Supported OS Linux Mac OS Windows

概要

Signal Sciences のメトリクスとイベントを Datadog に送信することで、アプリケーション、API、マイクロサービスなどに対する攻撃や悪用をリアルタイムに監視できます。また、Signal Sciences が正しく機能し、トラフィックを検査していることを確認できます。

image-datadog-sigsci-dashboard

image-datadog-sigsci-security

Signal Sciences からメトリクスとイベントをリアルタイムに取得して、以下のことができます。

  • 以下に関連する WAF のメトリクスを表示できます。

    • 合計リクエスト数
    • 主要な潜在的攻撃の種類
    • コマンドの実行
    • SQL インジェクション
    • クロスサイトスクリプティング
    • パススキャニング
    • 異常トラフィック
    • 不明ソース
    • サーバーの 400/500
  • 以下のアクティビティのいずれかにより、Signal Sciences がブロックするか、悪意があると見なした IP を表示できます。

    • OWASP インジェクション攻撃
    • アプリケーション DoS
    • ブルートフォース攻撃
    • アプリケーションの悪用および誤用
    • リクエスト率制限
    • アカウント乗っ取り
    • 不正なボット
    • 仮想パッチ
  • Signal Sciences エージェントのステータスに関するアラートを表示できます。

セットアップ

Signal Sciences-Datadog インテグレーションを使用するには、Signal Sciences ユーザーである必要があります。Signal Sciences の詳細については、https://www.signalsciences.com を参照してください。

構成

メトリクスの収集

  1. Signal Sciences エージェントをインストールします。

  2. DogStatsD を使用するように Signal Sciences エージェントを構成します。

    各エージェントの agent.config ファイルに次の行を追加します。

    statsd-type = "dogstatsd"
    

    追加すると、エージェントの StatsD クライアントのタグ付け機能が有効になり、sigsci.agent.signal.<SIGNAL_TYPE> のようなメトリクスは、signal_type:<SIGNAL_TYPE> のタグが付いた sigsci.agent.signal として送信されます。

    例:sigsci.agent.signal.http404 => sigsci.agent.signal にタグ signal_type:http404 を使用

    Kubernetes を使用して Datadog Agent を実行している場合は、Kubernetes と DogStatsD に関するドキュメントの説明に従い、DogStatsD の非ローカルトラフィックを必ず有効にしてください。

  3. メトリクスを Datadog Agent に送信するように SigSci エージェントを構成します。

    各エージェントの agent.config ファイルに次の行を追加します。

    statsd-address="<DATADOG_AGENT_HOSTNAME>:<DATADOG_AGENT_PORT>"
    
  4. ボタンをクリックしてインテグレーションをインストールします。

  5. Datadog で、「Signal Sciences - Overview」ダッシュボードが作成され、メトリクスのキャプチャが開始されていることを確認します。

イベント収集

  1. Datadog で、API キーを作成します。

  2. Signal Sciences ダッシュボードのサイトナビゲーションバーで、Manage > Integrations をクリックし、Datadog Event インテグレーションの横にある Add をクリックします。

  3. API Key フィールドに API キーを入力します。

  4. Add をクリックします。

詳細については、Datadog Signal Sciences インテグレーションを参照してください。

収集データ

メトリクス

sigsci.agent.waf.total
(rate)
The number of requests inspected per second.
Shown as request
sigsci.agent.waf.error
(rate)
The number of errors per second while processing requests.
Shown as error
sigsci.agent.waf.allow
(rate)
The number of allow operations per second.
Shown as operation
sigsci.agent.waf.block
(rate)
The number of block operations per second.
Shown as operation
sigsci.agent.waf.perf.decision_time.50pct
(gauge)
The decision time 50th percentile.
Shown as second
sigsci.agent.waf.perf.decision_time.95pct
(gauge)
The decision time 95th percentile.
Shown as second
sigsci.agent.waf.perf.decision_time.99pct
(gauge)
The decision time 99th percentile.
Shown as second
sigsci.agent.waf.perf.queue_time.50pct
(gauge)
The queue time 50th percentile.
Shown as second
sigsci.agent.waf.perf.queue_time.95pct
(gauge)
The queue time 95th percentile.
Shown as second
sigsci.agent.waf.perf.queue_time.99pct
(gauge)
The queue time 99th percentile.
Shown as second
sigsci.agent.rpc.connections.open
(gauge)
The number of open rpc connections.
Shown as connection
sigsci.agent.runtime.cpu_pct
(gauge)
CPU percent used by the agent.
Shown as percent
sigsci.agent.runtime.mem.sys_bytes
(gauge)
Memory used by the agent.
Shown as byte
sigsci.agent.runtime.uptime
(gauge)
Agent uptime in seconds.
Shown as second
sigsci.agent.signal
(rate)
Number of signals of each type per second..

イベント

Signal Sciences で IP アドレスにフラグが立てられると、イベントが作成され、Datadog イベントストリームに送信されます。

サービスチェック

Signal Sciences インテグレーションには、サービスのチェック機能は含まれません。

トラブルシューティング

ご不明な点は、Datadog のサポートチームまでお問合せください。

その他の参考資料

お役に立つドキュメント、リンクや記事: