FalcoとWiresharkがStratosharkへの道を切り開いた経緯

Sysdig、Falco、Wiresharkの起源は、複雑なリアルタイムネットワークトラフィックを理解して、セキュリティと運用上の洞察を向上させるという、1 つの基本的なニーズにまで遡ることができます。コンテナとクラウドセキュリティが差し迫った懸念となるずっと前から、 Wireshark の作成者であるGerald Combs と Loris Degioanni は、ネットワーク全体で何が起こっているかを理解するためにパケットをキャプチャして分析する方法という、異なるが関連する問題を解決していました。Wireshark は、ネットワークの動作に対する前例のない可視性を提供し、パケット分析の標準を確立した重要なツールとして登場しました。

クラウドネイティブ環境への移行は新たな課題をもたらし、従来のパケットキャプチャだけではもはや十分ではありませんでした。BPF、libpcap、tcpdump、Snortなどのテクノロジーが基礎を築きましたが、ワークロードがコンテナや分散システムに移行するにつれて、より深いランタイム可視性とセキュリティ監視が不可欠になりました。 この進化により、オープンソースのSysdigとFalcoが誕生しました。これらは、Wireshark がネットワークトラフィックにもたらしたのと同じレベルのランタイム分析をコンテナとクラウドセキュリティの世界にもたらすように設計されています。 しかし、多くのエンジニアやアナリストは、ネットワーク上で Wireshark が提供しているレベルの粒度でクラウドシステムコールとログを分析およびトラブルシューティングできるオープンソースツールを依然として必要としていました。

Stratoshark は、パケット キャプチャの原理を拡張して、最新の分散環境を監視および保護し、Wireshark ユーザーにとって馴染みのあるワークフローを使用してリアルタイムのクラウドシステム分析の限界を押し広げることを約束します。

パケットキャプチャの基礎を理解する

Wireshark は、ライブパケットキャプチャ、フィルタリング、およびファイル処理を管理する多目的ライブラリであるlibpcap を中核に利用しています。 libpcap は、さまざまなニーズに合わせて拡張できる汎用インターフェイスを提供し、数え切れないほどのツールの基盤となりました。 たとえば、 Snort は、 libpcap上に直接ネットワーク侵入検知用の強力なルールエンジンを構築し、そのパケットキャプチャ機能を活用して疑わしいネットワークアクティビティを検知して防止します。

libpcapモデルを参考にして、Falco は Linux、コンテナ、Kubernetes 環境を監視するランタイムセキュリティツールとして登場しました。パケットの代わりに、Falco はシステムコールに焦点を当てて異常を検出し、ネットワーク監視で使用されるものと同様の原則を適用します。Falco のアーキテクチャーの中心には、libscapとlibsinsp という2 つの重要なライブラリがあります。これらのライブラリは、パケットの世界におけるlibpcapの役割を、システムコールやシステム状態のキャプチャに反映しています。libscapは低レベルのキャプチャタスクを担当し、ライブデータ収集や記録を管理します。一方、libsinspはシステム情報を抽象化し、高レベルの洞察やフィルタリング機能を提供します。この2つが連携することで、検知アナリストはシステム活動を深くリアルタイムに把握でき、セキュリティ脅威やパフォーマンス問題の検出、調査、対応を迅速に行うことが可能となります。

システムコールキャプチャの現状を理解する

オープンソースのSysdig は、 tcpdump がlibpcapのインターフェースを提供するのと同じように、これらのライブラリをユーザー向けツールにリンクした最初のプロジェクトでした。Sysdig はlibscapとlibsinsp を組み合わせてシステムの動作を詳細に可視化し、ユーザーがコンテナやホスト全体のアクティビティを簡単に追跡できるようにしました。Falco と Sysdig はコンポーネントを共有していますが、Falco は OSS Sysdig に直接依存していません。代わりに、クリーンなモジュール式インターフェースを通じてsysdig-probe、libscap、およびlibsinsp を活用しています。この分離は、コアキャプチャライブラリを汎用的に保ち、共通の基盤から複数のツールを開発できるようにするという意図的な設計選択を反映しています。

Snort と Falco の類似点は、キャプチャライブラリへの依存だけにとどまりません。Snort がlibpcap を使用してパケットデータを分析するのと同様に、Falco はlibscapとlibsinsp を使用してシステムコールを分析します。Snort の設計にヒントを得た Falco のルール エンジンは、パターンマッチングの原則をランタイムデータに適用し、従来のネットワークパケットではなく、クラウドワークロードとコンテナ環境に重点を置いています。

1998	2013	2013	2015	2016	2025
Wireshark	Docker	Sysdig	Kubernetes	Falco	Stratoshark

Wireshark は、従来のオンプレミスネットワークが標準で、物理ネットワークでのパケットスニッフィングが標準的な方法だった時代に開発されました。AWS クラウドサービスは 2006 年まで登場しませんでした。Docker がコンテナ化を普及させると、Sysdig がすぐに追随してシステムの可視性を提供しました。同様に、Kubernetes が普及すると、コンテナのセキュリティを強化するために Falco が導入されました。現在、クラウドの採用が広まっているため、ネットワークエンジニアは、Wireshark で磨かれたパケット分析の専門知識を Linux コンテナとクラウド環境の世界に適用したいと考えています。現代のインフラストラクチャーでシームレスなパケット検査を行う必要性から、Stratosharkが開発されました。

Stratoshark は、ネットワークパケット分析と最新のクラウド ネイティブ セキュリティの間のギャップを埋めます。このツールは、falcosecurity/libsリポジトリから取得したlibscapとlibsinsp のほか、 falcosecurity/pluginsのプラグインに依存しています。これにより、Stratoshark は Wireshark から始まった進化の軌跡を拡張します。使い慣れたパケット検査手法と最新のランタイム監視を統合することで、Stratoshark は従来のネットワークセキュリティとクラウドネイティブ環境の要求を統合する次のステップとなります。

Stratoshark でクラウド監査ログを監視する

falcodumpは、ユーザーがクラウドプロバイダーからのログメッセージをキャプチャできるようにするextcapツールですインターフェースは、外部バイナリが Wireshark で直接キャプチャインターフェースとして機能できるようにする多目的プラグインインターフェースです。Stratoshark の場合、各プラグインは個別のインターフェースとしてリストされます。たとえば、 AWS CloudTrail プラグインは  “cloudtrail”  としてリストされます。Stratoshark のすべてのインスタンスには、デフォルトで Falco CloudTrail プラグインが同梱されており、S3 バケットまたは SQS/SNS から AWS CloudTrail ログを取得できます。

Stratoshark は Windows と MacOS にインストールできますが、ネイティブシステム コールキャプチャはこれらのプラットフォームではまだサポートされていません。これは Linux システムでのみ実行できます。Falco と同様に、適切な Falco ライブラリとプラグインを使用して最初から構築する必要があります。他のシステムへのインストールに興味がある場合は、 WindowsおよびOSX用の初期開発パッケージを入手できます。

1. SCAPファイルの収集

Syscall CAPture ( SCAP ) ファイルを収集する最も簡単な方法は、Sysdig OSS を使用することです。Sysdig OSS Github リポジトリには、ほぼすべての Linux ディストリビューションに Sysdig OSS をインストールするための 1 行のコマンドが用意されています。また、Sysdig を Docker コンテナとして実行することもできます。

以下の 5 秒タイムアウト コマンドを実行すると、Linux 環境から 5 秒間のキャプチャをgeneric-capture.scapというファイルに取得できます。

timeout 5 sysdig -w generic-capture.scap

2. Stratoshark で SCAP を読む

今すぐに独自の .scap ファイルをキャプチャすることに興味がない場合は、以下に示すいずれかの例をダウンロードできます。

• HAProxy 502 のトラブルシューティングのための502 エラーキャプチャ – ダウンロード
• 漏洩したファイルからの 404 エラーのキャプチャ –ダウンロード
• curl-wsdl-win64.scapの curl アクティビティのキャプチャ –ダウンロード
• Kubernetes からのアクティブマルウェアキャプチャ –ダウンロード

StratosharkのユーザーインターフェースをMacで開くと、Sysdig OSSからの既存のSCAPキャプチャファイルを開く機能、Falco Cloudtrail Pluginを使用してAWSに接続する機能、そしてsshdigを介してSSHリモートシステムコールサーバーに接続する機能があることに気付くでしょう。

ここで提供されるStratoshark 0.9.0rc0-974以降のパッケージのバージョンでは、Stratoshark に “sshdig”  という新しいキャプチャソースが含まれています。これにより、SSH 経由でSysdig を使用してリモートホストからシステムコールをキャプチャできます。接続するには、SSH サーバーのアドレス、ユーザー名、およびパスワードの資格情報が必要です。

このチュートリアルでは、 Discord の Wireshark チームが提供するcurl-wsdl-win64.scapキャプチャファイルを使用して Stratoshark を使用します。上部のツールバーにある青いフォルダー アイコンをクリックして、.scap キャプチャを開きます。これは、Wireshark で PCAP ファイルを開く方法と似ています。

ファイルを開くと、インターフェイスが Wireshark の使い慣れたユーザー エクスペリエンスとよく似ていることがわかります。ただし、従来のパケット検査とは異なり、左下隅の追加フィールドでは、イベント、ユーザー、およびプロセスの祖先に関する洞察が提供され、より包括的なシステムアクティビティビューが提供されます。

curl によって開始されたすべての送信接続要求を識別するには、次のイベントフィルター検索を簡単に適用できます。

evt.type == "connect"

プロセスの祖先を調べることで、アウトバウンドネットワーク接続を開始した正確なコマンドライン引数を追跡できます。これにより、原因となった特定の cURL リクエストが強調表示されるだけでなく、親プロセスから関連スレッドまで、イベントを取り巻く完全なコンテキストが明らかになり、接続がどのように、なぜ行われたかがより明確にわかります。このレベルの可視性は、トラブルシューティング、監査、および全体的なネットワークセキュリティの強化に不可欠です。

トラブルシューティングの観点からは、システム コールが正当な理由で失敗することがあることを認識することが重要です。ただし、特にこのシナリオのFalco Bridgeなどの主要なコンポーネントやプロトコルを扱う場合は、これらの障害の根本原因を特定して理解することが重要です。これらの障害が発生する理由を可視化することで、運用チームとセキュリティ チームはより詳細な調査を実施し、潜在的なシステムの不安定性やパフォーマンスの問題が拡大する前に軽減することができます。

このプロセスを効率化するために、次の Stratoshark のフィルター検索では、関連するすべてのアクティビティが赤で強調表示され、詳細な検査が必要な領域にすぐに注意が向けられます。これにより、不規則性を正確に特定し、積極的に対処することが容易になります。

(evt.failed == True) && !(evt.res == "EAGAIN") && !(evt.res == "EALREADY")

まとめ

Stratosharkは、パケット分析の次なる進化であり、Sysdigのオープンソースの旅における最新のマイルストーンを象徴しています。Stratosharkは、従来のネットワーク監視の専門知識と、コンテナにおける動的なシステムコールモニター、クラウド環境での断続的な監査活動との間に橋を架けることを目指しています。Wireshark、Sysdig、Falcoといったオープンソースの創意工夫から生まれたStratosharkは、エンジニアが現代のインフラにその専門知識を拡張できるよう支援します。

初心者からさらなる深掘りを目指す方まで、Stratosharkの可能性を探るには今が最適な時期です。この革新を支えるオープンソースプロジェクトについて詳しく知りたい方は、Sysdigのコントリビューションページをご覧ください。また、Sharkfest EuropeでのGerald Combsの基調講演では、Stratosharkの実際の動作をご覧いただけます。パケット分析の未来に情熱を持つ方には必見の内容です。