オープンソース特集：AI駆動のFalco Vanguardでアラートからアクションへ

本文の内容は、2025年8月6日に Mike Watson and Miguel De Los Santos が投稿したブログ(https://sysdig.com/blog/open-source-spotlight-from-alerts-to-action-with-ai-powered-falco-vanguard)を元に日本語に翻訳・再構成した内容となっております。

Sysdigはオープンソース・イノベーションに注力しており、そのプロセスの一環として、プロジェクトを公開し、改善に努めています。オープンソース・スポットライトでは、コミュニティが生み出した刺激的な成果をいくつかご紹介します。次回のオープンソース・スポットライトに参加ご希望の方は、community.sysdig.comにご参加いただき、コンテストにご応募ください。

‍

とはいえ、これは実験的なプロジェクトであり、開発が急速に進んでいます。機能は変更、進化、あるいは場合によっては動作しなくなる可能性があります。そのため、現時点では本番環境での使用はお勧めしません。何か変わった点に気づいた場合、アイデアをお持ちの場合、あるいは貢献したい場合は、ぜひ問題を報告して、より良いものにするためのご協力をお願いします。

‍

Miguel De Los Santos 氏は、OpenAI や Gemini などの AI ツールを使用してFalcoイベントを強化するというシンプルな目標を掲げて、そのキャリアをスタートしました。AI エンジニアリングのスキルを磨く中で、彼はすぐに Falco コミュニティのニーズを認識しました。生の Falco アラートはセキュリティ監視には不可欠ですが、迅速なインシデント対応に必要なコンテキストと実用的なガイダンスが欠けていることがよくありました。この洞察が、彼に Falco Vanguard の作成を思い起こさせたのです。シンプルなクローンから洗練された機能豊富なツールへと成長したこのプロジェクトは、リアルタイムのセキュリティ分析を提供することを目的とした実験的な AI 強化アラートシステムです。Falco Vanguard は、豊富なテレメトリを提供するだけでなく、高度なツールとローカライズされたデータ処理を Falco ユーザーに提供し、最終的には Falco Sidekick や Falco Talon のように、Falco コミュニティに不可欠な存在になることを目指しています。

図 1.0 – リアルタイムの脅威検出と分析によるセキュリティイベントのライブ監視

Falco Vanguardの紹介

Falco Vanguardは、基本的なFalcoセキュリティアラートを実用的なセキュリティインテリジェンスに変換する、Webhookベースの包括的なソリューションです。統合されたWebダッシュボードを備えたFlaskアプリケーションとして構築されたこのシステムは、OpenAI、Gemini、またはローカルOllamaモデルを用いたAI分析によってFalcoアラートを強化できます。

このプラットフォームは、Falco Webhook アラートを処理し、詳細なセキュリティ影響評価、修復手順、推奨される調査コマンドを含む強化された通知を Slack チャネルに配信することで、リアルタイムのセキュリティ分析を提供します。

このオープンソースソリューションは、Docker、Kubernetes、主要なクラウドプラットフォーム（AWS、GCP、Azure）など、さまざまな環境に導入できます。組織はこのシステムを使用して、以下のことを実現できます。

AIを活用したセキュリティ分析で生のアラートを実用的な情報に変換
コンテキストと優先度のガイダンスを提供することで、アラート疲労を軽減します。
自動化された調査推奨事項により、インシデント対応を迅速化します。
豊富な Slack 通知を使用して、チーム全体のセキュリティ意識を維持します。
セキュリティアラートをリアルタイムで処理して即座に洞察を得ることで、新たな脅威を常に把握できるようになります。
OpenAI、Gemini、Ollama などの主要なモデルを使用した AI を活用した分析により、脅威検出の精度を高め、生のアラートにインテリジェントなコンテキストを提供します。
リアルタイムのアラートの視覚化と柔軟な表示モードを提供するインタラクティブな Web ダッシュボードを使用して、セキュリティの状況を即座に視覚化します。
4 つの MCP プロトコルを介して 15 のセキュリティツールと統合し、セキュリティ操作を一元化します。これらのツールはすべて、統合ダッシュボードからアクセスできます。
分析されたアラートを Slack に直接送信することでチームのコラボレーションと応答時間を強化し、認識の共有と迅速な対応を促進します。
GKE、EKS、AKS、DOKS、IBM Cloud、ローカル K8s の自動検出と最適化により、あらゆる Kubernetes 環境にわたるシームレスなデプロイメントを実現します。
プラットフォームに基づいてストレージクラスとリソースをインテリジェントに調整する動的構成により、パフォーマンスとリソースの割り当てを最適化します。
AMD64 と ARM64 の両方の Docker イメージに対するマルチアーキテクチャサポートにより、幅広い互換性を確保します。
モダンでレスポンシブなデザインを採用した強化された UI/UX により、直感的で効率的なセキュリティ管理を体験できます。

では、学ぶために読み進めましょう：

Falco Vanguardを環境にデプロイする
インテリジェントな分析のために複数の AI プロバイダーを構成する
既存のFalcoデプロイメントと統合
セキュリティインサイトを利用した自動Slack通知を設定する

アーキテクチャー概要

Falco Vanguard は、クラウドネイティブ環境向けに設計されたマイクロサービスアーキテクチャを採用しています。

コアコンポーネント

Webhookレシーバー: Falcoアラートを受信するFlaskベースのHTTPエンドポイント
AI分析エンジン：セキュリティ分析のためのマルチプロバイダーAI統合
Webダッシュボード: リアルタイムアラートの可視化と管理インターフェース
Slack との統合: 実用的なセキュリティ情報を備えたリッチなメッセージフォーマット
データベース層: アラート履歴と構成用の SQLite ベースのストレージ

始める前に必要な要件

次の前提条件を満たしていることを確認してください。

コンテナランタイム: Docker 20.10+ および Docker Compose
Kubernetes（オプション）：コンテナオーケストレーションのデプロイメント用のv1.19以上
AIプロバイダーアクセス（Portkeyを使用）： Portkey経由のOpenAI/GeminiのAPIキー、またはローカル推論用のOllama
Slack 統合: チャット:書き込み権限を持つボットトークン
Falcoのインストール: HTTP出力を送信するように構成されたFalcoインスタンスを実行する

AIプロバイダーのオプション

Falco + AI アラートシステムは組織のニーズに非常に適応性が高く、現時点では次の 3 つの AI プロバイダー構成をサポートしています。

オプション 1 (デフォルト): Ollama (ローカル/プライバシー重視)

PROVIDER_NAME=ollama
OLLAMA_MODEL_NAME=llama3
OLLAMA_API_URL=http://localhost:11434/api/generateCode language: JavaScript (javascript)

オプション2: Portkey経由のOpenAI（クラウド）

PROVIDER_NAME=openai
PORTKEY_API_KEY=pk-your-portkey-key
OPENAI_VIRTUAL_KEY=openai-your-virtual-key
MODEL_NAME=gpt-4

オプション3: Portkey経由のGemini（クラウド）

PROVIDER_NAME=gemini
PORTKEY_API_KEY=pk-your-portkey-key
GEMINI_VIRTUAL_KEY=gemini-your-virtual-key
MODEL_NAME=gemini-pro

Dockerによる迅速なデプロイメント

以下の4つのステップで、Kubernetesデプロイメントの準備とセットアップを開始できます。

ステップ1: 環境設定

環境構成を作成します。

# Clone the repository
git clone https://github.com/your-org/falco-ai-alerts
cd falco-ai-alerts


# Copy environment template
cp env.example .env


# Edit configuration for your environment
vim .envCode language: PHP (php)

ステップ2: AIプロバイダーを構成する

選択した AI プロバイダーを使用して .env ファイルを編集します。

# Slack Configuration
SLACK_BOT_TOKEN=xoxb-your-slack-bot-token
SLACK_CHANNEL_NAME=#security-alerts


# AI Provider (choose one)
PROVIDER_NAME=ollama  # Default: local AI, no API keys needed
MODEL_NAME=llama3


# Alert Processing
MIN_PRIORITY=warning
IGNORE_OLDER=1
LOG_LEVEL=INFO
Code language: PHP (php)

ステップ3: システムをデプロイする

Docker Compose を使用して完全なシステムを起動します。

# Start all services
docker-compose up -d


# Check service health
curl http://localhost:8080/health


# Access the web dashboard
open http://localhost:8080/dashboardCode language: PHP (php)

リアルタイムのアラート処理を備えたライブセキュリティダッシュボードが表示されます。

ダッシュボードには、主要な指標と最近のアラートとともにセキュリティ体制がすぐに表示され、上部のナビゲーションバーから構成オプションを表示できる AI 強化チャットアシスタントに簡単にアクセスできます。

ダッシュボードでは、ライブアラート統計とセキュリティイベントを管理するための直感的なインターフェースにより、セキュリティ体制をリアルタイムで確認できます。

ステップ4：Falcoインテグレーションを構成する

Falco の設定を更新して、Webhook にアラートを送信します。

# Add to your falco.yaml
http_output:
  enabled: true
  url: "http://your-server:8080/falco-webhook"
  user_agent: "falcosecurity/falco"


json_output: true
json_include_output_property: trueCode language: PHP (php)

Kubernetesへのデプロイメント

手順1～4が完了したら、Kubernetesへのデプロイに移ります。開発環境と本番環境では、以下のマニフェストを使用してKubernetesにデプロイしてください。

開発環境

# Quick install with automated script
./k8s/install.sh dev


# Manual deployment
kubectl apply -k k8s/overlays/development/


# Access via port-forward
kubectl port-forward svc/dev-falco-ai-alerts 8080:8080 -n falco-ai-alerts-devCode language: PHP (php)

本番環境

# Production deployment with auto-scaling
./k8s/install.sh prod


# Manual deployment
kubectl apply -k k8s/overlays/production/


# Production features:
# - HPA auto-scaling (3-10 replicas)
# - Network policies for security
# - Resource limits and monitoring
# - Dedicated webhook serviceCode language: PHP (php)

リソース要件

開発環境、本番環境、エンタープライズ環境にはリソース要件があることに留意してください。

環境

環境	メモリ	CPU	ストレージ	AIモデル
開発	8GB	2コア	15GB	tinyllama（速い）
本番	16ギガバイト	4コア	30GB	llama3またはサイバーセキュリティモデル
エンタープライズ	24GB以上	8コア以上	50GB以上	高度なモデル

AIを活用したセキュリティ分析

これで、システムは基本的な Falco アラートを包括的なセキュリティインテリジェンスに変換する準備が整いました。

以前：生のFalcoアラート

{
  "rule": "Terminal shell in container",
  "priority": "warning",
  "output": "A shell was used as the entrypoint/exec point into a container",
  "output_fields": {
    "container.name": "web-app",
    "proc.cmdline": "/bin/bash",
    "user.name": "root"
  }
}
Code language: JSON / JSON with Comments (json)

その後：AI によって強化された分析

Falco Vanguard は、次のような構造化された分析を生成します。

セキュリティへの影響:

コンテナ内の対話型シェルは、不正アクセス、コンテナからの脱出の試み、または検証を必要とする正当な管理アクティビティを示している可能性があります。

次のステップ:

このシェルアクセスが承認されたかどうかを直ちに確認し、認証ログを確認し、最近のコンテナアクティビティを調査して侵害の兆候がないか調べます。

修復手順:

コンテナのセキュリティポリシーを確認し、適切な RBAC 制御を実装し、運用コンテナからシェルバイナリを削除することを検討します。

推奨コマンド:

kubectl describe pod <pod-name> -n <namespace>
kubectl logs <pod-name> -n <namespace> --previous
docker logs <container-id> --since 1hCode language: HTML, XML (xml)

Webダッシュボード機能

統合された Web ダッシュボードは、最新の直感的なインターフェースを使用して包括的なアラート管理を提供します。

リアルタイムのセキュリティ監視

ダッシュボードには、次のようなライブセキュリティメトリクスが表示されます。

アラート合計: 処理されたセキュリティイベントの完全な数
重大なアラート: 緊急の対応が必要な高優先度の脅威
最近のアクティビティ: トレンド分析のための過去1時間のアラート量
アラートステータスの追跡: 未読、既読、および無視されたアラートの数

アラートが処理され、確認されると、ダッシュボードは現在のセキュリティ体制を反映するように動的に更新され、チームが対応の進捗状況を追跡するのに役立ちます。

インタラクティブなアラート管理

優先度ベースのフィルタリング（重大、エラー、警告、通知）
時間範囲分析（1時間、24時間、7日、30日）
アラートステータスの管理（未読、既読、却下）
効率的なアラート処理のための一括操作

‍

システムはアラートをリアルタイムで処理し、AI エンジンによって新しいセキュリティイベントが検出され分析されると、ダッシュボードが自動的に更新されます。

高度なセキュリティ分析

セキュリティパターンを時間の経過とともに示すトレンドの視覚化
関連するセキュリティイベントを識別するためのアラート相関
AI分析と応答時間のパフォーマンス指標
接続されたシステムの統合ステータスの監視

AIセキュリティチャット

ペルソナベースの会話構造
アラートデータに基づいたコンテキスト認識応答
トレンド分析とセキュリティ推奨事項
セキュリティ体制に関するカスタムクエリ

構成管理

AIプロバイダー設定: OpenAI、Gemini、Ollamaを切り替える
Slack 統合: 通知とメッセージテンプレートの設定
アラート処理: フィルタリングと重複排除ルールをカスタマイズ
システム監視: リアルタイムのヘルスチェックとステータス

高度な設定

マルチプロバイダーAIセットアップ

冗長性のために複数の AI プロバイダーを構成します。

# Primary provider
PROVIDER_NAME=ollama
OLLAMA_MODEL_NAME=llama3


# Fallback providers (configured via web UI)
# OpenAI for high-priority alerts
# Gemini for batch analysisCode language: PHP (php)

カスタムセキュリティモデル

サイバーセキュリティ分析を強化するには、次のような特殊なモデルを導入します。

# Cybersecurity-optimized model
OLLAMA_MODEL_NAME=jimscard/whiterabbit-neo:latest
# Requires: 16GB RAM, specialized security trainingCode language: PHP (php)

Slackメッセージのカスタマイズ

システムは豊富な Slack メッセージフォーマットをサポートしています。

{
  "template_style": "detailed",
  "include_commands": true,
  "thread_alerts": false,
  "escalation_enabled": true
}
Code language: JSON / JSON with Comments (json)

‍

デプロイメントのテスト

テストアラートを送信する

提供されているテストスクリプトを使用してセットアップを検証します。

# Send sample security alerts
./test-scripts/send-test-alert.shCode language: PHP (php)

テストアラートを送信すると、ダッシュボードがリアルタイムで更新されます。

‍

システムは各アラートを AI 分析パイプラインを通じて処理し、コンテキスト分析と推奨アクションを含むセキュリティイベントに関する即時フィードバックを提供します。

‍

# Test specific alert types
curl -X POST http://localhost:8080/falco-webhook \
  -H "Content-Type: application/json" \
  -d '{
    "rule": "Suspicious network activity",
    "priority": "critical",
    "output": "Outbound connection to known C2 server detected",
    "output_fields": {
      "fd.name": "malicious.example.com:443",
      "proc.name": "curl"
    }
  }'
Code language: PHP (php)

システムの健全性を監視する

# Check application health
curl http://localhost:8080/health


# View processing logs
docker-compose logs -f falco-ai-alerts


# Monitor AI analysis performance
kubectl logs -f deployment/prod-falco-ai-alerts -n falco-ai-alertsCode language: PHP (php)

実稼働環境における配慮事項

セキュリティ強化

実稼働環境へのデプロイの場合:

TLS終端:WebhookエンドポイントにHTTPSを使用する
ネットワークポリシー: Kubernetes ネットワークセキュリティを実装する
RBAC制御: サービスアカウントの権限を制限する
シークレット管理: 外部シークレットストアを使用する
リソース制限: リソース枯渇を防ぐ

監視と観測可能性

Prometheusメトリクス：組み込みのヘルスおよびパフォーマンスメトリクス
構造化ログ:分析用のJSON形式のログ
アラート相関: アラート処理パイプラインを追跡
パフォーマンス監視：AI推論のタイミングと成功率

スケーリングの考慮事項

水平ポッド自動スケーリング: CPU/メモリに基づいて自動スケール
データベースの最適化: 保持とクリーンアップを構成する
AIプロバイダーの負荷分散: プロバイダー間でリクエストを分散する
Webhook レート制限: 大量のアラートシナリオを処理する

実装のベストプラクティス

基本的なセキュリティ管理から始める

重大なアラートを優先する: コンテナのエスケープと権限の昇格に重点を置きます。
ローカル AI を優先的に使用: Ollama はプライバシーを提供し、外部への依存を減らします。
段階的なロールアウトの実装: 非本番環境でテストする

インフラストラクチャーをコードとして自動化する

Kubernetes マニフェスト: バージョン管理されたデプロイメント構成
環境固有のオーバーレイ: 開発/ステージング/本番環境の個別の構成
自動デプロイメント: アップデートとパッチの CI/CD 統合

継続的な改善

誤検知を監視する: アラートフィルタリングとAIプロンプトを微調整する
AIモデルの更新: 分析の改善のための定期的なモデル更新
セキュリティフィードバックループ: インシデントの学習をアラート処理に組み込む

はじめる

AIを活用した分析でFalcoの導入を強化する準備はできていますか？クイックスタートパスはこちらです。

ローカルにデプロイ: 初期テストには Docker Compose を使用する
AIプロバイダーの設定: シンプルにOllamaから始めましょう
サンプルアラートでテスト: AI分析の品質を確認する
Kubernetes へのデプロイ: 本番環境のワークロードに合わせてスケーリング
Falcoとの統合：Webhook配信の設定
監視と調整: 環境に合わせて最適化

Falco Vanguard は、セキュリティ監視を事後対応型のアラートから事前対応型の脅威インテリジェンスへと変革し、セキュリティチームがランタイム脅威に対してより迅速かつ効果的に対応できるようにします。

詳細情報と詳細な例については、プロジェクトのドキュメントとデプロイメントガイドを参照してください。

プロジェクトについて

Falco Vanguardは、生のセキュリティアラートと実用的な脅威インテリジェンスの間のギャップを埋めるために設計されたオープンソースプロジェクトです。セキュリティ専門家がセキュリティチームのために構築したFalco Vanguardは、オープンソースの導入による柔軟性を備え、エンタープライズグレードの機能を提供します。

主な機能:

✅ Portkeyを使用したマルチプロバイダーAI統合（OpenAI、Gemini、Ollama）
✅ セキュリティ分析機能を備えたリアルタイムのWebダッシュボード
✅ 自動スケーリングを備えた Kubernetes ネイティブのデプロイメント
✅ 実用的な洞察を備えた Slack の豊富な統合
✅ プライバシー重視のローカルAIオプション
✅ 本番環境対応のセキュリティ強化

GitHub リポジトリにアクセスして、開始したり、貢献したり、特定のセキュリティニーズに合わせてシステムを拡張する方法について詳しく学んだりしてください。

このようなプロジェクトをもっと見たい、または自分のプロジェクトを取り上げてほしいですか？Sysdig オープンソースコミュニティに今すぐ参加しましょう。

‍

このプロジェクトの制作者であるミゲル・デ・ロス・サントスは、セールスエンジニアリング、サイバーセキュリティ、クラウドコンピューティング、教育の分野で豊富な経験を持つ、結果重視の技術プロフェッショナルです。Sysdigのシニアセールスエンジニアとして、信頼できるアドバイザーとして、クラウドセキュリティソリューションを活用して顧客の目標達成を支援しています。彼の専門知識は、顧客ニーズの理解、製品機能の紹介、シームレスな導入の実現などです。Sysdig入社前は、VISO TRUSTとF5でセールスエンジニアリングの職を務め、それぞれサードパーティのサイバーリスクとグローバルソリューションアーキテクチャーを専門としていました。ミゲルは教育にも熱心で、ハルト国際ビジネススクールの非常勤教授としてフィンテックを指導し、アーバンカレッジオブボストンでは11年以上にわたり非常勤講師としてコンピューターアプリケーションとテクノロジーを専門に指導してきました。ウェントワース工科大学で応用コンピューターサイエンスの修士号を取得し、認定サードパーティリスクプロフェッショナルの資格も持っています。2018年のForce Multiplier賞や2016年のPresident’s Club賞などの受賞歴があります。英語とスペイン語に堪能です。