Información sobre amenazas

Información general

Este tema describe la información sobre amenazas para Application Security Management (ASM).

Datadog proporciona conjuntos de datos de información sobre amenazas integrada para ASM. Esto proporciona pruebas adicionales a la hora de abordar la actividad de seguridad y reduce los umbrales de detección para algunas detecciones de lógica de negocio.

Además, ASM admite bring your own threat intelligence (traer tu propia información sobre amenazas). Esta funcionalidad mejora las detecciones con información sobre amenazas específica de la empresa.

Prácticas recomendadas

Datadog recomienda los siguientes métodos para usar la información sobre amenazas:

  1. Reducir los umbrales de las reglas de detección para amenazas a la lógica de negocio como el relleno de credenciales. Los usuarios pueden clonar la regla predeterminada de Relleno de credenciales y modificarla para adaptarla a sus necesidades.
  2. Utilizar la información sobre amenazas como indicador de reputación con actividad de seguridad.

Datadog no recomienda lo siguiente:

  1. Bloqueo de trazas (traces) de la información sobre amenazas sin la correspondiente actividad de seguridad. Las direcciones IP pueden tener muchos hosts detrás de ellas. La detección de un proxy residencial significa que la actividad asociada ha sido observada por un host detrás de esa IP. No garantiza que el host que ejecuta el malware o proxy sea el mismo host que se comunica con tus servicios.
  2. Bloqueo en todas las categorías de información de amenazas, ya que esto incluye el tráfico benigno de las VPN corporativas y bloquea el tráfico no malicioso.

Filtrado de información sobre amenazas en ASM

Los usuarios pueden filtrar la información sobre amenazas en Signals Explorer y Trace Explorer utilizando facetas y la barra de búsqueda.

Para buscar todas las trazas marcadas por una fuente específica, utiliza la siguiente consulta con el nombre de la fuente:

@threat_intel.results.source.name:<SOURCE_NAME>

Para consultar todas las trazas que contengan información sobre amenazas de cualquier fuente, utiliza la siguiente consulta:

@appsec.threat_intel:true

Trae tu propia información sobre amenazas

ASM admite la mejora y la búsqueda de trazas con indicadores de peligro en la información sobre amenazas almacenados en tablas de referencia de Datadog. Las Tablas de referencia permiten combinar metadatos con información ya existente en Datadog.

Almacenamiento de indicadores de peligro en tablas de referencia

La inteligencia sobre amenazas se admite en formato CSV y requiere las siguientes columnas:

Estructura CSV

campodatosdescripciónobligatorioejemplo
dirección_iptextoLa clave primaria para la tabla de referencia en el formato de notación de puntos IPv4.verdadero192.0.2.1
datos_adicionalesjsonDatos adicionales para mejorar la traza.falso{"ref":"hxxp://example.org"}
categoríatextoLa categoría de información sobre amenazas. Esto es utilizado por algunas reglas de detección predefinidas.verdaderoresidential_proxy
intencióntextoLa intención de la amenaza. Esto es utilizado por algunas reglas de detección.verdaderomalicioso
fuentetextoEl nombre de la fuente y el enlace a su sitio, como la wiki de tu equipo.verdadero{"name":"internal_security_team", "url":"https://teamwiki.example.org"}

En las Facetas de información sobre amenazas se puede consultar la lista completa de categorías e intenciones admitidas.

JSON en un CSV requiere comillas dobles. A continuación, se muestra un ejemplo de CSV.
ip_address,additional_data,category,intention,source
192.0.2.1,"{""ref"":""hxxp://example.org""}",scanner,suspicious,"{""name"":""internal_security_team"", ""url"":""https://teamwiki.example.org""}"
192.0.2.2,"{""ref"":""hxxp://example.org""}",scanner,suspicious,"{""name"":""internal_security_team"", ""url"":""https://teamwiki.example.org""}"
192.0.2.3,"{""ref"":""hxxp://example.org""}",scanner,suspicious,"{""name"":""internal_security_team"", ""url"":""https://teamwiki.example.org""}"

Cargar y activar tu propia información sobre amenazas

Datadog admite la creación de tablas de referencia mediante una carga manual o recuperando periódicamente los datos de Amazon S3, Azure Storage o Google Cloud Storage.

Notas:

  • Un periodo de entre 10 y 30 minutos puede ser necesario para empezar a enriquecer trazas (traces) de ASM espués de crear una tabla.
  • Si una clave primaria está duplicada, se omite y se muestra un mensaje de error sobre la clave.

En una nueva página de tabla de referencias:

  1. Asigna un nombre a la tabla. Se hace referencia al nombre de la tabla en la configuración de Información de amenazas de ASM.

  2. Carga un CSV local o importa un CSV desde un bucket de almacenamiento en la nube. El archivo se normaliza y valida.

  3. Previsualiza el esquema de la tabla y elige la dirección IP como clave primaria.

    Nueva tabla de referencia

  4. Guarda la tabla.

  5. En Información sobre amenazas, localiza la nueva tabla y, a continuación, selecciona el conmutador para activarla.

    Tabla de referencia activada

Uso del almacenamiento en la nube

Cuando la tabla de referencia se crea desde el almacenamiento en la nube, se actualiza periódicamente. Toda la tabla se sustituye. Los datos no se fusionan.

Consulta la documentación de la tabla de referencia relacionada para:

Solucionar problemas importación a la nube

Si las tablas de referencia no se actualizan, selecciona el enlace Ver eventos de cambios en la configuración de la página de detalles de la tabla de referencia.

La opción Ver eventos de cambios abre una página en Gestión de eventos que muestra posibles eventos de error de ingestión. También puedes filtrar en Gestión de eventos, utilizando el nombre de la tabla de referencia.

En Datadog Event Management, puede parecer que los datos se obtienen de la nube, pero puede llevar unos minutos más propagar esos cambios a Threat Intellegence.

Otros detalles útiles sobre la importación a la nube que debes recordar:

  • La latencia esperada antes de que los enriquecimientos actualizados estén disponibles cuando se carga o actualiza una fuente es de 10 a 30 minutos.
  • Cómo saber cuándo se aplican las actualizaciones: Los cambios son visibles en la tabla de referencia o en tramos (spans). Selecciona el enlace Ver eventos de cambios en la página de detalles de la tabla de referencia para ver los eventos asociados.
  • La actualización sustituye la tabla completa por los nuevos datos.
  • En caso de clave primaria duplicada, las filas con la clave duplicada no se escriben y se muestra un error en la página de detalles de la tabla de referencia.

Filtra trazas uniendo la lista con una tabla de referencia

Puedes filtrar trazas de ASM en Datadog uniendo una tabla de traza con una Tabla de referencia.

Para unir una Tabla de referencia con una consulta de traza, se combinan filas de la tabla de trazas de Datadog y una Tabla de referencia basándose en una columna relacionada entre ellas. La consulta de trazas devuelve solo aquellas trazas en las que hay una coincidencia en ambas tablas.

El uso de una unión con una tabla de referencia permite evaluar el impacto antes de la mejora mediante la búsqueda de coincidencias históricas con trazas existentes.

Puedes utilizar cualquier campo, no solo direcciones IP. Por ejemplo, al asociar las trazas de seguridad con URL específicas de una tabla de referencia, puedes identificar qué partes de tu aplicación son blanco de ataques. Esto puede ayudar a señalar vulnerabilidades o áreas de alto riesgo dentro de la aplicación.

Ejemplos:

  • Investigación y respuesta a incidencias. Puedes cargar y unirte utilizando IPs u otros campos de ataques y ver el tráfico relacionado con esa incidencia.
  • Al utilizar las trazas de seguridad con las direcciones IP de una tabla de referencia, como la asociación de direcciones IP con localizaciones geográficas o detalles organizativos, los equipos de seguridad pueden obtener un mejor contexto en torno a los intentos de ataque. Esto puede ayudar a comprender el origen y la posible motivación de los ataques.

Para unir una traza con una Tabla de referencia:

  1. Carga la tabla de referencia que deseas utilizar tal y como se describe en Cargar y habilitar tu propia información sobre amenazas.
  2. Para unir una traza con una Tabla de referencia, en trazas, selecciona Add (Añadir), y luego selecciona Join with Reference Table (Unir con la Tabla de referencia).
  3. En Inner join with reference table (Unión interna con la tabla de referencia), selecciona la Tabla de referencia a utilizar.
  4. En where field (campo where), selecciona el campo de trazas de Datadog que deseas utilizar para la unión.
  5. En column (columna), selecciona el campo Tabla de referencia que se utilizará para la unión.
Descripción de tu imagen

Mejora de trazas para las reglas de detección

Mejorar las trazas incluye los atributos de información sobre amenazas en trazas de ASM cuando el indicador de amenaza coincide con el valor de la clave http.client_ip en la traza de ASM. Esto permite buscar trazas con coincidencias de información de amenazas utilizando las facetas existentes y la información de amenazas con reglas de detección.

Información sobre amenazas en la interfaz de usuario

Al visualizar trazas en el Trace Explorer de ASM, puedes ver los datos sobre amenazas en el atributo @appsec. Los atributos category y security_activity están ambos configurados.

Ejemplo del atributo appsec que contiene datos de amenazas

En @threat_intel.results siempre puedes ver todos los detalles de lo que se ha cotejado y de qué fuente:

Ejemplo del atributo threat_intel que contiene datos de amenazas

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Información sobre amenazas en DatadogDOCUMENTACIÓN more more Protección contra las amenazas con Datadog Application Security ManagementDOCUMENTACIÓN more more