[ベータ] Sysdig Secure Insights

By 清水 孝郎 - APRIL 7, 2021

SHARE:

本文の内容は、2021年4月8日現在における、docs.sysdig.com上のSysdig Secure Insightsを元に日本語に翻訳・再構成した内容となっております。

Insightsはベータ版の機能で、米国東部地域で先行して提供されています。

Sysdig Secure(SaaS)は、脅威の検出、調査、リスクの優先順位付けのための強力な新しい可視化ツールを導入し、お客様の環境におけるコンプライアンスの異常や継続的な脅威の特定を支援します。Insightsでは、ワークロード環境とクラウド環境の両方でSysdigが生成したすべての調査結果を視覚的するプラットフォームに集約し、脅威の検出とフォレンジック分析を効率化します。

Insights_landing.png

ハイライト:
  • 環境や時間軸を超えて調査結果を俯瞰し、レスポンシブな表現とサマリー、リニアなイベントフィードを組み合わせることができます。
  • 問題のあるエリアを瞬時に絞り込んだり、ノイズの多い結果をブロックすることが可能
  • チームメンバーとビューを共有

Insightsページへのアクセス

Insightsページは、Sysdig Secureのランディングページとして自動的に有効になる場合と、手動で有効にする必要がある場合があります。(Sysdig Secureのリージョンによって、ロールアウトの段階で利用可能かどうかも変わってきますのでご注意ください)
  • デフォルトのランディングページ: クラウドアカウントに接続しているユーザー向け
  • SysdigLabsで手動で有効にする:以下のユーザーは、まず管理者としてSysdig Secureにログインし、「User Profile」を選択してInsightsを有効にする必要があります。Insightsが有効になっていない場合、これらのユーザーには、デフォルトのランディング・ページとして、Overviewページ(有効な場合)またはイベントフィードが表示されます。
    • 30日間の試用版ユーザー
    • 既存または新規のSysdig Secureエンタープライズ・ユーザーで、クラウド・アカウントを接続していないユーザー

使用方法

Insightsツールは直感的で使いやすい。次のようなデザインや使い方の特徴があります。

ナビゲーション

左上のドロップダウンから閲覧したいリソースを選択します。

  • クラウドユーザーアクティビティ:接続されているクラウドアカウントのユーザーアクティビティに関連する脆弱性やイベントを検出します。ユーザー、アカウント、リージョン、リソースカテゴリー、リソースタイプ、リソースが含まれます。
  • クラウド アクティビティ:接続されているクラウドアカウントにおけるすべての調査結果を検出します。具体的には、Account、Region、Resource Category、Resource Type、およびResourceが含まれます。
  • Kubernetesアクティビティ:接続されているKubernetesのクラスター、ネームスペース、ワークロードでのすべての調査結果を検出します。具体的には、クラスター、ネームスペース、ポッドオーナー、ワークロードが含まれます。
  • コンポジットビュー:クラウドアクティビティとKubernetes アクティビティの両方のビューから、すべての調査結果を検出して集約します。アカウント、地域、リソースカテゴリ、リソースタイプ、リソース、クラスター、ネームスペース、ポッドオーナー、ワークロードが含まれます。

表示されるデフォルトのビューは、お客様の環境での調査結果に基づいています。クラウドとKubernetesにイベントがある場合はコンポジットビューがデフォルトで、そうでない場合はクラウドまたはKubernetes アクティビティビューが選択されます。

特定の種類のリソースがお客様の環境で接続されていない場合、そのページには調査結果が表示されません。

タイムライン

他の多くのSysdigツールと同様に、ページ下部のタイムラインを使ってタイムスパンごとにスコープすることができます。
timeline.png
  • デフォルトのスパンは14日です。他のプリセット(6H、1D、3Dなど)を選択したり、クリック可能なカレンダーを使ってスパンを設定することができます。
  • インサイトは、最大14日または999イベントのいずれか早い方を表示します。

ビジュアライゼーションパネル

Insightsツールの最大の特徴は、ビジュアライゼーションパネルにあります。

ビジュアライゼーションパネルの機能を試してみましょう。

  • 同心円は、リソースを最も詳細な調査結果まで掘り下げます。ヘッダーには各レベルのラベルが順番に表示されています(Account > Region > Resource Category > …)

    insights_drill.jpg
  • 対象領域にカーソルを合わせると詳細が表示され、クリックするとサマリーで分離されます。insights_hover.png

アクティビティパネル:サマリー

サマリーパネルは、「Severity level」と「Impacted Rule Name」で整理されたビジュアライゼーションパネルの内容を、順序付けられたリストとして再現しています。

  • ラインアイテムをクリックすると、詳細が表示されます。影響を受けるコンテナ、イメージ、ルール、ユーザー名などが一目でわかります。insights_summary_details.png

アクティビティパネル:イベント

イベントパネルは、Sysdig Secure Eventsのフィードを再現しています。時間ベースのリストでエントリをクリックすると、その詳細が表示されます。
insights_events.png

Search | Show | Hide | Exclude

Searchバーは、アクティビティサマリーのオプションと連動しています。
insights_show_hide_exclude.jpg

  • Activity Summaryの各行には、Show(=)、Hide(!=)、Excludeのオプションがあります。
    • Show (=): Showをクリックすると、その検索結果が検索バーとページのURLに追加されます。それに応じて、ビジュアライゼーションも対象となります。
    • Hide (!=): Hideをクリックすると、その検索結果が可視化からフィルタリングされ、検索と URL にフィルタが追加されます。
    • Exclude:Excludeをクリックすると、除外されたエントリーを除いてデータを再取得します。これにより、ノイズの多い反復的な結果を減らすことができます(場合によっては、999項目の制限を超えてしまうこともあります)。
なお、ShowやHideではデータの再取得は行われません。
  • エントリを除外すると、ビジュアライゼーションヘッダーにExcludeアイコンが表示されます。insights_exclusions.jpg
    • アイコンをクリックすると、現在の除外項目が表示されます。
    • 必要に応じて、すべての除外項目をクリアします。

Insights チームベースの表示と共有

  • チームとユーザーの役割によって、どのInsightsにアクセスできるかが決まります。
  • ページのURLは、検索やフィルターの項目を保持し、同じレベルの権限を持つチームメンバーと共有できます。

詳細は、「ユーザーとチームの管理」を参照してください。