Datadog Security イベントの監査

次で利用可能:

Cloud SIEM | Cloud Security Management | Application Security Management

管理者またはセキュリティチームのメンバーであれば、監査証跡を使用して、チームが Datadog Security でどのようなアクションを実行しているかを確認することができます。個人としては、自分のアクションのストリームを見ることができます。セキュリティ管理者や情報セキュリティチームにとって、監査証跡イベントはコンプライアンスの確認や、Datadog リソースでいつ誰が何をしたのかを記録する監査証跡を保持する助けになります。

Datadog Security で実行されたアクションによって生成された監査ログを表示するには、Datadog の Audit Trail ページに移動します。Datadog Security では、以下の製品固有のイベントが利用できます。

Cloud Security Platform

名前監査イベントの説明監査エクスプローラーのクエリ
CWS Agent ルールユーザーがクラウドセキュリティプラットフォーム内の CWS Agent ルールにアクセス (フェッチ) した。@evt.name:"Cloud Security Platform" @asset.type:cws_agent_rule @action:accessed
通知プロファイルユーザーがクラウドセキュリティプラットフォームで通知プロファイルを作成、更新、または削除した。@evt.name:"Cloud Security Platform" @asset.type:notification_profile
セキュリティルールユーザーがセキュリティルールを検証、更新、削除、または作成し、そのルールの以前の値と新しい値。@evt.name:"Cloud Security Platform" @asset.type:security_rule
セキュリティシグナルユーザーがシグナルの状態を変更したり、シグナルの割り当てを行い、そのシグナルの前の値と新しい値。@evt.name:"Cloud Security Platform" @asset.type:security_signal @action:modified
レポートサブスクリプションK9 を購読または購読解除したユーザーのメールレポート。@evt.name:"Cloud Security Platform" @asset.type:report_subscription

Application Security Management

名前監査イベントの説明監査エクスプローラーのクエリ
1 クリックアクティベーションユーザーがサービス上で ASM をアクティブまたは非アクティブにした。@evt.name:"Application Security" @asset.type:compatible_services
保護ユーザーが ASM 保護を有効または無効にした。@evt.name:"Application Security" @asset.type:blocking_configuration
拒否リストユーザーが IP アドレスまたはユーザー ID のブロック、ブロック解除、ブロック期間の延長を行った。@evt.name:"Application Security" @asset.type:ip_user_denylist
許可リストユーザーがパスリストにエントリーを追加、修正、または削除した。@evt.name:"Application Security" @asset.type:passlist_entry
アプリ内 WAF ポリシーユーザーがアプリ内 WAF ポリシーを作成、修正、または削除した。@evt.name:"Application Security" @asset.type:policy_entry
アプリ内 WAF カスタムルールユーザーがアプリ内 WAF カスタムルールを検証、作成、修正、または削除した。@evt.name:"Application Security" @asset.type:waf_custom_rule

その他の参考資料