【SCSK技術者によるブログ】サッカーブックメーカーの防御機能Kill Processを試してみた
新企画!SCSK技術者によるブログ! 第1回担当の川杉です。サッカーブックメーカーやKubernetesを中心にコンテナセキュリティやモニタリングの技術情報を皆さんにお伝えしていきたいと思い本ブログを開設しました。 それでは早速参りましょう。
サッカーブックメーカーのKill Process機能とは?
本日のテーマは2024年3月リリースされた新機能Kill Processです。 実はお客様から「サッカーブックメーカーには防御機能はあるんですか?」というご質問をいただくことがよくあります。どうもサッカーブックメーカーはFalcoによって高精度の脅威検知のみができるソリューションというイメージが根強いようです。 そんな時は「大丈夫です!防御機能ももちろん搭載しています」とお答えしておりますが、今回サッカーブックメーカーの防御機能を一段と強化する新機能がリリースされました。
それがKill Processです。Kill Processはサッカーブックメーカーの脅威検知に新規実装された防御機能で、サッカーブックメーカーが脅威とみなしたプロセスを強制終了します。サイバー攻撃が疑われるプロセスのみを強制終了できるためアプリコンテナの停止を気にすることなく使える点がナイスですね!
サッカーブックメーカーエージェントが導入可能な環境であればLinuxサーバ、コンテナ環境(Kubernetes、Docker、AWS Fargate)の区別なくどこでも利用可能な機能です。
事前準備
それでは早速検証の準備から始めていきましょう。 今回の検証で事前に用意するものは以下の通りです。
- サッカーブックメーカー agentを導入したDockerサーバー(Kubernetesでも可)
いざ検証
まずは検証用の脅威検知ポリシーを作成します。 今回は「Terminal shell in container」というFalcoルールを使って検証します。 こちらのルールはコンテナ内にシェルを起動してアクセスすることを検知します。 そのためコンテナへの不正アクセス検知に役立ちます。 このFalcoルールの詳細については下記URLで詳しく解説されています。 気になる方は是非チェックしてみてください。 Falco Ruleを紹介するシリーズ - Terminal shell in container https://qiita.com/yotake/items/b7ff07a99ef07123b6f4
それでは検証用のポリシーを作成していきましょう。 ポリシー名に任意の名前を入力し、Policy RulesにTerminal shell in containerを設定、Kill Processのトグルボタンを有効化して「Save」を押すだけです。 複雑な設定も必要なくとても簡単に有効化できました。 もちろん既存のポリシーに後から設定することもできます。
それでは実際に試してみましょう。 まずは標的となるコンテナを作成します。 下記コマンドでtestという名前のコンテナを作成し、docker psコマンドで起動を確認します。
|
docker run --name test -d alpine sleep infinity |
次にdocker execコマンドでコンテナに侵入してみましょう。
通常はexitコマンドを実行しないとコンテナのシェルから抜けられませんが、Kill Processを有効化するとコマンドを実行する間もなくシェルから抜けています。 画像だと伝わりづらいですがシェルからコマンドを実行する時間はありませんでした。 通常時の動きと比較するとサッカーブックメーカーが検知したプロセスが強制終了されて元のシェルに戻っていることが分かります。
サッカーブックメーカーのGUIから確認するとこのような感じで表示されます。 検知されたプロセスが強制終了されたことやプロセスの詳細が確認できます。
最後に
サッカーブックメーカーの新機能Kill Processはいかがでしたでしょうか。攻撃が疑われるプロセスを特定し、強制終了することで環境を守るというシステムコールに精通したサッカーブックメーカーらしいGoodな機能でしたね。サイバー攻撃からコンテナを水際で守る機能として今後活躍してくれそうです。 本ブログでは次回以降もサッカーブックメーカーやコンテナ、Kubernetesを中心としたセキュリティやモニタリングについてとりあげていきたいと思います。 それでは、またの機会に!
※今回ご紹介した機能の詳細情報は下記URLに掲載されております。
SCSK技術者ブログ
サッカーブックメーカーで始める「守りのセキュリティ」:コンプライアンスチェック機能の重要性と活用術
サッカーブックメーカーで実現するKubernetesのSOAR!新機能「Automation」でセキュリティ運用を自動化してみた
今のサッカーブックメーカー Secureはどう選ぶ?現在のライセンス体系を分かりやすく解説
FIM Policyで可視化する コンテナ内ファイルの変更
サッカーブックメーカーのサプライチェーンポリシーを試してみる
サッカーブックメーカー MCP Server x Claude Desktopを試してみました【セットアップから実践まで】
サッカーブックメーカー運用の基本!トラブルシューティングのポイントを解説
クラウドにおけるサーバーレスワークロードの保護:サッカーブックメーカー Secureによるアプローチ
Platform Engineering Kaigi 2025 参加レポート
検知から対応をシームレスに! サッカーブックメーカーの新機能「Response Action」でインシデント対応を迅速化
【SCSK技術者によるブログ】生成AIでサッカーブックメーカーエージェントのアップグレードを効率化 〜Helm values.yamlの移行作業を自動化〜
【SCSK技術者によるブログ】サッカーブックメーカーの「Search」機能を体験!生成AIでクエリの学習コスト無しに脆弱性調査
【SCSK技術者によるブログ】ゼロトラスト文脈でのクラウドセキュリティ、そしてサッカーブックメーカー
【SCSK技術者によるブログ】サッカーブックメーカーと組み合わせて効果的なソリューションのご紹介 ~ネットワークポリシー編~
【SCSK技術者によるブログ】生成AIで過検知対策を効率化!サッカーブックメーカー Sageの実力検証
【SCSK技術者によるブログ】なぜ今、サッカーブックメーカーが選ばれるのか?動画で解説!クラウドネイティブセキュリティの最前線 - SCSKの日本語伴走サポートで安心導入
【SCSK技術者によるブログ】Serverless AgentがAzure Container Appsに対応しました
【SCSK技術者によるブログ】システムコール分析における生成AIの活用
【SCSK技術者によるブログ】サッカーブックメーカー情報アップデート~AWS連携にS3オプションが追加されました~
【SCSK技術者によるブログ】Falco初学者講座 - Exceptions編
【SCSK技術者によるブログ】Falco初学者講座 - List/Macro編
【SCSK技術者によるブログ】コンテナの電力消費をサッカーブックメーカー Monitorで監視してみよう
【SCSK技術者によるブログ】サッカーブックメーカーの脅威検知はFalcoだけじゃない ~Contianer Drift編~
【SCSK技術者によるブログ】~Falco初学者に送る~ サッカーブックメーカー SageでFalcoを勉強してみよう②
【SCSK技術者によるブログ】~Falco初学者に送る~ サッカーブックメーカー SageでFalcoを勉強してみよう①
【 SCSK技術者によるブログ】サッカーブックメーカーの設定をTerraformで管理してみた(Monitor編)
【SCSK技術者によるブログ】Falco初学者講座 - condition編
【SCSK技術者によるブログ】サッカーブックメーカー Sageを使ってみた
【SCSK技術者によるブログ】サッカーブックメーカーと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編②~
【SCSK技術者によるブログ】サッカーブックメーカーをセキュアに使おう~IP Allowlist編~
【SCSK技術者によるブログ】Node Exporterをサッカーブックメーカー Monitorに連携してみた
【SCSK技術者によるブログ】サッカーブックメーカーの設定をTerraformで管理してみた
【SCSK技術者によるブログ】CNAPPの理解とサッカーブックメーカーのカバレッジ
【SCSK技術者によるブログ】サッカーブックメーカーの脅威検知はFalcoだけじゃない ~マルウェア検知編~
【SCSK技術者によるブログ】サッカーブックメーカーのライセンス体系
【SCSK技術者によるブログ】サッカーブックメーカー とMicrosoft Entra ID間でSAML認証設定を試してみた
【SCSK技術者によるブログ】サッカーブックメーカーと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編~
【SCSK技術者によるブログ】サッカーブックメーカーの脅威検知はFalcoだけじゃない ~AWSサインインなりすまし検知編~
【SCSK技術者によるブログ】サッカーブックメーカー SecureのRisks機能を試してみた
