このページは Cloud Translation API によって翻訳されました。

Sysdig Secure を Google SecOps と統合する

このドキュメントでは、Sysdig Secure を Google Security Operations（Google SecOps）と統合する方法について説明します。

統合バージョン: 1.0

統合のパラメータ

Sysdig Secure の統合には、次のパラメータが必要です。

パラメータ説明

パラメータ	説明
`API Root`	必須。 Sysdig Secure インスタンスの API ルート。 API ルート値の詳細については、Sysdig API をご覧ください。
`API Token`	必須。 Sysdig Secure API トークン。トークンを生成する方法については、Sysdig API トークンを取得するをご覧ください。
`Verify SSL`	必須。選択すると、Sysdig Secure サーバーに接続するときに SSL 証明書が検証されます。デフォルトで選択されています。

API Root

必須。

Sysdig Secure インスタンスの API ルート。

API ルート値の詳細については、Sysdig API をご覧ください。

API Token

必須。

Sysdig Secure API トークン。

トークンを生成する方法については、Sysdig API トークンを取得するをご覧ください。

Verify SSL

必須。

選択すると、Sysdig Secure サーバーに接続するときに SSL 証明書が検証されます。

デフォルトで選択されています。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。

操作

アクションの詳細については、デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。

Ping

Ping アクションを使用して、Sysdig Secure への接続をテストします。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォールテーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用可能
スクリプトの結果	利用可能

出力メッセージ

Ping アクションは、次の出力メッセージを返すことができます。

出力メッセージメッセージの説明

Successfully connected to the Sysdig Secure server with the provided connection parameters! アクションが成功しました。

出力メッセージ	メッセージの説明
`Successfully connected to the Sysdig Secure server with the provided connection parameters!`	アクションが成功しました。
`Failed to connect to the Sysdig Secure server! Error is ERROR_REASON`	操作に失敗しました。サーバーへの接続、入力パラメータ、または認証情報を確認してください。

Failed to connect to the Sysdig Secure server! Error is ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
`is_success`	`True` または `False`

コネクタ

Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む（コネクタ）をご覧ください。

Sysdig Secure - Events Connector

Sysdig Secure - Events Connector を使用して、Sysdig Secure からイベントを取得します。

動的リストを操作するには、ruleName パラメータを使用します。

コネクタの入力

Sysdig Secure - Events Connector には、次のパラメータが必要です。

パラメータ	説明
`Product Field Name`	必須。商品名が保存されるフィールドの名前。商品名は主にマッピングに影響します。コネクタのマッピングプロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。デフォルト値は `Product Name` です。
`Event Field Name`	必須。イベント名（サブタイプ）を特定するフィールドの名前。デフォルト値は `content_ruleName` です。
`Environment Field Name`	省略可。環境名が保存されるフィールドの名前。環境フィールドがない場合、コネクタはデフォルト値を使用します。
`Environment Regex Pattern`	省略可。 `Environment Field Name` フィールドで見つかった値に対して実行する正規表現パターン。このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。デフォルト値 `.*` を使用して、必要な未加工の `Environment Field Name` 値を取得します。正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。
`Script Timeout (Seconds)`	必須。現在のスクリプトを実行する Python プロセスのタイムアウト上限（秒単位）。デフォルト値は `180` です。
`API Root`	必須。 Sysdig Secure インスタンスの API ルート。 API ルート値の詳細については、Sysdig API をご覧ください。
`API Token`	必須。 Sysdig Secure API トークン。トークンを生成する方法については、Sysdig API トークンを取得するをご覧ください。
`Lowest Severity To Fetch`	省略可。取得するアラートの最も低い重大度。このパラメータを構成しない場合、コネクタはすべての重大度レベルのアラートを取り込みます。使用できる値は次のとおりです。 `Informational` `Low` `Medium` `High`
`Custom Filter Query`	省略可。取り込み中にイベントをフィルタ、スコープ設定、グループ化するクエリ。このパラメータは、`Lowest Severity To Fetch` パラメータと動的リストで設定した値よりも優先されます。イベントのフィルタリング方法について詳しくは、安全なイベントをフィルタするをご覧ください。入力の例は `host.hostName = "instance-1"` です。
`Max Hours Backwards`	必須。イベントを取得する現在までの時間数。このパラメータは、コネクタを初めて有効にした後の最初のコネクタイテレーション、または期限切れのコネクタタイムスタンプのフォールバック値に適用できます。デフォルト値は `1` です。
`Max Events To Fetch`	必須。コネクタのイテレーションごとに処理するイベントの最大数。最大値は `200` です。デフォルト値は `100` です。
`Disable Overflow`	省略可。選択すると、コネクタは Google SecOps のオーバーフローメカニズムを無視します。デフォルトでは選択されていません。
`Use dynamic list as a blocklist`	省略可。選択すると、コネクタは動的リストを拒否リストとして使用します。デフォルトでは選択されていません。
`Verify SSL`	省略可。選択すると、Sysdig Secure サーバーに接続するときに SSL 証明書が検証されます。デフォルトでは選択されていません。
`Proxy Server Address`	省略可。使用するプロキシサーバーのアドレス。
`Proxy Username`	省略可。認証に使用するプロキシのユーザー名。
`Proxy Password`	省略可。認証に使用するプロキシパスワード。

コネクタルール

Sysdig Secure - Events Connector はプロキシをサポートしています。

コネクタイベント

Sysdig Secure - Events Connector イベントの例は次のとおりです。

{
   "id": "ID",
   "reference": "0194cd55-6752-823e-990c-380977fa3ce8",
   "cursor": "PTE4MjBjYTI0NjdjZDFjYzkwMzdlZDA0NGVkNjYyNzFh",
   "timestamp": "2025-02-03T19:41:53.874140361Z",
   "customerId": 2002953,
   "originator": "policy",
   "category": "runtime",
   "source": "syscall",
   "rawEventOriginator": "linuxAgent",
   "rawEventCategory": "runtime",
   "sourceDetails": {
       "sourceType": "workload",
       "sourceSubType": "host"
   },
   "engine": "falco",
   "name": "Sysdig Runtime Threat Detection",
   "description": "This policy contains rules which Sysdig considers High Confidence of a security incident. They are tightly coupled to common attacker TTP's. They have been designed to minimize false positives but may still result in some depending on your environment.",
   "severity": 3,
   "agentId": 118055020,
   "machineId": "MACHINE_ID",
   "content": {
       "policyId": 10339481,
       "ruleName": "Find Google Cloud Credentials",
       "internalRuleName": "Find Google Cloud Credentials",
       "ruleType": 6,
       "ruleSubType": 0,
       "ruleTags": [
           "host",
           "container",
           "MITRE",
           "MITRE_TA0006_credential_access",
           "MITRE_TA0007_discovery",
           "MITRE_T1552_unsecured_credentials",
           "MITRE_T1552.004_unsecured_credentials_private_keys",
           "MITRE_T1119_automated_collection",
           "MITRE_T1555_credentials_from_password_stores",
           "MITRE_TA0009_collection",
           "process",
           "gcp",
           "MITRE_T1552.003_unsecured_credentials_bash_history"
       ],
       "output": "OUTPUT",
       "fields": {
           "container.id": "host",
           "container.image.repository": "<NA>",
           "container.image.tag": "<NA>",
           "container.name": "host",
           "evt.args": "ARGS_VALUE",
           "evt.res": "SUCCESS",
           "evt.type": "execve",
           "group.gid": "1010",
           "group.name": "example",
           "proc.aname[2]": "sshd",
           "proc.aname[3]": "sshd",
           "proc.aname[4]": "sshd",
           "proc.cmdline": "grep private_key example_credentials.json",
           "proc.cwd": "/home/example/",
           "proc.exepath": "/usr/bin/grep",
           "proc.hash.sha256": "9a9c5a0c3b5d1d78952252f7bcf4a992ab9ea1081c84861381380a835106b817",
           "proc.name": "grep",
           "proc.pcmdline": "bash",
           "proc.pid": "402495",
           "proc.pid.ts": "1738611713873608827",
           "proc.pname": "bash",
           "proc.ppid": "385443",
           "proc.ppid.ts": "1738599569497780082",
           "proc.sid": "385443",
           "user.loginname": "example",
           "user.loginuid": "1009",
           "user.name": "example",
           "user.uid": "1009"
       },
       "falsePositive": false,
       "matchedOnDefault": false,
       "templateId": 1331,
       "policyType": "falco",
       "AlertId": 1357687,
       "origin": "Sysdig"
   },
   "labels": {
       "agent.tag.role": "datafeeder",
       "cloudProvider.account.id": "ACCOUNT_ID",
       "cloudProvider.name": "gcp",
       "cloudProvider.region": "europe-west3",
       "gcp.compute.availabilityZone": "europe-west3-c",
       "gcp.compute.image": "projects/debian-cloud/global/images/debian-example",
       "gcp.compute.instanceId": "INSTANCE_ID",
       "gcp.compute.instanceName": "example-instance",
       "gcp.compute.machineType": "e2-standard-2",
       "gcp.location": "europe-west3",
       "gcp.projectId": "PROJECT_ID",
       "gcp.projectName": "example-project",
       "host.hostName": "example-instance",
       "host.id": "HOST_ID",
       "orchestrator.type": "none",
       "process.name": "grep private_key example_credentials.json"
   }
}

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。