- 重要な情報
- はじめに
- 用語集
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
Datadog Application Security Management (ASM) は、コードレベルの脆弱性を悪用することを目的としたアプリケーションレベルの攻撃や、システムを狙う悪質な行為に対する観測可能性を提供します。
さらに、ASM は、アプリケーションが実行時に使用する脆弱なライブラリや依存関係などを通じて、アプリケーションに組み込まれたリスクを検出します。
Datadog APM は、トレースと呼ばれる各アプリケーションリクエストに関する情報を記録します。Datadog ASM は、APM と同じトレーシングライブラリを使用してトラフィックを監視し、既知の攻撃パターンに一致する疑わしいリクエストに基づいて攻撃の試みにフラグを立てます。Datadog がサービスに影響を与えるアプリケーション攻撃を検出すると、セキュリティシグナルが自動的に作成されます。このシグナルは、個々の攻撃の試みを評価する代わりに、レビューのために重要な脅威を特定します。セキュリティシグナルの設定に応じて、Slack、メール、または PagerDuty から通知を受け取ることができます。
従来の Web アプリケーションファイアウォール (WAF) は、通常、境界にデプロイされ、アプリケーションの動作に関するコンテキストを持ちません。ASM はアプリケーションに組み込まれているため、トレースデータにアクセスすることができ、脅威をピンポイントで分類するのに有効です。Datadog ASM は、Web アプリケーションファイアウォール (WAF) と同様に既知の攻撃パターンを活用しますが、アプリケーションのコンテキストを追加することで S/N 比を高め、誤検知を低減させます。
Datadog ASM Threat Monitoring and Protection は、APM が既に収集している情報を使用し、攻撃の試みを含むトレースにフラグを付けます。アプリケーションの攻撃にさらされたサービスは、APM に組み込まれたセキュリティビュー (サービスカタログ、サービス詳細画面、トレース) で直接ハイライト表示されます。
APM はアプリケーションのトラフィックのサンプルを収集するため、サービスを効果的に監視し保護するためには、トレーシングライブラリで ASM を有効にすることが必要です。
Datadog Threat Monitoring and Detection は、すべてのリクエストでクライアントの IP アドレスと手動で追加したユーザータグを収集することで、悪質な行為者を特定します。
Datadog ASM Risk Management は、オープンソースのソフトウェアライブラリに関連する様々な既知の脆弱性データソースと、Datadog のセキュリティリサーチチームから提供される情報を利用して、アプリケーションがランタイムに依存するライブラリとその潜在的脆弱性を照合し、改善策を提言します。
Datadog ASM を Datadog の構成と互換性を持たせるためには、APM を有効にし、Datadog にトレースを送信する必要があります。ASM は APM が使用する同じライブラリを使用するため、別のライブラリをデプロイして維持する必要はありません。Datadog ASM を有効にするための手順は、ランタイム言語によって異なります。ASM の前提条件で、お使いの言語がサポートされているかどうかを確認してください。
Datadog ASM は、AWS Lambda 上にデプロイされた関数をサポートしています。検出は Lambda 拡張機能を利用することで行います。
Lambda 関数に対して、完全な脅威モニタリング機能が利用可能です。関数を狙う攻撃者を検出し、コードレベルの深い洞察で攻撃経路を追跡し、脅威を修正することができます。
Datadog ASM は、Agent と APM にすでに含まれているプロセスを使用するため、使用する際のパフォーマンスへの影響はほとんどありません。APM が有効な場合、Datadog ライブラリは分散型トレースを生成します。Datadog ASM は、既知の攻撃パターンを使用して、トレース内のセキュリティアクティビティにフラグを立てます。攻撃パターンと分散型トレースで提供される実行コンテキストを相関させることで、検出ルールに基づいてセキュリティシグナルをトリガーします。
トレーシングライブラリでは、Datadog ASM は、セキュリティデータを含むすべてのトレースを収集します。デフォルトの保持フィルターは、Datadog プラットフォームにおける全てのセキュリティ関連トレースの保持を保証するものです。
疑わしいリクエストのデータは、90 日間保存されます。基礎となるトレースデータは 15 日間保存されます。
機密情報がインデックス化されるのを回避するために、複数の方法が使用されています。さらに対策を講じるには、カスタムおよび静的スクラバーを設定し、除外フィルターを使用することができます。
注: Datadog ASM は、機密情報や PII を自動的に難読化することはありません。この機密データを Datadog に送信しないようにするには、Datadog Agent または Tracer をデータセキュリティ用に構成します。
インデックス化された可能性のある機密データを削除する場合は、サポートにお問い合わせください。
Datadog は、OWASP ModSecurity Core Rule Set を含む複数のパターンソースを使用して、HTTP リクエストにおける既知の脅威と脆弱性を検出します。HTTP リクエストが OOTB 検出ルールのいずれかにマッチすると、Datadog にセキュリティシグナルが生成されます。
セキュリティシグナルは、Datadog が本番サービスを標的とした意味のある攻撃を検出すると、自動的に作成されます。これにより、攻撃者と標的となったサービスに関する可視性を得ることができます。しきい値付きのカスタム検出ルールを設定して、通知を受けたい攻撃を決定することができます。
Datadog ASM は、攻撃や攻撃者を減速させるための保護機能を内蔵しています。
IP とユーザーのブロッキングアクションは、トレーシングライブラリを介して実装され、スタックに新たな依存性を導入することはありません。 ブロックは Datadog プラットフォームに保存され、Datadog Agent によって自動的かつ安全にフェッチされ、インフラストラクチャーにデプロイされ、アプリケーションに適用されます。詳しくは、リモート構成の仕組みをご覧ください。
ASM セキュリティシグナルでフラグが立てられた攻撃者を一時的または恒久的にブロックすることができます。シグナルエクスプローラでシグナルをクリックすると、そのシグナルを生成しているユーザーと IP アドレスが表示され、オプションでそれらをブロックすることができます。
そこから、ASM によって保護されているすべてのサービスは、指定された期間、ブロックされた IP またはユーザーによって実行される着信リクエストをブロックします。ブロックされたすべてのトレースには security_response.block_ip というタグが付けられ、トレースエクスプローラーに表示されます。ASM が無効になっているサービスは保護されません。
The blocked requests feature JSON or HTML content. If the Accept HTTP header is pointing to HTML, like text/html, the HTML content is used. Otherwise, the JSON one is used.
Both sets of content is embedded in the Datadog Tracer library package and loaded locally. See examples of the templates for HTML and JSON in the Datadog Java tracer source code on GitHub.
The HTML and JSON content can both be changed using the DD_APPSEC_HTTP_BLOCKED_TEMPLATE_HTML and DD_APPSEC_HTTP_BLOCKED_TEMPLATE_JSON environment variables. Alternatively, you can use the dd.appsec.http.blocked.template.html or dd.appsec.http.blocked.template.json configuration entries.
By default, the page shown in response to a blocked action looks like this:
詳しくは、脅威の監視と保護をご覧ください。
Datadog ASM は、攻撃の試みをさまざまな脅威の種類に分類します。
Datadog ASM には、以下の脆弱性を含むさまざまな種類の攻撃から保護するのに役立つ 100 以上の攻撃パターンが含まれています。
Datadog ASM には、オープンソース依存部分で検出された脆弱性について警告する検出機能が組み込まれています。その情報の詳細は、Vulnerability Explorer に表示され、重大度、影響を受けるサービス、潜在的に脆弱なインフラストラクチャー、および表面化したリスクを解決するための改善手順が特定されます。
詳しくは、Risk Management をご覧ください。
Datadog ASM は、Log4j Log4Shell 攻撃ペイロードを識別し、悪意のあるコードをリモートでロードしようとする脆弱なアプリを視覚化します。Datadog の Cloud SIEM の他の機能と組み合わせて使用すると、一般的なエクスプロイト後のアクティビティを特定して調査し、攻撃ベクトルとして機能する潜在的に脆弱な Java Web サービスをプロアクティブに修正することができます。
