SalesforceにおけるFalcoの拡張

本文の内容は、2024年12月3日に Nigel Douglas が投稿したブログ(https://sysdig.com/blog/falco-for-salesforce/)を元に日本語に翻訳・再構成した内容となっております。

CNCF コミュニティの多くの人が知っているように、Falco の柔軟性はプラグインを通じて拡張でき、ユーザーは独自のセキュリティ ニーズを満たすカスタム統合を構築できます。プラグインは Falco のコア機能を拡張し、新しいイベントソースと検知機能を有効にします。この柔軟性は、 Salesforce、Okta、Boxなどの SaaS サービスを監視する場合に特に強力です。

このブログ記事では、Salesforceリアルタイムイベントモニタリングオブジェクトを取り込み、実用的な Falco フィールドに変換する Salesforce プラグイン for Falco を紹介します。このプラグインにより、組織は Salesforce のセキュリティ脅威をリアルタイムで検知して対応できるようになり、コンテナ、クラウドプラットフォーム、Kubernetes と同じレベルの可視性が実現します。

Salesforceプラグインの機能

Salesforce プラグインは、Salesforce のリアルタイムイベントモニタリングから重要なイベント データを取り込み、Falco ルールを使用した脅威検知に利用できるようにします。これにより、セキュリティ チームは、ログイン失敗、不正アクセス、権限変更などの疑わしいアクティビティを検知するカスタム ルールを定義でき、Salesforce に新しいレベルのリアルタイム可視性をもたらします。

このプラグインを使用すると、ログインの成功と失敗を監視したり、通常とは異なる地域からのログインを追跡したり、管理者が他のユーザーとしてログインしたときにそれを検出したりできます。ログインアクティビティ以外にも、このプラグインは権限の変更を識別したり、API の異常を見つけたり、セッションハイジャックやクレデンシャルスタッフィングの試みなどのより高度な脅威を検出したりするのに役立ちます。エクスポートされるフィールドの完全なリストは、こちらでご覧いただけます。

Salesforce イベントを Falco の他のデータ ソースと相関させることで、クラウドや SaaS 全体で展開されるラテラル ムーブメントやその他の高度な攻撃を検知できます。

Salesforce イベントを Falco と統合する理由

Salesforce イベントを Falco に取り込むことの価値は、複数のクラウドプラットフォームを並行して監視できることにあります。Salesforce プラグインを使用すると、クラウド インフラストラクチャーと SaaS サービス全体でセキュリティインシデントを同時に検知できます。この機能は、プラットフォーム間のアクティブな横方向の移動をリアルタイムで特定するために不可欠であり、セキュリティチームは迅速に対応して被害を軽減できます。

Falco ユーザーは、クラウドネイティブの脅威検知の取り組みを統合し、Kubernetes やコンテナを超えて Salesforce などの重要な SaaS サービスにまで範囲を拡張できるようになりました。

Salesforceプラグインの設定

Falco 用の Salesforce プラグインを使い始めるには、いくつかの前提条件を満たす必要があります。

• Salesforce イベント モニタリング: プラグインには Salesforce のリアルタイムイベントモニタリングへのアクセスが必要であり、Salesforce Shieldまたはイベントモニタリングのサブスクリプションが必要になる場合があります。
• Go 1.20 以上: プラグインのコンパイルにはGo 1.20 以上が必要です。
• Salesforce 接続アプリケーション:プラグインは、クライアント認証情報フローを使用してSalesforce で認証します。コンシューマー キー、コンシューマーシークレット、および Salesforce ログイン URL が必要になります。

これらの認証情報を取得したら、 Falco Configuration ファイル内でプラグインを構成するのは非常に簡単です。

plugins:

  - name: salesforce

    library_path: libsalesforce.so

    init_config:

         sfdcclientid: (your consumer key)

         sfdcclientsecret: (your consumer secret)

         sfdcloginurl: (your sfdc login url)

         Debug: False

認証情報を追加したら、次のように設定してfalco.yaml の構成でプラグインを有効にするだけです。

load_plugins: [salesforce]

Salesforce 脅威検知のルール例

Salesforce プラグインを使用すると、セキュリティインシデントをリアルタイムで検出するルールを作成
できます。たとえば、次のルールを使用すると、失敗したログイン試行を簡単に検出できます。

- rule: Failed Login

  desc: User failed login

  condition: salesforce.eventtype=LoginEvent and salesforce.loginstatus!="Success"

  output: >

    User %salesforce.username failed login (status=%salesforce.loginstatus, IP=%salesforce.sourceip, platform=%salesforce.platform, event ID=%salesforce.eventidentifier)

  priority: ALERT

  source: salesforce

  tags: [salesforce, T1110, T1110.001, mitre_brute_force, mitre_password_guessing]
Code language: YAML (yaml)

ログイン失敗を検知するためには、プラグインで処理される既存のエクスポートフィールドを利用できます。ログインイベントに該当する任意のイベントタイプで、ログインステータスが「Success」ではない場合、それは自然に不成功または失敗したログイン試行を示します。
多くの場合、Salesforceには攻撃ベクターに関連する特定のイベントタイプが既に用意されています。したがって、クレデンシャルスタッフィング攻撃を検知したい場合は、単に条件として salesforce.eventtype=CredentialStuffingEvent を指定するだけで十分です。

- rule: Detected Credential Stuffing

  desc: Detected Credential Stuffing

  condition: salesforce.eventtype=CredentialStuffingEvent

  output: >

    Credential stuffing detected (User=%salesforce.username, IP=%salesforce.sourceip, User Agent=%salesforce.useragent, Event ID=%salesforce.eventidentifier)

  priority: EMERGENCY

  source: salesforce

  tags: [salesforce, T1110, T1110.004, mitre_brute_force, mitre_credential_stuffing]

攻撃者は、無関係なアカウントの漏洩データから取得した認証情報を利用し、認証情報の重複を通じてターゲットアカウントにアクセスすることがあります。時折、Salesforceのようなウェブサイトやサービスが侵害され、ユーザーアカウントの認証情報が流出した場合、大量のユーザー名とパスワードのペアがオンラインに公開されることがあります。

この場合、潜在的なブルートフォース攻撃を示すルールに適切なMITRE ATT&CKコンテキストをタグ付けすることができます。また、これらの標準ルールは、Salesforceにおける潜在的な脅威を迅速に特定するのに役立ち、セキュリティチームが効果的に対応するための基盤を提供します。

重要性

Salesforceプラグインは、より広範なクラウドネイティブ環境内でSaaSサービスを保護するための重要な一歩を示しています。Falcoのオープンソースエコシステムを活用することで、SalesforceをKubernetesやクラウドプロバイダーなどの他のプラットフォームと共に監視できます。この包括的な視点により、プラットフォーム間のイベントを関連付けることでセキュリティを強化し、検知能力を向上させ、盲点を減らします。

多くの企業が重要な機能をSaaSプラットフォームに依存する中で、これらのプラットフォームのセキュリティを拡張することの重要性はますます高まっています。FalcoのSalesforceプラグインを活用することで、リアルタイムで脅威を検出し、対応する能力を得られ、これらの重要性が増すサービスを狙う攻撃者に先んじることが可能になります。

将来展望

Oktaのようなプラグインでは、最初はオープンソースのFalcoプラグインとしてスタートし、その後Sysdig CNAPPプラットフォームでサポートされるソースとなった例が見られます。このように、Salesforceプラグインも企業向けセキュリティプラットフォームへのより深い統合への道を開く可能性があります。オープンソースを基盤に持つFalcoは、新たな脅威に柔軟かつ迅速に対応できる能力を提供し、クラウドネイティブ環境の複雑さが増す中で、セキュリティが進化し続けることを確実にします。

Salesforceプラグインをはじめ、BoxやGitLabなどのプラグインは、SaaSおよびクラウドエコシステムを保護しようとする組織にとって不可欠なツールになると予想されます。次の大規模な情報漏洩に備えるために、Falcoとそのプラグインを統合・拡張してください。

Falcoのオープンソース検知能力の力と、カスタム統合を構築する柔軟性を組み合わせることで、クラウド、コンテナ、Kubernetes、そしてSalesforceのようなSaaSプラットフォーム全体にわたる比類のない可視性と保護を実現できます。