実行中のコンテナにおける修復可能な脆弱性を特定するために、CrowdStrike Falcon Cloud Securityでは、コンテナの実行ステータスと修復状況に基づいてイメージの脆弱性をフィルタリングすることを推奨しています。このアプローチにより、コンテナの実行状態とイメージの評価結果が相関付けられるため、セキュリティチームはイメージ内に存在し、かつ実行中のワークロードに実際に影響を与える脆弱性に集中することができます。
イメージの脆弱性検出結果には、修正バージョン、パッチの可用性、アップグレードパスといった修復メタデータが含まれます。コンテナの実行ステータスでフィルタリングすることで、休止状態または未使用のイメージの脆弱性ではなく、差し迫ったリスクをもたらす脆弱性に焦点を絞ることができます。修復フィルターを追加すると、結果がさらに絞り込まれ、現実的に対処可能な脆弱性のみが表示されるため、チームは効率的に優先順位付けを行うことができます。
コンテナアセットと検出は、脆弱性の修復コンテキストではなく、ランタイム動作に焦点を当てているため、他のオプションは正しくありません。イメージ検出は、CVEではなく、マルウェアまたは疑わしいアーティファクトに関連しています。
このフィルタリング方法は、実行時の関連性と修復の実現可能性を組み合わせることで脆弱性の優先順位付けに関する CrowdStrike のベスト プラクティスと一致しており、オプション C が正しい答えになります。

オプションA：これはランタイムの問題や統合の問題を特定するのに役立ちますが、イメージの脆弱性をレビューするという具体的なタスクには対応していません。このステップは、イメージに既知の脆弱性がないことを確認した後に行う必要があります。
選択肢B：脆弱性スキャンツールはコンテナイメージ内の既知の脆弱性を特定するために特別に設計されているため、これが正解です。これらのツールはイメージレイヤーと依存関係の両方を分析し、対処が必要な脆弱性の包括的なリストを提供します。これは、より詳細な分析やデプロイメントに進む前に重要な最初のステップです。
オプションC：リソース使用率メト​​リクスは、脆弱性の特定ではなく、パフォーマンスの監視と最適化に使用されます。コンテナイメージのセキュリティ体制に関する知見は提供されません。
オプションD: これは重要なステップですが、最も重要な最初のステップではありません。手動検査は人為的なエラーが発生しやすく、基盤となる依存関係やベースイメージレイヤーの脆弱性を検出できません。

オプションA：これは、CrowdStrikeのコマンドラインツールを使用してコンテナイメージを手動でスキャンするための正しいコマンド構文です。falcon-image-scanコマンドはこの目的のために特別に設計されており、イメージの場所と名前を指定するために--registryや--imageなどのフラグが必要です。これにより、指定されたレジストリ内の目的のイメージをスキャンするための適切な構成が確保されます。
オプションB：alconctlは有効なCrowdStrikeツールですが、コンテナイメージのスキャンではなくエンドポイントの設定に使用されます。このコマンドは、誤ったツールとスキャン機能を誤って組み合わせています。
オプションC：このコマンド構造は架空のものであり、CrowdStrike CLIツールや構文とは一致しません。存在しないユーティリティが利用可能であるとユーザーに誤解させる可能性があります。
オプションD：この構文は一般的なCLIツールに似ているかもしれませんが、cscliはCrowdStrikeがイメージ評価に使用するコマンドラインツールではありません。このオプションは、CrowdStrikeツールと他のサードパーティ製ソリューションを混同する原因となります。

オプション A: CrowdStrike は、Amazon EKS、Azure AKS、Google GKE などのマネージド サービスを含む、オンプレミスとクラウドベースの両方の環境で実行される Kubernetes クラスターをサポートしているため、これは正しくありません。
オプションB: これは誤りです。Dockerはサポートされていますが、Kubernetes保護エージェントはcontainerdなどの他のコンテナランタイムもサポートしています。Dockerのみを必要とするというのは誤解です。
オプションC：これは不正解です。自動ポッドスケーリングはKubernetes保護エージェントのデプロイとは無関係です。これは必須ではなく、エージェントの機能にも影響しません。
オプションD：CrowdStrikeのKubernetes保護エージェントは、クラウド内のCrowdStrike Falconプラットフォームと通信します。この通信を可能にするには、インターネットアクセスが不可欠です。
これがないと、エージェントはテレメトリデータを送信したり更新を受信したりすることができません。

オプションA：調査なしに資産を直ちに削除すると、重要なサービスで使用されている場合に混乱が生じる可能性があります。対策を講じる前に、必ず検証を実施してください。
オプションB：管理されていない公開資産は重大なセキュリティリスクをもたらします。ベストプラクティスは、所有者を特定し、その正当性を評価し、セキュリティポリシーを適用するか、不要であれば廃止することです。シャドーIT、導入の忘れ、資産の設定ミスなどは、いずれも侵害につながる可能性があります。
オプション C: ネットワークのセグメンテーションにより露出を制限できますが、これらの資産が存在する理由や、それらが必要なものか不正なものかという根本的な原因には対処できません。
オプションD：送信トラフィックを制限することでリスクは軽減されるかもしれませんが、管理されていない情報公開の問題は解決されません。攻撃者は依然として、これらの資産の設定ミスや既知の脆弱性を悪用する可能性があります。