- 重要な情報
- はじめに
- 用語集
- ガイド
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- Service Management
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
Datadog は、ASM (Application Security Management) や Cloud SIEM (Security Information and Event Management) などの一部のサービスに対して、組み込みの脅威インテリジェンスデータセットを提供しています。これにより、セキュリティアクティビティが観察された際に、アクションを起こすための追加のエビデンスが提供されます。
Datadog は、脅威インテリジェンスを取りまとめ、カテゴリーと目的を標準化したリストを作成します。目的には、benign、suspicious、_malicious_が含まれます。脅威インテリジェンスのカテゴリーには、_corp_vpn_などの良性の検知や、_malware_などの悪質なカテゴリーが含まれます。アップストリームの脅威インテリジェンス情報は、すべての脅威インテリジェンスソースについて渡され、脅威インテリジェンスのペイロードサイズに基づく制限がかかります。
Datadog では、以下の方法で脅威インテリジェンスを消費することを推奨しています。
Datadog は、以下を_行わない_ことを推奨しています。
malware カテゴリーのみ)特定のソースによってフラグ付けされたすべてのトレースを検索するには、ソース名を指定して次のクエリを使用します。
@threat_intel.results.source.name:<SOURCE_NAME>
任意のソースからの脅威インテリジェンスを含むすべてのトレースのクエリを検索するには、次のクエリを使用します。
@appsec.threat_intel:true
@appsec.threat_intel:true は、@threat_intel.indicators_matched:* と同じではありません。@threat_intel.indicators_matched:* クエリには、脅威インテリジェンスに一致するすべての値が含まれますが、攻撃が存在せず、ソースがどのソースが ASM に表示されるかセクションで説明したソースのいずれかに一致しない場合、トレース全体が ASM に再表示されないことがあります。以下の表は、Datadog サービスでの脅威インテリジェンス情報の利用可否を示しています。
| サービス | 使用中のその他のサービス | 説明 |
|---|---|---|
| APM | なしまたは Cloud SIEM | 脅威インテリジェンスは存在しません。 |
| APM | ASM | 脅威インテリジェンスは ASM と同じように存在します。 |
| Cloud SIEM | すべて | 脅威インテリジェンスは一致するログに存在します。 |
| ASM | すべて | 攻撃または @appsec.threat_intel:true があるトレースのみが存在します。脅威インテリジェンスソースに一致するすべてのトレースには、@threat_intel 属性が含まれます。 |
上の表にあるように、APM が脅威インテリジェンスを表示するには ASM が必要です。また、Cloud SIEM は、同じ IP アドレスの ASM では表示されない脅威インテリジェンスデータを含むログを表示することがあります。
ASM Traces Explorer でトレースを表示すると、@appsec 属性の下に脅威インテリジェンスデータが表示されます。category 属性と security_activity 属性の両方が設定されています。
@threat_intel.results の下で、どのソースから何が一致したかの詳細を常に確認することができます。
