Application Threat Management

ASM Threat Management は、APM でインスツルメンテーションされたアプリケーションからのトレーステレメトリーを使用して、観測された挙動を既知の攻撃パターンと比較したり、ビジネスロジックの乱用を特定することにより、実行中のサービスに対する脅威や攻撃を特定します。

Threat Monitoring によって提起されたセキュリティシグナルは要約され、サービスの健全性とパフォーマンスを監視するために通常アクセスしているビューに表示されます。サービスカタログと APM の個々のサービスページは、アプリケーションの脅威シグナルに関する洞察を提供し、脆弱性の調査、攻撃者のブロック、攻撃の露出のレビューを可能にします。

脅威シグナルを表示するサービスを含むサービスカタログ

Threat Management の仕組みについての詳細は、ASM の仕組みをご覧ください。

脅威シグナルを探る

サービスの脅威データが Datadog に入力されると、ASM Overview に発生内容の概要が表示されます。ここでは、脆弱性検出の有効化、攻撃のレビュー、アラートとレポートのカスタマイズ、サービスの ASM の有効化を行うことができます。疑わしいアクティビティのシグナルを調査するには、サービスの Review リンクをクリックします。

シグナルエクスプローラーでは、属性やファセットでフィルターをかけて重要な脅威を見つけます。シグナルをクリックすると、ユーザー情報や IP アドレス、トリガーしたルール、攻撃フロー、関連するトレースやその他のセキュリティシグナルなど、シグナルの詳細を確認できます。このページから、クリックしてケースを作成し、インシデントを宣言することもできます。

さらに、攻撃しているユーザーや IP をブロックしたり、影響を受けた可能性のあるインフラストラクチャーを調査したりすることもできます。

シグナルエクスプローラーでの脅威の調査の概要

攻撃パターンを特定するための In-App WAF ルールの作成

ASM に付属するデフォルトのルールを拡張して、アプリケーションの疑わしい動作を定義する In-App WAF ルールを作成することができます。そして、これらのルールからトリガーされた攻撃試行からセキュリティシグナルを生成するためにカスタムルールを指定し、調査のために Threat Monitoring ビューでそれらを表示することができます。

ASM Protect で攻撃と攻撃者の速度を落とす

If your service is running an Agent with Remote Configuration enabled and a tracing library version that supports it, you can block attacks and attackers from the Datadog UI without additional configuration of the Agent or tracing libraries.

ASM Protect goes beyond Threat Detection and enables you to take blocking action to slow down attacks and attackers. Unlike perimeter WAFs that apply a broad range of rules to inspect traffic, ASM uses the full context of your application—its databases, frameworks, and programming language—to narrowly apply the most efficient set of inspection rules.

ASM leverages the same tracing libraries as Application Performance Monitoring (APM) to protect your applications against:

  • Attacks: ASM’s In-App WAF inspects all incoming traffic and uses pattern-matching to detect and block malicious traffic (suspicious requests).
  • Attackers: IP addresses and authenticated users that are launching attacks against your applications are detected from the insights collected by the libraries and flagged in Security Signals.

Suspicious requests are blocked in real time by the Datadog tracing libraries. Blocks are saved in Datadog, automatically and securely fetched by the Datadog Agent, deployed in your infrastructure, and applied to your services. For details, read How Remote Configuration Works.

To start leveraging Protection capabilities—In-App WAF, IP blocking, User blocking and more—read Protection.

その他の参考資料

お役に立つドキュメント、リンクや記事:

ユーザーアクティビティの追跡ドキュメント more more ASM のセットアップを構成するドキュメント more more Application Vulnerability Managementドキュメント more more ASM の仕組みドキュメント more more