本文の内容は、2023年7月27日に CURTIS COLLICUTT が投稿したブログ(https://sysdig.com/blog/whats-new-in-sysdig-july-2023/)を元に日本語に翻訳・再構成した内容となっております。
「Sysdigの最新情報」2023年7月号をお届けします!カナダのトロントを拠点とするCurtis Collicuttです。Sysdigチームは、最新の機能リリースをご紹介できることをとても楽しみにしています。
今月は、Sysdig Secure Liveを全ユーザに提供します!
Secure Liveは、インフラストラクチャーのセキュリティイベント、脆弱性、設定ミスの対応と調査を1つの画面で支援する強力なツールです。
Sysdigのさらなるアップデートにご期待ください!
Sysdig Secure
Sysdig Secure Liveが全ユーザーで利用可能に
Sysdig Secure Liveが全ユーザで利用可能になりました。この機能の詳細については、以下をご覧ください:
ポリシースコープの廃止:Kubernetesワークロードラベル
非推奨のお知らせ: エージェントのパフォーマンスを改善し、Kubernetes APIの負荷を減らすために、Kubernetesワークロードメタデータは、2023年10月18日から有効なスコープ構成ではなくなります。
理由: これらのスコープの1つを持つポリシーが適用されると、すべてのエージェントがすべてのクラスターに対してKubernetes APIからメタデータを要求する必要があります。私たちは、ほとんどのポリシーがネームスペース、クラスター、またはエージェントにローカルなその他のメタデータに対して作成されていることを発見しました。このメタデータをスコープに使用したポリシーの多くは、そのポリシー内のすべてのルールを例外化するために使用されていました。Sysdig は、特定のルールに含まれるプロセス、コンテナ、イメージなどに的を絞った Falco の例外をサポートし、より優れたパフォーマンスとセキュリティカバレッジを提供する、より的を絞ったセキュリティルールを実現します。
内容:以下のワークロードメタデータはポリシースコーピングから非推奨となります:
kubernetes.daemonset.namekubernetes.deployment.namekubernetes.statefulset.namekubernetes.replicaset.namekubernetes.cronjob.namekubernetes.cron.name*
結果: これらのスコープを持つ既存のポリシーは引き続き機能しますが、同じラベルで変更することはできません。これらのラベルをスコープに含む新しいポリシーを作成することはできません。
推奨:これらのスコープを使用してルールまたはルールセットを適用している場合は、 kubernetes.namespace.name + container.name のスコープに置き換えてください。
例: kubernetes.deployment.nameの置き換え
古いスコープ:
kubernetes.namespace.name = default AND
kubernetes.deployment.name = nginxCode language: JavaScript (javascript)
デプロイメント nginx の中に nginx というコンテナがあるとします。置き換えますと:
kubernetes.namespace.name = default AND
container.name = nginxCode language: JavaScript (javascript)
イメージを使ってより具体的にすることもできます:
kubernetes.namespace.name = default AND
container.name = nginx AND
container.image.repo = quay.io/nginxCode language: JavaScript (javascript)
Admission Controller v0.11.3 リリース
Admission Controller v0.11.3がリリースされました。このリリースでは、レガシースキャンのセキュアイベントからKubernetesワークロード名が削除され、これらのイベントをSecure Events Overview ダッシュボードに集約できるようになりました。
脆弱性管理APIの追加
パイプライン、レジストリ、ランタイムの脆弱性スキャン結果の一覧表示とフィルタリング、および詳細なスキャン結果をJSON形式で取得するための、以下の新しいAPIエンドポイントがTechnical Previewでリリースされました:
- Get a list of pipeline scan results:
GET /secure/vulnerability/v1beta1/pipeline-results - Get a list of registry scan results:
GET /secure/vulnerability/v1beta1/registry-results - Get a list of runtime scan results:
GET /secure/vulnerability/v1beta1/runtime-results - Get full scan results:
GET /secure/vulnerability/v1beta1/results
これらのAPIエンドポイントは、現在の脆弱性スキャン エンジンにのみ適用されます。
Sysdig Monitor
OpenID シングルログアウトのサポート
Sysdigは、OpenIDシングルログアウトのサポートを追加しました。シングルログアウトを使用すると、ユーザはログアウトを開始し、各セッションから個別にログアウトすることなく、すべてのセッションを終了することができます。
詳細については、OpenID シングルログアウトの設定を参照してください。
Sysdig Platform Auditの強化
Sysdig Platform Auditが強化され、ユーザーIDとチームIDに加えて、ユーザー名とチーム名が監査情報に含まれるようになりました。この機能は一般に利用可能です。
詳細については、Sysdig Platform Auditを参照してください。
キャプチャーの検査と開始のサポート
キャプチャーページが改善され、キャプチャーを開始するだけでなく、キャプチャーを検査できるようになりました。以前は、Exploreでのみキャプチャーを開始できました。
詳細については、キャプチャーを参照してください。
Sysdig Agent
12.15.0 2023年6月28日リリース
機能強化
プロセスツリー
このバージョンのSysdig Agentでは、Sysdig Secureのプロセスツリー可視化のサポートが追加され、ワークロードベースのイベントのイベントフィードが充実しました。これにより、問題のあるプロセスに至るすべてのプロセスを特定することができます。
この機能を有効にするには、以下の手順に従います:
- エージェントの ConfigMap を変更し、
enrich_with_process_lineage=trueを設定します。 - 管理者として Sysdig Secure にログインし、[Settings]|[Sysdig Labs] を選択して、この機能をオンに切り替えます。
- プロセスツリーは、その時点からトリガーされたワークロードに関連するイベントの詳細ペインに表示されるようになります。
Java 7 のサポートを追加
Sysdig Agentのバージョン12.10.0から12.14.1では、Javaの依存関係がJava 7をサポートしないバージョンにアップグレードされました。その結果、これらのバージョンでは、Java 7 JDK/JRE上でJMXメトリクスを収集するJavaプロセスを実行できません。このリリースでは、依存関係を Java 7 をサポートするバージョンにダウングレードします。
ノード・コスト・メトリクスのサポートの追加
Sysdig Agent は、thin cointerface を使用している場合に、ノード・コスト・メトリクスをサポートするようになりました。
脆弱性の修正
エージェントの OpenSSL バージョンを 1.1.1t にアップグレードすることで、CVE-2023-0286 に対応しました。
不具合の修正
Secure モードとSecure Lightモード間のメトリクスパリティ
Sysdigエージェントは、Secureモードとsecure_lightモードの両方で同じメトリクスセットをレポートするようになりました。これは、Secureモードのプログラムメトリクスも、dragentプロセスまたはコンテナに制限されることを意味します。
実行時間のアカウンティングの強化
エージェントのI/Oメトリクスが正しくレポートされない原因となっていた特定のイベントに対するシステムの実行時間アカウンティングを修正しました。
Ubuntu向けs390xのサポート
Ubuntu v20.04を含む最近のs390x Linuxディストリビューションでは、カーネルモジュールのビルド時にコンパイラが -march=z13/-mtune=z15 フラグをサポートする必要があります。s390xプラットフォーム用のagent-kmoduleイメージで使用されているgccのバージョンは、必要なフラグをサポートするgcc-12にアップグレードされています。
SDK、CLI、ツール
Sysdig CLI
v0.7.14が最新リリースです。ツールの使用方法と以前のバージョンのリリース・ノートは、以下のリンクから入手できます:
https://sysdiglabs.github.io/sysdig-platform-cli/
Python SDK
Python SDKはv0.16.6のままです。
Terraform プロバイダー
Terraform Provider 1.10.0をリリースしました。このリリースには以下が含まれます:
- ポスチャーゾーンの管理機能
- ポスチャーポリシーを取得する機能
- セキュアチームにゾーンを設定する機能
https://docs.sysdig.com/en/docs/developer-tools/terraform-provider
Terraform モジュール
- AWS Sysdig Secure for Cloudはv10.0.9のまま変更ありません
- GCP Sysdig Secure for Cloudはv0.9.10のまま変更ありません
- Azure Sysdig Secure for Cloudはv0.9.5のまま変更ありません
Falco VSCode Extension
v0.1.0が最新リリースです。
https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
Sysdig Cloud Connector
新しい Cloud Connector(v0.16.43)が helm chart 0.8.2 の下でリリースされました:
- 修正: CIEM用のaws-cloudtrail-s3-sns-sqsインジェスタータイプを追加しました。
- 修正 例外の追加時のFalcoのルールエラー
Admission Controller
helm chart 0.11.3における新しいAdmission Controller (v3.9.24)がリリースされました。
Sysdig CLI スキャナー
Sysdig CLI Scanner は v1.5.0 のままです。
https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/
Sysdig Secure Inline Scan Action
最新リリースはv3.5.0のまま変更はありません。
https://github.com/marketplace/actions/sysdig-secure-inline-scan
Sysdig Secure Jenkins Plugin
Sysdig Secure Jenkins Pluginのバージョンはv2.3.0のままです。
https://plugins.jenkins.io/sysdig-secure/
Prometheus インテグレーション
Prometheus インテグレーションの新しいリリースが利用可能です:
https://github.com/draios/prometheus-integrations/releases/tag/v1.16.0
インテグレーション:
- 修正: IstioD ジョブで istio_build と pilot_proxy_convergence_time_bucket のメトリクスを保持するようにしました。
- 機能: Istio 1.16 のサポートを追加
- ドキュメント: k8s-PVCインテグレーション前提条件の修正
- 機能: WindowsインストーラにPrometheusエージェントポートを変更するオプションを追加
- 修正: いくつかのコントロール・プレーン・インテグレーションで、アグリゲーションに使用されるラベルが間違っていました。
- 機能: サブクエリで大量のTSが発生しないように、PromQLフィルタを調整しました。
- テスト: Prometheusのジョブファイルが正しいことを確認するテストを作成しました。
Sysdig On-premise
オンプレミス・リリースv6.3は7月11日から提供しています。
Falco脅威検知ルールの変更履歴
ここ数ヶ月の間に、いくつかのバージョンのルールがリリースされました。以下は、直近のルール変更に関するリリースノートです。
https://docs.sysdig.com/en/docs/release-notes/falco-rules-changelog/
- 以下のルールの誤検知を減らしました:
- AWS SSM Agent File Write
- Possible Backdoor using BPF
- Change thread namespace
- 以下のルールのパフォーマンスを改善
- Shell binaries opening connections
- Drop and execute new binary in container
- Updated the IoCs Ruleset with new findings
オープンソース
Falco
Falco 0.35.1 が利用可能になりました。
https://github.com/falcosecurity/falco/releases/tag/0.35.1
新ウェブサイトのリソース
ブログ(日本語:sysdig.jp)、(日本語:SCSK Sysdig特設サイト)
Architecting Cloud Instrumentation
How to Deal with Hundreds of Fixes? Choosing the Right Vulnerability Management Solution
SCARLETEEL 2.0: Fargate, Kubernetes, and Crypto
Cloud Defense in Depth: Lessons from the Kinsing Malware
ウェビナー
July 13 – Black hat webinar Unpacking Supply Chain & Cloud Security Risks
July 18 – Spotting Vulnerabilities at Rest and at Runtime
July 27 – OWASP Kubernetes Top 10 Projects: What Risks You Need to Prioritize in 2023
How mx51 manages security and risk without impacting innovation and efficiency
Lessons from the Trenches: Maintaining Effective Security in Cloud
Navigating Cloud and Container Security Risk
Shift Cloud Security Left and Right with CNAPP, Powered by Runtime Insights
Sysdig エデュケーション
Monitoring Integrations – https://learn.sysdig.com/monitoring-integrations
Windows Monitoring (hands-on lab) – https://learn.sysdig.com/windows-monitoring
Intro to Secure (video) – https://www.youtube.com/watch?v=jJv4_HTxwVI
Intro to Monitor (video) – https://www.youtube.com/watch?v=SyD_4sNadAQ
Vulnerability Management Landing Page (video) – https://www.youtube.com/watch?v=1_uPQnVKZAI
Sysdig Live – https://www.youtube.com/watch?v=bo1D-jQssw8
Process Trees – https://www.youtube.com/watch?v=wqf_ZY_cqwQ