TokyoBlackHatNews

sysdig.com 8分で読了

検知と対応の統合:クラウドスピードのセキュリティを実現する Sysdig + Cortex XSOAR

セキュリティチームは、ツール間を行き来し、アラートを手作業でつなぎ合わせることに貴重な時間を浪費しています。 ワークロードが短命でスケールが常に変動する、動きの速いクラウド環境では、こうした遅延が MTTR を押し上げ、危険な死角を生み出します。脅威が進行中の局面での遅れは、刻一刻とリスクを増幅させます。

Sysdig は、Palo Alto Networks の Cortex XSOAR プラットフォームと統合し、コンテキスト化と迅速な対応アクションに強く焦点を当てて、インシデント管理機能を強化しました。

この統合により、セキュリティインシデントの自動および手動の両方の修復が効率化されます。インシデント対応者はアラートを迅速にトリアージし、ホストまたはコンテナレベルで正確かつ的確なアクション—侵害されたコンテナの終了、疑わしいファイルの隔離、フォレンジック分析のための詳細なシステムアクティビティの取得—を実行できます。

Sysdig と XSOAR で何ができるのか?

ワークロード、コンテナ、クラウドアカウント、さらには SaaS プラットフォームからのデータを、1つの統合ビューに簡単に取り込み—サイロをまたいで影を追いかける必要はもうありません。

データのエンリッチメントやケース管理のような面倒な作業を自動化し、全体像に集中できるようにします。

さらに、トリガーされた対応アクションやシステムキャプチャで私たちを支え、より深い分析のためにバックエンドへ API コールを発行します。常に脅威の一歩先を行くスイスアーミーナイフのような存在です。

各要素がどのように連携するか

統合の可能性は、チームの体制や技術スタックなどの要因によって異なります。ここでは、最も一般的な統合パターンを2つ紹介します。

1. 直接統合:Sysdig ↔ XSOAR

Sysdig は Falco によって強化されたリアルタイムのランタイム洞察を、クラウド上のワークロード、コンテナ、ホスト全体に提供します。XSOAR はこれらの脅威通知を受け取り、プレイブックをトリガーします。

この直接的なアプローチは、迅速な対応時間を重視し、SIEM のような追加レイヤーを迂回して依存関係を最小化したい組織に最適です。

Image

2. SIEM 統合ワークフロー:Sysdig → SIEM → XSOAR

一部の組織は、すべてのセキュリティテレメトリを SIEM に集約してから XSOAR に引き渡すことを好みます。このパターンでは次のようになります。

  • Sysdig はランタイムイベントと脅威データを SIEM に転送し、相関分析と長期的な分析に利用します。
  • SIEM はエンリッチされたアラートを XSOAR に送信し、XSOAR がオーケストレーションと対応ワークフローを実行します。
  • 対応アクションは引き続き Sysdig 経由で実行でき、ワークロードレベルで脅威を直接緩和できます。

Image

XSOAR 向け Sysdig パック

Cortex XSOAR Marketplace のコンテンツパックは、事前構築された統合バンドルです。Sysdig コンテンツパックには、設計図として機能するサンプルプレイブックや、サンプルマッパーなどのオブジェクトが含まれており、チームがニーズに合わせたカスタムプレイブックを構築しやすくなります。

現在サポートされている対応アクション

execute-response-action コマンドを通じて実行します。この統合は次のアクションタイプをサポートします。

  • KILL_PROCESS
  • KILL_CONTAINER
  • STOP_CONTAINER
  • PAUSE_CONTAINER
  • FILE_QUARANTINE

キャプチャ

create-system-capture コマンドは、特定のホストに対してシステムキャプチャをトリガーします。これは、さらなるフォレンジック分析に特に有用です。Sysdig System Capturesの詳細はこちら

Sysdig サンプルプレイブックの実例:証拠の自動化

フローは複数のステージで構成されます。

データ収集

前述のとおり、Sysdig のランタイムイベントを取り込む方法は2つあります。より一般的なのは、ランタイムイベントを XSOAR プラットフォームに直接送る方法で、Event Forwarder または 通知チャネルを使用してイベントを XSOAR webhook に送信できます。もう1つの選択肢は、Sysdig から SIEM ソリューションへイベントを送って追加のエンリッチメントを行い、その後 XSOAR プラットフォームへ送る方法です。いずれの場合でも、ペイロードの一部として送信するフィールドをインシデントフィールドにマッピングできる受信 classifier を提供しており、XSOAR プラットフォームが正しいタイプでイベントを分類できるようになります。

インシデント管理

Sysdig から受信したイベント(または複数イベント)に基づいて、新しい Sysdig Runtime Event Incident を作成します。コンテナ ID、ホスト、Sysdig テナントなどのフィールドに基づき、コンテナの kill/pause/stop やファイル隔離を行う execute-response-action を含む、さまざまな統合コマンドを実行できます。

Image

この一連のプロセス全体は、プレイブックでラップして自動実行できます。プレイブックは必要に応じて複雑にでき、対応アクションやシステムキャプチャを実行するための Sysdig コマンドの実行に加え、他ベンダーのさまざまなアクションも含められます。このケースでは、Sysdig Trigger System Capture Playbook を提供しています。次回以降のリリースで、さらに多くのプレイブックが追加される予定です。

プレイブックの目的:システムキャプチャの自動化

Image

このプレイブックの目的は、影響を受けたホストのシステムキャプチャ取得プロセスを自動化することです。手順は次のとおりです。

  1. インシデントにシステムキャプチャ取得に必要なフィールドがあることを検証する。
  2. キャプチャ取得について、人による承認を手動で求める。
  3. 提供された詳細とスコープでシステムキャプチャをトリガーするコマンドを呼び出す。
  4. インシデントの War Room にキャプチャを保存するかどうかを手動で確認する。
  5. .scap ファイルを保存する。

その他の現実的なシナリオ

暗号資産マイナーへの対応

私たちの環境で稼働している暗号資産マイナーを Sysdig が検知したと仮定しましょう。これは Stratum プロトコルを使用して暗号資産マイナーを検知するルールをトリガーします。そのイベントを XSOAR プラットフォームで受信すると、新しい高重大度のインシデントを作成できます。classifier により、インシデントフィールドを抽出できます。

Image

Sysdig イベントペイロードに対する Classifier の例

このように必要なフィールドを備えたインシデントが得られます。インシデントタイプ、プレイブック、「Sysdig Incident Information」タブを確認してください。

Image

次のステップは、イベントへの対応を管理することです。環境内で暗号資産マイナーがリソースを消費し、攻撃者の利益を生み出すことは望ましくないため、コンテナを kill したいところです。そのために、次を実行できます。

!execute-response-action actionType=KILL_CONTAINER callerId="soc_team" host_id="hostname-id" container_id="c000-000" Code language: YAML (yaml)

War Room で…を実行し、インシデントフィールドから必要なパラメータを手動で抽出します。

Image

プロセス全体はカスタムプレイブックで自動化できます。プレイブックの高レベルな手順は次のとおりです。

  1. インシデントの重大度と Sysdig の重大度フィールド(high、medium、low)を確認する。(受信する Sysdig イベントが一貫して High(例:0、1、2)に分類される場合、このステップは省略できます。)
  2. KILL_CONTAINER アクションタイプに必要なインシデントフィールドが正しくマッピングされ、存在することを検証する。
  3. 人による確認を手動で求める。
  4. インシデントフィールドをパラメータとしてコマンドを実行する。

試してみる準備はできましたか?

Cortex XSOAR 向け Sysdig 統合を始めるには、XSOAR Marketplace にアクセスしてください。

そこから、公式の統合パックを XSOAR 環境に直接インストールできます。インストール後、必要な API 資格情報を提供して Sysdig アカウントを登録します。これにより、Sysdig と Cortex XSOAR 間の安全な通信が可能になります。

Image

Cortex XSOAR UI。

Sysdig Response Action インスタンスをインストールするには、Settings > Instances に移動して「Sysdig」を検索します。「Add Instance」をクリックします。

Image

URL パラメータには、Sysdig の SaaS URL を指定する必要があります。リージョン別の一覧については ドキュメントを参照してください。

API Key フィールドについては、取得方法を ドキュメントで確認し、その後、次の ドキュメントに従って XSOAR の資格情報エントリを作成してください。

Image

「Collect」セクションまでスクロールし、「Sysdig Runtime Event」インシデントタイプを選択します。あわせて、(受信)マッパーとして「Sysdig Mapper Runtime Event」も選択します。

Image

その後、新しいインスタンスが設定され、有効化されていることが確認できるはずです。

Image

Sysdig Response Actions パックの ドキュメント

最後に

Sysdig を Cortex XSOAR と統合することで、深いランタイム可視性と強力な自動対応の間のギャップが埋まります。検知とオーケストレーションを統合することで、セキュリティチームはノイズを排除し、MTTR を削減し、クラウドスピードで脅威に対応できます。直接統合から始める場合でも、SIEM 主導のワークフローを採用する場合でも、この構成は、現代的で動的な環境を防御するために必要な自信と俊敏性を実務者にもたらします。

翻訳元: https://www.sysdig.com/blog/unifying-detection-and-response-sysdig-cortex-xsoar-for-security-at-cloud-speed

ソース: sysdig.com
#Cortex XSOAR #Palo Alto Networks #SIEM連携 #SOAR #Sysdig #インシデント対応 #クラウドセキュリティ #コンテナセキュリティ #フォレンジック分析 #自動化プレイブック

関連記事

セキュリティブリーフィング:2026年5月

特権コンテナなしのランタイムセキュリティ:最小権限制御によるコンプライアンスの迅速化

AIエージェントが主導:攻撃者がLLMを使ってCVEから内部データベースへ4つのピボットで侵入した方法