![[ベータ] Sysdig Secure Insights](https://cdn.prod.website-files.com/681a1c8e5b6ebfc0f8529533/68b6896943ff1c196588aac3_sysdig-avatar.svg){kind=avatar}
![[ベータ] Sysdig Secure Insights](https://cdn.prod.website-files.com/plugins/Basic/assets/placeholder.60f9b1840c.svg)
Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。
本文の内容は、2021年4月8日現在における、docs.sysdig.com上のSysdig Secure Insightsを元に日本語に翻訳・再構成した内容となっております。
Insightsはベータ版の機能で、米国東部地域で先行して提供されています。
Sysdig Secure(SaaS)は、脅威の検出、調査、リスクの優先順位付けのための強力な新しい可視化ツールを導入し、お客様の環境におけるコンプライアンスの異常や継続的な脅威の特定を支援します。Insightsでは、ワークロード環境とクラウド環境の両方でSysdigが生成したすべての調査結果を視覚的するプラットフォームに集約し、脅威の検出とフォレンジック分析を効率化します。
ハイライト:
- 環境や時間軸を超えて調査結果を俯瞰し、レスポンシブな表現とサマリー、リニアなイベントフィードを組み合わせることができます。
- 問題のあるエリアを瞬時に絞り込んだり、ノイズの多い結果をブロックすることが可能
- チームメンバーとビューを共有
Insightsページへのアクセス
Insightsページは、Sysdig Secureのランディングページとして自動的に有効になる場合と、手動で有効にする必要がある場合があります。(Sysdig Secureのリージョンによって、ロールアウトの段階で利用可能かどうかも変わってきますのでご注意ください)
- デフォルトのランディングページ: クラウドアカウントに接続しているユーザー向け
- SysdigLabsで手動で有効にする: 以下のユーザーは、まず管理者としてSysdig Secureにログインし、「User Profile」を選択してInsightsを有効にする必要があります。Insightsが有効になっていない場合、これらのユーザーには、デフォルトのランディング・ページとして、Overviewページ(有効な場合)またはイベントフィードが表示されます。
- 30日間の試用版ユーザー
- 既存または新規のSysdig Secureエンタープライズ・ユーザーで、クラウド・アカウントを接続していないユーザー
使用方法
Insightsツールは直感的で使いやすい。次のようなデザインや使い方の特徴があります。
ナビゲーション
左上のドロップダウンから閲覧したいリソースを選択します。
- クラウドユーザーアクティビティ:接続されているクラウドアカウントのユーザーアクティビティに関連する脆弱性やイベントを検出します。
- クラウド アクティビティ:接続されているクラウドアカウントにおけるすべての調査結果を検出します。
- Kubernetesアクティビティ:接続されているKubernetesのクラスター、ネームスペース、ワークロードでのすべての調査結果を検出します。
- コンポジットビュー:クラウドアクティビティとKubernetesアクティビティの両方のビューから、すべての調査結果を検出して集約します。
表示されるデフォルトのビューは、お客様の環境での調査結果に基づいています。クラウドとKubernetesにイベントがある場合はコンポジットビューがデフォルトで、そうでない場合はクラウドまたはKubernetesアクティビティビューが選択されます。
タイムライン
他の多くのSysdigツールと同様に、ページ下部のタイムラインを使ってタイムスパンごとにスコープすることができます。
- デフォルトのスパンは14日です。他のプリセット(6H、1D、3Dなど)を選択したり、クリック可能なカレンダーを使ってスパンを設定することができます。
- インサイトは、最大14日または999イベントのいずれか早い方を表示します。
ビジュアライゼーションパネル
Insightsツールの最大の特徴は、ビジュアライゼーションパネルにあります。以下のような機能を備えています。
- 同心円は、リソースを最も詳細な調査結果まで掘り下げます。ヘッダーには各レベルのラベルが順番に表示されています(Account > Region > Resource Category > ...)
- 対象領域にカーソルを合わせると詳細が表示され、クリックするとサマリーで分離されます。
アクティビティパネル:サマリー
サマリーパネルは、「Severity level」と「Impacted Rule Name」で整理されたビジュアライゼーションパネルの内容を、順序付けられたリストとして再現しています。
- ラインアイテムをクリックすると、詳細が表示されます。影響を受けるコンテナ、イメージ、ルール、ユーザー名などが一目でわかります。
アクティビティパネル:イベント
イベントパネルは、Sysdig Secure Eventsのフィードを再現しています。時間ベースのリストでエントリをクリックすると、その詳細が表示されます。
Search | Show | Hide | Exclude
Searchバーは、アクティビティサマリーのオプションと連動しています。
なお、ShowやHideではデータの再取得は行われません。
- Show (=): Showをクリックすると、その検索結果が検索バーとページのURLに追加されます。
- Hide (!=): Hideをクリックすると、その検索結果が可視化からフィルタリングされ、検索とURLにフィルタが追加されます。
- Exclude: Excludeをクリックすると、除外されたエントリーを除いてデータを再取得します。これにより、ノイズの多い反復的な結果を減らすことができます。
Insights チームベースの表示と共有
- チームとユーザーの役割によって、どのInsightsにアクセスできるかが決まります。
- ページのURLは、検索やフィルターの項目を保持し、同じレベルの権限を持つチームメンバーと共有できます。
詳細は、「ユーザーとチームの管理」を参照してください。