概要

Datadog は、ASM (Application Security Management) や Cloud SIEM (Security Information and Event Management) などの一部のサービスに対して、組み込みの脅威インテリジェンスデータセットを提供しています。これにより、セキュリティアクティビティが観察された際に、アクションを起こすための追加のエビデンスが提供されます。

Datadog は、脅威インテリジェンスを取りまとめ、カテゴリーと目的を標準化したリストを作成します。目的には、benign、suspicious、_malicious_が含まれます。脅威インテリジェンスのカテゴリーには、_corp_vpn_などの良性の検知や、_malware_などの悪質なカテゴリーが含まれます。アップストリームの脅威インテリジェンス情報は、すべての脅威インテリジェンスソースについて渡され、脅威インテリジェンスのペイロードサイズに基づく制限がかかります。

Datadog では、以下の方法で脅威インテリジェンスを消費することを推奨しています。

1. クレデンシャルスタッフィングなどのビジネスロジック脅威の検知ルールのしきい値を下げる。ユーザーは、デフォルトのクレデンシャルスタッフィングルールを複製して、自分のニーズに合うように変更することができます。
2. セキュリティアクティビティのレピュテーション指標として脅威インテリジェンスを使用する。

Datadog は、以下を_行わない_ことを推奨しています。

1. 対応するセキュリティアクティビティのない脅威インテリジェンストレースをブロックすること。IP アドレスの背後には多数のホストが存在する可能性があります。マルウェアやレジデンシャルプロキシが検知されたということは、その IP の背後にあるホストにより関連するアクティビティが観察されたことを意味します。マルウェアやプロキシを実行しているホストが、サービスと通信している同じホストであるという保証はありません。
2. すべての脅威インテリジェンスカテゴリーをブロックすること。そこには企業の VPN からの良性のトラフィックが含まれ、悪質でないトラフィックをブロックすることになるためです。

どのソースが ASM に表示されるか

• abuse.ch
• FireHOL
• spur (malware カテゴリーのみ)
• Tor の出口ノード

特定のソースによってフラグ付けされたすべてのトレースを検索するには、ソース名を指定して次のクエリを使用します。

@threat_intel.results.source.name:<SOURCE_NAME> 

任意のソースからの脅威インテリジェンスを含むすべてのトレースのクエリを検索するには、次のクエリを使用します。

@appsec.threat_intel:true 

Cloud SIEM、APM、ASM での利用可否

以下の表は、Datadog サービスでの脅威インテリジェンス情報の利用可否を示しています。

上の表にあるように、APM が脅威インテリジェンスを表示するには ASM が必要です。また、Cloud SIEM は、同じ IP アドレスの ASM では表示されない脅威インテリジェンスデータを含むログを表示することがあります。

ユーザーインターフェイスの脅威インテリジェンス

ASM Traces Explorer でトレースを表示すると、@appsec 属性の下に脅威インテリジェンスデータが表示されます。category 属性と security_activity 属性の両方が設定されています。

@threat_intel.results の下で、どのソースから何が一致したかの詳細を常に確認することができます。

その他の参考資料

お役に立つドキュメント、リンクや記事:

Datadog Threat Intelligence によるセキュリティ調査の迅速化ブログ Datadog Application Security Management で脅威から守るドキュメント