クラウドワークロードセキュリティ

Datadog Cloud Workload Security (CWS) は、環境全体のファイル、ネットワーク、プロセスアクティビティを監視し、インフラストラクチャーに対する脅威をリアルタイムで検出します。Datadog プラットフォームの一部として、CWS のリアルタイム脅威検出をメトリクス、ログ、トレース、その他のテレメトリーと組み合わせることで、ワークロードに対する潜在的な攻撃を取り巻く完全なコンテキストを確認することができます。

本番ワークロードへの脅威をリアルタイムで検出する

カーネルレベルでファイルやプロセスのアクティビティを監視し、AWS EC2 インスタンス、Docker コンテナ、Kubernetes クラスターなどのインフラストラクチャーへの脅威を検出します。CWS をネットワークパフォーマンスモニタリングと組み合わせ、ワークロードが侵害される前にネットワークレベルで疑わしいアクティビティを検出します。

ネットワークの脅威検出は非公開ベータ版です。アクセス権限をリクエストするには、こちらのフォームに記入してください。

CWS では、Datadog Agent を使用して環境を監視しています。まだ Datadog Agent をセットアップしていない場合は、サポートされている OS 上で Agent のセットアップから始めてください。Datadog Agent がクラウドワークロードセキュリティに使用する監視は 4 種類あります。

  1. プロセス実行監視により、ホストやコンテナ上の悪意のあるアクティビティのプロセス実行をリアルタイムで監視します。
  2. ファイル整合性監視により、ホストやコンテナ上の主要なファイルやディレクトリの変更をリアルタイムに監視します。
  3. DNS アクティビティ監視により、ホストやコンテナ上の悪意あるアクティビティをネットワークトラフィックでリアルタイムに監視します。
  4. カーネルアクティビティ監視により、プロセスのハイジャックやコンテナのブレイクアウトなど、カーネル層への攻撃をリアルタイムに監視します。
Cloud Workload Security の概要ページ

すぐに使えるカスタム検出ルールの管理

CWS には、セキュリティ専門家チームによって維持されている、すぐに使える 50 以上の検出ルールが用意されています。このルールは、最も重要なリスクを顕在化させるので、すぐに修正するための措置を取ることができます。Agent 表現ルールは、分析のために収集するワークロードのアクティビティを定義し、バックエンド検出ルールはアクティビティを分析し、攻撃者のテクニックやその他の危険な行動パターンを特定します。

リモート構成を使用して、新規および更新されたルールを Agent に自動的にデプロイします。各ルールがプロセス、ネットワーク、ファイルのアクティビティをどのように監視するかを定義することでルールをカスタマイズし、カスタムルールを作成し、新しいシグナルに対するリアルタイム通知を設定することができます。

Datadog アプリの Cloud Workload Security 検出ルール

予想されるワークロードの動作をモデル化する

Workload Security Profiles を使用して、予想されるワークロード動作のベースラインを作成します。Workload Security Profiles は、動作学習モデルを使用して、脅威または誤構成を示す疑わしいアクティビティの特定を支援します。また、既知の許容可能なワークロードの動作に対する抑制提案も生成します。セキュリティアラートを調査し、以前は見られなかった異常な動作を特定するために、プロファイラーから得られた洞察を使用します。

リアルタイム通知の設定

環境内で脅威が検出されるとリアルタイムで通知を送信し、チームはリスクを軽減するためのアクションを起こすことができます。通知は、Slack、メール、PagerDuty、Webhook などに送ることができます。

テンプレート変数と Markdown を使用して、通知メッセージをカスタマイズできます。既存の通知ルールの編集、無効化、削除、または新しいルールの作成、重大度やルールタイプに基づいた通知トリガー時のカスタムロジックの定義が可能です。

セキュリティシグナルの調査と修復

セキュリティシグナルエクスプローラーで、セキュリティシグナルを調査し、トリアージします。影響を受けたファイルやプロセス、関連するシグナルやログ、改善手順に関する詳細情報を表示します。

Datadog アプリの Cloud Workload Security シグナル

詳細はこちら