Application Threat Monitoring and Protection

ASM Threat Monitoring and Protection は、APM でインスツルメンテーションされたアプリケーションからのトレーステレメトリーを使用して、観測された挙動を既知の攻撃パターンと比較したり、ビジネスロジックの乱用を特定することにより、実行中のサービスに対する脅威や攻撃を特定します。

Threat Monitoring によって提起されたセキュリティシグナルは、サービスの健全性とパフォーマンスを監視するために、すでによく訪れているビューに要約され、表示されます。APM のサービスカタログと個々のサービスページでは、アプリケーションの脅威シグナルをすばやく把握でき、すばやくクリックしてシグナルを調査し、攻撃者をブロックすることができます。

脅威シグナルを表示するサービスを含むサービスカタログ

Threat Monitoring and Protection の仕組みについての詳細は、ASM の仕組みをご覧ください。

脅威シグナルを探る

サービスの脅威データが Datadog に取り込まれると、ASM Overview に何が起きているかの概要が表示されます。ここでは、セキュリティモニタリングの範囲を確認したり、サービスの ASM を有効にしたりすることができます。不審なアクティビティのシグナルを調査するには、サービスの Review リンクをクリックします。

シグナルエクスプローラーでは、属性とファセットでフィルターをかけて、重要な脅威を見つけることができます。シグナルをクリックすると、ユーザー情報、IP アドレス、トリガーしたルール、関連するトレースや他のセキュリティシグナルなど、シグナルの詳細を確認できます。

このページから、ユーザーや IP のブロックとブロック解除を行ったり、どのインフラストラクチャーが影響を受けたかを調査したりすることができます。

攻撃パターンを特定するための In-App WAF ルールの作成

ASM に付属するデフォルトのルールを拡張して、アプリケーションの疑わしい動作を定義する In-App WAF ルールを作成することができます。そして、これらのルールからトリガーされた攻撃試行からセキュリティシグナルを生成するためにカスタムルールを指定し、調査のために Threat Monitoring ビューでそれらを表示することができます。

ASM Protect で攻撃と攻撃者の速度を落とす

If your service is running an Agent with Remote Configuration enabled and a tracing library version that supports it, you can block attacks and attackers from the Datadog UI without additional configuration of the Agent or tracing libraries.

ASM Protect goes beyond Threat Detection and enables you to take blocking action to slow down attacks and attackers. Unlike perimeter WAFs that apply a broad range of rules to inspect traffic, ASM uses the full context of your application—its databases, frameworks, and programming language—to narrowly apply the most efficient set of inspection rules.

ASM leverages the same tracing libraries as Application Performance Monitoring (APM) to protect your applications against:

  • Attacks: ASM’s In-App WAF inspects all incoming traffic and uses pattern-matching to detect and block malicious traffic (suspicious requests).
  • Attackers: IP addresses and authenticated users that are launching attacks against your applications are detected from the insights collected by the libraries and flagged in Security Signals.

Suspicious requests are blocked in real time by the Datadog tracing libraries. Blocks are saved in Datadog, automatically and securely fetched by the Datadog Agent, deployed in your infrastructure, and applied to your services. For details, read How Remote Configuration Works.

To start leveraging Protection capabilities—In-App WAF, IP blocking, User blocking and more—read Protection.

その他の参考資料