Sysdigの最新情報 - 2022年3月

本文の内容は、2022年3月22日にJason Donahueが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-march-2022/）を元に日本語に翻訳・再構成した内容となっております。

2022年のSysdigの最新情報の新たなイテレーションへようこそ! 3月の「Sysdigの最新情報」ブログは、私、ジェイソン・ドナヒューが担当します。私はニュージャージーに拠点を置くソリューションエンジニアで、2021年9月からSysdig US East Enterpriseチームのメンバーとして働いています。私はこれまで、ネットワーキングからシステム管理、ソフトウェア・エンジニアまで、多くの帽子をかぶってキャリアを積んできました。どのような役割であっても、私は常にセキュリティを重視し、自分や同僚の仕事を楽にするためのツールを作るのが大好きです。

今月のハイライトは、新しいSysdigのUIを紹介するビデオツアーの数々です。先月のブログで新しいUIを紹介しましたが、今月は何が変わったのか、いくつかのビデオで紹介します。

まずは、Sysdig Secureです：

次に、Sysdig Monitorです。

セキュリティのニュースでは、”Dirty Pipe “として知られる新しい脆弱性CVE-2022-4092を目にしました。これは、Linuxカーネルにおけるローカル権限昇格の欠陥です。この脆弱性についての詳細と、Sysdig Secureがどのように警告を出せるかについては、ブログ記事CVE-2022-0847：「Dirty Pipe」Linuxのローカル特権の昇格をご覧ください。

MFAとCIEMでクラウドを保護する

今月は、クラウドアカウントの多要素認証の重要性を強調するブログを公開しました。このブログでは、ブルートフォース攻撃、クレデンシャルリーク、フィッシング攻撃など、パスワードを入手するさまざまな方法について詳しく説明されています。MFAは、アカウントに追加のセキュリティ・レイヤーを追加することで、潜在的な災害を防止するのに役立ちます。

また、Sysdig Secureにはユーザーリスクラベルがあり、MFAが無効化されたアカウントの特定など、一般的なユーザー設定の誤りを素早く特定することができます。この新機能の詳細については、以下をご覧ください。

Sysdig Secure

CIEMの新機能

CSPM for CIEMをご利用のお客様に、新しい機能をお知らせします。

ユーザーリスクラベル

クラウドアカウントの特定のユーザーやロールの安全性が低い属性に対して、リスクラベルを利用できるようになりました。リスクラベルは、[ユーザーとロール]ページと、特定のユーザーの[ユーザー詳細]タブに表示され、利用可能です。

Sysdig Secureのユーザーリスクラベル

Overviewのトレンドチャート

UIの「アイデンティティとアクセス」セクションのOverviewタブに、時系列でトレンドを表示するチャートが追加されました。これらのチャートは、ユーザー、ポリシー、リソースの時間経過に伴う許可の傾向を視覚化するのに役立ちます。

Sysdig Secure Overviewのトレンドチャート

CSVレポート出力

UI のアイデンティティとアクセスセクション内のすべてのレポートとページが CSV ファイルにエクスポートできるようになりました。すべてのページの右上にある「CSVダウンロード」ボタンを選択することで、CSVファイルをダウンロードできます。

効果的なアクセス権の計算

AWSがスコープごとに権限を制限する様々なタイプのポリシーをサポートしたことにより、Sysdigを使用して境界や組織のSCPに基づいて有効な権限を計算することができるようになりました。この追加されたコンテキストで、アイデンティティの許可を表示すると、それらのオブジェクトの有効な許可レベルについてより良い理解を得ることができます。

Sysdig Secureでの有効なアクセス権の計算

InsightにおけるCIEMデータ

InsightsのCloud ActivityとUser Activityのビューに、Identity and Accessタブが追加されました。これは、IAMの観点からコンテキストの高いレベルの概要と調査メカニズムを提供するのに役立ちます。

Sysdig SecureのCIEMデータインサイト

データソースのインスツルメンテーション

データソース > マネージドKubernetesのページで：接続されていないクラスターに対して、Sysdigは、クラウドアカウント、リージョン、クラスター名など、クラスターに関する既知の詳細を使用したクイックインスツルメンテーションの手順を追加しました。

Falcoルール

Falco 0.31.1は、Falcoエンジンの最新かつ最高のバージョンとしてリリースされました。新機能として、異なるソケットパスに対して複数の –cri コマンドラインオプションを指定できるようになったほか、ルールバイパスにつながるTOCTOUタイプの攻撃に対する耐性が強化されました。

その他のハイライトは以下の通りです：

n_drops_scratch_mapという新しいドロップ・カテゴリー
userspace/falcoのリファクタリング
既存および新規ルールの更新

その他にも多くの機能があり、詳細はリリースブログの記事、公式の変更履歴、Sysdigのドキュメントをご覧ください。

Sysdig エージェント

Sysdig Agentの最新リリースはv12.3.1です。以下は、前回の更新で取り上げたv12.2.1以降の更新の差分です。

不具合修正：syscallイベントバッファーが満杯のときにスパムを生成する可能性のある、カーネルからのノイズの多いメッセージを抑制しました。
Falco Baseline に “binaries” という新しいカテゴリーを追加しました。
Falco Baselineからのワークロード情報のサポート。
“persistentvolumeclaims”, “storageclasses”, “horizontalpodautoscalers” などのKubernetesリソースのデフォルト監視を追加しました。

詳細については、v12.3.1 リリースノートをご参照ください。

SDK、CLI、ツール

Sysdig CLI

v0.7.14が現在も最新リリースです（ダウンロードリンク）。ツールの使用方法と旧バージョンのリリースノートは、以下のリンクでご覧いただけます。

https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

v0.16.3はまだ最新リリースで、10月のアップデートで取り上げました。

https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.3

Terraform Provider

Terraform Providerがアップデートされ、最新バージョンはv0.5.36となりました。

ドキュメント – https://registry.terraform.io/providers/sysdiglabs/sysdig/latest/docs

Githubリンク – https://github.com/sysdiglabs/terraform-provider-sysdig

Falco VS Code Extension

v0.1.0がまだ最新リリースです。

https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0

Sysdig Cloud Connector

Sysdig Cloud Connector が v0.16.2 にアップデートされました。

バグフィックス

Admission Controllerでスキャンを要求する際のオリジンアノテーションを修正しました。
タイムアウト時にAWSのイベント取り込みを停止しないようにしました。

機能

ディスパッチャーが監査イベントに含まれるイベント時刻を特定できるようにしました。

変更点の詳細を確認するには、変更点の一覧をご覧ください。

Admission Controller

Sysdig Admission Controllerがv3.8.7にアップデートされました。

ドキュメント – https://docs.sysdig.com/en/docs/installation/admission-controller-installation/

Inline Scanner

Sysdig Inline Scanner が v2.4.9 にアップデートされました。

ドキュメント – https://docs.sysdig.com/en/docs/sysdig-secure/scanning/new-scanning-engine/#for-pipeline-deploy-the-inline-scanner

Image Analyzer

Sysdig イメージアナライザーが v0.1.16 にアップデートされました。

Host Analyzer

Sysdig Host Analyzer が v0.1.6 にアップデートされました。

ドキュメント – https://docs.sysdig.com/en/docs/installation/node-analyzer-multi-feature-installation/#node-analyzer-multi-feature-installation

Sysdig Secure Inline Scan for Github Actions

v3.2.0は11月に取り上げた最新リリースのままです。

https://github.com/marketplace/actions/sysdig-secure-inline-scan

Sysdig Secure Jenkins プラグイン

v2.1.12が現在も最新版です。

https://plugins.jenkins.io/sysdig-secure/

Prometheus インテグレーション

インテグレーション

Kubernetesのトラブルシューティングアラートテンプレートの説明に理由を追加しました。
MongoDB Helm のチャートとウィザードを修正し、正しいイメージで動作するようにし、既存のシークレットを使用できるようにしました。
MongoDBの前提条件テキストの改善
Consulとの統合を改善し、Consulで特定のPrometheusの設定を行えるようにした
PostgreSQLインスタンスのヘルスダッシュボードと統合メトリクスのレポート状況を表示するために、Postgresqlの必須メトリクスを「pg_up」に置き換えました。

インダッシュボード

オートフィルスコープを template Container CPU & Memory Limitsに追加

エクスポーターイメージ

以下のエクスポーターのUBIイメージにセキュリティアップデートを行いました。
- JMX：
  - JMX: quay.io/sysdig/promcat-jmx-exporter:v0.16.4-ubi
  - quay.io/sysdig/promcat-jmx-exporter:v0.16.4
- MySQL：
  - quay.io/repository/sysdig/mysql-exporter:v0.13.4-ubi
  - quay.io/repository/sysdig/mysql-exporter:v0.13.4
- Memcached：
  - quay.io/repository/sysdig/memcached-exporter:v0.9.2-ubi
  - quay.io/repository/sysdig/memcached-exporter:v0.9.2
- Nginx：
  - quay.io/repository/sysdig/nginx-exporter:v0.9.2-ubi
  - quay.io/repository/sysdig/nginx-exporter:v0.9.2
- MongoDB：
  - quay.io/repository/sysdig/mongodb-exporter:v0.11.6-ubi。
  - quay.io/repository/sysdig/mongodb-exporter:v0.11.6
- ElasticSearch：
  - quay.io/repository/sysdig/elasticsearch-exporter:v1.3.1-ubi
  - quay.io/repository/sysdig/elasticsearch-exporter:v1.3.1
- PostgreSQL：
  - quay.io/リポジトリ/sysdig/postgresql-exporter:v0.10.5-ubi
  - quay.io/repository/sysdig/postgresql-exporter:v0.10.5
- Apache：
  - quay.io/repository/sysdig/apache-exporter:v0.10.4-ubi
  - quay.io/repository/sysdig/apache-exporter:v0.10.4

Sysdigの最新情報 – 2022年3月