脅威検知ポリシーの管理

By 清水 孝郎 - JUNE 23, 2022
Topics: Sysdig機能, クラウド セキュリティ, コンテナ、Kubernetes、ホストのセキュリティ

SHARE:

本文の内容は、docs.sysdig.com上のManage TD Policiesを元に日本語に翻訳・再構成した内容となっております。(2022年6月24日現在)

概要

必要に応じて、Understanding Sysdig Secure Policiesを復習してください。ルールは、実行時ポリシーに追加されるまで、実行可能ではないことに注意してください。これは最低限、以下のことを意味します。

  • デフォルトのポリシーを使用するか、手動で、またはポリシー作成の自動化を支援するオプションのツールのいずれかを使用して、ポリシーを作成する。
  • スコープや重要度レベルなどの基本的なパラメータを定義する。
  • ルールの追加
  • ルール違反時に実行するポリシーアクションの定義:通知チャネル(PagerDuty、Slack、メールなど)へのイベント送信、キャプチャーファイルのトリガー、コンテナへのアクション(停止/キル/一時停止)など。

ポリシーアクションがどのようにトリガーされるかを理解する

ポリシーのアクションは、非同期に発生します。ポリシーにコンテナアクションと一致するアクティビティがある場合、エージェントはDocker/Cri-oデーモンに停止/キル/ポーズアクションを実行するよう依頼します。この処理には数分かかりますが、その間もコンテナは実行され、接続/アクセプトなどが発生します。

デフォルトのポリシーのデプロイ

初めて Policies タブにアクセスすると、Sysdigのデフォルト・ポリシーをロードするよう促されます。



ポリシーは、最も一般的な使用方法に基づいて、あらかじめ有効/無効が定義された状態でロードされますが、必要に応じて、それぞれを有効、無効、コピー、編集、削除することができます。




デフォルトのポリシーの再ロード

sdc-cliを使用すると、インストール後にSysdigがリリースした新しいランタイムポリシーを取得したり、既存のランタイムポリシーを現在のSysdigのデフォルトで上書きしたりすることができます。

新しいポリシーをフェッチするには、以下を実行します。
sdc-cli policy update-default

これは、既存のランタイムポリシーを上書きすることはありません。

選択した既存のポリシーをSysdigのデフォルトに戻すには、以下を実行します。
  1. ポリシーを削除します。
  2.  sdc-cli policy update-default を実行します。

既存のすべてのポリシーをSysdigのデフォルトに戻すには、以下を実行します。

  1. 次のコマンドですべてのポリシーを削除します。
    • sdc-cli policy del `sdc-cli policy list | awk ‘NR>1 {print $1}’`
  2.  sdc-cli policy update-default実行する。

    ポリシーの作成

    ポリシーの作成を自動化するための様々なオプションツールがあります。こちらも参照してください。

    ポリシーを手動で作成する場合:

    1. Sysdig Secureにログインし、 Policies > Runtime Policiesを選択します。
    2. Runtime Policiesのリストページで、 +Add Policyを選択します。
      • ポリシーの種類を選択し、ポリシーのパラメータを定義します。注:利用可能なスコープは、ポリシーの種類によって異なります。
    3. ルールと、ポリシールールに違反した場合に実行されるアクションを追加します。
    4. ポリシーをEnable にし、 Save します。

    ポリシーの種類を選択する

     +Add Policyをクリックすると、希望するポリシーの種類を選択するよう促されます。こちらもご覧ください:ポリシーの種類を確認する



    基本パラメータを定義する

    ポリシーのパラメータは、主に選択したタイプで利用可能なスコープとアクションによって異なります。



    • Name and Description:意味のある、検索可能な記述子を提供する
    • Enabled/Disabled有効化されると、ポリシーはイベントの生成を開始します。
    • Severity: 深刻度を設定します。Runtime Policies UIで表示されるように、適切な深刻度レベルを選択します。
      • ポリシーの深刻度は主観的なものであり、Sysdig Secureインスタンス内でポリシーをグループ化するために使用されます。
      • 注:基礎となるルールの優先順位と、ポリシーに割り当てる深刻度の間に継承関係はありません。
    • Scope:ポリシーが適用される範囲を、タイプに依存するオプションのリストに基づいて定義します。

    ドリフト ポリシー タイプの追加パラメータ

    ドリフトポリシーは、他のポリシータイプとはいくつかの点で異なります:



    • 1:1 Policy:ルール Drift にはルールが 1 つだけ含まれます。
    • Prevent: Prevent アクションを切り替えて、バイナリ ever の開始を停止することができます。
    • Dynamic Deny List を有効にすると、ポリシーはコンテナ上にダウンロードされた実行可能ファイルを評価し、追跡します。その実行ファイルが実行されようとすると、Sysdigはアラートを作成し、 Prevent が有効な場合は実行ファイルの実行が拒否されます。
    • Exceptions: ダウンロードした実行ファイルがアラートを発しないようにするためのユーザ定義のリスト。
    • Always Deny: イメージと一緒にビルドされた場合でも、実行可能ファイルの実行を常にブロックするユーザー定義のリストです。

    機械学習ポリシータイプの追加パラメータ

    機械学習ポリシーは、他のポリシータイプといくつかの点で異なっています。



    • Detection types: ポリシーで有効にする機械学習ベースの検知の種類を指定できます。現時点では、 Crypto Mining Detection のみをサポートしています。
    • Confidence level: 検知がどの信頼性レベルでイベントをトリガーするかを選択するために、ポリシーを微調整することができます。
    • Severity:  検知レベルで定義され、検知タイプごとに異なる深刻度を持つことができます。

    ルールの追加

    ライブラリから既存のルールを選択するか、その場で新しいルールを作成して、ポリシーに追加することができます。

    ポリシーエディターインタフェースは、ポリシーにルールを追加したり、ポリシーからルールを削除したりするための柔軟な方法を数多く提供しています。以下の手順は、その方法の1つを示しています。

    こちらもご覧ください : ルール管理

    ライブラリからインポートする

    1. New Policy (またはEdit Policy) ページから、Import from Libraryをクリックします。

     Import from Rules Library ページが表示されます。



    2. インポートするルールのチェックボックスを選択します。

    ヒント
    特定のキーワードやタグを検索したり、色付きのタグアイコン (例) をクリックすることで、ルールのコレクションを事前にソートすることができます。

    3. インポートするマークをクリックします。




    選択したルールの右側に青いインポートアイコン

    が表示され、 Import Rulesボタンが有効になります。



    4.     Import Rules.をクリックします。

    選択したルールが表示されたポリシーページが表示されます。



    ヒント
    リスト内のルールの横にある X をクリックすると、Policy からルールを削除することができます。

    ポリシーエディタからルールを作成する

    ライブラリからのインポートの代わりにNew Rule をクリックすると、ルールの作成で説明した手順にリンクされます。

    アクションを定義する

    ポリシーに違反した場合に、どのように対処するかを決めます。こちらもご覧ください。ポリシーアクションがどのように起動されるかを理解する。

    コンテナ

    ポリシーのルールに違反した場合に、影響を受けるコンテナに何が起こるかを選択します。

    • Nothing (alert only): コンテナの動作を変更せず、通知チャネル設定に従って通知を送信します。
    • Kill: 1つまたは複数の実行中のコンテナを直ちにKillします。
    • Stop: コンテナを強制終了する前に、グレースフル・シャットダウン(10 秒間)を許可します。
    • Pause: 一時停止する。指定されたコンテナ内のすべてのプロセスを一時停止します。
    stop vs killコマンドの詳細については、Dockerのドキュメントを参照してください。

    キャプチャー

    イベント発生時にキャプチャを作成する場合は、CaptureをONに切り替えて、スナップショットに含めるイベントの前後何秒かを定義します。

    2021年6月現在、SysdigエージェントとFargateサーバーレスエージェントの両方からのイベントに影響を与えるポリシーにCaptureオプションを追加することができます。サーバーレスエージェントの場合、手動キャプチャーはサポートされていないことに注意してください。ポリシー定義でキャプチャーオプションをオンに切り替える必要があります。

    こちらも参照してください:キャプチャー

    通知チャネル

    ドロップダウン リストから、イベントの通知を適切な担当者に送信するための通知チャネルを選択します。

    こちらも参照してください: 通知チャンネルの設定

    ポリシーのコピー、編集、削除

    ランタイムポリシーリストの行を選択すると、ポリシーの詳細が展開され、ポリシーを編集、コピー、または削除するためのアイコンが表示されます。



    ポリシーが自動でインストールされるのは、デフォルト ポリシーが初めてロードされたときだけであることに注意してください。デフォルトのポリシーを削除し、その後アップグレードした場合、そのポリシーは再作成されません。