- 重要な情報
- はじめに
- 用語集
- ガイド
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- Service Management
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
Application Security Management (ASM) を有効にすると、Datadog のトレーシングライブラリは、すべての Web サービスや API リクエストを積極的に監視し、疑わしいセキュリティアクティビティがないかどうかを確認します。
_アプリ内 WAF ルール_は、受信するリクエストの条件を指定し、ライブラリが何を疑わしいとみなすかを定義します。Datadog トレーシングライブラリは、何百ものすぐに使える ASM アプリ内 WAF ルールを含んでおり、それらはトレースエクスプローラーやデフォルトシグナルルールで疑わしいリクエストを表示するために使用されます。
トレーシングライブラリをアップグレードすることなく、アプリ内 WAF ルールに追加することができます。
アプリ内 WAF ルールは、カテゴリー、名前、タグ、条件からなる JSON オブジェクトです。不審なリクエストを検出すると、ルールのタグが不審なリクエストに伝搬され、検出ルールを構築するのに利用されます。
条件は、ルールが受信リクエストにタグ付けするタイミングを定義します。条件は、_入力_と_演算子_で構成されます。
入力は、リクエストのどの部分に演算子が適用されるかを表します。アプリ内 WAF ルールでは、以下の入力が使用されます。
名前 | 説明 | 例 |
---|---|---|
server.request.uri.raw | アプリケーションサービスが受信した完全なリクエスト URI | https://my.api.com/users/1234/roles?clientId=234 |
server.request.path_params | パースされたパスパラメーター (キー/値マップ) | userId => 1234 |
server.request.query | パースされたクエリパラメーター (キー/値マップ) | clientId => 234 |
server.request.headers.no_cookies | Cookie ヘッダー (キー/値マップ) を除いた、受信する http リクエストのヘッダー | user-agent => Zgrab, referer => google.com |
grpc.server.request.message | パースされた gRPC メッセージ (キー/値マップ) | data.items[0] => value0, data.items[1] => value1 |
server.request.body | パースされた HTTP 本文 (キー/値マップ) | data.items[0] => value0, data.items[1] => value1 |
server.response.status | http ステータスコード | 200 |
name | 説明 |
---|---|
match_regex | 入力に対して正規表現によるマッチングを実行する |
phrase_match | キーワードリストマッチングを高速に実行する |
is_xss | クロスサイトスクリプティング (XSS) ペイロードをチェックするための特別な演算子 |
is_sqli | SQL インジェクション (SQLI) ペイロードをチェックするための特別な演算子 |
注: この機能はベータ版です。
カスタムアプリ内 WAF ルールにより、ユーザーはアプリケーションへの特定のタイプのリクエストを記録することができます。たとえば、カスタムルールを使用して、ログインの成功または失敗を監視することができます。開始するには、Security -> Application Security -> Configuration -> In-App WAF -> Custom Rules へ移動します。
注: アプリ内 WAF のデフォルトのルールは読み取り専用です。アプリ内 WAF の動作を微調整するために、アプリ内 WAF のルールを変更する必要がある場合があります。デフォルトのルールを変更することはできませんが、デフォルトのルールの 1 つに基づいてカスタムルールを作成し、必要に応じて一致条件を変更することができます。同じリクエストを評価する 2 つの非常によく似たルールが存在することにならないように、デフォルトのルールは必ず無効にしてください。
Datadog で、ASM 構成のアプリ内 WAF ページに移動します。
Download Configuration をクリックすると、コンフィギュレーションファイル appsec-rules.json
がローカルマシンにダウンロードされます。
上記の仕様に従って、新しいルールの JSON 定義を含むようにファイルを更新します。例:
{
"id": "id-123",
"name": "My In-App WAF rule",
"tags": {
"category": "attack_attempt",
"crs_id": "920260",
"type": "http_protocol_violation"
},
"conditions": [
{
"operator": "match_regex",
"parameters": {
"inputs": [
{
"address": "server.request.uri.raw"
}
],
"options": {
"case_sensitive": true,
"min_length": 6
},
"regex": "\\%u[fF]{2}[0-9a-fA-F]{2}"
}
}
],
"transformers": []
},
SCP や FTP などのユーティリティを使用して、appsec-rules.json
ファイルを /home/asm/appsec-rules.json
などのアプリケーションサーバーにコピーします。
ASM の有効化にある、環境にアプリケーション変数を追加する方法に従って、DD_APPSEC_RULES
環境変数をファイルにフルパスでサービスに追加します。
DD_APPSEC_RULES=/home/asm/appsec-rules.json
サービスを再起動します。
次に、作成したアプリ内 WAF ルールで定義された疑わしいリクエストに基づいて、セキュリティシグナルを生成するための検出ルールを構成します。ASM の検出ルールは、すぐに利用可能なものを変更したり、新しいものを作成したりすることができます。