最初のブログ記事「Sysdig Secure と Google Chronicle の統合 – なぜ、何を、どのように」では、両プラットフォームを接続するという考え方を紹介し、相互補完的な強みを強調するとともに、ハイレベルな概要を提供しました。今回はさらに一歩進め、理論を超えて、実践的な現実世界での適用に焦点を当てます。本記事では、SOC チームがクラウドで直面する具体的なセキュリティ課題を掘り下げ、Sysdig と Google SecOps が具体的なユースケースと実行可能な示唆を通じて、それらにどのように共同で対処するのかを示します。
SOC チームとクラウドは必ずしも相性が良いとは限らない
クラウドネイティブの世界で 10 年以上にわたりサイバーセキュリティを先導してきた中で、私たちは一貫して重要なギャップを観測してきました。SRE や DevOps チームが運用する本番品質のクラウドインフラは、セキュリティオペレーションセンター(SOC)やサイバーセキュリティ専門家による必要なカバレッジを欠いていることが少なくありません。この断絶は死角を生み、インシデント対応を遅らせ、変化が速く動的なクラウド環境において重要なワークロードを露出させる可能性があります。
いくつか引用を挙げると:
- 「SOC はクラウド環境に対する可視性が限られていることが多く、脅威の検知と対応が困難になる。既存のセキュリティツールセットはクラウドを念頭に選定されていない場合があり、可視性のギャップにつながる。」
Future of the SOC(Deloitte 2024) - 「パブリッククラウドの利用は、多くの企業が長年かけて構築してきた従来のサイバーセキュリティモデルを崩す。オンプレミス IT システム向けのサイバーセキュリティ技術は、パブリッククラウド向けに再構成しない限り、意図したとおりに機能しない可能性がある」。
Making a secure transition to the public cloud(McKinsey 2018)
セキュリティチームは、現代のクラウド環境の複雑さに追随するのに苦労することが少なくありません。一方で、SOC ツールは依然として従来のエンタープライズ IT に根差しており、従業員デバイスやオフィスネットワークを監視するために構築されています。これは「すべての企業はソフトウェア企業である」(サティア・ナデラ、Microsoft)という今日の現実から大きくかけ離れています。他方で、クラウドサービスの高速かつ短命(エフェメラル)な性質により、可視性と制御を維持することが難しくなり、チームは実際の攻撃対象領域を把握できなくなります。
ここで Sysdig と Google SecOps が登場し、セキュリティチームが自信を持って制御を取り戻せるよう支援します。
クラウドにおける変化する脅威ランドスケープ
DevOps ムーブメントの創始者たちによって広まった「混乱の壁(wall of confusion)」という概念は、サイバーセキュリティにも同様に当てはまります。クラウドチームは俊敏性を優先し、セキュリティチームは防御を重視します。これらの目標は一見相反するように見えますが、整合させることが可能であり、また必須です。
両チームが理解すべき重要な問いがいくつかあります。
1. 実際のクラウド資産インベントリはどのようになっているのか?
クラウドインフラ全体で稼働している資産、サービス、依存関係を正確に把握します。
2. 最重要リスクは何で、誰が修正責任を負うのか?
クラウドにおける文脈(資産が公開されているか、脆弱性がメモリ上にロードされているか等)を踏まえて重大な脆弱性や設定ミスを特定し、適切なチームが対応するようにします。
3. 環境で何が起きていて、なぜ起きているのか?
クラウド活動を深く可視化し、疑わしい挙動を文脈の中で検知・調査・理解します。
4. クラウド脅威にどう対応するのか?
クラウドネイティブなワークロードの速度、規模、複雑性に合わせた対応戦略を構築します。
Sysdig がクラウドセキュリティを簡素化:複雑さを「理解できる形」に
Sysdig プラットフォームは、リアルタイムの可視性、リスク、コンプライアンスを単一の直感的なインターフェースに統合することで、圧倒的な情報を実行可能なものへと変えます。クラウドネイティブの専門家として、Sysdig は従来の EDR ツールでは理解できないことを解釈します。
現代のクラウド要件に沿って、統合型のクラウドネイティブ・アプリケーション保護プラットフォーム(CNAPP)は、クラウドアプリケーションのライフサイクルに沿っていくつかの重要ポイントをカバーする必要があります:
- 追跡:ソース(Git リポジトリ)からInfrastructure as Code(IaC)を追跡する。
- 継続的なコンテナイメージスキャンで「シフトレフト」:ビルド時、保管時(at rest)、そして(Sysdig の大きな強みである)実行時(runtime)に実施する。
- ポスチャリスクの特定とレポート、コンプライアンスの強制:実行可能な推奨事項(アイデンティティ分析や攻撃パスを含む)を提供する。
- 「シールドライト」:クラウドサービス、クラウドネイティブワークロード、サーバーレスを大規模に保護する。検出結果を相関・統合し、アラート疲れを防ぐ。
- クラウドの速度で動く:ランタイムの洞察を用いて周辺イベントと関連付けたリスクを可視化し、リアルタイムで重要事項の優先順位付けを行う。
Google SecOps が SIEM と SOAR を再定義する方法
従来型の SIEM(Security information and event management)および SOAR(Security orchestration, automation, and response)ソリューションが、特にパブリッククラウドの「拡大期」に追随できず苦戦してきたことはよく知られています。Google SecOps は、Google Chronicle(次世代 SIEM)と Siemplify(主要な SOAR ツール)の力を組み合わせ、組織が脅威を検知・調査・対応する方法を再定義する、ゲームチェンジャーとなるプラットフォームです。
統合アプローチ
- 比類なきスケーラビリティ:Google のグローバルインフラ上に構築された Google SecOps SIEM は、ペタバイト級のデータをリアルタイムに取り込み・分析します。超高速検索機能により、セキュリティチームは数年分のデータを数秒でクエリでき、かつてのボトルネックを強みに変えます。
- AI 主導の脅威検知:機械学習における Google の専門性を活用し、高精度な脅威を抽出してノイズを低減し、チームが本当に重要なことに集中できるようにします。単に脅威をより速く検知するだけでなく、「正しい脅威」を検知することが重要です。
- SOAR によるシームレスな自動化:セキュリティチームが反復作業を自動化し、複雑なワークフローをオーケストレーションし、マシンスピードでインシデント対応できるようにします。Google SecOps SIEM と直接統合することで、検知と対応の間のギャップを解消します。
一緒ならさらに強力:SOC 対応のクラウド環境
クラウドのセキュリティは、もはや「より多くのデータを集める」ことではありません。重要なのは「適切なデータをより有効に働かせる」ことです。Sysdig Secure を Google SecOps と統合することで、SOC はマルチクラウド環境全体で自信を持って検知・調査・対応するために必要な文脈とカバレッジを得られます。
両者が一緒になることで、次のようにより良く機能します:
- クラウド可視性の拡張
Sysdig は Kubernetes、コンテナ、クラウドサービスから深いランタイム洞察を提供します。この文脈を Google SecOps に送ることで無制限の相関が可能になり、クラウドネイティブなイベントをより広範なセキュリティシグナルと即座に結び付けられます。
- 文脈を失わずにコストを削減
ノイズの多い生のテレメトリを送るのはやめましょう。Sysdig は Google SecOps に転送するデータを最適化し、高精度な検知のみを残すのに役立ちます。転送データが少なければコストは下がり、カバレッジを犠牲にする必要もありません。
- YARA-L による高度な脅威検知
SecOps の YARA-L ルール制御と Sysdig の高い解像度と深さを組み合わせることで、複雑で回避的な脅威をリアルタイムに検知します。
- クラウドエンティティの可視化
Sysdig の検出結果と侵害指標(IoC)が Google SecOps に取り込まれ、アナリストは単一の場所で全体像を把握できます。
- 保持期間と脅威コンテキストの拡張
Google SecOps は SIEM とデータレイクの長所を組み合わせ、Sysdig のデフォルト保持期間を超えた重要情報を最大限に活用できます。
- 対応オペレーションの最適化
高信頼の結果を Google SecOps SOAR にエスカレーションし、集中型のトリアージと対応を実現します。
Sysdig + Google SecOps の統合は、明確で実行可能な洞察を提供し、複雑なクラウドイベントをチームが容易に理解し対応できるものへと変換します。
現実の課題を解決する
SecOps SIEM における Sysdig の洞察
最も基本的なユースケースは、前回の記事で簡単に触れたとおり、Sysdig の検知結果を Google SecOps に送信することです。これにより、セキュリティイベントを転送し、統合データモデル(UDM)に正規化したうえで、(即時アラートや IoC を通じて)分析し、(長期ストレージに)保持できます。
ゼロから統合を設定するには、このリンクにある公式ドキュメントを参照することを推奨します。
長期保持と UDM クエリ
Sysdig の検知結果が UDM に正規化され SecOps のデータレイクに保存されたことで、セキュリティチームは、数か月、さらには数年分のセキュリティテレメトリを用いて、リアルタイムのランタイム脅威を Web Application Firewall(WAF)や Cloud Access Security Broker(CASB)などの他の IT リソースと相関できます。これにより、プロアクティブな脅威ハンティング、ゼロデイ攻撃の事後分析、短命なクラウドワークロードを超えた深い調査の強化が可能になります。
例えば、クラウドでの異常イベントに関するランタイム検知は、当初は孤立して見えるかもしれません。しかし、SecOps に保存された過去の IAM アクティビティやネットワークフローと相関させることで、SOC チームに対してより広範な攻撃のストーリーを明らかにできます。
Sysdig データを分析するための有用な SecOps クエリの例をいくつか紹介します:
重大度が高いイベントの一覧を取得(すべて):
metadata.vendor_name = "SYSDIG" and security_result.severity = "HIGH"指定した Kubernetes の Pod 名から生成されたイベントを調査:
metadata.vendor_name = "SYSDIG" AND metadata.event_type = "GENERIC_EVENT" AND additional.fields["pod_name"] != "shop-frontend"同一ユーザー IP からトリガーされた GCP 監査ログの一覧を取得:
metadata.vendor_name = "SYSDIG" AND metadata.event_type = "GENERIC_EVENT" AND security_result.description = "gcp_auditlogs" AND extracted.fields["labels.source.ip"] = "257.11.22.33"MITRE ATT&CK の技術に関連する検出結果を収集:
metadata.vendor_name = "SYSDIG" AND metadata.event_type = "GENERIC_EVENT" AND ANY extracted.fields["content.ruleTags"] = "MITRE_T1082_system_information_discovery"または、前のクエリを少し修正して、Azure など他のソースを除外しつつ、AWS と GCP を含むマルチクラウドの検出結果を選別:
metadata.vendor_name = "SYSDIG" AND metadata.event_type = "GENERIC_EVENT" AND (security_result.description = "awscloudtrail" OR security_result.description = "gcp_auditlog") AND ANY extracted.fields["content.ruleTags"] = "MITRE_T1580_cloud_infrastructure_discovery"Sysdig プラットフォームの監査ログ一覧を取得:
metadata.vendor_name = "SYSDIG" and metadata.product_event_type != "audittrail"クラウドダッシュボードを簡単に
次のダッシュボードは、いくつかのシンプルなクエリを組み合わせ、可視化オプションを調整して作成しました(意図的にノイズの多いテスト環境に接続されている点に注意してください)。これは、Sysdig が SOC にとってクラウドを「理解できる形」にする方法の優れた例です。
このダッシュボードでは、次を確認できます:
- 過去数日間のイベント数と脅威数
- Syscall 関連の監査イベント(トレンド)
- クラスター別の検知数
- クラウドベンダー(またはデータセンター)別の検知数
- 統合された検出結果と最新の検出結果
高度な脅威検知
クラウドアラートを運用に落とし込むという観点では、SecOps におけるカスタム検知向け YARA-L の実装は非常に強力です。
例として、複数のイベントがクラウド内でのラテラルムーブメントを示唆し得るシナリオを模擬する基本ルールを作成しました。SecOps は、定義された時間枠内で特定のイベントの組み合わせが発生した場合にアラートをトリガーし、SOC チームが潜在的な脅威をより効果的に検知・対応できるようにします。
以下の YARA-L ルールは、この実験のために作成した単純な例にすぎない点に注意してください。本当の価値は、お客様が独自の検知シナリオを構築できることにあります。
rule sysdig_privilege_escalation_syscall{
meta:
author = "[email protected]" description = "特権昇格に関連する Sysdig Agent Policy Threat Detection" rule_name = "Sysdig ポリシー Syscall 特権昇格"
mitre_attack_tactic = "Privilege Escalation" mitre_attack_technique = "Exploitation for Privilege Escalation (T1068), Hijack Execution Flow (T1574), Boot on Logon Autostart Execution (T1547)" mitre_attack_url = "https://attack.mitre.org/tactics/TA0004/" mitre_attack_version = "v13.1" type = "Alert" data_source = "Sysdig" platform = "Sysdig" severity = "Medium" priority = "Medium"
events:
$sysdig.metadata.vendor_name = "SYSDIG" $sysdig.metadata.product_name = "SYSDIG" $sysdig.metadata.product_event_type = "policy" $sysdig.security_result.rule_name = /Detect malicious cmdlines|Unexpected Connection from|Possible Backdoor using BPF|Suspicious network tool downloaded and launched in container|Packet socket created in container|Read sensitive file untrusted|Shared Libraries Reconnaissance Activity/ $sysdig.principal.hostname = $hostname
match:
$hostname over 3m
outcome:
$mitre_attack_tactic = "Privilege Escalation" $risk_score = max(65)
$event_count = count_distinct($sysdig.metadata.id)
$principal_ip = array_distinct($sysdig.principal.ip)
$principal_user_display_name = array_distinct($sysdig.principal.user.user_display_name)
$security_result_summary = array_distinct($sysdig.security_result.summary)
$security_result_description = array_distinct($sysdig.security_result.description)
$security_result_severity = array_distinct($sysdig.security_result.severity)
$security_result_severity_details = array_distinct($sysdig.security_result.severity_details)
$metadata_product_event_type = array_distinct($sysdig.metadata.product_event_type)
$kubernetes_cluster_name = array_distinct($sysdig.additional.fields["kubernetes_cluster_name"])
$kubernetes_workload_name = array_distinct($sysdig.additional.fields["kubernetes_workload_name"])
$kubernetes_namespace_name = array_distinct($sysdig.metadata.base_labels.namespaces)
condition:
$sysdig and $event_count >= 1 and $event_count <= 50自動対応のための SecOps SOAR プレイブック
Sysdig のイベントが SecOps SIEM でアラートを生成し始めると、SecOps SOAR プラットフォーム内でそれらを活用することはシームレスになります。
この統合が実際にどのように機能するかを示すサンプルプレイブックを構築しました。ワークフローのハイレベルな概要は次のとおりです:
- 前の例で作成したカスタム YARA-L ルールに合わせて、「Sysdig privilege escalation」に分類された検出結果を取り込みます。
- イベントソースを判定します:
• syscalls、Windows、またはクラウド監査ログに関連するか?
• クラスター内から発生したものか? - 外部の Jira チケットを作成して、チーム X と Y に通知します(このステップは統合機能を強調しています)。
- 脅威と影響を受けたリソースに関する文脈情報(場所、セキュリティポスチャ、上位リスクなど)でケースを強化します。
- インシデント対応者に対応オプションを提示します:
• 即時緩和のためにノードプールを 0 にスケールします。
• 必要に応じてノードプールを復元します。
このプレイブックは、Sysdig と SecOps が連携してクラウドセキュリティ運用を効率化し、実行可能なインテリジェンスと自動対応機能を提供する方法を示しています。
結論:SOC とクラウドセキュリティのギャップを埋める
Sysdig を Google SecOps と統合することで、SOC チームはクラウドネイティブ環境を効果的に保護するために必要な文脈と自動化を得られます。深いランタイム可視性と、スケーラブルな SIEM/SOAR 機能の組み合わせにより、チームはノイズを排除し、真の脅威を検知し、自信を持って対応できます。この統合により、クラウドセキュリティは実行可能で効率的になり、クラウドにおける現代的な攻撃の速度と複雑性に対応できるようになります。
翻訳元: https://www.sysdig.com/blog/sysdig-and-google-secops-unifying-cloud-security-for-soc-teams
