本文の内容は、2025年7月25日に Sebastian Zumbado が投稿したブログ(https://sysdig.com/blog/unifying-detection-and-response-sysdig-cortex-xsoar-for-security-at-cloud-speed)を元に日本語に翻訳・再構成した内容となっております。
セキュリティチームは、複数のツールを行き来し、アラートを手作業でつなぎ合わせることで、貴重な時間を浪費しています。ワークロードが短命でスケールが常に変動するクラウド環境において、こうした遅延はMTTR(平均修復時間)を押し上げ、危険な盲点を生み出します。脅威が進行中の間に発生する遅延は、時間が経過するごとにリスクを増大させます。
Sysdigは、Palo Alto NetworksのCortex XSOARプラットフォームと統合し、インシデント管理機能を強化しました。特に、状況の文脈化と迅速な対応アクションに重点を置いています。
この統合により、セキュリティインシデントの自動および手動での対応が効率化されます。インシデント対応者は、アラートを迅速にトリアージし、ホストやコンテナレベルでの正確かつ的確なアクションを実行できます。たとえば、侵害されたコンテナの停止、疑わしいファイルの隔離、フォレンジック分析用の詳細なシステムアクティビティの取得などが可能です。
Sysdig と XSOAR で何ができるでしょうか?
ワークロード、コンテナ、クラウドアカウント、さらにはSaaSプラットフォームからのデータを一元的に統合ビューへと簡単に取り込み、サイロをまたいで影を追いかけるような作業はもう不要です。
データのエンリッチメントやケース管理といった面倒な作業は自動化され、私たちは全体像に集中することができます。
さらに、トリガーされた対応アクションやシステムキャプチャにより、バックエンドへのAPIコールが発動し、より深い分析が可能になります。まるで常に脅威の一歩先を行くスイスアーミーナイフのような存在です。
ピースがどのように組み合わさるか
統合の可能性は、チームのダイナミクスや技術スタックなどの要因によって異なります。ここでは、最も一般的な2つの統合パターンを概説します。
1. 直接統合: Sysdig ↔ XSOAR
Sysdigは、Falcoを活用し、クラウド、コンテナ、ホスト内のワークロード全体にわたってリアルタイムのランタイムインサイトを提供します。XSOARはこれらの脅威通知を受信し、プレイブックをトリガーします。
この直接的なアプローチは、迅速な対応時間を優先し、SIEM などの追加レイヤーをバイパスして依存関係を最小限に抑えたい組織に最適です。
2. SIEM統合ワークフロー:Sysdig → SIEM → XSOAR
一部の組織では、XSOARに引き渡す前に、すべてのセキュリティテレメトリをSIEMに一元管理することを好みます。このパターンでは、
- Sysdig は、相関関係の分析と長期的な分析のために、ランタイム イベントと脅威データを SIEM に転送します。
- 次に、SIEM は強化されたアラートを XSOAR に送信し、XSOAR はオーケストレーションと対応ワークフローを実行します。
- Sysdig を介して応答アクションを実行し、ワークロード レベルで脅威を直接軽減することもできます。
XSOAR 用 Sysdig パック
Cortex XSOAR Marketplaceコンテンツパックは、統合機能があらかじめ組み込まれたバンドルです。Sysdigコンテンツパックには、ブループリントとして機能するサンプルプレイブックや、サンプルマッパーなどのオブジェクトが含まれており、チームはニーズに合わせてカスタマイズされたカスタムプレイブックを簡単に構築できます。
現在サポートされているレスポンスアクション
execute-response-action コマンドを通じて。統合では以下のアクションタイプがサポートされます。
KILL_PROCESSKILL_CONTAINERSTOP_CONTAINERPAUSE_CONTAINERFILE_QUARANTINE
キャプチャ
create-system-capture コマンドは、特定のホストに対してシステムキャプチャをトリガーします。これは、さらなるフォレンジック分析において特に有用です。Sysdigのシステムキャプチャについての詳細は、こちらをご覧ください。
Sysdigのサンプルプレイブックの実行例:エビデンス収集の自動化
フローはさまざまな段階で構成されています。
データ収集
上述で説明したように、Sysdigランタイムイベントを取り込む方法は2つあります。より一般的なのは、ランタイムイベントをXSOARプラットフォームに直接送信することです。これは、イベントフォワーダーまたは通知チャネルを使用してイベントをXSOARウェブフックに送信することで実現できます。もう1つの方法は、SysdigからSIEMソリューションにイベントを送信し、さらにエンリッチメントを行った後、XSOARプラットフォームに送信することです。いずれの場合も、ペイロードの一部として送信するフィールドをインシデントフィールドにマッピングできるインカミングクラシファイアを提供することで、XSOARプラットフォームがイベントを適切なタイプに分類できるようにします。
インシデント管理
Sysdigから受信した単一または複数のイベントに基づき、新たな「Sysdig Runtime Event Incident」を作成します。コンテナID、ホスト、Sysdigテナントなどのフィールドに基づいて、さまざまな統合コマンドを実行することが可能です。これには、コンテナの強制終了/一時停止/停止、あるいはファイルの隔離を行う execute-response-action コマンドも含まれます。
この一連のプロセスは、プレイブックにまとめて自動的に実行することができます。プレイブックは必要に応じて複雑にすることが可能で、対応アクションやシステムキャプチャを実行するためのSysdigコマンドの実行、さらには他ベンダーによるアクションの実行も含めることができます。今回提供するのは、Sysdigによるシステムキャプチャをトリガーするプレイブックです。今後のリリースでは、さらに多くのプレイブックが追加される予定です。
プレイブックの目的: システムキャプチャの自動化
このプレイブックの目的は、影響を受けたホストのシステムキャプチャを取得するプロセスを自動化することです。手順は以下のとおりです。
- インシデントにシステムキャプチャを実行するために必要なフィールドがあることを確認します。
- キャプチャを実行するには、手動で人間の承認を求めます。
- 指定された詳細とスコープでシステム キャプチャをトリガーするコマンドを呼び出します。
- インシデント ウォー ルームでキャプチャを保存するように手動で要求します。
- .scap ファイルを保存します。
その他の実際のシナリオ
暗号通貨マイナーへの対応
Sysdigが環境内で暗号通貨マイナーの実行を検知し、「Detect crypto miners using the Stratum protocol」ルールがトリガーされたと仮定します。このイベントがXSOARプラットフォームで受信されると、高重大度のインシデントが新たに作成されます。分類子(classifier)のおかげで、インシデントフィールドを抽出することが可能です。
必要なフィールドを含むインシデントがこのように表示されます。インシデントの種類、プレイブック、および「Sysdig Incident Information」タブを確認してください。
次のステップは、イベントへの対応を管理することです。環境内の暗号通貨マイナーがリソースを消費し、攻撃者に利益をもたらすのを防ぐため、コンテナを強制終了する必要があります。そのためには、次のコマンドを実行します。
!execute-response-action actionType=KILL_CONTAINER callerId="soc_team" host_id="hostname-id" container_id="c000-000"
…War Roomでインシデント フィールドから必要なパラメータを手動で抽出します。
プロセス全体はカスタムプレイブックで自動化できます。プレイブックの大まかな手順は以下のとおりです。
- インシデントの重大度とSysdig重大度フィールド(高、中、低)を確認します。(受信するSysdigイベントがすべて一貫して「高」(例:0、1、2)に分類されている場合は、この手順を省略できます。)
- 必要なインシデント フィールドが正しくマップされており、
KILL_CONTAINERアクション タイプに対して存在することを確認します。 - 人間に手動で確認を依頼します。
- インシデントフィールドをパラメータとしてコマンドを実行します
試してみませんか?
Cortex XSOAR の Sysdig 統合を開始するには、XSOAR Marketplaceにアクセスしてください。
そこから、公式統合パックをXSOAR環境に直接インストールできます。インストールが完了したら、必要なAPI認証情報を入力してSysdigアカウントを登録してください。これにより、SysdigとCortex XSOAR間の安全な通信が可能になります。
Sysdig Response Actionインスタンスをインストールするには、Settings > Instances に移動し、「Sysdig」を検索してください。「Add Instance」をクリックしてください。
URL パラメータには、Sysdig SaaS URL を指定する必要があります。地域別に分類されたリストについては、ドキュメントを参照してください。
APIキーのフィールドについては、取得方法に関するドキュメントを参照してください。その後、以下のドキュメントを使用してXSOARの認証情報エントリを作成してください。
「Collect」セクションまでスクロールし、「Sysdig Runtime Event」インシデント タイプを選択します。また、Mapper (incoming) の「Sysdig Mapper Runtime Event」も選択します。
次に、新しいインスタンスが設定され、有効になっていることを確認します。
最後に
SysdigとCortex XSOARの統合により、深いランタイム可視性と強力な自動レスポンスの間のギャップが埋まります。検知とオーケストレーションを統合することで、セキュリティチームはノイズを排除し、MTTRを短縮し、クラウドスピードで脅威に対応できるようになります。直接統合から始める場合でも、SIEMを介したワークフローから始める場合でも、このセットアップは、現代の動的な環境を守るために必要な信頼性と俊敏性を実現します。