検出ルール

概要

検出ルールは、取り込んだすべてのログおよびクラウドコンフィギュレーションに適用される条件付きロジックを定義します。対象期間内に、ルールで定義された少なくとも 1 つのケースが一致した場合に Datadog でセキュリティシグナルが生成されます。

それぞれのモニタリングオプションに、インテグレーションコンフィギュレーションによりすぐに機能するデフォルトの検出ルールがあります。

検出ルールの作成と管理

Detection Rules ページでは、ルールの種類別にすべての検出ルールを検索することができます。ルールの有効化、無効化、編集、削除、クローン化が素早く行えます。カスタムの検出ルールを作成するには、ページの右上にある New Rule ボタンをクリックします。

検出ルールの発見

フリーテキスト検索を使うと、ルール名やクエリに含まれるテキストで検出ルールを絞り込むことができます。クエリが編集された場合、“Search” ボタンを再度クリックしなくてもクエリ結果がリアルタイムで更新されます。

ファセットで絞り込み

左側のパネルにあるファセットを使用して、検索クエリを値によってスコープします。例えば、log detectioncloud configuration など、いくつかのルールタイプがある場合、only でフィルタリングすると、ルールタイプ別にルールが表示されます。

Datadog のログ検出やクラウド構成など、ルールタイプ別のフィルタリング

また、sourceseverity などのファセットでフィルタリングすることもでき、受信した問題の調査やトリアージに役立てることができます。カテゴリー内のすべてのファセットを検索に含めるには、パネル内の値の上にマウスカーソルを置き、all をクリックします。

: デフォルトでは、すべてのファセットが選択されています。

ルール表

ルールは、検出ルール表に表示されます。テーブルの右上にある Sort by オプションをクリックすると、テーブルを並べ替えることができます。たとえば、Highest Severity でソートすると、影響の大きい構成ミスや脅威をトリアージできます。

ルールの有効化・無効化

1 つのルールを有効または無効にするには、ルールの右側にあるスイッチを切り替えます。

また、ルールの一括有効化、無効化も可能です。

  1. Select Rules をクリックします。
  2. 有効化または無効化したいルールを選択します。
  3. Edit Rules ドロップダウンをクリックします。
  4. Enable Rules または Disable Rules を選択します。

ルールと生成されたシグナルのオプション

ルールトグルの隣にある 3 点ドットメニューをクリックし、提供されているオプション (編集、複製、削除、生成された信号の表示) のいずれかを選択します。

  • クエリの更新、トリガーの調整、通知の管理、ルール設定の調整を行う場合は、Edit をクリックします。
    • : Out-of-the-box (OOTB) ルールを編集するには、まずルールを複製し、その後ルールを変更する必要があります。デフォルトのルールを編集するには、Edit をクリックし、ルール構成ページの一番下までスクロールします。Clone をクリックし、ルールを変更します。
  • ルールの複製は、既存のルールを複製して軽く設定を変更し、他の検出領域をカバーしたい場合に便利です。例えば、ログ検出ルールを複製し、Threshold から Anomaly に変更することで、同じクエリとトリガーを使用して脅威検出に新しい次元を追加することができます。
  • 削除オプションは、カスタムルールに対してのみ利用可能です。Out-of-the-box (OOTB) ルールはプラットフォームにネイティブなものなので、削除することはできません。カスタムルールを永久に削除するには、Delete をクリックします。OOTB ルールを無効にするには、無効化トグルをクリックします。
  • View generated signals をクリックすると、シグナルエクスプローラーに移動し、ルールの ID でクエリを実行できます。これは、ルールごとに複数のソースのシグナルを相関させる場合や、ルールの監査を完了させる場合に便利です。

編集アクセス権の制限

デフォルトでは、すべてのユーザーがセキュリティルールにフルアクセスできます。

きめ細かいアクセス制御を使用して、1 つのルールを編集できるロールを制限することができます。

  1. ルールの 3 つのドットメニューをクリックします。
  2. Permissions を選択します。
  3. Restrict Access をクリックします。
  4. ダイアログボックスが更新され、組織のメンバーはデフォルトで Viewer アクセス権を持っていることが表示されます。
  5. ドロップダウンを使用して、セキュリティルールを編集できるロール、チーム、またはユーザーを 1 つ以上選択します。
  6. Add をクリックします。
  7. ダイアログボックスが更新され、選択したロールに Editor 権限があることが表示されます。
  8. Save をクリックします。 注: 規則の編集アクセス権を維持するために、保存する前に、少なくとも 1 つのロールのメンバーであることを含めることがシステムから要求されます。

アクセスが制限されたルールに一般的なアクセスを戻すには、次の手順に従います。

  1. ルールの右側にある 3 つのドットメニューをクリックします。
  2. Permissions を選択します。
  3. Restore Full Access をクリックします。
  4. Save をクリックします。

ルール非推奨

すべての検出ルールに対して定期的な監査が実施され、高いシグナル品質が維持されます。非推奨となったルールは、改善されたルールに置き換えられます。

ルール非推奨のプロセスは以下の通りです。

  1. ルールに非推奨の日付が書かれた警告が表示されています。UI では、警告が以下に表示されます。
    • シグナルサイドパネルの Rule Details > Playbook セクション
    • Misconfigurations サイドパネル (CSM Misconfigurations のみ)
    • その特定のルールのルールエディター
  2. ルールが非推奨になると、ルールが削除されるまでに 15 か月の期間があります。これは、シグナルの保持期間が 15 か月であるためです。この間、UI でルールの複製を行うと、ルールを再び有効にすることができます。
  3. 一度削除されたルールは、複製して再度有効にすることはできません。

その他の参考資料