Sysdig と Cribl: クラウドセキュリティデータの本来の可能性を引き出す

By 清水 孝郎 - DECEMBER 3, 2024
Topics: クラウド セキュリティ

SHARE:

本文の内容は、2024年12月2日に Manuel Boira が投稿したブログ(https://sysdig.com/blog/sysdig-and-cribl-unleash-the-true-power-of-cloud-security-data/)を元に日本語に翻訳・再構成した内容となっております。

クラウドセキュリティは、従来のITセキュリティとは異なるパラダイムで運用されます。例えば、クラウドサービス、コンテナ、Kubernetesなど、専門的な知見を要する複数の文脈的レイヤーが関与します。さらに、コンプライアンス要件が組織に影響を及ぼす場合、その課題は一層難しくなり、大量のデータ量がどの組織にとっても大きな懸念となります。このデータを効果的に管理できなければ、高額な非効率やリスクを招くことになります。

Sysdigのクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)は、企業がクラウドインフラとアプリケーションを効率的に保護し、急速に変化する環境を制御できるようにすることを目的に開発されました。

しかし、セキュリティオペレーションセンター(SOC)チームが複数のセキュリティプラットフォームやデータソースを扱いながら、複雑なデータストリームを管理、相関付け、保存しなければならないことはよくあります。

CriblとSysdigは、クラウド全体の可視性を提供しながら、ストレージコストを最適化し、ビジネスが必要とするあらゆる変化に対応するための機動力をもたらす、理想的な組み合わせです。


SIEM、SOAR、およびデータレイクにおけるクラウドセキュリティシグナルの価値

CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)は、かつて盲点だらけだったクラウド環境において、「セキュリティシステムの目」として登場しました。さらに、クラウドセキュリティソリューションは、SIEMやSOARといったセキュリティプラットフォームや、データレイクのようなストレージソリューションに、豊富で文脈的なシグナルを供給します。

Sysdigのクラウドセキュリティエンジンを使用することで、関連するイベントをフィルタリングしてハイライトすることができ、SOC(セキュリティオペレーションセンター)の効率向上に貢献します。これにより、一般的なログから目を離し、実際に重要なインシデントを検出したり、その深刻度を評価したり、クラウドコンテキストを調査して意思決定を行ったりすることが可能になります。

CNAPPデータをSIEMやデータレイク、またはその両方に送ることで、セキュリティ分析、脅威ハンティング、機械学習による異常検知など、無限の可能性が広がります。CNAPPを活用することで、セキュリティアナリストはアラート疲れを軽減し、最も重要な課題、つまりクラウドアプリケーションの保護に集中することができます。

Criblとは?

Cribl は、データの管理方法を変えた強力な SaaS プラットフォームです。組織は、データを正確に動的にフィルタリング、調整、ルーティングできます。アーキテクチャーは柔軟で、複数のデータ ソースと送信先をサポートします。たとえば、SIEM またはデータ レイクに転送する前にデータをふるいにかけて削減できるため、従来の SIEM 接続に比べて大幅なコスト削減が実現します。 

本質的に、Cribl は組織がデータをより効率的に管理するだけでなく、その潜在能力を最大限に引き出し、急速に変化する環境においてよりスマートな意思決定とより迅速な対応を促進できるようにします。

Cribl の主な使用例は次のとおりです。

  1. 削減、サンプリング、集約技術を適用してストレージ コストを最適化します
  2. よりコスト効率の高いストレージ システムまたは複数の宛先にデータを選択的にルーティングします。
  3. データ レイク、外部、または Cribl Datalake 自体にデータをフィードします。
  4. ソースでデータを検索および分析します。
  5. コンテキストを充実させたり、データの形状、サイズ、品質を変更したりします。
  6. 低コストのストレージからデータを再生します

Sysdig と Cribl を組み合わせる理由は?

セキュリティ チームと ITOps は、本質的に相乗効果のあるチームです。当社のお客様は、この相乗効果を活用して重要な成果を達成することがよくあります。

Sysdigの定期的に更新される脅威インテリジェンスルールは、クラウドセキュリティが求める文脈や詳細度に基づいて、関連するイベントを識別します。これにより、生データログと比較して保存が必要なデータ量を大幅に削減できます。さらに、Criblはこのプロセスに追加のセキュリティデータ最適化ゲートを提供し、顧客が自分たちのニーズに合わせてデータを調整できるようにします。

動的なストレージ最適化:新しいパラダイムでは、大量のデータをまとめて保存するのではなく、異なるアクセスプロファイルが必要な場合にデータを動的に分割して管理します。

柔軟な構成:昨日、SOCチームがWAFやSASEなど複数のソースと接続されたエンタープライズSIEMを設定しようとしていたとしても、今日では分散型SIEMとデータレイクを組み合わせることを検討しているかもしれません。また、新しいクラウドプロバイダーの導入や、コンプライアンスの理由で特定のワークロードをオンプレミスに戻す可能性を探っているかもしれません。ここで重要なのは柔軟性であり、Criblはその柔軟性を提供する点で優れています。

Sysdig-Cribl の統合ハンズオンテスト


現実世界のマルチクラウド環境をエミュレートするために、さまざまなプロバイダーの複数のクラウド アカウント、いくつかのコンピューティング インスタンス、Kubernetes クラスターを備えたサンドボックスを設定し、さまざまなイベントを定期的に生成するための自動化をいくつか導入しました。クラウド監査ログを取り込むために Sysdig を接続し、CWPP シグナルを取得するためにインスタンスと Kubernetes クラスターをインストルメント化しました。

Criblとの統合に関するステップバイステップのガイドについては、Sysdigの公式ドキュメントをご覧ください。

前提条件

  1. Sysdigアカウントに いくつかのデータが入力されています。すべてのポリシーを有効にして、できるだけ多くのイベントを意図的に生成しました。これは、お客様が行うべきことの反対ですが、テスト目的には最適です。
  2. Cribl Streamアカウント

ユースケースA: Splunk/SIEM向けSysdigデータの効率向上

このブログ投稿のデモンストレーションでは Splunk を選択しましたが、Chronicle、Sentinel、Sumo など、任意の宛先に接続できます。

この統合の設定は、直感的な Cribl ユーザー インターフェイスとそれに組み込まれたヒントに従うだけで非常に簡単です。Sysdig イベント フォワーダーを使用して、Falco の検知結果を Cribl に送信します。

この投稿では簡単な手動アプローチを概説していますが、Cribl のお客様はSysdig 用の Cribl パックを活用して、より迅速に構成することもできます。

ステップ 1 >> Cribl Stream でワーカー、ソース、および宛先を構成する

  • Cribl UIから: Worker Groupsを参照してDefaultを選択します。Routingタブに移動してQuickConnectを選択します
  • [Add Source]ボタンをクリックし、http 選択して、目的のポートを設定し、保存します。
  • 作成したら、スループット設定を構成できます。この例では、そのままにしておきます。エージェントの HTTP URL をコピーしてください。
  • 新しい宛先(たとえば、Splunk Single Instance ) を作成し、それに応じて設定し、テストして保存します。
  • (+) アイコンをクリックしてドラッグし、このソースを以前に作成した Splunk 宛先に接続します。パイプライン フォームが表示されたら、パイプラインオプションを選択します。そのプロンプトから、Add Pipeline>Create New Pipeline を選択します。パイプライン名として「Sysdig」と入力して保存します。
  • この時点で、ソースが宛先に接続され、中間にパイプラインが存在するはずです。

ステップ2>>新しいSysdigイベントフォワーダーを作成する

  • Sysdig コンソールから: Sysdig コンソール メニューから  [Integrations]オプションに移動し、そこから[Event Forwarding]に移動します。
  • Add Integrationボタンをクリックし、ドロップダウン メニューから「Webhook」を選択します。
  • イベント転送 Webhook フォームを構成します。認証方法を追加することを強くお勧めします。httpソースを構成したときに Cribl Stream によって提供されたワーカー URL を貼り付けて、エンドポイントフィールドに入力します。
  • 送信するデータを選択します( AWS、GCP、Azure、Kubernetes、Linux、Windows インスタンスなどのソースからの Sysdig Falco の検知結果と脅威を共有する場合は、ランタイム ポリシーイベントを選択します)。
  • Test Integrationボタンをクリックして、Sysdig が Cribl ワーカーにデータを正常に転送できるかどうかを確認します。
  • 新しいイベント フォワーダーを保存します。今後、Sysdig は選択されたすべてのイベントを Cribl に転送します。

ステップ3>> SysdigからCriblに移動するデータを監視する

  • この時点で、Sysdig はすべてのランタイムの検知結果を Cribl のデフォルトワーカーに転送しています。実際に動作を見てみましょう。
  • 「Worker Groups」>「Routing」>「Data Routes」に移動し、右側の「Sample Data」タブに移動します。ここでクリックすると、「Simple」プレビューが取得され、Sysdig エントリを確認できます。
  • インテグレーションの動作を確認する別の方法は、Monitoring>Overviewに移動して、ストリーミングチャートをリアルタイムで確認することです。

ステップ 4 >>最適化または動的ルーティング用に Cribl パイプラインを構成する
Cribl を使用して Sysdig データを「そのまま」ルーティングしたい場合があります。ただし、前述のように、Cribl では、抑制、サンプリング、置換、解析などの手法を使用してデータ変換を行うことができます。

最適化: 変換プロセスに関数を追加するのがいかに簡単かを示すために、保存したくないフィールドをいくつか削除してみましょう (この例では、evalcontent.output 関数を使用して とを削除していますcontent.description)。

動的ルーティング: SIEM で最も重要な発見のみを保持し、残りのイベントをデータ レイクなどの安価なストレージに保存するとします。2 つのパイプラインを作成し、ドロップ機能を追加して、重大度が 5 未満のイベント (高および重大) を抑制するだけです。

ステップ5>> Splunkにデータが表示され始めていることを確認する

ユースケース B: Cribl Data Lake で Sysdig データを圧縮する

ステップ1>>新しい宛先を追加する

  • Cribl Streams にアクセスし、RouteQuick Connectを再度参照します。
  • 宛先を追加してCribl Lake を選択し、以前のパイプラインを再利用するか、新しいパイプラインを作成します。
  • SysdigソースをCribl Lake宛先に接続します。
  • Cribl Lake のDatasetsに移動し、インテグレーションがデフォルトのイベントに関連付けられていることを確認します(必要に応じてここで保持期間を変更することもできます)。 

ステップ 2 >>データレイクをクエリする

  • Cribl Lake の Datasets 画面で、デフォルトのイベントから対応するSearchボタンをクリックします。
  • 時間ウィンドウを希望の時間 (つまり 24 時間) に設定し、検索ボックスでいくつかのクエリをテストします。

いくつか便利なクエリを試してみましょう:

dataset="default_events" | extract type=json | where type == 'policy' and source == 'syscall' and labels["cloudProvider.name"] == 'gcp'

GCP プロジェクトで実行されているすべての CWPP イベントをリクエストします。

dataset="default_events" | extract type=json | where type == 'policy' and source == 'awscloudtrail' | summarize count()

AWS Cloudtrail からすべての CDR イベントを要求します。

dataset="default_events" | extract type=json | where type == 'policy' and source == 'syscall' | dedup by labels["host.hostName"]

ホスト名ごとに重複を排除して、CWPP イベントを要求します。

ステップ3>> Sysdigダッシュボードを構築する

もう一度、ここでは手順ごとに説明しますが、Sysdig の Cribl パックを再利用してプロセスを高速化できます。

  • メイン メニューから、[Cribl Search] > [Dashboards]に移動し、 [Add Dashboard]ボタンをクリックし、希望の名前を設定して [Save] をクリックします。
  • 右上の 3 つのドットから[Edit]を選択します。ダッシュボードが編集モードになったら、[Add] > [Visualization化]をクリックします。タイトル、検索クエリ、および時間枠を設定します。 
  • サンプルの Sysdig ダッシュボードでは、次の 7 つの視覚化要素を作成しました。

  • 新しいダッシュボードをテストします (チャートを適切に描画するために十分な履歴データがあることを確認してください)。
  • ダッシュボードを操作して、「検索で開く」や「視覚化を PNG にエクスポート」などのオプションを試すことができます。

まとめ


このインテグレーションは、大規模なクラウドセキュリティデータの複雑性を管理するための強力なソリューションを提供します。Sysdigの強力なセキュリティインサイトとCriblのデータルーティングおよび最適化機能を組み合わせることで、セキュリティチームはワークフローを効率化し、ストレージコストを削減しながら、組織のレジリエンスを向上させることができます。

主要なリンク: