ECS-Fargate-Sysdig-Secure-Mining-Detection

Serverless Agents を利用して ECS on Fargate 環境で Sysdig Secure のマイニング検知をしてみた | DevelopersIOブログのリポジトリです。

前提条件

• AWSアカウントを持っていること
• Terraformの実行環境があること
• Sysdig Secureのアカウントを持っていること

リソース

下記リソースをデプロイします。

• VPC
• Subnet(Public/Private)
• Route Table
• Internet Gateway
• Nat Gateway
• EC2（疑似アタック用サーバ）
• EC2 Instance Connect Endpoint
• Network Load Balancer
• ECS Cluster
  • Sysidig Orchastrator Agent
  • Security Playground（擬似アタック被害コンテナ） + Sysdig Workload Agent

構成図

通信要件

セットアップ手順

クローン

git clone https://github.com/Keisuke-Hiraki/ECS-Fargate-Sysdig-Secure-Mining-Detection.git

初期化

terraform init

作成

-varオプションに引数を渡す場合のコマンドは下記です。

terraform apply \
-var 'access_key=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' \
-var 'secure_api_token=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' \
-var 'collector_url=xxx.xxx.sysdig.com' \
-var 'sysdig_secure_url=https://xxx.xxx.sysdig.com' 

また、terraform.tfvarsファイルを使用する場合は、まずファイルを下記のように作成してください。

# Sysdig Access key
access_key = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

# Sysdig Secure API Token
secure_api_token = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

# ご自身のSysdig SaaSリージョンの値
collector_url = "xxx.xxx.sysdig.com"

# ご自身のSysdig SaaSリージョンの値
sysdig_secure_url = "https://xxx.xxx.sysdig.com"

続いて、terraform.tfvarsファイルを作成した場合のコマンドは下記です。

terraform apply -var-file terraform.tfvars

各パラメータについては下記をご確認ください。

• access_key Agent Access Keys | Sysdig Docs
• secure_api_token Retrieve the Sysdig API Token | Sysdig Docs
• collector_urlとsysdig_secure_url SaaS Regions and IP Ranges | Sysdig Docs

Ex.） US West (Oregon) の場合

collector_url は ingest-us2.app.sysdig.com

sysdig_secure_url は https://us2.app.sysdig.com

削除

terraform destroy \
-var 'access_key=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' \
-var 'secure_api_token=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' \
-var 'collector_url=xxx.xxx.sysdig.com' \
-var 'sysdig_secure_url=https://xxx.xxx.sysdig.com' 

terraform.tfvarsファイルを作成していた場合は、

terraform destroy -var-file terraform.tfvars