Sysdig最新情報 – 2023年10月

本文の内容は、2023年10月26日に ZAIN GHANI が投稿したブログ（https://sysdig.com/blog/whats-new-in-sysdig-october-2023/)を元に日本語に翻訳・再構成した内容となっております。

2023 年 10 月版の「Sysdig の最新情報」をお送りします。私はテキサス州オースティンに拠点とするSysdig社のゼインガーニです。カリフォルニア州ロサンゼルスに拠点を置く同僚のマットバランと一緒に最新の更新情報を共有します。

ここ数週間、Sysdig の活動は刺激的なものでした。弊社は、ランタイムインサイトを活用したCloud Attack Graphを活用して資産を関連付け、リスクを検出し、リアルタイムのインサイトを提供する、業界をリードするSysdig クラウドネイティブアプリケーションプロテクションプラットフォーム (CNAPP) を発表しました。詳細については、この記事を読むか、このYoutubeビデオ（英語版）をご覧ください。

また、2023 年の DockerCon で、Sysdig と Docker が、クラウドネイティブアプリケーションのデリバリーを高速化し、安全性を確保するためのパートナーシップを発表しました。Sysdig のランタイムに関するインサイトがDocker Scout に統合され、開発者がリスクに優先順位を付けて迅速に行動できるようになります。この統合により、利用者はソフトウェアサプライチェーンのノイズを削減し、重要なインサイトに優先順位を付けて、より無駄のないコンテナイメージを構築できるようになります。Sysdig は、Docker Scout に最初のランタイムセキュリティのインテグレーションを提供したベンダー統です。詳細については、プレスリリース（英語）をご覧ください。

今後のSysdig からの最新情報を楽しみにしてください。では、始めましょう!

Sysdig Secure

イメージパイプラインにおける脆弱性スキャンのレポート

脆弱性管理チームは、イメージパイプラインスキャンのレポートのリリースを発表できることをうれしく思います。脆弱性管理エンジンには、すべてのスキャン機能 (ランタイム、レジストリ、ホスト、パイプライン) のレポートが含まれるようになりました。パイプラインレポートは、スコープコンテキストを変更するだけで、ランタイムレポートとレジストリレポートを反映します。

アドミッションコントローラー v0.14.9 がリリースされました

Kubernetes監査イベントにコンテナメタデータが追加され、インフラストラクチャーに対するさらなる洞察が得られるようになりました。この機能強化により、すべてのPodイベントにcontainer.name、Pod.name、Pod.namespaceラベルが表示されるようになりました。これらのラベルは、Create HostNetwork PodやAttach/Exec PodなどのイベントのSecure Event詳細パネルで確認できます。

ポスチャーコントロールにおけるSeverityのカスタマイズ

コントロールを編集したいと思ったことはありませんか?

すべてのポスチャーコントロールを設定して、コントロールのSeverityを編集できるようになりました。

管理者は、[Sysdig Secure] → [Policies] → [Posture Controls (Read, Edit)] で新しい権限項目を使用して、どのロールにポスチャーコントロールの表示と編集を許可するかを管理できます。

既存のデフォルトロール: Team ManagerとAdvanced Userは、ポスチャーコントロールの編集権限を持つようになりました。

脅威検出ルールの例外 UI の改善

Sysdig は、新しいユーザーフレンドリーな例外ビルダーを導入しています。ルールエディターに組み込まれた新しい例外 UI は、ユーザーが脅威検出ルールの例外を作成、更新、変更、削除するのに役立ちます。詳細については、「脅威検出ルールの管理」を参照してください。

Cloud Log

Sysdig は、Cloud Log の Cloud Detection and Response (CDR) には興味があるが、Cloud Security Posture Management (CSPM) は使用したくないユーザーを対象とした新しい製品バンドルを提供します。詳細については、「Cloud Log」を参照してください。

ポスチャーにおけるゾーンスコープによるエージェントタグのサポート

ホストとクラスターに適用されたエージェントタグを使用してゾーンのスコープを設定する必要はありますか?

ゾーンスコープ (Kubernetes およびエージェントタグ属性を持つホスト) を追加できるようになりました。ラベルを追加するのと同じように、エージェントタグのキーと値のペアを追加します。詳細については、「Posture Host Analyzer のインストール」を参照してください。

Advanced Userはチューニング提案を適用できます (プレビュー)

例外の特定と適用を簡素化するため、Advanced UserとTeam Managerが Insights とイベントの詳細ページからチューニング提案を確認し、適用できるようになりました。

有効にするには：

Sysdig Secure に管理者としてログインし、Settings に移動します
Advanced User Tuner Enablementをオンに切り替えます

これは 10 月 15 日からデフォルトの動作になります。

Rancher Kubernetes Engine (RKE2) のサポート

Rancher Kubernetes Engine (RKE2)のサポートを発表できることを嬉しく思います。RKE2は公式のCISベンチマークがありませんが、新しいインハウスポリシーの追加によってサポートされます。

AWSにおけるSysdig Secure カバレッジの向上

Sysdig Secureポスチャーコントロールライブラリーが拡張され、AWS リソースのカバー範囲が向上しました。コントロールライブラリーには、次の AWS サービス全体で 17 の新しいリソースタイプ (デプロイされたものと Terraform コードからの両方) をサポートする 26 の新しいコントロールが含まれるようになりました。

Amazon DynamoDB
Amazon EC2
Amazon Elastic File System (EFS)
Amazon Kinesis
Amazon RDS
Amazon SageMaker
Amazon Simple Queue Service (SQS)
AWS Elastic Beanstalk
AWS Network Firewall
AWS Systems Manager (SSM)

OOTB ポリシーの内容の更新

次のポリシーが更新されました。

Sysdig Mirantis Kubernetes Engine (MKE) Benchmark v1.1.0
Mirantis と協力して、より正確な結果を提供するために監査の一部を更新しました。
AWS Well Architected フレームワーク
Well Architected フレームワークは 26 の新しいコントロールで強化され、最近追加されたリソースタイプと既存のリソースタイプのサポートを提供します。

Rancher Kubernetes Engine のサポートの基本的な部分として、Sysdig は次の新しいポリシーを提供するようになりました。

Sysdig Rancher Kubernetes Engine (RKE2) ベンチマーク v1.6.0
ハードニングガイドは、RKE2の本番環境インストールをハードニングするための規定ガイダンスを提供し、このベンチマークガイドは、CIS Kubernetesベンチマークの各コントロールに対するハードニングされたクラスタのセキュリティレベルの評価を支援することを目的としています。RKE2の運用者、セキュリティチーム、監査人、意思決定者が使用するものです。

Sysdig Monitor

ダッシュボードとアラートで強化されたメトリクスの使用状況メタデータ

[メトリクスの使用状況]に、特定のメトリクスを使用しているダッシュボードとアラートが表示されるようになり、特定のメトリクスがチームに提供される値をより深く理解できるようになりました。

メトリクスアラート通知における通知スナップショット (CA)

Slack または電子メールに転送されるメトリクスアラート通知には、トリガーとなる時系列データのスナップショットが含まれます。Slack 通知チャネルの場合、通知チャネル設定内でスナップショットを切り替えることができます。チャネルが解決時に通知するように設定されている場合、アラートは解決する時系列データのスナップショットも通知で提供されます。

この機能は、コントロールアベイラビリティとしてリリースされています。

Sysdig Agent

12.17.0 2023年10月17日

機能強化

マルウェア検出機能

Sysdig Agentは、ホストやコンテナ上の既知の悪意あるハッシュを使用することで、マルウェアや疑わしいバイナリの実行を検出する機能を提供します。

マルウェアコントロールポリシーが有効になっている場合、Sysdig Agentはバイナリ実行ごとにハッシュを計算し、そのハッシュが既知の悪意のあるもののいずれかに一致するかどうかを確認します。一致すると、エージェントは実行を阻止し、イベントを生成します。

マルウェア検出を機能させるには、お使いの環境で Linux カーネル v5.0 以降が必要です。

この機能はデフォルトで有効になっています。エージェント上でグローバルに無効にするには、以下を dragent.yaml ファイルに追加します：

malware_control:
  enabled: falseCode language: JavaScript (javascript)

基盤となるホストノードの機能を有効にするには、以下をdragent.yaml ファイルに追加します：

protections:
  malware_control:
  enable_for_host: trueCode language: JavaScript (javascript)

プロトコルバッファーを使用して Kubernetes API サーバーと通信します

Coininterface は、Kubernetes API サーバーと通信するためのワイヤ形式として Google プロトコルバッファーを使用します。

OpenSSL ライブラリを OpenSSL v3.1 に更新し、FIPS 検証済みの暗号化モジュールを含めます

OpenSSL v1.1.1がサポート終了になったことを考慮して、このリリースでは、バンドルされている OpenSSL ライブラリを v3.1.3 に更新します。

さらに、このリリースでは、FIPS 検証済みの OpenSSL crypto モジュールがエージェントにバンドルされています。crypto モジュールを追加すると、 fips_mode 設定パラメータが true に設定されている場合に、ユーザが提供する FIPS 検証済みの OpenSSL 共有ライブラリの要件がなくなります。

この更新により、エージェントの OpenSSL v1.1.1 との下位互換性が失われます。 openssl_lib パラメーターを設定している場合は、次のいずれかを実行してください：

OpenSSL v3.1 共有ライブラリを提供する
パラメータを削除し、バンドルされている OpenSSL 共有ライブラリを利用します。

OpenShift v3 のサポート終了

12.17.0 以降の Sysdig Agent バージョンは OpenShift 3 ではサポートされなくなります。v12.17.0 が OpenShift 3 をサポートする最後のバージョンになります。

不具合の修正

再起動中の移行を防止する

エージェントは、再起動中の不要な移行を回避するために、ティアダウン中にKubernetesデリゲーションリースをリリースしなくなりました。

Fargate のポリシーのスコープ設定でエージェントラベルが考慮されるようになりました

Fargate エージェントは、ポリシーのスコープ設定を実行するときにエージェントラベルをスキップしなくなりました。

ネットワークセキュリティポリシーの出力で解決されたIPを表示する

エージェントは改良されたロジックを使用してサービスとエンドポイントを解決するため、一部のネームスペースのネットワーク通信が未解決としてドロップされなくなります。

get_mm_exe_file() を使用する

get_mm_exe_file() が利用可能な場合は、より安全なバージョンの Linux カーネル API 呼び出しが使用されます。

正しい Kubernetes ステータスを表示する

Kubernetesステータスレポートの不具合を修正しました。 kube_workload_status_available および kube_workload_status_unavailable メトリクスは、クラスタノード数が変更された場合でも正しい値を報告するようになり、Kubernetesステータスは、cointerfaceが実行モードを切り替えた後の状態を正しく反映するようになりました。

意図しないエージェントの再起動を防止する

バックエンドからの無効なメッセージにより、意図しないエージェントの再起動が発生する問題が修正されました。

デバイスのメトリクスを期待どおりに保存する

デバイスの I/O メトリクスが保存されない問題が修正されました。

Kubernetes クラスターの関連付けを正しく表示する

Data Sources UI の Agents ページでエージェントと Kubernetes クラスターの関連付けが正しく行われないという問題が修正されました。

Prometheus ログに正しい時系列数を表示する

Prometheus 統計ログ内のフィルターされた時系列カウントが正しくレポートされるようになりました。

SDK、CLI、およびツール

Sysdig CLI

v0.8.2 はまだ現在のリリースです。このツールの使用方法の手順と以前のバージョンのリリースノートは、次のリンクから入手できます:
https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

Python SDK が v0.17.1 に更新されました。

Terraform プロバイダー

Terraform プロバイダーのバージョン 1.15.0 をリリースしました。このリリースには以下が含まれます:

機能: API のみの安全なオンボーディングサポートの追加

https://docs.sysdig.com/en/docs/developer-tools/terraform-provider

Terraform モジュール

AWS Sysdig Secure for Cloud はv10.0.9で変更ありません
GCP Sysdig Secure for Cloud はv0.9.10で変更ありません
Azure Sysdig Secure for Cloud はv0.9.7で変更ありません

Falco VSCode 拡張機能

v0.1.0 はまだ最新リリースです。

https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0

Sysdig Cloud Connector

新しいCloud Connector は、 helm chart 0.8.6の元で( v0.16.54 ) に変更されます。

アドミッションコントローラー

helm chart 0.14.12に新しいアドミッションコントローラーリリース(3.9.34)が加わりました。

Sysdig CLI スキャナー

Sysdig CLI スキャナーの最新バージョンはv1.6.0です。

https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/

Sysdig Secure Inline Scan Action

最新リリースは v3.5.0 のままです。

https://github.com/marketplace/actions/sysdig-secure-inline-scan

Sysdig Secure Jenkins プラグイン

Sysdig Secure Jenkins プラグインはバージョン v2.3.0 のままです。

https://plugins.jenkins.io/sysdig-secure/

Prometheus Integrations

Prometheus Integrations が v1.23.0 に更新されました。

従来のPod Overviewダッシュボードを修正
OOTB Openshift/Rancher ダッシュボードに必要なメトリクスを更新

Sysdig オンプレミス

Sysdig On-Premises は 6.5.0 に更新され、次の変更が加えられました。

アップグレードプロセス

サポートされているアップグレード: 5.0.x、5.1.x、6.x

完全なサポートマトリクスについては、リリースノートを参照してください。このリポジトリには、オンプレミスのインストール手順も含まれています。

MinIO

リリースv6.5.0から、MinIOがオンプレミススタックに追加され、特にSysdigサービスと組み合わせて使用するために、アップストリームからMinIOバイナリをインポートするようになりました。

MinIOのソースコードはこのリポジトリからダウンロードできます。ライセンスはAGPL 3.0です。

Sysdig Secure

脆弱性管理ランディングページ

Sysdig Secure において脆弱性管理ワークフローを識別、追跡、開始するためのランディングページを提供します。これは、環境内の脆弱性リスクに関する傾向、優先順位、および最も重要なアクション項目を確認したいユーザーをサポートするように設計されています。ランディングページには、インストールされているスキャナーによって収集されたイメージ、ワークロード、およびホスト (脆弱性 CLI、レジストリ、ホスト、ランタイム) のすべてのスキャン機能が含まれています。ページ上のすべてのウィジェットを使用すると、ワークフローでアクションを実行したり、ネイティブの情報セキュリティツールエコシステムにデータをエクスポートしたりできます。

What?

脆弱性管理者が、脆弱性リスク体制の変化 (傾向)、最も蔓延している脆弱性、最新のリリースされた脆弱性、最も脆弱性のあるインフラストラクチャーセグメントを簡単に特定できるようにします。
プログラムマネージャーが調査結果に対するポリシーのポスチャーを簡単に把握できるようにします。
アーキテクトがスキャン数と採択率に関するデータに簡単にアクセスできるようにします。

Why?

脆弱性管理チームに、プログラムレベルで脆弱性の優先順位を付けて管理するための簡単な場所を提供します。

コンテナレジストリスキャン

イメージレジストリスキャン機能は、オンプレミスデプロイメントの Sysdig Vulnerability Management スイートの一部として利用できます。

この機能により、パイプラインステージとランタイムステージの間に追加のセキュリティ層が提供され、本番環境に展開する前に潜在的な脆弱性を完全に可視化できるようになります。

サポートされているベンダーは次のとおりです。

AWS Elastic Container Registry (ECR) – Single Registry and Organizational
JFrog Artifactory – SaaS and On-Premises
Azure Container Registry (ACR) – Single Registry
IBM Container Registry (ICR)
Quay.io – SaaS
Harbor

コンテナーレジストリをインストルメントして分析すると、レジストリレポートを生成して、脆弱性情報を抽出、転送、事後処理を行う事ができます。

脆弱性管理 API の追加

次の新しい API エンドポイントがテクニカルプレビューでリリースされ、パイプライン、レジストリ、ランタイムの脆弱性スキャン結果をリストおよびフィルターしたり、詳細なスキャン結果を JSON 形式で取得したりできます。

Get a list of pipeline scan results: GET /secure/vulnerability/v1beta1/pipeline-results
Get a list of registry scan results: GET /secure/vulnerability/v1beta1/registry-results
Get a list of runtime scan results: GET /secure/vulnerability/v1beta1/runtime-results
Get full scan results: GET /secure/vulnerability/v1beta1/results

これらの API エンドポイントは、現在の脆弱性スキャンエンジンにのみ適用されます。

エアギャップ環境用の新しい脆弱性管理エンジン

新しい脆弱性管理エンジンは、Sysdig Secure 製品の脆弱性およびイメージスキャン機能のメジャーアップグレードであり、エアギャップでのオンプレミスデプロイメントでも利用できます。技術サポートについては、Sysdig の担当者にお問い合わせください。

主なハイライト

スキャン時間が大幅に短縮され、平均で 8 倍高速になりました。
脆弱性と修復に関する追加データ
- CVSS スコアとメトリクス: ネットワーク攻撃ベクトル、必要な権限など。
- 公開されているコードのエクスプロイトの報告
- 推奨されるパッケージ修正バージョン
Risk spotlight : Sysdig は実行時にアクティブなパッケージで検出する脆弱性に焦点を当てます。これは、アクティブなパッケージを持つ CVE のみを表示する新しいフィルターで、インフラストラクチャーを参照する時間を節約し、影響の大きい CVE に集中できるようにします。
新しい脆弱性レポートモジュール
- 個々のレポートは最大 14 日間保存されます
- UIから即座にレポートを生成する機能
さまざまなランタイムおよびセキュリティコンテキストに適用できる柔軟なポリシー

新しいスキャンエンジンへの移行

新しい脆弱性管理エンジンは、従来のスキャンとは異なるデータストレージ、API、ホストコンポーネント、およびユーザーインターフェイスを使用します。

Sysdig の担当者にお問い合わせください。サブスクリプションと脆弱性管理構成を新しいエンジンに移行するプロセスを案内します。
詳細については、「脆弱性」を参照してください。

不具合の修正

多数の重大かつ高度な脆弱性に対処しました
コンプライアンス v2 レポートが 204 ステータスを返す問題を修正しました
LDAP が有効になっている場合、ログインに電子メールアドレス形式の使用が強制される問題を修正しました。ユーザー名を使用してログインできるようになりました。
GKE ノードプールのアップグレード後、Elastic Search ポッドの起動に失敗しなくなりました
メモリ最適化のための Linux cgroup v2 のサポートを Sysdig PostgreSQL 実装に追加しました

Falco 脅威検出ルールの変更ログ

弊社の脅威調査チームは、先月、Azure のサポートを拡張するための 169 の新しいルールを含む、いくつかのバージョンのルールをリリースしました。以下は、最新のルール変更に関するリリースノートです。

https://docs.sysdig.com/en/docs/release-notes/falco-rules-changelog/

ルールの変更

次のルールを追加しました。
- CodeBuild Create Project with Miner
- CodeBuild Start Build with Miner
- CodeCommit Create Repository
- CodeCommit Git Push
- CodeBuild Create Project
- CloudFormation Create Stack
- SSH keys added to authorized_keys
- SageMaker Create Notebook Instance Lifecycle Configuration
- Image Builder Create Component
- Amplify Create App
- EC2 Create Auto Scaling Group
- Potential IRC connection detected
- CodeBuild Start Build
- ECS Create Cluster
- EC2 Create Launch Template
- Change memory swap options
- GLIBC “Looney Tunables” Local Privilege Escalation (CVE-2023-4911)
次のルールの誤検知が減少しました。
- Mount launched in privileged container
- Kernel startup modules changed
- Read SSH information
- Possible Backdoor using BPF
- Suspicious Cron Modification
- Fileless Malware Detected (memfd)
- eBPF Program Loaded into Kernel
MITREタグを更新しました
新しい知見を加えて IoC ルールセットを更新
sysdig_commercial_images および log_files リストを改善
ホストタグとコンテナタグの改善

デフォルトポリシーの変更

次のルールを追加しました。
- GLIBC “Looney Tunables” Local Privilege Escalation (CVE-2023-4911)
- AWS CLI used with endpoint url parameter
- Hexadecimal string detected
- Unexpected Unshare event in Container
- Disallowed SSH Connection Non Standard Port
- Azure Suspicious IP Inbound Request
- GCP Change Owner
- Container escape via discretionary access control
以下のポリシーを更新しました:
- Suspicious device created in container
- Modification of pam.d detected
SSM ルールを awscloudtrail ポリシーに追加しました
Sysdig Azure Threat Intelligence ポリシーを追加しました