App and API Protection

Este producto no es compatible con el sitio Datadog seleccionado. ().
Panel de señales de seguridad en Datadog, que muestra flujos de ataque y gráficas de llamas

App & API Protection (AAP) proporciona visibilidad y seguridad unificadas para tus aplicaciones y APIs, ayudándote a detectar, investigar y prevenir amenazas en las cargas de trabajo modernas.

Tanto si defiendes APIs públicas como servicios internos o aplicaciones orientadas al usuario, AAP equipa tus Teams con detección de amenazas predeterminada en tiempo real, evaluación de la postura y protecciones dentro de la aplicación.

Anteriormente conocida como Application Security Monitoring (ASM), AAP ahora va más allá de la detección de amenazas en tiempo de ejecución para incluir funciones de detección de API, gestión de la postura y protección.

Capacidades clave

Detección de API y gestión de la postura

  • Detecta automáticamente todas las APIs expuestas por tus servicios.
  • Identifica los endpoints desprotegidos, no registrados o excesivamente permisivos.
  • Obtén resultados detallados y contextuales vinculados a endpoints específicos, configuraciones erróneas y comportamientos observados.
  • Evalúa las configuraciones de API en función de las reglas de postura basadas en las mejores prácticas de seguridad y los marcos de cumplimiento (por ejemplo, OWASP API Top 10).

Detección y protección de amenazas en tiempo de ejecución

  • Detecta amenazas en tiempo real, como ataques de inyección, intentos de toma de control de cuentas y abuso de aplicaciones.
  • Correlaciona los patrones de ataque multiseñal y conviértelos en información práctica.
  • Bloquea el tráfico malicioso con reglas WAF integradas en la aplicación utilizando atributos como IP, agente de usuario, encabezados, etc.

Casos prácticos

  • Protege los datos de los clientes en las APIs de producción.
  • Detecta y bloquea los ataques de relleno de credenciales y ATO.
  • Mantén el cumplimiento de la postura de la API en equipos y en los entornos.
  • Investiga incidentes con datos correlacionados de trazas, log y seguridad.

Aplicación de AAP en Datadog

Si tienes curiosidad por saber cómo se estructura App and API Protection y cómo utiliza los datos de rastreo para identificar problemas de seguridad, consulta Cómo funciona App and API Protection.

Configuración de tu entorno

Gracias a las reglas predefinidas, AAP detecta amenazas sin necesidad de configuración manual. Si ya tienes Datadog APM configurado en un host físico o virtual, la instalación solo requiere establecer una variable de entorno para empezar.

Para empezar a configurar tu entorno para detectar y proteger amenazas con AAP, sigue la documentación de habilitación de cada producto. Una vez configurado el AAP, puedes empezar a investigar y corregir las señales de seguridad en Security Signals Explorer.

Investigar y corregir señales de seguridad

En el Security Signals Explorer, haz clic en cualquier señal de seguridad para ver qué ha sucedido y qué pasos se sugieren para mitigar el ataque. En el mismo panel, consulta trazas con sus flujos de ataque correlacionados y solicita información para disponer de un mayor contexto.

Exploit Prevention frente a WAF en la aplicación

En esta sección, se ofrece un resumen de Exploit Prevention y en qué se diferencia de las reglas de Web Application Firewall (WAF) en la aplicación.

Datadog AAP incluye las funciones Exploit Prevention y WAF en la aplicación para proteger tus aplicaciones contra vulnerabilidades. Exploit Prevention es una extensión de WAF en la aplicación. Exploit Prevention aprovecha WAF en la aplicación como primera línea de defensa y bloquea los ataques que el WAF no detecta.

Exploit Prevention aprovecha la tecnología de Runtime Application Self-Protection (RASP) para determinar si una solicitud de aplicación interactúa con una ruta de código vulnerable y, a continuación, la protege de tipos de vulnerabilidad específicos:

  • Inyección SQL (SQLi)
  • Falsificación de solicitudes del lado del servidor (SSRF)
  • Inclusión de archivos locales (LFI)
  • Inserción de comandos

Para conocer la compatibilidad de las bibliotecas, consulta Exploit Prevention.

Además de detectar patrones maliciosos en la solicitud, Exploit Prevention se diferencia de WAF en la aplicación por el seguimiento de las acciones realizadas por la aplicación (consulta SQL ejecutada, archivos a los que se accede, etc.). Exploit Prevention es capaz de determinar si la entrada del usuario modificó la consulta SQL o restringió un archivo de forma perjudicial y bloquearlo.

Por ejemplo, en un ataque de inyección SQL, el objetivo del atacante es tomar el control de la consulta SQL y cambiar su significado. Exploit Prevention analiza la consulta SQL antes de su ejecución y comprueba si hay algún parámetro de usuario en la consulta. Si hay alguno presente, Exploit Prevention comprueba si el analizador SQL interpretó el parámetro como múltiples tokens SQL (cambiando el significado de la consulta SQL). En ese caso, Exploit Prevention marca la consulta como inyectada.

Desactivar AAP

Para obtener información sobre cómo desactivar AAP o sus funciones, consulta lo siguiente:

Siguientes pasos