- 重要な情報
- はじめに
- 用語集
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
Docker、Kubernetes、AWS ECS、AWS Fargate で動作する Node.js アプリのアプリケーションセキュリティを監視することができます。
In general, setting up Application Security Management (ASM) involves:
DD_APPSEC_ENABLED=true
or --enable-appsec
flags.Datadog Node.js ライブラリパッケージをバージョン 2.23.0 (NodeJS 12+ の場合) または 3.10.0 (NodeJS 14+ の場合) に更新します (以下のいずれかのコマンドを実行)。
npm install dd-trace@^2.23.0
npm install dd-trace@^3.10.0
または、以前にインストールした 1.x バージョンから更新するには
npm install dd-trace@2
ライブラリを 1.x から 2.x にアップグレードした場合、この移行ガイドを使用して、破壊的な変更を評価することができます。
Application Security Management は、Express v4+ および NodeJS v12.17.0+ と互換性があります。詳細については、互換性を参照してください。
**APM 用の Node.js ライブラリをインポートして初期化する場合は、ASM も有効にしてください。**これは、コードの中か、環境変数の中か、どちらかでしょう。コードで APM を初期化した場合は、init 文に {appsec: true}
を追加してください。
// この行は、インスツルメントされたいずれのモジュールのインポートより前である必要があります。
const tracer = require('dd-trace').init()
EcmaScript モジュール構文をサポートする TypeScript およびバンドラーの場合、正しいロード順序を維持するために、別のファイルでトレーサーを初期化します。
// server.ts
import './tracer'; // インスツルメントされたいずれのモジュールのインポートより前である必要があります。
// tracer.ts
import tracer from 'dd-trace';
tracer.init({
appsec: true
}); // ホイストを避けるため異なるファイルで初期化。
export default tracer;
デフォルトのコンフィギュレーションで十分な場合、またはすべてのコンフィギュレーションが環境変数を介して行われる場合は、dd-trace/init
を使用することもできます。これは 1 つのステップでロードおよび初期化されます。
import `dd-trace/init`;
または Node.js の --require
オプションを使用してコマンドラインで APM ライブラリを初期化する場合
node --require dd-trace/init app.js
そして、環境変数を使って ASM を有効にします。
DD_APPSEC_ENABLED=true node app.js
この方法は、サービスの実行場所によって異なります。
APM 用の構成コンテナを更新するには、docker run
コマンドに以下の引数を追加します。
docker run [...] -e DD_APPSEC_ENABLED=true [...]
コンテナの Dockerfile に以下の環境変数の値を追加します。
ENV DD_APPSEC_ENABLED=true
APM 用の構成 yaml ファイルコンテナを更新し、AppSec の環境変数を追加します。
spec:
template:
spec:
containers:
- name: <CONTAINER_NAME>
image: <CONTAINER_IMAGE>/<TAG>
env:
- name: DD_APPSEC_ENABLED
value: "true"
以下を環境セクションに追加して、ECS タスク定義 JSON ファイルを更新します。
"environment": [
...,
{
"name": "DD_APPSEC_ENABLED",
"value": "true"
}
]
コード内で ASM を初期化するか、サービス起動時に環境変数 DD_APPSEC_ENABLED
を true
に設定します。
DD_APPSEC_ENABLED=true node app.js
After this configuration is complete, the library collects security data from your application and sends it to the Agent, which sends it to Datadog, where out-of-the-box detection rules flag attacker techniques and potential misconfigurations so you can take steps to remediate.
To see Application Security Management threat detection in action, send known attack patterns to your application. For example, trigger the Security Scanner Detected rule by running a file that contains the following curl script:
for ((i=1;i<=200;i++));
do
# Target existing service’s routes
curl https://your-application-url/existing-route -A dd-test-scanner-log;
# Target non existing service’s routes
curl https://your-application-url/non-existing-route -A dd-test-scanner-log;
done
Note: The dd-test-scanner-log
value is supported in the most recent releases.
A few minutes after you enable your application and exercise it, threat information appears in the Application Signals Explorer and vulnerability information appears in the Vulnerability Explorer.