Kubernetesクラスターでランタイムセキュリティ、ランタイム脆弱性スキャン、およびランタイム不正プログラムスキャンを有効にします。
次の表は、Kubernetesクラスターで利用可能なランタイムセキュリティおよびスキャン機能の詳細を示しています。
機能
|
説明
|
||
[ランタイムセキュリティ] |
カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。
|
||
[Runtime Vulnerability Scanning] |
クラスタで実行されているコンテナの一部であるOSとオープンソースコードの脆弱性を可視化します。
|
||
[Runtime Malware Scanning] |
稼働中のコンテナ内の不正プログラムを検出し、デプロイ後に導入された不正プログラムの脅威を特定して対応できるようにします。
|
||
Runtime Secret Scanning |
実行中のコンテナ内の秘密を検出します。秘密のスキャンは、プロダクションコンテナ内での秘密漏洩を迅速に検出することを保証します。
|
手順
- 実行時のセキュリティおよびスキャン機能を有効にするには、次のパラメーターをオーバーライドYAMLファイル (通常は
overrides.yaml'
と呼ばれます) に追加してください。runtimeSecurity: enabled: true
脆弱性スキャン: 有効: true
マルウェアスキャン: 有効: true
secretScanning: enabled: true
例:visionOne: bootstrapToken: <BOOTSTRAP_TOKEN> endpoint: <ENDPOINT> runtimeSecurity: enabled: true vulnerabilityScanning: enabled: true malwareScanning: enabled: true secretScanning: enabled: true
- 実行時のセキュリティイベントに対して機密フィールドを隠すには、オーバーライドファイルに
scout.falco.sanitizer_output
を追加してください。scout.falco.sanitizer_output.patterns
フィールドは、Falcoイベントフィールドをキーとして、正規表現を値とするキーと値のペアを使用します。(詳細はFalcoがサポートするフィールドを参照してください。) 正規表現は、パターンに一致する文字列がイベント出力で非表示にされるべきかどうかを決定します。編集はFalcoイベントのoutput
とoutput_fields
の両方で行われます。例:scout: falco: sanitizer_output: enabled: true patterns: proc.pcmdline: (?<=--process\s)\s?(\S+)|(?<=--root\s)\s?(\S+) fd.sip: (?<=169\.254\.)(\S+)
- 次のコマンドを使用してContainer Securityをアップグレードしてください。
helm upgrade \ trendmicro \ --namespace trendmicro-system --create-namespace \ --values overrides.yaml \ https://github.com/trendmicro/visionone-container-security-helm/archive/main.tar.gz