Investigation des conteneurs

Réponse aux incidents et investigation des conteneurs pour Kubernetes

Profiter d’un essai gratuit

Déployez l’investigation et la réponse aux incidents pour les conteneurs et Kubernetes afin de comprendre les violations de sécurité, de satisfaire aux exigences de conformité et de revenir rapidement à la normale après une attaque. Sysdig Secure est votre source d’informations fiables pour toute l’activité au sein de l’écosystème de conteneurs avant, pendant et après un incident.

Sysdig Icon - Vulnerability Report

Comprenez et limitez l’impact de toute violation de sécurité

La richesse des données contenues au sein d’un rapport d’investigation détaillé Sysdig Secure vous permet de répondre rapidement aux réponses clés au sujet de vos incidents : « quand », « quoi », « qui » et « pourquoi ».

Sysdig Icon - Security Policy

Réagissez plus rapidement aux incidents et suivez un processus de reprise personnalisé

Rationalisez la réponse aux incidents et déterminez rapidement ce qui s’est passé grâce à un enregistrement d’activité détaillé. Des stratégies affinées mettent à profit la bibliothèque de règles Falco pour analyser et auditer les violations de stratégie de sécurité pendant l’exécution.

Sysdig Icon - Forensics

Réalisez l’analyse post mortem d’un conteneur hors production

Analysez les données d’investigation capturées et recréez toute l’activité système, même pour les conteneurs disparus depuis longtemps.

Comprenez et limitez l’impact de toute violation de sécurité

Sysdig Secure est en mesure de recueillir des données granulaires à partir des appels système. Vous obtenez ainsi une source d’informations fiables pour l’analyse forensics des conteneurs et la réponse aux incidents. Et un éclairage précieux sur l’activité des processus, des disques et du réseau avant, pendant et après un incident.

Organisez la réponse aux incidents Kubernetes en vous appuyant sur une intégration étroite avec les outils d’orchestration des conteneurs et Kubernetes. Sysdig Secure met en corrélation les données des appels système avec les métadonnées des conteneurs/cloud et Kubernetes pour vous aider à examiner rapidement l’événement malveillant.

Dans le cas de la réponse aux incidents liés aux conteneurs et à Kubernetes, la nature éphémère des conteneurs rend extrêmement difficile la recherche des causes dans les environnements distribués et dynamiques. Sysdig Secure vous permet de définir des règles hautement granulaires (en utilisant Falco) pour détecter la présence d’activités indésirables. Vous pouvez utiliser une syntaxe flexible pour identifier ce qui s’est passé (cryptojacking, fuite d’informations sensibles) et en déterminer la cause racine (compromission de l’utilisateur, vulnérabilité).

Réagissez plus rapidement aux incidents de sécurité et suivez un processus de reprise personnalisé

Lorsqu’une activité inhabituelle est détectée, les stratégies Sysdig prêtes à l’emploi basées sur Falco ou vos stratégies d’exécution personnalisées peuvent déclencher automatiquement un événement de sécurité. À l’apparition d’un incident, vous pouvez immédiatement faire un zoom dessus et l’isoler dans une zone spécifique de l’infrastructure Kubernetes.

Sysdig Secure vous permet d’utiliser des filtres personnalisés pour afficher en temps réel le flux des activités utilisateur et système. Ces activités sont corrélées à des métriques variées afin d’identifier plus rapidement la cause racine (Kubernetes, conteneur, hôte, réseau et fichiers). Sysdig Secure vous donne la possibilité de remonter la piste d’une commande kube-exec jusqu’à l’utilisateur et l’activité réseau.

Investiguez en profondeur pour identifier les agissements de l’attaquant. Dans cet exemple, on peut voir qu’il a exécuté bash, puis des commandes curl, pour télécharger un fichier sur Internet, décompresser et détruire l’historique bash.

Réalisez une analyse post mortem du conteneur

Les conteneurs sont détruits bien avant le début des investigations et de la réponse aux incidents. C’est pourquoi Sysdig Secure enregistre les données d’investigation tant que les conteneurs sont encore actifs. Prenant la forme d’un fichier SCAP, les captures d’analyse des conteneurs permettent d’examiner, d’analyser et de recréer l’activité associée aux événements de sécurité avant, pendant et après l’incident.

Vous pouvez mettre en corrélation l’activité système, utilisateur et conteneur dans la durée, au cours d’un processus d’investigation des conteneurs. Sysdig Secure établit pour vous une chronologie interactive des événements et actions même après que le conteneur a été détruit.

Conservez un enregistrement pour la réponse aux incidents. Sysdig Secure affiche l’ensemble de l’activité (y compris les commandes, l’activité des fichiers, les connexions réseau, etc.) avant et après l’événement pour une analyse d’investigation complète. Vous pouvez même recréer le contenu d’un fichier dans le cas d’un incident malveillant.

“Le fait d’être immédiatement avertis dès qu’un accès non autorisé se produit nous permet d’agir rapidement pour remédier au problème. Et comme les journaux des opérations des développeurs sont consignés et présentés dans un format convivial, nous pouvons vérifier facilement ce qui s’est passé en cas d’incident, ce qui est très rassurant.”

Hiroki Suezawa, ÉQUIPE D’INGÉNIERIE SÉCURITÉ, Mercari

 

Lire l’étude de cas

Cela pourrait aussi vous intéresser

Commencez votre essai gratuit de 30 jours en quelques minutes !

Accès complet à toutes les fonctionnalités. Aucune carte bancaire ne vous sera demandée.