Sysdigの最新情報 – 2022年9月

本文の内容は、2022年9月29日にAyu Shahが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-september-2022/)を元に日本語に翻訳・再構成した内容となっております。

2022年のSysdigの最新情報 9月版へようこそ! 私は、サンフランシスコ・ベイエリアを拠点とするプリンシパル・セールスエンジニアのAyu Shahです。Sysdigに入社して半年余り、控えめに言ってもエキサイティングな旅でした。私はこれまで、ソフトウェアエンジニアリングからセールスまで、様々な職種を経験してきました。今月はSysdigの最新情報をお伝えします！

9月はいつものように忙しい月で、Sysdigは多くの新機能を発表しました。Sysdig Monitorでは、Google Chat Channel Integration、Stacked Bar Time Chart、Case sensitive filteringのリリースを発表しました。Sysdig Secureでは、CSPMのCustom OPA based Policies、2つの新しいFalcoのルール、HostsとContainersのInsightなどのリリースを行いました。それぞれについて、以下に詳しく説明します。

Sysdig Monitor

Google Chat チャネルインテグレーション

Sysdig Monitor SaaSのすべてのお客様が、新しいGoogle Chatチャネルインテグレーションを利用できます。これは、Webhook インテグレーションを使用してGoogle Chatにアラートを送信することを可能にします。


詳細については、Google Chat チャネルを設定するを参照してください。

Stacked Bar Time Chart

タイムチャートをバーで表示する新しい表示オプションをリリースしました。これは、散発的なメトリクスを表示する場合や、メトリクスが時々0になる場合に適しています。

詳しくは、タイムチャートパネルをご覧ください。

大文字と小文字を区別するフィルタリング

今後、SysdigはPrometheusの時系列フィルタリングに準拠し、フィルター式のラベル名で大文字と小文字を区別するようになります。

詳しくは、9月のリリースノートをご覧ください。

Sysdig Secure

CSPMポリシー – OPAベースのカスタムポリシー(プレビュー)

これはテクニカルプレビューリリースで、この機能はすべてのお客様に公開されています。この機能は以下の通りです。

• 既存のポリシーのクローンとそのメタデータの編集
• カスタムポリシーの作成、編集、削除
• カスタムポリシーの要件の作成、編集、削除
• ポリシー要件への利用可能なコントロールのリンクとリンク解除

この機能の詳細については、Sysdigのドキュメントをご覧ください。

新しいFalcoルール

Sysdig 脅威リサーチチームは今週、Secureのために2つの新しいルールをリリースしました。

Scripting Language Execution below dev (dev以下のスクリプト言語実行)

シェルやPythonなどのスクリプトは、侵害されたシステム上で一旦攻撃者によって使用されることがよくあります。これらのスクリプトを隠す方法の1つは、管理者がチェックしないような一般的でないディレクトリにスクリプトを配置することです。devディレクトリは、このような一般的でないディレクトリの一例です。devディレクトリにスクリプトが見つかった場合、調査する必要があります。

Policy: Sysdig Runtime Notable Events

誤検出の可能性: 低い

Suspicious Kernel Parameter Modification (不審なカーネルパラメータの変更)

攻撃者は、一度システムに侵入すると、目標を達成するためにシステムを変更する必要がある場合があります。これには、特定のセキュリティ機能を無効にすることや、クリプトマイニングのようなより多くのタスクのためにシステムをより効率的に準備することが含まれる可能性があります。ランタイム中にカーネルパラメータが変更された場合、それらが正当なものであることを確認する必要があります。

Policy: Sysdig Runtime Notable Events

誤検出の可能性: 中程度

ホスト＆コンテナ向けInsights

Insightsの「ホスト＆コンテナ」ビューをリリースしました。K8s以外の環境をご利用のお客様は、ホストとコンテナレベルで同様の情報を得ることができるようになりました。また、この機能により、お客様はインサイトチューナーを使用して、これらのワークロードから例外を作成することができます。

SAMLシングルログアウト

SAMLシングルログアウト機能は、すべてのSaaS（非IBM）リージョンで利用できるようになりました。さらに、Oktaとのシングルログアウト統合に対応しました。

ポリシー内のルールの無効化

お客様は、脅威検知ポリシー内の個々のルールを無効化（および再有効化）することができるようになりました。これにより、以下のことが可能になります。

• 新しいルールの更新を受け取る機能を放棄することなく、マネージドポリシーまたはマネージドルールセット内のルールのサブセットを使用する。
• 原因が調査されるか、適切な例外が適用されるまで、ノイズの多いルールを一時的に無効にする。

アクショナブルコンプライアンス – コントロール・ライブラリ (プレビュー)

Sysdigは、アクショナブルコンプライアンスのCSPM コントロール・ライブラリのプレビュー・リリースを発表します。これはテクニカルプレビューリリースであり、この機能はすべてのお客様に公開されています。この機能には以下が含まれます。

• 利用可能なすべてのコントロールの可視化
• コントロールの属性による特定のコントロールのフィルタリング

この機能の詳細については、こちらをご覧ください。

Falcoルール

v0.85.0 が最新版です。ここでは、8月に取り上げた v0.80.2からの変更点のハイライトをご紹介します：

以下のルールを追加しました：

• Scripting Language Execution below dev (dev以下のスクリプト言語の実行)
• Suspicious Kernel Parameter Modification (不審なカーネルパラメータの変更)

詳細と完全な変更履歴は、Sysdigのドキュメントでご覧いただけます。

Sysdig Agent

Agentの更新

Sysdig Agentの最新リリースは v12.8.1です。以下は、8月のアップデートで紹介した v12.8.0以降のアップデートの差分です。

不具合修正

• Promscrape V1における脆弱性の修正
  • Prometheusのバージョンをアップし、promscrape v1の脆弱性を解消しました。
• エージェントコンテナ内の/etcへのシンボリックリンクの削除
  • エージェントがコンテナとして動作しているときに、/host/etc/passwdと/host/etc/groupからユーザとグループの情報を読み取るようにしました。
• Falco イベントを期待通りに表示する
  • ルールのFalco出力文字列が最初のascentまたは空のフィールドでカットされる場合の問題を修正しました。

詳細については、v12.8.1 リリースノートをご参照ください。

SDK、CLI、ツール

Sysdig CLI

v0.7.14 がまだ最新リリースです（ダウンロードリンク）。ツールの使用方法と旧バージョンのリリースノートは、以下のリンクから入手できます。

https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

v0.16.4 が最新版です。

https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.4

Terraform Provider

v0.5.40 が最新版です。

ドキュメント – https://registry.terraform.io/providers/sysdiglabs/sysdig/latest/docs

Github のリンク – https://github.com/sysdiglabs/terraform-provider-sysdig/releases/tag/v0.5.40

Terraform Modules

• AWS Sysdig Secure for Cloud が v0.9.7 にアップデートされました。
• GCP Sysdig Secure for Cloud が v0.9.3 にアップデートされました。
• Azure Sysdig Secure for Cloud が v0.9.2 にアップデートされました。

注：潜在的に互換性を無くすような変更については、リリースノートを確認してください。

Falco vs. Code Extension

v0.1.0 がまだ最新リリースです。

https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0

Sysdig Cloud Connector

AWS Sysdig Secure for Cloudに新しいリリースがあります！v0.16.13には新機能といくつかのマイナーな修正が含まれています。

特徴は以下の通りです：

• GuardDuty Ingestor

詳細については、変更点のリストをご覧ください。

Admission Controller

Sysdig Admission Controllerが v3.9.7にアップデートされました。

ドキュメント – https://docs.sysdig.com/en/docs/installation/admission-controller-installation/

ランタイム脆弱性スキャナー

新しい vuln-runtime-scanner は v1.2.8で GAとしてリリースされました。

ドキュメント – https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/runtime

Sysdig CLI スキャナー

Sysdig CLI Scanner が v1.2.8 でリリースされました。

ドキュメンテーション – https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/

Image Analyzer

Sysdig Image Analyzer が  v0.1.19 にアップデートされました。

Host Analyzer

Sysdig Host Analyzer は v0.1.10となっています。

ドキュメント – https://docs.sysdig.com/en/docs/installation/node-analyzer-multi-feature-installation/#node-analyzer-multi-feature-installation

Sysdig Secure Inline Scan for Github Actions

最新リリースはまだv3.4.0です。

https://github.com/marketplace/actions/sysdig-secure-inline-scan

Sysdig Secure Jenkins Plugin

Sysdig Secure Jenkins Plugin が v2.2.5 に更新されました。新しいSysdigのスキャンエンジンに対応しました。レガシーエンジンもまだサポートされていますが、まもなく非推奨となる予定です。

https://plugins.jenkins.io/sysdig-secure/

Prometheusインテグレーション

Integrations:

• 修正: OpenShift HAProxyの設定をClusterRoleを使用するように改善しました。
• 修正: 正式なIntegrations名でドキュメントを改善しました。
• 修正: Application Integrationsのドキュメントページを修正しました。
• 修正: Istioエージェントの設定で、envoyジョブでメトリクスフィルタリングを削除しました。これは、Envoyのサイドカーにマージされた他のカスタムメトリクスが送信されるのを防いでいました。

Dashboards と alerts:

• 修正: ALBとELBのAWS Metrics Streamサービスのメトリクスにタイポがありました。
• 修正: PostgreSQLのRDSテキストが改善されました。
• 修正: Kubernetes Capacity Planningダッシュボードで、使用量とリクエスト/リミットの計算を改善しました。
• 修正: エフェメラルコンテナで発生するアーティファクトを避けるために、KubernetesダッシュボードにおけるpromQLを改善しました。
• 修正: 重複するダッシュボードテンプレートを削除しました。
• リファクタリング: ダッシュボードテンプレートのKubeletメトリクス(Kubernetes >1.19)を更新しました。
  • kubelet_running_container_count -> kubelet_running_containers.
  • kubelet_running_pod_count -> kubelet_running_pods
• 修正: 重複しているダッシュボードテンプレートを削除しました。

Promcat.io

• 修正: OpenShift HAProxyの設定でClusterRoleを使用するように改善されました。

Sysdig On-Premise

5.1.0 On-Premiseのマイナーリリースが正式リリースされました。今回のマイナーリリースのハイライトは以下の通りです。

• Kubernetesバージョン1.22および1.23のサポートを追加しました。
• お客様から提供されたコンテキストで、クラスターのkubectlとK8sのバージョンを確認するプリフライトチェックを追加しました。
• Sysdig SecureのAPIドキュメントがデフォルトで有効になりました。
• 機能の強化： Falco Exceptions – デフォルトルールへの例外オブジェクトを作成します。
• 様々なバグフィックス。

リリースノート全文はこちらでご覧いただけます。Sysdig Docs または Github 。

新しいウェブサイトのリソース

ブログ (日本語:sysdig.jp）、(日本語：SCSK Sysdig特設サイト）

ブログ（英語）

• Sysdig 2022 Threat Report: Cloud-native threats are increasing and maturing
• How to meet 24 Google Cloud Platform (GCP) security best practices using open source
• Image Scanning with GitHub Actions
• How to monitor OpenShift with Sysdig Monitor
• Understanding Kubernetes Evicted Pods
• Threat news: TeamTNT targeting misconfigured kubelet
• Container Image Scanning for Azure Pipelines with Sysdig
• Fixing potential security issues in your Infrastructure as Code at the source with Sysdig
• KSPM and How to improve your Kubernetes Security Posture
• Prioritize Alerts and Findings with Sysdig Secure
• IBM LinuxONE and Sysdig: Building cyber resilient systems in hybrid cloud environments
• How Onna Technologies uses Snyk & Sysdig to secure the SDLC while saving time and money
• AWS Security Groups Guide
• The Quiet Victories and False Promises of Machine Learning in Security
• 26 AWS Security Best Practices to Adopt in Production
• Turbocharge your Azure security and compliance posture with Sysdig
• What is Kubernetes CrashLoopBackOff? And how to fix it
• Introducing Managed Policies for Sysdig Secure
• Sysdig launches Partner Technical Accreditation Program
• SBOM 101 – All the questions you were afraid to ask Software Bill of Materials

ウェビナー

• August 24 – 5 Easy Ways to Secure Images & Prioritize Risk from Source to Run On AWS
• Sept. 06 – How Does Your Kubernetes Environment Stack Up?
• Sept. 13 – How to Improve Security for Cloud-Native App Platform in 3 Easy Steps for Azure
• Sept. 15 – Becoming a Cloud Security Ninja: Sharpen your Cloud Threat Detection Sword with Machine Learning
• Sept. 20 – 5 Best Practices to Prevent, Detect, and Respond to Threats Lurking Within Your Azure Cloud Workloads
• Sept. 22 – Becoming a Cloud Security Ninja: Slice Through Alerts and Prioritize What Matters
• Sept. 27 – The Ultimate Strategy to Achieve PCI Compliance and Stay That Way on Azure
• Sept. 28 – CrashLoopBackoff + Four Other K8s Troubleshooting Tips Everyone Should Know (EMEA)
• Sept. 29 – Becoming a Cloud Security Ninja: Slice Your SIEM Costs by Pre-Processing Cloud Logs
• Oct. 4 – 5 Steps to Secure Containers and Prioritize Risk on GKE and Anthos
• Oct. 18 – How to Detect and Respond to Threats Lurking in your GKE Workloads
• Oct. 20 – Is Your SecOps Ready for Cloud and Containers?
• Oct. 25 – Not your Parent’s Cloud Security: Real-time Cloud Threat Detection for GCP

トレードショー

• Sept. 26-28, Infosec World, Florida, USA
• Oct. 6 – Virtual
• Oct. 10-12, ISC2, Las Vegas NV
• Oct. 11-13, Google Next, San Francisco CA
• Oct. 13-14 – Virtual
• Oct. 24-28, Kubecon NA 2022, Detroit MI
• Nov. 28 – Dec. 2, AWS Reinvent, Las Vegas NV

教育

• Installing the Sysdig Agent – Kubernetes
• Kubernetes Network Security Policies with Sysdig