本文の内容は、2024年3月29日に JONATHON CERDA が投稿したブログ(https://sysdig.com/blog/whats-new-march-2024/)を元に日本語に翻訳・再構成した内容となっております。
「Sysdig 最新情報」が 2024 年 3 月版で戻ってきました。私の名前は Jonathon Cerda です。テキサス州ダラスに拠点を置いています。Sysdig チームは、最新の機能リリースを皆さんと共有できることを楽しみにしています。
3月は、春のにわか雨と花の開花を意味するだけでなく、米国の女性の貢献と功績を祝い、称える「女性歴史月間」の到来でもあります。
3月には国際女性デーも祝われ、世界中の女性の功績を讃える日です。
Sysdig からのさらなる最新情報を楽しみにしていて、始めましょう!
Sysdig Secure
インベントリにおけるクラウドホストの脆弱性を表示
インベントリを使用すると、AWS および GCP クラウド ホスト (EC2 インスタンス、コンピューティング インスタンス) 上の脆弱なリソースを検索できるようになりました。
さらに、各クラウド ホストのResource-360 drawer には、新しいタブを通じて脆弱性の検出結果が含まれています。
パッケージ名-バージョンで検索することもできます。現時点では、Azure VM ホストは対象外となっています。詳細については、 インベントリを参照してください。
インベントリ UI のアップデート
AWS EC2 インスタンスと GCP コンピューティングインスタンスをホストイメージ ID で検索できるようになりました。
S3 バケット内のオブジェクトを監視
エージェントレス AWS クラウド脅威検出 (CDR) の対象範囲が拡張され、S3 通知を通じて Simple Storage Service (S3) バケットに保存されているオブジェクトに対して実行される操作を監視できるようになりました。
AWS CloudTrail 統合では以下がサポートされるようになりました。
- ReadOnly 管理イベント (verbは Get/List/Describe で開始。
- S3 バケットを監視し、AWS エージェントレス CDR の対象範囲を拡張するためのS3 通知の対象範囲
詳細については、クラウド アカウントに接続するためのAWS Agentless の手順を参照してください。
リスクモジュールがテクニカルプレビューでリリース
テクニカルプレビューでリスクをリリースできることを嬉しく思います。リスク機能は、CSPM、KSPM、クラウド ログの取り込み、CIEM、脆弱性管理、およびエージェントベースの脅威検出からの検出結果を相互に関連付けます。最も重要なセキュリティ問題を組み合わせることで、セキュリティチームが重点を置く最大のリスクに優先順位を付けます。
詳細については、「リスク」を参照してください。
ワークロード内のプロセス Kill
脅威検出ポリシーでは、イベントをトリガーするプロセスを強制終了するようにワークロードポリシーとリストマッチングポリシーを設定できるようになりました。詳細については、「ワークロード」を参照してください。
Azure クラウドアカウントのオンボーディングを改善
Sysdig は、Azure クラウド アカウントのオンボーディング エクスペリエンスの改善を開始しました。ユーザーは、必要な機能に関してインストール構成を指定できます。その後、Sysdig がインストールプロセスを段階的にガイドし、シームレスでパーソナライズされたエクスペリエンスを提供します。
さらに、Sysdig のエージェントレス CDR は、Azure での脅威検出をサポートするようになりました。 Falco と、Sysdig 脅威リサーチチームがマネージするルール、および特定の環境やセキュリティ要件に合わせたカスタム ルールを活用することで、ユーザーは堅牢なイベント処理の恩恵を受けながら、Azure アカウントに簡単に接続できます。
詳細については、「クラウド アカウントの接続 | Azure」を参照してください。
グローバルサービスアカウント
Sysdig は、グローバルサービス アカウントを使用してチームベースのサービスアカウントの機能を拡張しました。チームベースのサービスアカウントとは異なり、グローバル サービスアカウントは、システムレベルのアクセス許可を必要とするアクションを実行できます。管理者は、API を通じてグローバルサービス アカウントを作成できます。「グローバル サービス アカウント」を参照してください。
CISA KEV
パイプライン、レジストリ、またはランタイム スキャンによって報告された脆弱性が CISA KEV カタログに登録されているかどうかを確認し、CISA KEV によってイメージをフィルターできるようになりました。これにより、CISA KEV 脆弱性の追加日や期限などの詳細を表示できます。スキャン結果をドリルダウンして、イメージに関連付けられた CISA KEV 情報を表示します。詳細については、「主要な脆弱性管理用語」を参照してください。
プラットフォームベースのスキャン
Sysdig は、デフォルトでプラットフォーム スキャンを実行できるように脆弱性管理スキャン機能を拡張しました。スキャンツールは、イメージとホストファイル システムを分析してソフトウェア部品表 (SBOM) を抽出し、評価のために Sysdig バックエンドに送信します。脆弱性の照合とポリシーの評価は、クライアント側ではなく Sysdig プラットフォーム内で行われるようになりました。
プラットフォームベースのスキャンは、コンピューティングリソースの最適化、データ転送の節約、クライアント側でのイメージ評価を排除することによる応答時間の改善、およびユーザー環境全体にわたるイメージの堅牢な追跡の強化を目的としています。詳細については、「プラットフォームベースのスキャン」を参照してください。
GCP クラウド アカウントのオンボーディングを改善
Sysdig は、GCP Cloud アカウントのオンボーディング エクスペリエンスの改善を開始しました。ユーザーは、必要な機能に関してインストール構成を指定できます。その後、Sysdig がインストールプロセスを段階的にガイドし、シームレスでパーソナライズされたエクスペリエンスを提供します。
さらに、Sysdig のエージェントレス CDR は、GCP での脅威検出をサポートするようになりました。 Falco と、Sysdig 脅威リサーチチームがマネージするルール、および特定の環境やセキュリティ要件に合わせて調整されたカスタム ルールを活用することで、ユーザーは堅牢なイベント処理の恩恵を受けながら、GCP アカウントに簡単に接続できます。
詳細については、クラウド アカウントの接続 | GCP を参照ください。
Sysdig Monitor
グローバルサービスアカウント
Sysdig は、グローバル サービス アカウントを使用してチームベースのサービス アカウントの機能を拡張しました。チームベースのサービス アカウントとは異なり、グローバル サービス アカウントは、システム レベルのアクセス許可を必要とするアクションを実行できます。管理者は、API を通じてグローバル サービス アカウントを作成できます。「グローバル サービス アカウント」を参照してください。
ユーザーオプションを無効にする
Sysdig には、ユーザーの非アクティブ期間を設定する機能が追加され、その後ユーザーは非アクティブ化されます。これにより、大企業は Sysdig からユーザーを手動で削除するのではなく、自動的にユーザーを管理するのに役立ちます。
この機能はデフォルトでは無効になっています。現時点では、API 経由でのみ有効にできます。
詳細については、 ユーザーの非アクティブ化にあるAPI ドキュメントにアクセスしてください。
Sysdig エージェント
13.0.2 2024 年 3 月 20 日
この修正プログラムは次の問題に対処します。
- 脆弱性の修正:
- RHEL サブバージョン 4.10 以降を使用する RHEL カーネル v5.14 に影響を与えた、legacy_ebpf ドライバーの問題が修正されました。
- Linux カーネル 6.8 でのカーネル モジュールのビルドのフェイルが修正されました。
13.0.1 2024 年 3 月 11 日
このホットフィックスでは、使用されるドライバーと有効な機能の特定の組み合わせで発生する、Sysdig Agent がポートの飽和に達するまで割り当てられた UDP ポートを保持できる問題が修正されました。
13.0.0 2024 年 3 月 6 日
v13.0.0 をスキップして、Sysdig Agent v13.0.1 にアップグレードすることを強くお勧めします。詳細については、重大な変更を参照してください。
機能強化
Docker イメージを UBI9 に更新
Sysdig Agent の Universal Base Image が UBI8 から UBI9 にアップグレードされました。
secure_light モードでエージェントの健全性メトリクスを追加しました
エージェントが secure_light モードで実行されている場合の次の正常性メトリクスが追加されました。
- sysdig_agent_analyzer_num_evts
- sysdig_agent_analyzer_dropped_evts
Agent Prometheus Exporter での TLS および基本認証のサポート
Agent Prometheus Exporter は、TLS と基本認証をサポートするようになりました。
JMX メトリクスからサブ属性を収集する機能
CompositeData JMX メトリクスから個々のサブ属性を収集する機能が追加されました。
FIPS モードの ARM64 での promscrape
Sysdig Agent には、以前は ARM プラットフォームに存在しなかった FIPS モードの promscrape バイナリが含まれるようになりました。
ワークロード内のプロセス Kill
脅威検出ポリシーでは、イベントをトリガーするプロセスを強制終了するようにワークロード ポリシーとリスト マッチング ポリシーを構成できるようになりました。詳細については、「ワークロード」を参照してください。
重大な変更
Sysdig Agent 13.0.0 リリースの一部として、12.20.0 のリリース ノートで示唆しました通り、Sysdig は以下のサポートを終了しました。
- logwaycher
- RHEL6とCentOS6
これらの変更の影響を受けるすべての Sysdig ユーザーに通知されています。 Sysdig から何の連絡も受け取っていない場合は、使用状況に影響がないことを意味します。
不具合の修正
ssl_shim 構成を更新
ssl_shim 構成は、エージェントにバンドルされている openssl.cnf が起動時に ssl_shim に FIPS プロバイダーまたは非 FIPS プロバイダーを選択することを予期していた問題を修正するために変更されました。この構成により、OpenSSL v3 に対して動的にリンクされている他のプログラムが機能しなくなります。
openssl_conf 構成フラグを追加して、ユーザーがエージェントで使用するカスタムopenssl.cnfファイルを指定できるようにしました。カスタム OpenSSL v3 ライブラリを含めるには、カスタムopenssl_conf とライブラリパスを設定する必要があります。この構成は、openssl_lib がエージェントにカスタム OpenSSL v3.x ライブラリを指す場合に必要です。詳細については、openssl_lib を参照してください。
1 -vcore マシンでのユニバーサル eBPF のサポート
ユニバーサル eBPF が 1 仮想コア マシンでサポートされるようになりました。
イベントのスコープを特定の Kubernetes クラスター上のコンテナに設定する
標準のcontauner_id=””とともに追加のスコープ述語が指定された場合、ホストスコープの解決が正しく動作するようになりました。 例えば、contauner_id=””とkubernetes.cluster.name=my_cluster.
コレクターの再接続試行ログが誤解を招くことがあった問題を修正
エージェントが「コンテナへの接続にはこれ以上の再試行は残されていません。」という大量のログを報告する問題を修正しました。
Sysdig Cluster Shield リリースノート
Sysdig Cluster Shield の最新のリリース ノートは次のとおりです。エントリを確認して、最新の機能、不具合の修正、既知の問題について把握できます。
0.7.0 2024 年 3 月 18 日
機能強化
- 新しい Kubernetes メタデータコレクター (テクニカル プレビュー) が追加されました。
- シングルプロセスモードで実行する機能が追加されました。
- コンテナ脆弱性管理機能の構成を更新しました。
- デフォルトでプラットフォーム サービスが有効になっています。現在のオンプレミス バージョンを含む追加のhelmチャート値を通じて無効にする機能が追加されました。
- オフライン アナライザーの構成を削除しました。
- レジストリ証明書検証の構成をリファクタリングしました。
不具合の修正
スーパーバイザプロセスにおけるメモリリークの問題を修正しました。
0.1.0 2024 年 3 月 7 日
Sysdig Cluster Shield がコントロールアベイラビリティリリース
Sysdig は、Sysdig Cluster Shield のコントロールアベイラビリティを発表できることを嬉しく思います。このソリューションは、複数のエージェントのデプロイメントを単一のコンテナ化されたコンポーネントに統合し、クラスターレベルでのセキュリティおよびコンプライアンスツールの Sysdig スイートのデプロイ、管理、構成の簡素化において大幅な進歩をもたらします。 Cluster Shield は、Kubernetes 環境の運用を合理化することで、セキュリティとコンプライアンスポスチャーをこれまでより簡単に維持できるようにします。
詳細については、Sysdig Cluster Shieldを参照してください。
Windows Agent
コンテナ エンリッチメント
エージェントはコンテナ化されたプロセスを可視化できるようになり、containerd ベースのコンテナをホストオペレーティング システムとともに保護できるようになりました。
Windows Server v2019 および v2022 の Docker イメージ
Windows エージェントは、Windows Server 2019 および Server 2022 の Docker イメージとして利用できるようになりました。
不具合の修正
脆弱性の修正
AmsiScanBuffer イベントからのワイド文字を処理する機能
AMSI イベントは、Powershell コマンドレットや読み込まれた .NET アセンブリなど、実行されたペイロードを含むバッファー パラメーターを運びます。これは、パラメーター構造が動的であり、AMSI テレメトリを発行するデータ ソースに大きく依存することを示しています。その結果、イベント解析メカニズムはパラメータを動的として扱うように適応され、イベントを発行するアプリケーションタイプによって指示される AMSI バッファの内容を取得します。
SDK、CLI、およびツール
Sysdig CLI
Sysdig CLI スキャナー v1.8.6 がリリースされました。
- CVE-2024-26147 を修正しました。
- Sysdig CLI スキャナーは、イメージをプルするときにプロキシ環境変数を尊重するようになりました。
Sysdig CLI スキャナーv1.9.0がリリースされました。
IAC
- Terraform ディレクトリのスキャン中に発生するパニックを修正しました。
- 重大度しきい値フラグのバグを修正しました。
- 違反がしきい値を超えると、終了コード 1 が返されます。
- v2 エンドポイントを使用して、変換からデータを取得します。
VM
- Maven マッチャーのバグを修正しました。
- 脆弱性の修正バージョンが存在し、解決日が存在しない場合、ポリシーを成功させます。
修正された脆弱性
- CVE-2024-24786
https://sysdiglabs.github.io/sysdig-platform-cli
Python SDK
最新バージョンはv0.17.1です。詳細については、Sysdig Python SDK GitHubを参照してください。
Terraform プロバイダー
v1.22.0 は、Sysdig Terraform プロバイダーの最新バージョンです。詳細については、Terraform プロバイダーのドキュメントを参照してください。
Terraform モジュール
- AWS Sysdig Secure for Cloud はv0.10.9のままです 。
- Terraform Google Secure v0.1.10
- 機能: Webhook-datasource #17のモジュール出力を追加
- 機能: エージェントレス ワークロード コントローラー WIF #20
- 機能: WIF ベースの認証のサポートを Webhook データソース モジュール#21に追加
- 機能(vm,cloud-scan): 組織のユースケース#23を有効にします
- テスト: 検証テスト カバレッジ#16を追加
- テスト(vm、クラウドスキャン): シングルプロジェクトユースケース#18
- ci: CODEOWNERS #19 を更新
- ci: ワークロードスキャンモジュール#22 のCODEOWNERS を更新
- Terraform Azure はv0.2.10のままです。
Falco VSCode 拡張機能
v0.1.0 はまだ最新リリースです。
Sysdig Cloud Connector
Cloud Connector はv0.16.61 のままです。
Admission Controller
Admission Controller ( 3.9.37 ) とhelmチャート ( 0.15.0 ) は、そのままです。
Sysdig Secure Inline Scan Action
最新リリースは v3.5.0 のままです。
https://github.com/marketplace/actions/sysdig-secure-inline-scan
Sysdig Secure Jenkins プラグイン
Sysdig Secure Jenkins プラグインはバージョン v2.3.0 のままです。
https://plugins.jenkins.io/sysdig-secure
Prometheus インテグレーション
v1.28.0 をリリースしました: https://github.com/draios/prometheus-integrations/releases/tag/v1.28.0
- クォータパネルにさらにスコープを追加
- Keda パネルのデータ記述がない場合の変更を追加
- ポート別に RabbitMQ ルールのドロップも追加
- 一部のダッシュボードの説明のタイプミスを修正
- Sysdig Monitorのアラートを追加
- 全ての変更ログ: v1.27.0…v1.28.0
Sysdig オンプレミス
6.9.1 ホットフィックス リリース、2024 年 3 月
この修正プログラムは次の問題に対処します。
- ポリシー バックエンド サービスのルール バリデータを更新して、ユーザーがデフォルト ルールを利用可能な最新のルールセットにアップグレードできるようにします。
- pvStorageSize.cassandra のインポート コードが欠落していることが原因でアップグレード プロセス中に発生していたエラーが修正されました。
- current-context が使用されているが、コンテキストが value.yaml またはインストーラーのコマンド ラインで指定されていない場合に、インストーラーがコンテキストに誤って \n (改行) を追加する問題が解決されました。
- オーバーライド フィールドが使用されている場合、インストーラーでの Zookeeper アップグレード プロセス中に Cassandra でエラーが発生します。この問題を解決するには、customOverride フィールドを削除します。
cassandra:
jvmOptions: -Xms6G -Xmx8G
# customOverrides: |
# compaction_throughput_mb_per_sec: 300
コード言語: Perl ( perl )
アップグレードプロセス
サポートされているアップグレード: 5.0.x、5.1.x、6.x
全てのサポートマトリクスについては、「オンプレミス インストールのドキュメント」を参照してください。このリポジトリには、オンプレミスのインストールドキュメントも含まれています。
6.7.1 ホットフィックス リリース、2024 年 3 月
このホットフィックスは、インストーラーでの Zookeeper のアップグレード プロセス中に発生した問題に対処し、アップグレードの効率と速度を向上させます。
アップグレードプロセス
サポートされているアップグレード: 5.0.x、5.1.x、6.x
全てのサポートマトリクスについては、「オンプレミス インストールのドキュメント」を参照してください。このリポジトリには、オンプレミスのインストールドキュメントも含まれています。
6.4.5 ホットフィックス リリース、2024 年 3 月
この修正プログラムは、セキュア UI の速度低下に関する問題を修正します。
アップグレードプロセス
サポートされているアップグレード: 5.0.x、5.1.x、6.x
全てのサポートマトリクスについては、「オンプレミス インストールのドキュメント」を参照してください。このリポジトリには、オンプレミスのインストールドキュメントも含まれています。
Falco 脅威検知ルールの変更ログ
ここ数か月の間にルールのいくつかのバージョンがリリースされました。以下は、最新のルール変更に関するリリース ノートです。
https://docs.sysdig.com/en/docs/release-notes/falco-rules-changelog
ルールの変更
- 次のルールを追加しました。
- Connection to SMB Server detected
- Steganography Tool Detected
- Python HTTP Server Started
- Execute Process from Masquerade Directory
- Shared Libraries Reconnaissance Activity Detected
- EC2 Instance Create User
- Terminate EC2 Instances
- Find Authentication Certificates
- Contact GCP Instance Metadata Service from Host
- Contact Azure Instance Metadata Service from Host
- Execution from Temporary Filesystem
- 次のルールの誤検知を改善
- Write below etc
- Connection to IPFS Network Detected
- nsenter Container Escape
- Execution from Temporary Filesystem
- Launch Root User Container
- Linux Kernel Module Injection Detected
- Packet socket created in container
- Container escape via discretionary access control
- Suspicious Access To Kerberos Secrets
- Redirect STDOUT/STDIN to Network Connection in Host
- Suspicious Access To Kerberos Secrets
- Dump memory for credentials
- Mount on Container Path Detected
- Create Symlink Over Sensitive Files
- Possible Backdoor using BPF
- eBPF Program Loaded into Kernel
- Launch Suspicious Network Tool in Container
- Suspicious Cron Modification
- Execution from /tmp
- Launch Sensitive Mount Container
- Non sudo setuid
- Suspicious Domain Contacted
- Launch Suspicious Network Tool in Container
- Modify Grub Configuration Files
- Fileless Malware Detected
- Container escape via discretionary access control
- Mount on Container Path Detected
- Find GCP credentials
- Ransomware Filenames Detected
- Mount Launched in Privileged Container
- Modification of pam.d detected
- Kernel startup modules changed
- Suspicious RC Script Modification
- Find Authentication Certificates
- Redirect STDOUT/STDIN to Network Connection in Container
- Suspicious Cron Modification
- eBPF Program Loaded into Kernel
- Non sudo setuid
- Suspicious Operations with Firewalls
- Suspicious RC Script Modification
- Mount on Container Path Detected
- Kernel Module Loaded by Unexpected Program
- Packet socket created in container
- Dump memory for credentials
- Mount on Container Path Detected
- Discovery Security Service アクティビティ検出ルールの出力が改善されました。
- SUID バイナリを見つけるための偵察試行と認証情報ルールのメモリのダンプの出力が改善されました。
- Linux カーネル モジュール インジェクション検出ルールの誤検知が改善しました。
- AWS ルールの出力の改善 – イベントサマリー
- 管理ポリシーにマスカレードディレクトリからのプロセスの実行を追加しました。
- カーネル起動モジュールの変更ルールの出力が改善されました。
- 管理ポリシーからマスカレード ディレクトリからプロセスを実行ルールを削除しました。
- 次のルールの条件が改善されました:
- Dump memory for credentials
- Suspicious Access To Kerberos Secrets
- Linux Kernel Module Injection Detected
- Redirect STDOUT/STDIN to Network Connection in Host
- Suspicious Cron Modification
- Clear Log Activities
- Modification of pam.d detected
- Linux Kernel Module Injection Detected
- Suspicious Cron Modification
- Suspicious network tool downloaded and launched in container
- Launch Suspicious Network Tool on Host
- Find GCP Credentials
- Launch Suspicious Network Tool in Container
- メモリ スワップ オプションの変更ルールの説明とタグが改善されました。
- AWS EC2 ルールセットのタグが改善されました。
- Suspicious Cron Modification ルールの条件が改善されました。
- AWS ルールの出力の改善 – イベントサマリー
- 新たな知見によりIndicators of Compromise ルールセットを更新しました。
- Suspicious Domain Contactedルールのタグが改善されました。
- マクロ network_tool_procs の条件が改善されました。
- Kernel Module Loaded by Unexpected Programルールの条件が改善されました。
- Suspicious Domain Contactedルールのタグが改善されました。
- Data Split Activity DetectedルールとContact EC2 Instance Metadata Service From Hostルールが追加されました。
- Describe Instancesルールの条件が改善されました。
- GCP Create Cloud Function ルールのタグが改善されました。
- Kernel Module Loaded by Unexpected Programルールの条件が改善されました。
- Kernel Module Loaded by Unexpected Programルールの出力が改善されました。
- AWS S3 ルールセットの MITRE タグを改善しました。
- Update Package Repositoryルールの条件を改善します。
デフォルトポリシーの変更
削除
- Execute Process from Masqueraded Directoryルールをマネージドポリシーから削除
次のルールを追加しました。
- Python HTTP Server Started
- Execute Process from Masquerated Directory
- Shared Libraries Reconnaissance Activity Detected
- EC2 Instance Create User
- Terminate EC2 Instances
- Data Split Activity Detected
- Contact EC2 Instance Metadata Service From Host
- Find Authentication Certificates
- Contact GCP Instance Metadata Service from Host
- Contact Azure Instance Metadata Service from Host
- Execution from Temporary Filesystem
- Connection to SMB Server detected
- Steganography Tool Detected
次のルールのポリシーが更新されました:
- Mount on Container Path Detected
- Modify Grub Configuration Files rule
- Escape to host via command injection in process
- Discovery Security Service Activity Detected
- Java Process Class File Download rule.
オープンソース
Falco
Falco 0.37.1 は最新のステーブル版リリースです。
Web サイトのリソース
ブログ (日本語ブログ)
Cloud Threats Deploying Crypto CDN
Sysdig Integration with Backstage
CISO Takeaways: Sysdig’s 2024 Cloud-Native Security and Usage Report
The Urgent Need for Real-time Cloud Detection & Response
The First CNAPP with Out-of-the-Box NIS2 and DORA Compliance
How to Prioritize Vulnerabilities with Checkmarx and Sysdig Runtime Insights
ウェビナー
A practical guide to resource constraints in Kubernetes
SOAR into 2024: Harness the power of your cloud detection and response
https://go.sysdig.com/Deminar-Fortify-Google-Cloud-Security.html