本文の内容は、2022年10月27日にTushar Kapadiが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-october-2022/)を元に日本語に翻訳・再構成した内容となっております。 2022年のSysdigの最新情報10月号へようこそ! 私は、サンフランシスコのベイエリアを拠点とするシニアソリューションアーキテクトのトゥシャール・カパディです。Sysdigに入社して1年余り、控えめに言ってもエキサイティングな旅でした。私はこれまで、プラクティスマネージャーからソフトウェア開発者、そしてその間にあるすべてのものまで、多くの帽子をかぶってきました。今月は、Sysdigの最新情報をお伝えします。 10月はいつものように忙しい月で、Sysdigは多くの新機能を発表しました。Sysdig Monitorでは、4つの新しいAdvisoryのリリースと、AdvisorのYamlコンフィグサポートを発表しました。Sysdig Secureでは、InsightのSeverityフィルタリング、InsightのPodとNodeのアクティビティビュー、Rules Libraryに追加された4つの新しいFalcoのルールをリリースしました。それぞれの詳細については、以下の通りです。
プラットフォーム
オンザフライのグループマッピング
IDプロバイダ/アクティブディレクトリから送られてくるグループ属性を、そのユーザーのSysdig TeamsとRolesにオンザフライでマッピングします。ユーザーがログインすると、Sysdigはグループ属性を読み取り、マッピングで指定されたロールを持つ適切なチームにそのユーザーを追加します。 詳細については、「Group Mapping」を参照してください。Sysdig Monitor
4つの新しいAdvisories
4つの新しいAdvisoriesが追加されました:- クラスター・ポッドキャパシティ – クラスターがポッドキャパシティに達しています。この場合、新しいポッドをスケジュールすることはできません。
- レプリカが利用できない – 作業負荷に利用できないレプリカがあり、アプリの可用性に影響を与える可能性があります。
- クラスタCPUオーバーコミットメント – クラスターがCPUをオーバーコミットしており、可用性に影響を与える可能性があります。
- クラスター・メモリのオーバーコミットメント – クラスターがメモリをオーバーコミットしており、可用性に影響する可能性があります。
Advisor の YAML Configurationのサポート
AdvisorはPodのYAML設定を表示することができます。これはkubectl get pod <pod> -o yamlの実行と同等です。これは、Podの適用済み設定を生で見ることができ、メタデータやステータスも見ることができるので便利です。 詳しくは、YAML Configurationを参照してください。PromQLクエリーの最小インターバルを定義する
PromQLクエリーを使用する場合、$__interval変数を使用すると、Sysdigはあなたが選択した時間範囲に対応する最も適切なサンプリングを適用します。時には、より粗い粒度でデータを報告するメトリクスがあり、提案された間隔よりも広い間隔を適用したい場合があります。 例えば、3mごとにデータを報告するメトリクスがあり、時間ナビゲーションで 1h プリセットを選択した場合、 $__interval は 10sの時間持続に置き換えられます。これにより、線ではなく、孤立したデータ点を持つタイムチャートが表示されます。
詳細については、最小間隔の定義 を参照してください。
設定可能なSlack通知セクション
Slackの通知を送信する際に使用するセクションをカスタマイズする機能をエンドユーザーに提供しています。セクションを設定しながら、最終的な通知を簡単に視覚化できる素晴らしいデザインを考案しました。
Slackの通知を送信する際に使用されるセクションをカスタマイズする機能をエンドユーザーに提供しています。ユーザーがセクションを設定しながら、最終的な通知を簡単に視覚化できるような素晴らしいデザインを考えました。
詳しくは、Slack Notificationsをご覧ください。
Sysdig Secure
Insights – Severity のフィルタリング
Insights ページに表示されるイベントは、Severity によってフィルタリングできるようになりました。選択したSeverity の過去2週間の最初の999イベントがロードされ、それ以降のイベントのロードはフィルターに基づいて継続されます。
Insights – ノード&ポッドアクティビティビュー
この新しいビューは、クラスター内のノードの物理的な境界に焦点を当て、Kubernetesの論理的な境界の外側で起こっているアクティビティを表示することができ、同時にKubernetesコンテキストも表示されるようになります。
マネージドポリシーにおける新規ルールのハイライト表示
Sysdig 脅威リサーチチームが作成した新しいルールが、マネージドポリシーに追加されます。過去7日間に新しいルールで更新されたポリシーが新しいアイコンで表示され、追加されたルールが強調表示されます。
Falcoルール
v0.90.0 は最新バージョンです。ここでは、9月に取り上げた v0.85.0からの変更点のハイライトを紹介します。
以下のルールを追加しました:
- Diamorphine Rootkit Activity(Diamorphineルートキットの活動)
- このルールは、Linuxカーネル用のローダブルカーネルモジュール(LKM)ルートキットであるDiamorphineアクティビティを検出します。このツールは、プロセス上でより高い権限を取得し、悪意のある活動を隠すために使用および設計されています。このツールは、最近、実際に監視されている攻撃で使用されています。
- Dump memory for credentials(認証情報を取得するためのメモリダンプ)
- この手法は、マルウェアに見られるもので、マップまたはmemファイル(プロセスフォルダ内に格納)を検索して、平文の認証情報を見つけます。grep、find、catなどのプロセスがmapsやmemフォルダ(通常は/proc/proc_number/のようなパスに格納されています)内のファイルを開こうとすると、この状態が発生し、確実に侵害の指標となり得ます。
- Kill known malicious process(既知の悪意のあるプロセスを停止させる)
- 攻撃者は、マシンを完全に制御するため、または以前の感染/攻撃によって開始された実行を削除するために、既知の悪意のあるプロセスを強制終了しようとします。これらのコマンドは、通常、攻撃の最初のフェーズで実行されます。プロセスリストは、新しい悪意のあるプロセス名が発見されると、常に更新されます。
- Unexpected Connection from legitimate Process/Port(正規のプロセス/ポートからの予期しない接続)
- このルールは、予期しないネットワーク接続を生成するプロセス (またはその親) を検出します。使用例は、VMware VSphereを標的とした最近のマルウェア(VIRTUALPITA)から始まり、ksmdプロセスがポートを開いて、リモートコードの実行、ファイル転送、サービス管理を行うために悪用されます。現時点では、この特定のユースケースのみを検出するルールとなっていますが、今後、この手法を使用するユースケースを検出するように更新する予定です。お客様は、ご自身の環境における特定のプロセスを監視したい場合にのみ、独自のプロセスを追加することができます。
Sysdig Agent
Agentの更新
Sysdigエージェントの最新リリースはv12.9.0です。9月のアップデートで紹介した v12.8.1からのアップデートの差分は以下のとおりです。
機能の強化
- 新しい KSM メトリクスの追加
- ノードリソースメトリクスの送信
- Promscrape V1における脆弱なGoパッケージのアップグレード
- 非同期試行に失敗した後、CRI APIコールを再試行する。
- SSL接続のオープンに失敗した場合のエラートレース追加
- KubernetesノードのTaint情報の報告
既知の問題
- s390xアーキテクチャイメージはv12.9.0では利用できないため、このバージョンのエージェントはzLinuxにインストールできません。zLinux でエージェントイメージの
latestタグを使用すると、次のエージェントバージョンがリリースされるまで動作しないことに注意してください。
不具合修正
- エージェントの再起動でカーネルパニックが発生しないようになりました。
- 任意のJavaコマンド名のサポート
- 少数のホストでキャプチャーが破損することがなくなりました。
- 期待通りのコンテナレポート
-
psycopg2モジュールのアップグレード - RHEL6 でのカーネルモジュールのビルド
- Schedulable Pods の報告停止
- 最新のカーネルでエージェントを初期化
- ポリシースコープキャッシュの無効化
- kube-benchおよびkubectlバイナリの更新
- センシティブマウントコンテナの起動ルールで正しい出力メッセージを表示する
- カスタムルールの必須Secureイベント出力フィールドの表示
SDK、CLI、ツール
Sysdig CLI
v0.7.14 がまだ最新リリースです。ツールの使用方法と旧バージョンのリリースノートは、以下のリンクから入手できます。
https://sysdiglabs.github.io/sysdig-platform-cli/
Python SDK
v0.16.4 が最新版です。
https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.4
Terraform Provider
v0.5.40 が最新版です。
ドキュメント – https://registry.terraform.io/providers/sysdiglabs/sysdig/latest/docs
Github のリンク – https://github.com/sysdiglabs/terraform-provider-sysdig/releases/tag/v0.5.40
Terraform Modules
- AWS Sysdig Secure for Cloud が v0.1.0 にアップデートされました。
- GCP Sysdig Secure for Cloud が v0.9.4 にアップデートされました。
- Azure Sysdig Secure for Cloud が v0.9.2 にアップデートされました。
Falco vs. Code Extension
v0.1.0 がまだ最新リリースです。
https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
Sysdig Cloud Connector
AWS Sysdig Secure for Cloudに新しいリリースがあります!v0.16.19には新機能といくつかのマイナーな修正が含まれています。 特徴は以下の通りです:- Elastic Container Registry用の新しいレジストリスキャナー
- ブルートフォース検出のトグル機能
- GuardDuty Ingestor
AWS Sysdig Secure for Cloud
AWS Sysdig Secure for Cloudがv0.10.1へアップデートされました。 特徴は以下の通りです:- v0.10.0からTerraform 1.3の利用が必須となりました。
- ECRスキャンのサポートが進行中
Admission Controller
Sysdig Admission Controller がv3.9.8に更新されました。
ドキュメント – https://docs.sysdig.com/en/docs/installation/admission-controller-installation/
ランタイム脆弱性スキャナー
新しい vuln-runtime-scanner は v1.2.13 に更新されました。
ドキュメンテーション – https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/runtime
Sysdig CLI スキャナー
Sysdig CLI Scanner が v1.2.10 にアップデートされました。
ドキュメンテーション – https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/
Image Analyzer
Sysdig Node Image Analyzerはv0.1.19のままです。
Host Analyzer
Sysdig Host Analyzer がv0.1.11にアップデートされました。
ドキュメント – https://docs.sysdig.com/en/docs/installation/node-analyzer-multi-feature-installation/#node-analyzer-multi-feature-installation
Sysdig Secure Inline Scan for Github Actions
最新リリースはまだv3.4.0です。 https://github.com/marketplace/actions/sysdig-secure-inline-scanSysdig Secure Jenkins Plugin
Sysdig Secure Jenkins Pluginはまだv2.2.5です。 https://plugins.jenkins.io/sysdig-secure/Prometheus Integrations
PromCatチームはPrometheus Integrations v1.0.0を正式にリリースしました!Integrations:
- 機能: integrationジョブに説明テキストを追加する
- 機能: OpenShiftのFluentdのサポート追加
- 機能: IstioとIstio-envoyのintegrationのためのトラブルシューティングテキスト作成
- 機能: 新しいintegration – OpenShift Control Plane
- 修正: AWS MetricStreamsパネルを編集して、常にギャップに実線を表示するようにしました。
- 修正: ウィザードのkafka-serviceは、お客様が複数のKafkaサービスを入力できるように、textToListにする必要があります
ダッシュボードとアラート
- 修正: Nginx Ingress テンプレートのクエリーを変更しました。
- 修正: Kubernetes Controller Managerのダッシュボード・テンプレートにおけるタイプミス
- 修正: アラートにおけるAWS RDS LongCPUThrottlingの間違った値
Sysdig On-Premise版
Sysdigは、5.1.3 Hot Fix September 2022をリリースしました。修正された不具合
- アップグレード時に発生したElasticsearchの問題で、PodがCrashLoopBackOffの状態で終了する可能性があることを修正しました。この修正により、全体的にElasticsearchの耐障害性が向上します。
新しいウェブサイトのリソース
ブログ (日本語:sysdig.jp)、(日本語:SCSK Sysdig特設サイト)
ブログ
- Building honeypots with vcluster and Falco: Episode I
- Kubernetes ErrImagePull and ImagePullBackOff in detail
- Extract maximum value from your Microsoft Sentinel SIEM with Sysdig Secure
- How to detect MFA spamming with Falco
- Preventing DoS attacks in Kubernetes using Falco and Calico
- Image scanning for GitLab CI/CD
- How to monitor Istio with Sysdig
- How to monitor Istio, the Kubernetes service mesh
- Cost Advisor: Optimize and Rightsize your Kubernetes Costs
- Detecting and mitigating CVE-2022-42889 a.k.a. Text4shell
ウェビナー
- Oct 20 – Is Your SecOps Ready for Cloud and Containers?
- Oct 25 – Not your Parent’s Cloud Security: Real-time Cloud Threat Detection for GCP
- Nov 1st – Getting Started With Sysdig’s Enterprise Prometheus Service