コンテナのフォレンジック

Kubernetes のためのインシデント対応とコンテナのフォレンジック

無償トライアルを開始

最新情報! 2022年クラウドネイティブセキュリティと使用状況レポート

コンテナと Kubernetes のフォレンジックとインシデント対応を行うことで、セキュリティ侵害を把握し、コンプライアンス要件を満たし、迅速に回復できます。Sysdig Secure は、インシデントの前後や発生中にコンテナエコシステム内で行われたすべてのアクティビティを知ることができる信頼できる情報源です。

Sysdig Icon - Vulnerability Report

あらゆるセキュリティ侵害の影響を把握して封じ込めるh

詳細なフォレンジックレポートに含まれる Sysdig Secure の詳しいデータを活用すれば、インシデントの「いつ」「誰が」「何を」「なぜ」にすばやく答えることができます。

Sysdig Icon - Security Policy

カスタマイズされたワークフローによる迅速なインシデント対応と回復

詳細なアクティビティレコードにより、インシデント対応を効率化して、何が起こったのかをすばやく突き止めることができます。Falco ルールのライブラリを活用したきめ細かなポリシーにより、ランタイムポリシー違反の分析と監査を行います。

Sysdig Icon - Forensics

稼働中でないコンテナの事後分析を実行

コンテナが消えてから長時間が過ぎていても、フォレンジックキャプチャを分析し、すべてのシステムアクティビティを再現できます。

あらゆるセキュリティ侵害の影響を把握して封じ込める

Syscall のキャプチャをベースとした Sysdig Secure のきめ細かなデータ収集機能は、コンテナのフォレンジックとインシデント対応(IR)の信頼できる情報源を提供します。インシデントの前後や発生中のプロセス、ディスク、ネットワークのアクティビティに関する詳細なインサイトを得ることができます。

Kubernetes との緊密な統合やコンテナのオーケストレーションツールを使用して、Kubernetes のインシデント対応を行えます。Sysdig Secure により syscall データとコンテナ/クラウドおよび Kubernetes のメタデータの相関付けが行われ、悪質なイベントの詳細をすばやく確認できます。

分散された動的な環境であるコンテナや Kubernetes のインシデント対応において、「なぜ」に答えるのは特に厄介です。ましてや、ライフサイクルの短いコンテナならなおさらです。Sysdig Secure を使えば、(Falco を利用して)予期しないアクティビティを確認するためのきめ細かなルールを設定できます。柔軟な構文を使用して何が起こったのか(クリプトジャッキングや機密情報の漏洩など)を特定し、根本原因に関する情報(ユーザーの侵害や脆弱性など)を突き止めることができます。

カスタマイズされたワークフローによるセキュリティインシデントへの迅速な対応と回復

異常なアクティビティが検出された場合、Falco またはカスタムのランタイムポリシーをベースとした、すぐに使える Sysdig ポリシーによってセキュリティイベントを自動的にトリガできます。インシデントが見つかったら、すぐに詳細を確認し、Kubernetes インフラストラクチャ内の特定の場所に隔離できます。

Sysdig Secure では、任意のフィールドでフィルタリングして、ユーザーやシステムのアクティビティのリアルタイムストリームを表示できます。根本原因をすばやく特定できるよう、これらのアクティビティはスタック全体のメトリクスと相関付けされます(Kubernetes、コンテナ、ホスト、ネットワーク、ファイル)。Sysdig Secure では、ユーザーからネットワークアクティビティに至るまで、kube-exec を追跡できます。

深く掘り下げ、攻撃者が何をしたのかを確認しましょう。この例では、攻撃者が bash を実行した後、curl コマンドを実行してインターネットからファイルをダウンロードし、bash 履歴の展開と完全消去を実行しています。

コンテナの事後分析の実行

コンテナは、コンテナのインシデント対応とフォレンジックが開始されるずっと前に終了するため、Sysdig Secure はコンテナがアクティブなうちにフォレンジックデータを保存します。コンテナのフォレンジックキャプチャを利用すると、インシデントの前後や発生中のセキュリティイベントに関連付けられたアクティビティを、scap ファイルを使って調査、分析、再現できます。

コンテナのフォレンジックワークフローの一環として、システム、ユーザー、コンテナのアクティビティを経時的に相関付けることができます。Sysdig Secure を使えば、コンテナが終了した後でも、イベントやアクションをインタラクティブなタイムラインで確認できます。

記録はインシデント対応のために保持されます。詳細なフォレンジック分析を行えるよう、Sysdig Secure にはイベント前後のすべてのアクティビティ(コマンド、ファイルアクティビティ、ネットワーク接続など)が表示されます。悪質なインシデントが発生した場合には、ファイルのコンテンツを再現することもできます。

“不正アクセスのインシデントが発生するとすぐに通知が届くため、問題に対処するための行動を迅速に起こすことができます。また、開発者の操作ログがわかりやすい方法で記録されて表示されるため、万が一インシデントが発生した場合にも、何が起きたのかをすぐに確認できるので非常に安心です。”

Hiroki Suezawa、セキュリティエンジニアリングチーム、Mercari

 

ケーススタディを読む

30 日間の無償トライアルを数分で開始

すべての機能に完全にアクセスでき、クレジットカードは不要です。