本文の内容は、2023年11月30日に DIMITRIS VASSILOPOULOS が投稿したブログ(https://sysdig.com/blog/whats-new-in-sysdig-november-2023/)を元に日本語に翻訳・再構成した内容となっております。
「Sysdig 最新情報」が 2023 年 11 月版で戻ってきました。私の名前は Dimitris Vassilopoulos です。イギリスのロンドンに拠点を置いています。最新の機能リリースを皆さんと共有できることをうれしく思います。
業界をリードするクラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) の一部として 10 月に発表された一連の機能によって生み出されたポジティブなモーメンタムのまま、Sysdig は、 SANS CyberFest 2023 でクラウドの検出と対応のための 5/5/5 ベンチマークをリリースしました。組織がクラウド内の攻撃をいかに迅速に検出、優先順位付け、対応するかを概説する新しいフレームワークです。
クラウドで安全に運用するには、時間に関する考え方の転換が必要です。それに伴い、クラウドセキュリティプログラムは最新のベンチマークを維持する必要があります。
- 検出まで5秒
- 5 分で洞察を関連付け、何が起こっているかを理解する
- さらに、対応までに5分
クラウドの検出と対応のための 5/5/5 ベンチマークをダウンロードしましょう。
Sysdig からのさらなる最新情報にご期待ください。さあ始めましょう!
Sysdig Secure
改善されたホームページ
新しく改良されたホームページを発表できることを嬉しく思います。ホーム ページには、環境内の最も重要な問題がわかりやすく視覚的に表現され、必要な最上位のタスクが厳選されたリストで表示されます。デフォルトのタブ「ホーム」には「ダッシュボード」が含まれており、他のタブには「推奨事項」が含まれています。
ホーム ページのダッシュボードにデータを表示するには、基本的なオンボーディングを完了し、少なくとも 1 つのデータ ソースが接続されている必要があります。それ以外の場合、ページにはセットアップ タスクを完了するためのプロンプトが表示されます。
ダッシュボードに表示される内容は、何がインストールされているかによって異なります。詳細については、ドキュメントを参照してください。
Star Favorite Compliance ビュー
ホーム ページで追跡したい特定のポリシーとゾーンの組み合わせを選択できるようになりました。詳細はコンプライアンスドキュメントに記載されています。
サポートされているWebブラウザー
Sysdig は、Chrome と Firefox の最新バージョンをサポート、テスト、検証します。他のブラウザも動作する可能性がありますが、同じ方法ではテストされていません。
Sysdig Monitor
サポートされているWebブラウザー
Chrome と Firefox の最新バージョンは、Sysdig Monitor と Secure に関してテスト、検証、サポートされています。ただし、他のブラウザも動作する可能性がありますが、同じ厳密さでテストされていないことに注意してください。
Sysdig サーバーレス エージェント
4.3.0 ホットフィックス 2023 年 11 月 8 日
このホットフィックスでは、CloudFormation テンプレートの Orchestrator-agent.yaml が更新され、自動スケーリングのデフォルト値が含まれます。自動スケーリングが無効になっている場合、自動スケーリング パラメーターはデフォルトで 0 に設定されるようになりました。
インストールとアップグレードの手順については、「AWS Fargate サーバーレス エージェント」を参照してください。
SDK、CLI、およびツール
Sysdig CLI
v0.8.2 はまだ現在のリリースです。ツールの使用方法に関する説明と以前のバージョンのリリース ノートは、次のリンクから入手できます。
https://sysdiglabs.github.io/sysdig-platform-cli/
Python SDK
Python SDK は v0.17.1 のままです。
Terraform プロバイダー
Terraform プロバイダーのバージョン 1.18.0 をリリースしました。このリリースには次の機能が含まれています。
- プロバイダー エイリアスをcloud account 作成呼び出しに渡す
- ブール値の引用符を削除する
- Azure のcloud account作成を実装する
- Secure cloud accountの受け入れテストを有効にする
https://docs.sysdig.com/en/docs/developer-tools/terraform-provider
Terraform モジュール
- AWS Sysdig Secure for Cloud はv10.0.9で変更なし
- GCP Sysdig Secure for Cloud はv0.9.10で変更なし
- Azure Sysdig Secure for Cloud はv0.9.7で変更なし
Falco VSCode 拡張機能
v0.1.0 はまだ最新リリースです。
https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
Sysdig クラウド コネクター
新しいCloud Connector は、 helm chart 0.8.6の下で( v0.16.55 ) に変更されます。
アドミッションコントローラー
ヘルム チャート0.14.14の下の新しいアドミッション コントローラー リリース ( 3.9.35 ) 。
Sysdig CLI スキャナー
Sysdig CLI スキャナーの最新バージョンはv1.6.1です。
https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/
Sysdig Secure Inline Scan Action
最新リリースは v3.6.0 です。
https://github.com/marketplace/actions/sysdig-secure-inline-scan
Sysdig Secure Jenkins プラグイン
Sysdig Secure Jenkins プラグインはバージョン v2.3.0 のままです。
https://plugins.jenkins.io/sysdig-secure/
Prometheus Integrations
Prometheus Integrations が v1.23.2 に更新されました。
- 変更: HelpIcon を QuestionMarkCircleHelpIcon に置き換え
- 修正: OpenShift/rancher インテグレーションラベル
Sysdig オンプレミス
Sysdig On-Premises は 6.6.0 に更新され、次の変更が加えられました。
アップグレードプロセス
サポートされているアップグレード: 5.0.x、5.1.x、6.x
完全なサポート性マトリックスについては、「オンプレミス インストールのドキュメント」を参照してください。このリポジトリには、オンプレミスのインストールドキュメントも含まれています。
Sysdig Secure
Nexus と Google によるコンテナ レジストリ スキャンのサポート
Sysdig Vulnerability Management エンジンのイメージレジストリ スキャン機能が更新され、Nexus リポジトリと Google Artifact Registry (GAR) のスキャンをサポートするようになりました。
スキャナーの実行の詳細については、レジストリ スキャナーのドキュメントを参照してください。
イメージパイプライン脆弱性スキャンレポート
脆弱性管理エンジンは、イメージパイプラインスキャンレポートをサポートするようになりました。エンジンには、すべてのスキャン機能 (ランタイム、レジストリ、ホスト、パイプライン) に関するレポートが含まれるようになりました。パイプラインレポートは、スコープコンテキストを変更するだけで、ランタイムレポートとレジストリレポートを反映します。
どのような機能か?
- この機能により、一定期間のパイプラインスキャンに関する簡単な収集とレポートが可能になります。
なぜこの機能が追加されたのか?
- この機能の追加により、VMスキャン セット全体にわたるデータ出力関数の正規化が完了しました。
脅威検出ルールの例外 UI の改善
Sysdig は、新しいユーザーフレンドリーな例外ビルダーの提供を開始しました。ルール エディターに組み込まれた新しい例外 UI は、ユーザーが脅威検出ルールの例外を作成、更新、変更、削除するのに役立ちます。
詳細については、「脅威検出ルールの管理」を参照してください。
Advanced user はチューニングサジェスチョンを適用できます
例外の特定と適用を簡素化するために、Advanced user とTeam Managerがインサイトとイベントの詳細ページからチューニングの提案を確認して適用できるようにしています。
有効にするには:
- Sysdig Secure に管理者としてログインし、[Settings] に移動します。
- Advanced User Tuner Enablementをオンに切り替えます。
Sysdig Monitor
ダッシュボードとアラートで強化されたメトリクスの使用状況メタデータ
[メトリクスの使用状況]に、特定のメトリクスを使用しているダッシュボードとアラートが表示されるようになり、特定のメトリクスがチームに提供する価値をより良く理解できるようになりました。
PromQL クエリエクスプローラー UX の改善
PromQLクエリ エクスプローラーエディターが更新され、クエリー実行時のユーザーエクスペリエンスが向上しました。
- クエリメトリクスに関連するラベルのみがオートコンプリートプロンプトに表示されるようになりました。
- ラベルは自動的に選択され、クエリ結果テーブルに表示されます。
メトリクスアラート通知の通知スナップショット
Slack または電子メールに転送されるメトリクスアラート通知には、トリガーとなる時系列データのスナップショットが含まれます。Slack 通知チャネルの場合、通知チャネル設定内でスナップショットを切り替えることができます。チャネルが解決時に通知するように構成されている場合、アラートを解決する時系列データのスナップショットも通知で提供されます。
プラットホーム
Settingsページの更新
Sysdig Secure と Monitor のSettingsページが強化され、優れたユーザー エクスペリエンスが提供されます。
- ダークモードの配色が改善されました。
- Sysdig 製品間の一貫性を確立するための統一されたレイアウトとコンポーネント。
- 新しいヘッダーコンポーネントによるナビゲーションの向上。
不具合の修正
- promlegacy_* メトリクスによってメトリクス数の読み込みが妨げられる可能性がある Explore モジュールの問題を修正しました。
Falco 脅威検出ルールの変更ログ
ここ数か月の間にルールのいくつかのバージョンがリリースされました。以下は、最新のルール変更に関するリリース ノートです。
https://docs.sysdig.com/en/docs/release-notes/falco-rules-changelog/
ルールの変更
- 次のルールの誤検知が減少しました。
- Modification of pam.d detected
- Possible Backdoor using BPF
- Packet socket created in container
- Dump memory for credentials
- Launch Remote File Copy Tools in Container
- Suspicious cron modification
- Base64-encoded Shell Script Execution
- Fileless Malware Detected (memfd)
- eBPF program loaded into Kernel
- Launch Ingress Remote File Copy Tools in Container
- Write below etc.
- Escape to host via command injection in process
- eBPF program loaded into kernel
- Non sudo setuid
- Mount launched in Privileged Container
- Change thread namespace
- Set Setuid or Setgid bit
- Launch Sensitive Mount Container
- Launch Root User Container
- Write below root
- Packet socket created in container
- Launch privileged container
- Diamorphine Rootkit Activity
- Read Environment Variable from /proc files in Container
- Search Private Keys or Passwords
- SSH keys added to authorized_keys
- Change memory swap options
- Kernel startup modules changed
- 次のルールを追加しました。
- Container image built on host
- Leave Organization
- EC2 Add User Data
- SSM Get Parameter
- EC2 Get User Data
- Shutdown or Reboot detected
- Get Federation Token with Admin Policy
- Full Visibility on Federated Sessions
- GCP CloudRun Service Started
- Create Key Pair
- Stop EC2 Instances
- Get Lambda Function
- Attach IAM Policy to Group
- Escape to host via command injection in process
- 以下のコンディションを改善しました。
- System procs network activity
- Potential UAC bypass using Registry manipulation
- Dump memory for credentials
- Execution of binary using ld-linux rule
- 次のルールの出力を改善しました。
- Github Webhook Connected rule
- Okta ruleset
- Shutdown or Reboot detected rule
- 新しい発見を加えて IoC ルールセットを更新
- log4j ルールを悪用する悪意のある C2 IP またはドメインの説明を更新
- Sysdig AWS の注目すべきイベントポリシーを更新
- Windowsのsuspicious_network_binariesリストを改善
- AWS RDS マスターパスワード更新のタグを改善
- MITREタグの改善
デフォルトポリシーの変更
- 次のファイルを追加しました。
- Shutdown or Reboot detected
- Get Federation Token with Admin Policy
- Full Visibility on Federated Sessions
- GCP CloudRun Service Started
- Create Key Pair
- Stop EC2 Instances
- Get Lambda Function
- Attach IAM Policy to Group
- Escape to host via command injection in process
- Okta のユーザーから MFA を削除するポリシーを更新しました。
- ルールのポリシーを更新しました。
- Change memory swap options
- EC2 Instance Connect/SSH Public Key Uploaded
- SSM Get Parameter
オープンソース
Falco
Falco 0.36.2 は最新のstable版リリースです。
https://github.com/falcosecurity/falco/releases/tag/0.36.2
リソース
ブログ(日本語:sysdig.jp)
Securing Servers in the Cloud Requires a Cloud Centric Approach (英語)
On-Demandウェビナー
CSPMだけで本当に大丈夫?クラウドセキュリティは多層防御=CNAPPの時代へ
AIは敵か味方か?クラウドネイティブセキュリティにおけるAI活用例
イベント
12/11-12 開催 Cloud Native Days Tokyo 2023
Sysdig 動画シリーズ
Sysdig. Secure Every Second: https://www.youtube.com/watch?v=c7mqQOwQv3U (英語)
Rethinking Cloud Security with Sysdig’s CNAPP: https://www.youtube.com/watch?v=19QjEmXbvqY (英語)
【SysdigのCNAPP新機能①】Sysdig Attack Pathでクラウドセキュリティのリスクを可視化
【SysdigのCNAPP新機能②】Sysdigの検索可能なインベントリ機能で、クラウドの可視化を実現
【SysdigのCNAPP新機能③】エージェントレス脆弱性管理によるセキュリティ強化
プレスリリース
Sysdig Debuts New Benchmark for Cloud Detection and Response (英語)