本文の内容は、2022年11月23日にMATT SHIRILLAが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-november-2022/)を元に日本語に翻訳・再構成した内容となっております。
Sysdigの最新情報、2022年11月版で再び登場です! テキサス在住のエンタープライズセールスエンジニア、Matt Shirillaです。今回はSysdigの最新機能リリースをご紹介します。
Sysdig Monitorでは、今月はAWS Cloudwatch Metric Streamsの新しいフィルタリングとAWS Lambda Telemetry APIの新しいLambda Extension、それに新しいAdvisoryのリリースがあります。Sysdig Secureについては、いくつかのユーザビリティの改善と、脅威リサーチチームからの新しいFalcoのルールがあります。
Sysdig Monitor
Advisoriesの新機能
以下の新しいAdvisoriesが追加されました。- Cluster pod capacity: クラスターがポッドキャパシティに達しているため、新しいポッドをスケジュールすることができません。
- Replicas unavailable: ワークロードに利用できないレプリカがあり、アプリの可用性に影響を与える可能性があります。
- Cluster CPU overcommitment: クラスターが CPU をオーバーコミットしており、可用性に影響する可能性があります。
- Cluster memory overcommitment: クラスターがメモリをオーバーコミットしており、可用性に影響する可能性があります。
AWS Cloudwatchメトリクスストリームのフィルタリング
Sysdigは、Kinesis Firehose経由でAWS CloudWatch Metric Streamsから送られてくるメトリクスをフィルタリング(ドロップ)する機能を提供するようになりました。これにより、AWSユーザーはStreamsから来るメトリクスをSysdig Monitorに取り込み、保存することを完全に制御できるようになりました。CloudWatch Steams Metrics Filteringでは、サービスごとに重要なメトリクスだけを取り込んで保存することを選択できるようになり、データ保存コストを削減することができます。取り込む際に、個々のAWSネームスペースから特定のメトリクスを含めたり除外したりすることができます。- AWS CloudWatch StreamsからKinesis Firehose経由で送られてくるメトリクスをお客様がフィルタリング(ドロップなど)する機能により、Streamsから送られてくるメトリクスをSysdig Monitorに取り込み、保存することをAWSのお客様が完全にコントロールすることができます。
- AWSは現在、Sysdig MonitorのようなエンドポイントにプッシュされるCloudWatch Streamsのメトリクスをフィルタリングする機能を提供しておらず、全てかゼロかです。CloudWatch Streams Metrics Filteringにより、お客様はサービス毎に重要なメトリクスのみを取り込み、保存することを選択できるようになりました。
- はい、これはすべてのAWSリージョンのすべてのユーザーに対して有効になっています。お客様がAWS CloudWatch Streamsのアカウントを有効にすると、フィルタリングにアクセスできるようになります。
- AWS CloudWatch Metrics Filtering は Monitor -> Integrations -> Data Sources -> Cloud Metrics -> <AWS Metrics Streams Account> -> Manage Metrics で見つけることができます。
- CloudWatch Streams Metrics Filteringは、Monitor UIにメトリクスレベルの制御をもたらすための氷山の一角に過ぎません。メトリクス管理で次に何が起こるか、さらなる情報をお楽しみに。
詳細については、CloudWatch Metric Streamからメトリクスをフィルタリングするを参照してください。
メトリクスとイベントアラートのマルチスレッショルドとデータ無しのサポート
- データなしアラートの動作:メトリクスが(設定されたセグメント/スコープ/期間について)データのレポートを停止したときに、アラートシステムがどのように動作するかを設定するオプションをユーザーに提供するようになりました。
- マルチスレッショルドアラート:メトリクスアラートとイベントアラートで、オプションのアラートしきい値を設定できるようになりました。
- アラートしきい値を追加することで、ユーザーはアラートをよりコントロールできるようになり、アラートしきい値に基づいて異なる通知チャネルを使用できるようになります。これにより、チームは問題を早期に発見し、インシデントレスポンスを向上させることができます。データのレポートを停止したメトリクスにアラートを出す機能をユーザーに提供することで、サイレント・インシデントに対応することができます。
Sysdig Monitor Lambda Extension for AWS Lambda Telemetry APIをリリースしました
クラウドモニターチームは、新しいSysdig Monitor Lambda Extension for AWS Lambda Telemetry APIのプレビュー提供を発表します!この新しいLambda Extensionは、Sysdig MonitorがAWS Lambda Telemetry APIを使用できるようにするものです。この新しいLambda Extensionにより、Sysdig Monitorのユーザーは、functionの実行時にLambdaイベントから直接メトリクスをコンシュームすることができ、AWS CloudWatchなどの他のプラットフォームを経由してLambdaメトリクスをルーティングする必要性を回避することができます。新しいLambda Extensionは、リアルタイムのLambdaイベントに基づいてメトリクスを生成し、それらのメトリクスをSysdig Monitorにプッシュします。
Lambdaのお客様が機能メトリクスを受け取る通常の方法は、LambdaをAWS CloudWatchに接続することです。Sysdig Monitor Lambda Extension for AWS Lambda Telemetry APIを使用すると、お客様はメトリクス取得の待ち時間を最大85%短縮し、最も重要な関数実行メトリクスを利用することができます。
新しいSysdig Monitor Lambda Extensionの詳細については、こちらをご覧ください。
ダッシュボードの機能強化
- PromQLクエリーの最小間隔:PromQL Queriesの最小間隔を定義できるようになり、希少なメトリクスを扱う際に便利になりました。詳細については、PromQL クエリーの最小間隔の定義を参照してください。
- ダッシュボードの一括削除:Dashboard Manager では、ダッシュボードを一括削除できるようになりました。詳細は、Dashboard Managerを参照してください。
アラートの機能強化
メトリクスがデータのレポートを停止したとき、アラート閾値に関連付けられた通知チャネルで無視または通知するオプションが追加されました。
通知チャネル
Sysdig では、Slack の通知を送信する際にどのセクションを使用するかを絞り込むことができるようになりました。通知のカスタマイズを参照してください。
Monitoring integrations
Integrations
以下のintegrationsを追加しました。- OpenShift 4 Scheduler
- OpenShift 4 Controller Manager
- OpenShift 4 API Server
- OpenShift 4 Kubelet
- Azure Virtual Machines
- Azure Virtual Machine Scale Sets
- OpenShift CoreDNSジョブを有効化
- Fluentd integrationにおけるOpenShiftのサポート追加
- postgresql-exporterとelasticsearch-exporterのイメージを更新し、重要な脆弱性を修正しました。
ダッシュボードとアラート
- OpenShift v4 APIサーバーダッシュボードにopenshift-apiスコープを追加しました。
- AWS MetricsStreamのダッシュボードテンプレートに最小間隔オプションを追加しました
Sysdig Secure
セキュアイベントのユーザビリティを改善
イベントをネットワークアクティビティ、チューナー、ビュールールへリンク
セキュリティ調査担当者が誤検知と実際の問題を区別するために、関連するネットワークアクティビティを確認することが役立つ場合があります。Sysdigのネットワークトポロジー可視化へのリンクを、関連するイベントの詳細の Respond ボタンの下に直接追加しています。同様に、該当する場合、Runtime Policy Tuning機能がRespondボタンの下に表示されます。ユーザーは、例外を追加し、誤検出を減らすためのフローを実行することができます。
最後に、イベントの詳細パネルからルール定義を表示する機能が追加されました。イベントの詳細とルールの定義を並べて見ることができます。
詳細はドキュメントをご覧ください。
イベント通知にルール名を追加
ランタイムイベントの通知が強化され、ルール名が含まれるようになりました。メール、Slack、Microsoft Teamsの場合、ルール名はルール定義へのリンクになります。Secure Event Forwarderインテグレーションの新機能:Google セキュリティコマンドセンター
Sysdig SecureのEvent Forwarder機能に新しい統合がリリースされました。Google Security Command CenterまたはSCCは、セキュリティ態勢を強化し、資産のインベントリとディスカバリーを提供している、一元化された脆弱性と脅威レポートサービスです。
Falcoルール
Sysdig 脅威リサーチチームは、今週、Secureの新しいルールを1つリリースしました。Redirect STDOUT/STDIN to Network Connection in Host(STDOUT/STDINをホスト内のネットワーク接続にリダイレクトする):
- このルールは、新しいネットワーク接続にリダイレクトされたSTDIN/STDOUTファイルディスクリプターのコピーを検出します。これまでコンテナに対して使用してきたものと似ていますが、ホストに適用されます。攻撃者が、侵入したホスト/コンテナで非インタラクティブなシェルを開き、任意のコマンドを実行するために展開するリバースシェルを検出するために使用されます。
Lastlog Files Cleared (ラストログファイルの削除):
- このルールは、ハニーポットで見られたコマンドに由来し、「lastlog」コマンドの使用またはlastlogsファイルの編集によるlastlogsレコードの削除を検出します。このテクニックは、攻撃者が自分の存在を隠したり、痕跡を消したりするために使用します。
Sysdig エージェント
エージェントの更新
Sysdig Agentの最新リリースはv12.9.1です。以下は、10月のアップデートで取り上げたv12.9.0以降のアップデートの差分です。不具合修正
- エージェントとコレクター間のレガシーなプロキシー接続の修正:エージェントとコレクター間のレガシーモードのプロキシー接続は、期待通りに動作します。必要であれば、設定を続けることができます。
- Prometheusのメトリクスを定期的にラベルでエンリッチする問題を修正しました:5分ごとにほとんどのラベルが Prometheus メトリクスから削除される問題を解決しました。この問題は、Prometheus Integrationsに関連するKubeletジョブ、およびお客様が宣言したカスタムジョブ構成に影響します。
- 以下の脆弱性を修正しました。
- CVE-2022-42003
- CVE-2022-42004
- CVE-2022-40674
- CVE-2022-3515
SDK、CLI、ツール
Sysdig CLI
v0.7.14がまだ最新リリースです。ツールの使用方法と旧バージョンのリリースノートは、以下のリンクから入手できます。https://sysdiglabs.github.io/sysdig-platform-cli/
Python SDK
v0.16.4が最新版です。https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.4
Terraform Provider
新しいリリース v0.5.4 があります。- 修正:Falcoのルールで、ルールを追加する際に条件を要求しないように修正しました (#200)
- 機能: 監視アラート、alertV2に対応しました (#194)
- CI:プロバイダをローカルにインストール/アンインストールするターゲットを追加 (#191)
GitHub のリンク – https://github.com/sysdiglabs/terraform-provider-sysdig/releases/tag/v0.5.41
Terraform modules
- AWS Sysdig Secure for Cloud が v0.10.1 に更新されました。
- GCP Sysdig Secure for Cloud は v0.9.4 で変更ありません。
- Azure Sysdig Secure for Cloud は v0.9.3 にアップデートされました。
Falco vs. Code Extension
v0.1.0がまだ最新リリースです。https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
Sysdig Cloud Connector
AWS Sysdig Secure for Cloudに変更はありません。現在のリリースはv0.16.23のままです。AWS Sysdig Secure for Cloud
AWS Sysdig Secure for Cloudは、v0.10.1のまま変更はありません。Admission Controller
Sysdig Admission Controllerがv3.9.12にアップデートされました。ドキュメント – https://docs.sysdig.com/en/docs/installation/admission-controller-installation/
ランタイム脆弱性スキャナー
新しい vuln-runtime-scanner は v1.2.13 に更新されました。ドキュメンテーション – https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/runtime
Sysdig CLI スキャナー
Sysdig CLI Scanner は v1.2.10 のままです。ドキュメンテーション – https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/
Image Analyzer
Sysdig Node Image Analyzer のバージョンは v0.1.19 のままです。Host Analyzer
Sysdig ホストアナライザ のバージョンは v0.1.11 のままです。ドキュメント – https://docs.sysdig.com/en/docs/installation/node-analyzer-multi-feature-installation/#node-analyzer-multi-feature-installation
Sysdig Secure Online Scan for Github Actions
最新リリースはv3.4.0のままです。https://github.com/marketplace/actions/sysdig-secure-inline-scan
Sysdig Secure Jenkins Plugin
Sysdig Secure Jenkins Pluginはまだv2.2.5です。https://plugins.jenkins.io/sysdig-secure/
Prometheus Integrations
PromCatチームはPrometheus Integrations v1.2.0を正式にリリースしました!Prometheus Integrations v1.2.0は以下のようになります。Integrations:
- 機能: 新しいIntegrationsです。Azure仮想マシンスケールセット
- Sec: postgresql-exporter image Critical High 脆弱性
- Sec: elasticsearch-exporterイメージの更新 Critical High 脆弱性
- 修正: Kube-scheduler と controller-manager のジョブが利用できない。
- 修正: Kube-schedulerとcontroller-managerのポートが入れ替わっていました。
- 修正: HAProxy Ingress統合のPrerequisitesに、より良い詳細を追加しました。
ダッシュボードとアラート
- 機能:AWS MetricsStreamダッシュボードテンプレートに最小間隔オプションを追加
- 修正: Kubernetesのダッシュボードで正しい関数(rate vs, average)を適用するようにした
- 修正: いくつかのKubernetesジョブパネルに間違ったPromQLがある
- 修正: Pod権利化ダッシュボードでパネルに適用されないスコープがある
Sysdig on-premise
Sysdigは、2022年11月に5.1.4 Hotfixをリリースしました。Secure
- セキュアUIからレガシーベンチマークボタンを削除しました。この機能は、オンプレミスでのデプロイではまもなく廃止されます。
- ServiceManagerロールに、グループマッピングのShared with Team権限を追加しました。
不具合修正
- kernel-headers パッケージで検出された脆弱性を、スキャンしたイメージが正しく報告しない問題を修正しました。
- インラインスキャナーとノードアナライザーなど複数のソースでイメージをスキャンした場合、UIがユーザーを不正なソースにリダイレクトするセキュアスキャンの問題を修正しました。
- Agent.tag.accountidスコープが設定され、ユーザーがHostスキャン結果を見ることができない場合、Secureにおけるチームスコープの問題が修正されました。
- Secure Only on-premise の集計間隔設定を60秒に更新し、Sysdigバックエンドの「ストリームリセット」ログ警告の件数を減らすことができました。
新しいウェブサイトリソース
ブログ (日本語:sysdig.jp)、(日本語:SCSK Sysdig特設サイト)
ブログ
- CSPM – Least privilege principle in practice
- Detecting Cryptomining Attacks “in the Wild”
- Understanding Kubernetes Limits and Requests
- AWS recognizes Sysdig as an Amazon Linux 2022 Service Ready Partner
- How to Monitor Kubernetes API Server
- The Real Cost of Cryptomining: Adversarial Analysis of TeamTNT
- How to secure Helm
- Strengthen Cybersecurity with Shift-left and Shield-right Practices
- Announcing AWS Lambda Telemetry API Support for Sysdig Monitor
- Three multi-tenant isolation boundaries of Kubernetes
- How to deal with ransomware on Azure
- Does cloud log management shield you from threats? CloudTrail vs CloudWatch
- Using Sysdig Secure to Detect and Prioritize Mitigation of CVE 2022-3602 & CVE 2022-3786: OpenSSL 3.0.7
- How to monitor etcd
- Tales from the Kernel Parameter Side
- Responding to the Dropbox Breach with a Falco GitHub Plugin
- 5 Steps to Stop the Latest OpenSSL Vulnerabilities: CVE-2022-3602, CVE-2022-3786
- How the Critical OpenSSL Vulnerability may affect Popular Container Images
- The four Golden Signals of Kubernetes monitoring
- Sysdig Digs Deeper: Sysdig Ranked in the Top 100 Companies by Employees
- Container Image Scanning on Jenkins with Sysdig
- Should you put all your trust in the tools?
- Sysdig TRT uncovers massive cryptomining operation leveraging GitHub Actions
ウェビナー
- Getting Started With Sysdig’s Enterprise Prometheus Service
- Kubernetes Security Best Practices: Image Builds and Container Execution
- Becoming a Cloud Security Ninja: Sharpen your Cloud Threat Detection Sword with Machine Learning
- Cloud Attacks Are Here: Threat Actors Like Containers Too!
トレードショー
教育