概要

Datadog Application Vulnerability Management (AVM) は、アプリケーションが依存しているオープンソースライブラリの脆弱性について、本番環境を継続的に監視します。ビジネスへの影響が最も大きい脆弱性を特定し、優先的に修復することができます。

このガイドでは、AVM の導入と運用のためのベストプラクティスを説明します。

フェーズ 1:

  1. ASM の互換性を確認し、ご利用のサービスが対応しているかどうかをご確認ください。
  2. サービスで Application Vulnerability Management を有効にします。

フェーズ 2:

  1. 脆弱性を特定します: Security -> Application Security -> Vulnerabilities に移動します。

  2. StatusSeverity でソートします。

    Application Vulnerability Management の Vulnerability タブが開かれ、Status と Severity でソートされている様子。

    それぞれの脆弱性に独自のステータスが設定され、診断結果の優先順位付けと管理に利用できます。

    ステータス説明
    Open脆弱性が Datadog により検出された場合。
    In Progressユーザーが脆弱性を In Progress としてマークしたが、引き続き Datadog により脆弱性が検出されている場合。
    Mutedユーザーが脆弱性を無視し、Open リストに表示されないようにしたが、引き続き Datadog により脆弱性が検出されている場合。
    Remediatedユーザーが脆弱性を解決済みとしてマークしたが、引き続き Datadog により脆弱性が確認されている場合。
    Auto-Closed脆弱性が Datadog により検出されなくなった場合。

    : Remediated と Auto-Closed の脆弱性は、Datadog により再度検出された場合、再度 Open になります。

  3. 脆弱性をクリックして、詳細を確認します。パネルが開き、以下の情報が表示されます。

    • 影響を受けているサービス

    • その脆弱性が最後に検出された日付

    • 脆弱性の説明

    • 推奨される修復手順

    • 脆弱性スコア

      Application Vulnerability Management の脆弱性の詳細ビュー。

      : AVM 内では、脆弱性の重大度は、攻撃の有無や脆弱性が検出された環境のビジネスに対する影響度を考慮し、基本スコアから修正されます。例えば、本番環境が検出されない場合は、重大度が軽減されます。

      調整後の脆弱性スコアは、各サービスの完全なコンテキストを含んでいます。

      • 元の脆弱性の重大度
      • 不審なリクエストの証拠
      • 機密性の高い環境、インターネットに接続された環境

      重大度は、以下の基準でスコアが決定されます。

      CVSS スコア定性的評価
      0.0なし
      0.1 - 3.9
      4.0 - 6.9
      7.0 – 8.9
      9.0 – 10.0重大
  4. オプションで、サービスのソフトウェア部品表 (SBOM) をダウンロードします。脆弱性の詳細を表示中に、View in Service Catalog をクリックします。ここから、サービスの Security ビューに移動し、ライブラリタブで SBOM をダウンロードすることができます。

フェーズ 3:

  1. 対応の優先順位を付け、修復を行います: Vulnerability Explorer で、以下の作業を行います。

    • 脆弱性のステータスを変更します。
    • 脆弱性をチームメンバーに割り当て、さらなる検討を行います。
    • リンクと情報源を確認し、各脆弱性の背後にあるコンテキストを理解します。

    : 脆弱性に担当者を追加しても、割り当てに関する通知は生成されません。この操作では、脆弱性の注釈として担当者の名前が表示されるのみとなります。

    Application Vulnerability Management の Explorer ビューに割り当て、ステータス、追加のソースが表示されている様子。

その他の参考資料