリ (docker/containerd や infra tooling など)
    • /bin、/sbin、/usr/bin、/usr/sbin、/usr/share、/usr/local。
  • ライブラリ(デフォルトのPythonライブラリなど)
    • /usr/lib,/usr/lib64
  • GoogleCOSツーリングディレクトリ
    • /var/lib/google,/var/lib/toolbox,/var/lib/cloud

Sysdig Agent

エージェントのアップデート

Sysdig Agentの最新リリースはv12.10.1です。以下は、12月のアップデートで取り上げたv12.9.1以降のアップデートの差分です。

2022年12月20日

このHotfixは、Sysdig MonitorのAdvisorのYAMLタブで発見された問題を解決します。YAMLタブをクリックすると、期待どおりに動作し、PodのYAML設定が引き続き表示されます。

2022年12月15日

機能の強化

ライトモードのサポート
新しいエージェントモードである secure_light が導入され、限定されたセキュアな機能を提供することができるようになりました。このモードでサポートされる機能は以下の通りです。 secure_lightモードで動作するSysdigエージェントは、セキュアモードで動作するエージェントよりも少ないリソースを消費します。 詳細については、セキュアライトを参照してください。

コンテナ防御のためのエージェント設定追加

Sysdigエージェントが、ポリシーに関係なく、kill、pause、stopなどの潜在的に破壊的なコンテナ操作を行わないようにする、新しいエージェントレベルの設定、ignore_container_actionが追加されました。 このオプションを有効にするには、dragent.yaml ファイルに以下を追加します: 
security:
ignore_container_action: true
この設定は、デフォルトでは無効になっています。 この構成が有効で、ポリシーがコンテナ操作の実行を指示する場合、エージェントはポリシーを無視し、構成のためにエージェントがアクションを取らなかったことを示すInfoログメッセージを作成します。 また、以下を参照してください。脅威検知ポリシーの管理|コンテナ

スコープマッチングの改善

対応するKubernetesラベルが一時的に利用できない場合、同等のコンテナラベルを使用することで、実行時ポリシーのスコープマッチングが改善されました。 以下の設定により動作が決まります。例では、デフォルト値を示しています。 
Security:
  use-container-labels-mapping: true
  Container_labels_map:
    - "kubernetes.pod.name: container.label.io.kubernetes.pod.name"
    - "kubernetes.namespace.name:container.label.io.kubernetes.pod.namespace"

AWSデプロイメントでのIMDSv2サポート

AWSメタデータサービス(IMDSv2)とのトークンベース通信を必要とするすべてのデプロイメントで、新しいエージェントレベルの設定であるimds_versionを2に設定する必要があります。 
imds_version: 2
IMDSv1形式のAWSメタデータリクエストを継続して使用する場合は、設定を変更しないか、1に設定します。 
imds_version: 1

脆弱性の修正

  • CVEを解決するために、Promscrapeに使用されているGoのバージョンを1.18.7に更新しました。
  • CVE-2022-42003 と CVE-2022-42004 を解決するために Jackson ライブラリを更新しました。
  • CVE-2022-38752 を解決するために sdjagent の snakeyaml を 1.32 にアップグレードしました。

メモリ消費量のチェックを行わないようにしました

Kubernetesは独自のリソース管理をしているため、Kubernetesで実行する際にエージェントのウォッチドッグがメモリ消費量をチェックすることを無効にしました。Kubernetesで動作しているときに、エージェントウォッチドッグによるメモリ消費量のチェックを再度有効にしたい場合は、以下の設定パラメータを設定します。 
Watchdog:
    check_memory_for_k8s: true

Cost Advisorのレポートラベルを追加

インスタンス、リージョン、ゾーン、およびノードのオペレーティングシステムを識別するための追加のラベルを収集できるように、デフォルトのKubernetesラベルフィルタを変更しました。追加のラベルは、インフラストラクチャーに関連するコストの計算を支援します。

デリゲートされたエージェントの特定

エージェントがデリゲートされているかどうかを示す statsd_dragent_subproc_cointerface_delegated メトリクスが追加されました。

コンテナメタデータの取得を改善

DockerとCRIの両方のランタイムが利用可能な場合に、コンテナのメタデータを取得するように改善されました。これにより、ランタイムポリシーイベントでコンテナ情報が欠落している問題が軽減されます。

既知の問題

Sysdig Monitor の Advisor で、kubectl describe 操作と同様に Pod の構造を表示する YAML タブが、期待通りに動作しない場合があります。YAML タブをクリックすると、エージェントが再起動し、その結果、メトリクスが一時的に失われることがあります。 回避策として、dragent.yamlファイルで以下のように無効化します: 
k8s_command:
  enabled: false

不具合修正

すべてのストレージクラスをレポート

エージェントは、1つのストレージクラスだけでなく、すべてのストレージクラスを報告するようになりました。以前は、クラスターに複数のストレージクラスが存在する場合、エージェントはメトリクス protobuf で global_kubernetes から1つのストレージクラスのみを送信していました。

イベントでのグループ名とユーザー名の適切なマッチング

イベントは group.name と user.name を正しく報告するようになりました。これは、一部のケースでコンテナに対してルート ID が N/A として解決される問題が原因でした。

コンテナのターミナルシェルが N/A を返さないようになりました

コンテナのパスワードとグループ検索を実装し、コンテナのターミナルシェルが user.name に対して N/A を返さないようにしました。

ARM 用のコマンド実行記録の生成

アクティビティ監査で、ARM プロセッサシステム、コンテナ内で実行されるトップレベルプロセス、および関連する TTY がない場合に、コマンド実行記録が生成されない問題が修正されました。

Pod の再デプロイメントでラベルを正しく報告する

Pod が再デプロイメントされたときにエージェントが古い Pod UID を報告するという promscrape の問題が修正されました。これは、そのPodからスクレイピングされたタイムスケールからすべてのラベルが欠落することにつながりました。

より新しいJREバージョンでのJMX監視の修正

sdjagent の例外により、新しい JRE バージョンで JMX 監視が正しく機能しない問題を修正しました。 詳しくは、v12.10.1 リリースノートを参照してください。

Agentlessの アップデート

  • 1月のアップデートはありません。
詳細については、12月のv3.0.5リリースノートを参照してください。

SDK、CLI、ツール

Sysdig CLI

v0.7.14がまだ最新リリースです。ツールの使用方法と旧バージョンのリリースノートは、以下のリンクから入手できます。 https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

v0.16.4が最新版です。 https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.4

Terraform プロバイダー

新しいリリース v0.5.47 があります。 ドキュメント – https://registry.terraform.io/providers/sysdiglabs/sysdig/latest/docs GitHub のリンク – https://github.com/sysdiglabs/terraform-provider-sysdig/releases/tag/v0.5.47

Terraform モジュール

  • AWS Sysdig Secure for Cloud が v10.0.3 にアップデートされました。
  • GCP Sysdig Secure for Cloudはv0.9.6で変更ありません。
  • Azure Sysdig Secure for Cloud が v0.9.3 にアップデートされました。
注:潜在的な破壊的な変更については、リリースノートを確認してください。

Falco VSCode Extension

v0.1.0が最新リリースです。 https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0

Sysdig Cloud Connector

AWS Sysdig Secure for Cloudに変更はございません。現在のリリースはv0.16.26のままです。

AWS Sysdig Secure for Cloud

AWS Sysdig Secure for Cloudは、v0.10.3のまま変更はありません。

Admission Controller

Sysdig Admission Controller が v3.9.14 にアップデートされました。 ドキュメント – https://docs.sysdig.com/en/docs/installation/admission-controller-installation/

ランタイム脆弱性スキャナー

新しい vuln-runtime-scanner は v1.2.13 に更新されました。 ドキュメンテーション – https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/runtime

Sysdig CLI スキャナー

Sysdig CLI Scanner は v1.3.2 のままです。 ドキュメンテーション – https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/

Image Analyzer

Sysdig Node Image Analyzer のバージョンは v0.1.19 のままです。

Host Analyzer

Sysdig Host Analyzer のバージョンは v0.1.11 のままです。 ドキュメント – https://docs.sysdig.com/en/docs/installation/node-analyzer-multi-feature-installation/#node-analyzer-multi-feature-installation

Sysdig Secure Online Scan for Github Actions

最新リリースはv3.4.0のままです。 https://github.com/marketplace/actions/sysdig-secure-inline-scan

Sysdig Secure Jenkins Plugin

Sysdig Secure Jenkins Pluginはまだv2.2.6です。 https://plugins.jenkins.io/sysdig-secure/

Prometheusインテグレーション

PromCatチームはPrometheus Integrations v1.7.0を正式にリリースしました!Prometheus Integrations v1.7.0は以下のようになります。 インテグレーションは以下の通りです:
  • Sec: promcat-jmx-exporter image Critical High 脆弱性
  • Sec: postgresql-exporter image Critical High 脆弱性
  • 修正 NTP統合における問題の修正
  • 修正: Windowsインテグレーションのためのロゴを追加
  • 機能 インテグレーションのyamlに時系列計測の新しいダッシュボードを追加
  • 修正: kubeapiのジョブがポートラベルを使用しており、存在しない場合がある
  • 修正: 監視統合 – MongoDBのインストールに失敗する
  • 修正:Calicoインテグレーションのタイポ
  • 修正: ドキュメントでksmインテグレーションがOSSであることを明確にする
  • 修正: k8s api-serverにメトリクスフィルターのバグがある
ダッシュボードとアラート:
  • 修正 Linux ホストの概要パネルで、一部の値が正しく表示されないことがある
  • 機能 Windows デフォルトのメトリクスとプロセスコレクタのメトリクスを使用した Windows アラートの追加
内部ツールおよびドキュメント:
  • 修正: 一部のドキュメントページを改善

Sysdig on-premise

5.1.6 ホットフィックス

アップグレードプロセス

  • 対応するアップグレード元: 4.0.x、5.0.x
完全なサポート可能性マトリックスについては、Githubのリリースノートを参照してください。また、重要なインストール手順も記載されています。 不具合修正
  • values.yaml ファイルを更新すると、管理者設定が元に戻ってしまうプライバシー設定の問題を修正しました。
  • Scan Resultsの下に表示されるサイドパネルのインターフェースのバグを修正しました。
  • メタデータサービスが一部のメトリクスで値として空の文字列を返すことがあり、”A new version of Sysdig is available.” というバナーが称される問題を修正しました。
  • Anchoreで、本来存在しないはずのパッケージの脆弱性が表示される問題を修正しました。
  • Anchore イメージを最新のコードとセキュリティアップデートで更新しました。

Falcoのルールの変更履歴

バージョン0.99.0

ルールの変更

  • 以下のルールを追加しました。
    • セキュリティグループルールの変更 世界に開かれたIngressを許可する
    • IPFS ネットワークへの接続が検出される
  • 以下のルールの条件を改善しました。
    • Ingress Open to the Worldを許可するセキュリティグループルールを作成します。
    • ネットワーク ACL エントリを作成し、Ingress Open to the World を許可します。
    • 偵察用スクリプトの検出
    • ラストログファイルのクリア
    • コンテナでのリモートファイルコピーツールの起動
    • Bucketのライフサイクルをput
    • シェル履歴の削除と名前変更
  • 以下のルールの例外を追加しました。
    • Bucketのライフサイクルをput
    • 役割分担ポリシーの更新
  • IoC ルールセットを新しい知見に基づき更新
  • 以下のルールの誤検知を削減しました:AWS認証情報の検索
  • デフォルトポリシーの変更
  • 以下のルールを追加しました。
    • Ingress Open を許可するセキュリティグループルールの変更
    • IPFSネットワークへの接続が検出された
私たちのFalcoチームは、今月は新機能の複数のリリースで忙しくしています。1月中にリリースされた内容の詳細については、こちらでご確認ください。

新しいウェブサイトリソース

ブログ (日本語:sysdig.jp)、(日本語:SCSK Sysdig特設サイト

ブログ

脅威リサーチ

ウェビナー

トレードショー

教育

Sysdigトレーニングチームは、様々なトピックを学び、実践するためのキュレーションされたハンズオンラボを提供しています。1月のコースのセレクションです。