Para aportar tu propia inteligencia sobre amenazas
Datadog Security permite enriquecer y buscar trazas (traces) con indicadores de riesgo de inteligencia sobre amenazas almacenados en las tablas de referencia de Datadog. Las tablas de referencia permiten combinar metadatos con información ya existente en Datadog.
Almacenamiento de indicadores de peligro en tablas de referencia
La inteligencia sobre amenazas se admite en formato CSV y requiere las siguientes columnas:
Estructura CSV
| campo | datos | descripción | obligatorio | ejemplo |
|---|
| dirección_ip | texto | La clave primaria para la tabla de referencia en el formato de notación de puntos IPv4. | verdadero | 192.0.2.1 |
| datos_adicionales | json | Datos adicionales para mejorar la traza. | falso | {"ref":"hxxp://example.org"} |
| categoría | texto | La categoría de información sobre amenazas. Esto es utilizado por algunas reglas de detección predefinidas. | verdadero | residential_proxy |
| intención | texto | La intención de la amenaza. Esto es utilizado por algunas reglas de detección. | verdadero | malicioso |
| source | json | Campos que representan dónde se origina la inteligencia sobre amenazas, como tu equipo y la wiki de tu equipo. | verdadero | {"name":"internal_security_team", "url":"https://teamwiki.example.org"} |
En las Facetas de información sobre amenazas se puede consultar la lista completa de categorías e intenciones admitidas.
JSON en un CSV requiere comillas dobles. A continuación, se muestra un ejemplo de CSV.
ip_address,additional_data,category,intention,source
192.0.2.1,"{""ref"":""hxxp://example.org""}",scanner,suspicious,"{""name"":""internal_security_team"", ""url"":""https://teamwiki.example.org""}"
192.0.2.2,"{""ref"":""hxxp://example.org""}",scanner,suspicious,"{""name"":""internal_security_team"", ""url"":""https://teamwiki.example.org""}"
192.0.2.3,"{""ref"":""hxxp://example.org""}",scanner,suspicious,"{""name"":""internal_security_team"", ""url"":""https://teamwiki.example.org""}"
Datadog admite la creación de tablas de referencia mediante una carga manual o recuperando periódicamente los datos de Amazon S3, Azure Storage o Google Cloud Storage.
**Notas de uso
- Si una clave primaria está duplicada, se omite y se muestra un mensaje de error sobre la clave.
- Las señales no se enriquecen. El enriquecimiento solo se aplica a las trazas.
- Datadog no enriquece las IP locales o privadas.
- Solo se enriquecen las trazas nuevas (después de activar o actualizar la tabla de referencia). Las trazas antiguas no se enriquecen retroactivamente.
- El enriquecimiento se produce para las trazas que coinciden con las IP (admitidas en SIEM y App and API Protection) y los dominios (admitidos en SIEM) en la tabla de referencia.
- Las cargas manuales de archivos no se actualizan automáticamente. Las actualizaciones solo se producen desde el almacenamiento en la nube.
En una nueva página de tabla de referencias:
Asigna un nombre a la tabla. Se hace referencia al nombre de la tabla en la configuración de Información de amenazas de AAP.
Carga un CSV local o importa un CSV desde un bucket de almacenamiento en la nube. El archivo se normaliza y valida.
Previsualiza el esquema de la tabla y elige la dirección IP como clave primaria.
Guarda la tabla.
En Información sobre amenazas, localiza la nueva tabla y, a continuación, selecciona el conmutador para activarla.
Uso del almacenamiento en la nube
Cuando la tabla de referencia se crea desde el almacenamiento en la nube, se actualiza periódicamente. Toda la tabla se sustituye. Los datos no se fusionan.
Consulta la documentación de la tabla de referencia relacionada para:
Solucionar problemas importación a la nube
Si las tablas de referencia no se actualizan, selecciona el enlace Ver eventos de cambios en la configuración de la página de detalles de la tabla de referencia.
La opción Ver eventos de cambios abre una página en Gestión de eventos que muestra posibles eventos de error de ingestión. También puedes filtrar en Gestión de eventos, utilizando el nombre de la tabla de referencia.
En Datadog Event Management, puede parecer que los datos se obtienen de la nube, pero puede llevar unos minutos más propagar esos cambios a Threat Intellegence.
Otros detalles útiles sobre la importación a la nube que debes recordar:
- La latencia esperada antes de que los enriquecimientos actualizados estén disponibles cuando se carga o actualiza una fuente es de 10 a 30 minutos.
- Cómo saber cuándo se aplican las actualizaciones: Los cambios son visibles en la tabla de referencia o en tramos (spans). Selecciona el enlace Ver eventos de cambios en la página de detalles de la tabla de referencia para ver los eventos asociados.
- La actualización sustituye la tabla completa por los nuevos datos.
- En caso de clave primaria duplicada, las filas con la clave duplicada no se escriben y se muestra un error en la página de detalles de la tabla de referencia.
Filtra trazas uniendo la lista con una tabla de referencia
Puedes filtrar trazas de AAP en Datadog uniendo una tabla de traza con una Tabla de referencia.
Para unir una Tabla de referencia con una consulta de traza, se combinan filas de la tabla de trazas de Datadog y una Tabla de referencia basándose en una columna relacionada entre ellas. La consulta de trazas devuelve solo aquellas trazas en las que hay una coincidencia en ambas tablas.
El uso de una unión con una tabla de referencia permite evaluar el impacto antes de la mejora mediante la búsqueda de coincidencias históricas con trazas existentes.
Puedes utilizar cualquier campo, no solo direcciones IP. Por ejemplo, al asociar las trazas de seguridad con URL específicas de una tabla de referencia, puedes identificar qué partes de tu aplicación son blanco de ataques. Esto puede ayudar a señalar vulnerabilidades o áreas de alto riesgo dentro de la aplicación.
Ejemplos:
- Investigación y respuesta a incidencias. Puedes cargar y unirte utilizando IPs u otros campos de ataques y ver el tráfico relacionado con esa incidencia.
- Al utilizar las trazas de seguridad con las direcciones IP de una tabla de referencia, como la asociación de direcciones IP con localizaciones geográficas o detalles organizativos, los equipos de seguridad pueden obtener un mejor contexto en torno a los intentos de ataque. Esto puede ayudar a comprender el origen y la posible motivación de los ataques.
Para unir una traza con una Tabla de referencia:
- Carga la tabla de referencia que deseas utilizar tal y como se describe en Cargar y habilitar tu propia información sobre amenazas.
- Para unir una traza con una Tabla de referencia, en trazas, selecciona Add (Añadir), y luego selecciona Join with Reference Table (Unir con la Tabla de referencia).
- En Inner join with reference table (Unión interna con la tabla de referencia), selecciona la Tabla de referencia a utilizar.
- En where field (campo where), selecciona el campo de trazas de Datadog que deseas utilizar para la unión.
- En column (columna), selecciona el campo Tabla de referencia que se utilizará para la unión.
Mejora de trazas para las reglas de detección
Mejorar las trazas incluye los atributos de información sobre amenazas en trazas de AAP cuando el indicador de amenaza coincide con el valor de la clave http.client_ip en la traza de AAP. Esto permite buscar trazas con coincidencias de información de amenazas utilizando las facetas existentes y la información de amenazas con reglas de detección.
