Sysdig はオープンソースのイノベーションにさらに注力しており、そのプロセスの一環として、プロジェクトをオープンな場に出して改善していくことを重視しています。本「Open Source Spotlight」では、コミュニティが生み出したワクワクする取り組みの一部をご紹介します。次回の Open Source Spotlight に参加したい方は、community.sysdig.com に参加し、コンテストにあなたの素晴らしい成果を投稿してください!
とはいえ、これは実験的なプロジェクトであり、物事は急速に進んでいます。機能は変更・進化したり、ときには壊れたりする可能性があります。そのため、現時点では本番環境での利用はおすすめしません。何か変だと感じた点を見つけた場合、アイデアがある場合、または貢献したい場合は、ぜひ Issue を立てて、より素晴らしいものにするお手伝いをお願いします!
Miguel De Los Santos は、OpenAI や Gemini のような AI ツールで Falco のイベントを強化する、というシンプルな目標から旅を始めました。AI エンジニアリングのスキルを磨く中で、彼は Falco コミュニティ内にニーズがあることをすぐに認識しました。生の Falco アラートはセキュリティ監視に不可欠である一方、迅速なインシデント対応に必要なコンテキストや実行可能なガイダンスが不足していることが多かったのです。この気づきが、Falco Vanguard を生み出すきっかけとなりました。シンプルなクローンから高度で機能豊富なツールへと成長したこのプロジェクトは、リアルタイムのセキュリティ分析を提供することを目的とした、実験的な AI 強化アラートシステムです。Falco Vanguard は、豊富なテレメトリを提供するだけでなく、高度なツール群とローカライズされたデータ処理も Falco ユーザーに提供し、最終的には Falco Sidekick や Falco Talon と同様に Falco コミュニティの不可欠な一部となることを目指しています。
図 1.0 – リアルタイムの脅威検知と分析によるセキュリティイベントのライブ監視。
Falco Vanguard の紹介
Falco Vanguard は、基本的な Falco のセキュリティアラートを実行可能なセキュリティインテリジェンスへと変換する、包括的な webhook ベースのソリューションです。統合 Web ダッシュボードを備えた Flask アプリケーションとして構築されており、OpenAI、Gemini、またはローカルの Ollama モデルを用いた AI 駆動の分析で Falco アラートを強化します。
このプラットフォームは Falco の webhook アラートを処理し、詳細なセキュリティ影響評価、修復手順、推奨調査コマンドを含む強化通知を Slack チャンネルへ配信することで、リアルタイムのセキュリティ分析を提供します。
このオープンソースソリューションは、Docker、Kubernetes、主要クラウドプラットフォーム(AWS、GCP、Azure)など、さまざまな環境にデプロイ可能です。組織はこのシステムを次の目的で利用できます:
- 生のアラートを実行可能なインテリジェンスへ変換:AI 駆動のセキュリティ分析により実現
- アラート疲れを軽減:コンテキストと優先度の指針を提供
- インシデント対応を加速:自動化された調査推奨により実現
- セキュリティ意識を維持:リッチな Slack 通知でチーム横断の可視化
- 即時の洞察を獲得:セキュリティアラートをリアルタイム処理し、新たな脅威を常に把握
- 脅威検知の精度を向上:OpenAI、Gemini、Ollama などの主要モデルを用いた AI 分析で、生のアラートに知的なコンテキストを付与
- セキュリティ状況を即座に可視化:リアルタイムのアラート可視化と柔軟な表示モードを備えた対話型 Web ダッシュボード
- セキュリティ運用を集約:4 つの MCP プロトコルを介して 15 のセキュリティツールと統合し、統合ダッシュボードからアクセス
- チームの協業と対応時間を改善:分析済みアラートを Slack に直接送信し、共通認識と迅速なアクションを促進
- あらゆる Kubernetes 環境でシームレスにデプロイ:GKE、EKS、AKS、DOKS、IBM Cloud、ローカル K8s を自動検出し最適化
- 性能とリソース配分を最適化:プラットフォームに応じてストレージクラスとリソースを賢く調整する動的設定
- 幅広い互換性を確保:AMD64 と ARM64 の両方に対応するマルチアーキテクチャ Docker イメージ
- 直感的で効率的なセキュリティ管理を実現:モダンでレスポンシブなデザインの強化 UI/UX
以下を学ぶために読み進めてください:
- 環境への Falco Vanguard のデプロイ
- インテリジェント分析のための複数 AI プロバイダーの設定
- 既存の Falco デプロイとの統合
- セキュリティ洞察を含む自動 Slack 通知の設定
アーキテクチャ概要
Falco Vanguard は、クラウドネイティブ環境向けに設計されたマイクロサービスアーキテクチャに従っています:
コアコンポーネント
- Webhook 受信機:Falco アラートを受信する Flask ベースの HTTP エンドポイント
- AI 分析エンジン:セキュリティ分析のためのマルチプロバイダー AI 統合
- Web ダッシュボード:リアルタイムのアラート可視化と管理インターフェース
- Slack 統合:実行可能なセキュリティ洞察を含むリッチなメッセージ整形
- データベース層:アラート履歴と設定のための SQLite ベースのストレージ
開始前の要件
以下の前提条件が揃っていることを確認してください:
- コンテナランタイム:Docker 20.10+ と Docker Compose
- Kubernetes(任意):コンテナオーケストレーションでのデプロイに v1.19+
- AI プロバイダーへのアクセス(Portkey を使用):Portkey 経由の OpenAI/Gemini 用 API キー、またはローカル推論用の Ollama
- Slack 統合:chat:write 権限を持つ Bot トークン
- Falco のインストール:HTTP Outputs を送信するよう設定された Falco インスタンスが稼働していること
AI プロバイダーの選択肢
Falco + AI Alert System は組織のニーズに高い適応性があり、現時点では 3 つの AI プロバイダー構成をサポートしています:
オプション 1(デフォルト):Ollama(ローカル/プライバシー重視)
PROVIDER_NAME=ollama
OLLAMA_MODEL_NAME=llama3
OLLAMA_API_URL=http://localhost:11434/api/generateオプション 2:OpenAI(Portkey 経由/クラウド)
PROVIDER_NAME=openai
PORTKEY_API_KEY=pk-your-portkey-key
OPENAI_VIRTUAL_KEY=openai-your-virtual-key
MODEL_NAME=gpt-4オプション 3:Gemini(Portkey 経由/クラウド)
PROVIDER_NAME=gemini
PORTKEY_API_KEY=pk-your-portkey-key
GEMINI_VIRTUAL_KEY=gemini-your-virtual-key
MODEL_NAME=gemini-proDocker によるクイックデプロイ
以下の 4 ステップで開始し、Kubernetes デプロイの準備が整います。
ステップ 1:環境セットアップ
環境設定を作成します:
# リポジトリをクローン
git clone https://github.com/maddigsys/falco-vanguardcd falco-vanguard
# 環境テンプレートをコピー
cp env.example .env
# 環境に合わせて設定を編集vim .env開発環境
ステップ 2:AI プロバイダーを設定
選択した AI プロバイダーに合わせて .env ファイルを編集します:
# Slack 設定
SLACK_BOT_TOKEN=xoxb-your-slack-bot-token
SLACK_CHANNEL_NAME=#security-alerts
# AI プロバイダー(いずれか 1 つを選択)
PROVIDER_NAME=ollama # デフォルト:ローカル AI、API キー不要
MODEL_NAME=llama3
# アラート処理
MIN_PRIORITY=warning
IGNORE_OLDER=1LOG_LEVEL=INFO
ステップ 3:システムをデプロイ
Docker Compose でシステム一式を起動します:
# すべてのサービスを起動
docker-compose up -d
# サービスのヘルスを確認
curl http://localhost:8080/health
# Web ダッシュボードにアクセス
open http://localhost:8080/dashboardリアルタイムのアラート処理を備えたライブのセキュリティダッシュボードが表示されます:
ダッシュボードは主要メトリクスと最近のアラートでセキュリティ状況を即座に表示し、上部ナビゲーションバーから設定オプションを案内できる AI 強化チャットアシスタントにも簡単にアクセスできます。
ダッシュボードは、ライブのアラート統計と直感的なインターフェースにより、セキュリティ状況をリアルタイムに可視化し、セキュリティイベントの管理を可能にします。
ステップ 4:Falco 連携を設定
Falco の設定を更新して、webhook にアラートを送信するようにします:
# falco.yaml に追加
http_output:
enabled: trueurl: "http://your-server:8080/falco-webhook"user_agent: "falcosecurity/falco"
json_output: truejson_include_output_property: trueKubernetes へのデプロイ
ステップ 1〜4 が完了したら、Kubernetes へデプロイする時間です。開発環境および本番環境では、以下の提供マニフェストを使用して Kubernetes にデプロイしてください:
開発環境
# 自動スクリプトによるクイックインストール
./k8s/install.sh dev
# 手動デプロイ
kubectl apply -k k8s/overlays/development/
# port-forward でアクセス
kubectl port-forward svc/dev-falco-vanguard 8080:8080 -n falco-vanguard-dev本番環境
# オートスケーリング付きの本番デプロイ
./k8s/install.sh prod
# 手動デプロイ
kubectl apply -k k8s/overlays/production/
# 本番向け機能:
# - HPA オートスケーリング(3-10 レプリカ)
# - セキュリティのためのネットワークポリシー
# - リソース制限と監視
# - 専用 webhook サービスリソース要件
開発・本番・エンタープライズ環境には、それぞれリソース要件がある点に留意してください。
環境
|
環境 |
メモリ |
CPU |
ストレージ |
AI モデル |
|
開発 |
8GB |
2 コア |
15GB |
tinyllama(高速) |
|
本番 |
16GB |
4 コア |
30GB |
llama3 またはサイバーセキュリティモデル |
|
エンタープライズ |
24GB+ |
8+ コア |
50GB+ |
高度なモデル |
AI によるセキュリティ分析
これで、基本的な Falco アラートを包括的なセキュリティインテリジェンスへ変換する準備が整いました。
Before:生の Falco アラート
{
"rule": "Terminal shell in container",
"priority": "warning",
"output": "A shell was used as the entrypoint/exec point into a container",
"output_fields": {
"container.name": "web-app",
"proc.cmdline": "/bin/bash",
"user.name": "root" }
}
After:AI 強化分析
Falco Vanguard は、以下を含む構造化された分析を生成します。
セキュリティ影響:
コンテナ内の対話型シェルは、不正アクセス、コンテナエスケープの試行、または正当な管理作業(要検証)を示している可能性があります。
次のステップ:
このシェルアクセスが許可されたものか直ちに確認し、認証ログをチェックし、侵害の兆候がないか最近のコンテナ活動を調査してください。
修復手順:
コンテナのセキュリティポリシーを見直し、適切な RBAC 制御を実装し、本番コンテナからシェルバイナリを削除することも検討してください。
推奨コマンド:
kubectl describe pod <pod-name> -n <namespace>
kubectl logs <pod-name> -n <namespace> --previous
docker logs <container-id> --since 1hWeb ダッシュボードの機能
統合 Web ダッシュボードは、モダンで直感的なインターフェースで包括的なアラート管理を提供します:
リアルタイムのセキュリティ監視
ダッシュボードは、以下を含むライブのセキュリティメトリクスを表示します:
- 総アラート数:処理されたセキュリティイベントの総数
- 重大アラート:即時対応が必要な高優先度の脅威
- 最近のアクティビティ:傾向分析のための直近 1 時間のアラート量
- アラート状態の追跡:未読/既読/却下のアラート数
アラートが処理・レビューされるにつれて、ダッシュボードは現在のセキュリティ状況を反映して動的に更新され、チームが対応の進捗を追跡できるよう支援します。
対話型アラート管理
- 優先度ベースのフィルタリング(critical、error、warning、notice)
- 時間範囲分析(1h、24h、7d、30d)
- アラート状態管理(unread、read、dismissed)
- 効率的なアラート処理のための一括操作
システムはアラートをリアルタイムに処理し、新しいセキュリティイベントが検知され AI エンジンで分析されるたびに、ダッシュボードは自動的に更新されます。
高度なセキュリティ分析
- トレンド可視化:時間経過に伴うセキュリティパターンを表示
- アラート相関:関連するセキュリティイベントを特定
- パフォーマンスメトリクス:AI 分析と応答時間
- 統合ステータス:接続されたシステムの監視
AI セキュリティチャット
- ペルソナベースの会話構造
- アラートデータに基づくコンテキスト認識の応答
- トレンド分析とセキュリティ推奨
- セキュリティ状況に関するカスタムクエリ
設定管理
- AI プロバイダー設定:OpenAI、Gemini、Ollama を切り替え
- Slack 統合:通知とメッセージテンプレートを設定
- アラート処理:フィルタリングと重複排除ルールをカスタマイズ
- システム監視:リアルタイムのヘルスチェックとステータス
高度な設定
マルチプロバイダー AI セットアップ
冗長性のために複数の AI プロバイダーを設定します:
# プライマリプロバイダー
PROVIDER_NAME=ollama
OLLAMA_MODEL_NAME=llama3
# フォールバックプロバイダー(Web UI で設定)
# 高優先度アラートには OpenAI
# バッチ分析には Geminiカスタムセキュリティモデル
サイバーセキュリティ分析を強化するために、特化モデルをデプロイします:
# サイバーセキュリティ最適化モデル
OLLAMA_MODEL_NAME=jimscard/whiterabbit-neo:latest
# 必要条件:16GB RAM、特化したセキュリティ学習Slack メッセージのカスタマイズ
このシステムはリッチな Slack メッセージ整形をサポートします:
{
"template_style": "detailed",
"include_commands": true,
"thread_alerts": false,
"escalation_enabled": true}
デプロイのテスト
テストアラートを送信
提供されているテストスクリプトを使用してセットアップを検証します:
# サンプルのセキュリティアラートを送信
./test-scripts/send-test-alert.shテストアラートを送信すると、ダッシュボードがリアルタイムに更新されるのが確認できます:
システムは各アラートを AI 分析パイプラインで処理し、コンテキスト分析と推奨アクションを伴うセキュリティイベントの即時フィードバックを提供します。
1# 特定のアラート種別をテスト2curl -XPOST http://localhost:8080/falco-webhook \
3 -H"Content-Type: application/json" \
4 -d '{
5"rule": "Suspicious network activity",
6"priority": "critical",
7"output": "Outbound connection to known C2 server detected",
8"output_fields": {
9"fd.name": "malicious.example.com:443",
10"proc.name": "curl"11 }
12 }'
13システムヘルスの監視
# アプリケーションのヘルスを確認
curl http://localhost:8080/health
# 処理ログを表示
docker-compose logs -f falco-vanguard
# AI 分析性能を監視
kubectl logs -f deployment/prod-falco-vanguard -n falco-vanguard本番運用における考慮事項
セキュリティ強化
本番デプロイでは:
- TLS 終端:webhook エンドポイントに HTTPS を使用
- ネットワークポリシー:Kubernetes のネットワークセキュリティを実装
- RBAC 制御:サービスアカウント権限を制限
- シークレット管理:外部シークレットストアを使用
- リソース制限:リソース枯渇を防止
監視と可観測性
- Prometheus メトリクス:組み込みのヘルス/性能メトリクス
- 構造化ログ:分析のための JSON 形式ログ
- アラート相関:アラート処理パイプラインを追跡
- 性能監視:AI 推論の所要時間と成功率
スケーリングに関する考慮事項
- Pod の水平オートスケーリング:CPU/メモリに基づいて自動スケール
- データベース最適化:保持期間とクリーンアップを設定
- AI プロバイダーの負荷分散:プロバイダー間でリクエストを分散
- Webhook のレート制限:大量アラートのシナリオに対応
実装のベストプラクティス
必須のセキュリティ制御から始める
- 重大アラートを優先:コンテナエスケープや権限昇格に注力。
- まずはローカル AI を使用:Ollama はプライバシーを提供し、外部依存を減らします。
- 段階的なロールアウトを実施:非本番環境でテスト
Infrastructure as Code で自動化
- Kubernetes マニフェスト:バージョン管理されたデプロイ設定
- 環境別オーバーレイ:dev/staging/production の設定を分離
- 自動デプロイ:更新とパッチのための CI/CD 統合
継続的改善
- 誤検知を監視:アラートフィルタリングと AI プロンプトを微調整
- AI モデルを更新:分析改善のための定期的なモデル更新
- セキュリティのフィードバックループ:インシデントの学びをアラート処理に反映
はじめに
AI 駆動の分析で Falco デプロイを強化する準備はできましたか?クイックスタートの流れは次のとおりです:
- ローカルにデプロイ:初期テストに Docker Compose を使用
- AI プロバイダーを設定:簡単さのためにまずは Ollama から開始
- サンプルアラートでテスト:AI 分析品質を検証
- Kubernetes にデプロイ:本番ワークロード向けにスケール
- Falco と統合:webhook 配信を設定
- 監視とチューニング:環境に合わせて最適化
Falco Vanguard は、セキュリティ監視を受動的なアラート通知から能動的な脅威インテリジェンスへと変革し、セキュリティチームがランタイム脅威により迅速かつ効果的に対応できるよう支援します。
詳細情報と具体例については、プロジェクトドキュメントおよびデプロイガイドを参照してください。
プロジェクトについて
Falco Vanguard は、生のセキュリティアラートと実行可能な脅威インテリジェンスの間のギャップを埋めるために設計されたオープンソースプロジェクトです。セキュリティ実務者がセキュリティチームのために構築しており、オープンソースとしてデプロイできる柔軟性とともに、エンタープライズ級の機能を提供します。
主な機能:
- ✅ Portkey を使用したマルチプロバイダー AI 統合(OpenAI、Gemini、Ollama)
- ✅ セキュリティ分析を備えたリアルタイム Web ダッシュボード
- ✅ オートスケーリング対応の Kubernetes ネイティブデプロイ
- ✅ 実行可能な洞察を備えたリッチな Slack 統合
- ✅ プライバシー重視のローカル AI オプション
- ✅ 本番対応のセキュリティ強化
GitHub リポジトリにアクセスして、導入を開始したり、貢献したり、特定のセキュリティニーズに合わせてシステムを拡張する方法を学んだりしてください。
このようなプロジェクトをもっと見たい、またはあなたのプロジェクトを取り上げてほしいですか?今すぐ Sysdig Open Source Community に参加しましょう!
このプロジェクトの作成者である Miguel De Los Santos は、セールスエンジニアリング、サイバーセキュリティ、クラウドコンピューティング、教育において豊富な経験を持つ、成果志向のテクノロジープロフェッショナルです。Sysdig のシニア・セールスエンジニアとして、信頼されるアドバイザーとして顧客を導き、クラウドセキュリティソリューションで目標達成を支援しています。専門領域は、顧客ニーズの把握、製品能力の提示、スムーズな導入の実現です。Sysdig 以前は、VISO TRUST と F5 でセールスエンジニアリング職を務め、それぞれサードパーティのサイバーリスクおよびグローバルソリューションアーキテクチャを専門としていました。Miguel は教育にも情熱を注いでおり、Hult International Business School の非常勤教授として FinTech を教えるほか、Urban College of Boston の非常勤講師として 11 年以上にわたり、コンピュータアプリケーションとテクノロジーに注力してきました。Wentworth Institute of Technology で応用コンピュータサイエンスの修士号を取得しており、Certified Third-Party Risk Professional の資格を保有しています。2018 Force Multiplier、2016 President’s Club などの受賞歴もあります。英語とスペイン語に堪能です。
