La gestión de amenazas de ASM utiliza la telemetría de trazas (traces) de las aplicaciones instrumentadas por APM para identificar amenazas y ataques en los servicios en ejecución comparando el comportamiento observado con patrones de ataque conocidos, o identificando el abuso de la lógica de negocio.

Las señales de seguridad planteadas por la monitorización de amenazas se resumen y aparecen en las vistas que ya visitas habitualmente para monitorizar el estado y el rendimiento de los servicios. El catálogo de servicios y las páginas individuales de servicios en APM proporcionan información sobre las señales de amenazas de las aplicaciones, lo que te permite investigar vulnerabilidades, bloquear atacantes y revisar exposiciones a ataques.

Para obtener más información sobre cómo funciona la gestión de amenazas, consulta Cómo funciona ASM.

Exploración de las señales de amenaza

Cuando los datos de amenazas de los servicios llegan a Datadog, la información general de ASM muestra un resumen de lo que está ocurriendo. Aquí, puedes habilitar la detección de vulnerabilidades, revisar los ataques, personalizar las alertas y los informes, y habilitar ASM en los servicios. Para investigar señales de actividad sospechosa, haz clic en el enlace Review (Revisar) del servicio.

En el explorador de señales, filtra por atributos y facetas para encontrar amenazas críticas. Haz clic en una señal para ver sus detalles, incluida la información del usuario y su dirección IP, qué regla activó, el flujo del ataque, las trazas (traces) relacionadas y otras señales de seguridad. Desde esta página también puedes hacer clic para crear un caso y declarar un incidente. Para obtener más información, consulta Investigación de las señales de seguridad.

Creación de reglas de WAF en la aplicación para identificar patrones de ataque

Puedes crear reglas de WAF en la aplicación que definan qué aspecto tiene el comportamiento sospechoso en la aplicación, aumentando las reglas predeterminadas que vienen con ASM. A continuación, especifica reglas personalizadas para generar señales de seguridad a partir de los intentos de ataque desencadenados desde estas reglas, planteándolas en las vistas de la monitorización de amenazas para su investigación.

Frena los ataques y a los atacantes con ASM Protect

If your service is running an Agent with Remote Configuration enabled and a tracing library version that supports it, you can block attacks and attackers from the Datadog UI without additional configuration of the Agent or tracing libraries.

ASM Protect goes beyond Threat Detection and enables you to take blocking action to slow down attacks and attackers. Unlike perimeter WAFs that apply a broad range of rules to inspect traffic, ASM uses the full context of your application—its databases, frameworks, and programming language—to narrowly apply the most efficient set of inspection rules.

ASM leverages the same tracing libraries as Application Performance Monitoring (APM) to protect your applications against:

• Attacks: ASM’s In-App WAF inspects all incoming traffic and uses pattern-matching to detect and block malicious traffic (security traces).
• Attackers: IP addresses and authenticated users that are launching attacks against your applications are detected from the insights collected by the libraries and flagged in Security Signals.

Security traces are blocked in real time by the Datadog tracing libraries. Blocks are saved in Datadog, automatically and securely fetched by the Datadog Agent, deployed in your infrastructure, and applied to your services. For details, read How Remote Configuration Works.

To start leveraging Protection capabilities—In-App WAF, IP blocking, User blocking and more—read Protection.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Seguimiento de la actividad de los usuariosDOCUMENTACIÓN Configuración de ASMDOCUMENTACIÓN Análisis de composición de softwareDOCUMENTACIÓN Cómo funciona ASMDOCUMENTACIÓN