検出ルール

概要

検出ルールは、取り込んだすべてのログおよびクラウドコンフィギュレーションに適用される条件付きロジックを定義します。対象期間内に、ルールで定義された少なくとも 1 つのケースが一致した場合に Datadog でセキュリティシグナルが生成されます。

それぞれのモニタリングオプションに、インテグレーションコンフィギュレーションによりすぐに機能するデフォルトの検出ルールがあります。

  • Cloud SIEM では、ログ検出を使用して、収集したログをリアルタイムで分析します。環境に合わせてカスタム検出ルールを作成することも可能です。

  • Cloud Security Posture Management では、クラウドコンフィギュレーションおよびインフラストラクチャーコンフィギュレーション検出ルールを使用して、クラウド環境の状態をスキャンします。

  • Cloud Workload Security を使用して、Datadog Agent はアクティブにシステムのアクティビティを監視し、検出ルールに対して評価を行います。

  • Application Security Management (ASM) は、Datadog APMDatadog Agent、検出ルールを活用し、アプリケーション環境における脅威を検出します。

検出ルールの作成と管理

Detection Rules ページでは、ルールの種類別にすべての検出ルールを検索することができます。ルールの有効化、無効化、編集、削除、クローン化が素早く行えます。カスタムの検出ルールを作成するには、ページの右上にある New Rule ボタンをクリックします。

検出ルールの発見

フリーテキスト検索を使うと、ルール名やクエリに含まれるテキストで検出ルールを絞り込むことができます。クエリが編集された場合、“Search” ボタンを再度クリックしなくてもクエリ結果がリアルタイムで更新されます。

ファセットで絞り込み

左側のパネルにあるファセットを使用して、検索クエリを値によってスコープします。例えば、log detectioncloud configuration など、いくつかのルールタイプがある場合、only でフィルタリングすると、ルールタイプ別にルールが表示されます。

Datadog のログ検出やクラウド構成など、ルールタイプ別のフィルタリング

また、sourceseverity などのファセットでフィルタリングすることもでき、受信した問題の調査やトリアージに役立てることができます。カテゴリー内のすべてのファセットを検索に含めるには、パネル内の値の上にマウスカーソルを置き、all をクリックします。

: デフォルトでは、すべてのファセットが選択されています。

ルール表

ルールは、検出ルール表に表示されます。テーブルの右上にある Sort by オプションをクリックすると、テーブルを並べ替えることができます。たとえば、Highest Severity でソートすると、影響の大きい構成ミスや脅威をトリアージできます。

ルールの有効化 / 無効化

ルールの右側にあるトグルスイッチを使ってルールを有効または無効にすることができます。

ルールと生成されたシグナルのオプション

ルールトグルの隣にある 3 点ドットメニューをクリックし、提供されているオプション (編集、複製、削除、生成された信号の表示) のいずれかを選択します。

  • クエリの更新、トリガーの調整、通知の管理、ルール設定の調整を行う場合は、Edit をクリックします。
    • : Out-of-the-box (OOTB) ルールを編集するには、まずルールを複製し、その後ルールを変更する必要があります。デフォルトのルールを編集するには、Edit をクリックし、ルール構成ページの一番下までスクロールします。Clone をクリックし、ルールを変更します。
  • ルールの複製は、既存のルールを複製して軽く設定を変更し、他の検出領域をカバーしたい場合に便利です。例えば、ログ検出ルールを複製し、Threshold から Anomaly に変更することで、同じクエリとトリガーを使用して脅威検出に新しい次元を追加することができます。
  • 削除オプションは、カスタムルールに対してのみ利用可能です。Out-of-the-box (OOTB) ルールはプラットフォームにネイティブなものなので、削除することはできません。カスタムルールを永久に削除するには、Delete をクリックします。OOTB ルールを無効にするには、無効化トグルをクリックします。
  • View generated signals をクリックすると、シグナルエクスプローラーに移動し、ルールの ID でクエリを実行できます。これは、ルールごとに複数のソースのシグナルを相関させる場合や、ルールの監査を完了させる場合に便利です。

編集アクセス権の制限

デフォルトでは、すべてのユーザーがセキュリティルールにフルアクセスできます。

きめ細かいアクセス制御を使用して、1 つのルールを編集できるロールを制限することができます。

  1. ルールの 3 つのドットメニューをクリックします。
  2. Permissions を選択します。
  3. Restrict Access をクリックします。
  4. ダイアログボックスが更新され、組織のメンバーはデフォルトで Viewer アクセス権を持っていることが表示されます。
  5. ドロップダウンを使用して、セキュリティ ルールを編集できる 1 つまたは複数のロールを選択します。
  6. Add をクリックします。
  7. ダイアログボックスが更新され、選択したロールに Editor 権限があることが表示されます。
  8. Save をクリックします。 注: 規則の編集アクセス権を維持するために、保存する前に、少なくとも 1 つのロールのメンバーであることを含めることがシステムから要求されます。

アクセスが制限されたルールに一般的なアクセスを戻すには、次の手順に従います。

  1. ルールの右側にある 3 つのドットメニューをクリックします。
  2. Permissions を選択します。
  3. Restore Full Access をクリックします。
  4. 保存をクリックします。

ルール非推奨

すべての検出ルールの定期的な監査を行い、忠実なシグナル品質を維持します。非推奨のルールは、改良されたルールに置き換えられます。

ルール非推奨のプロセスは以下の通りです。

  1. ルールに非推奨の日付が書かれた警告が表示されています。UI では、警告が以下に表示されます。
    • シグナルサイドパネルの Rule Details > Playbook セクション
    • Findings サイドパネル (CSPM のみ)
    • その特定のルールのルールエディター
  2. ルールが非推奨になると、ルールが削除されるまでに 15 か月の期間があります。これは、シグナルの保持期間が 15 か月であるためです。この間、UI でルールの複製を行うと、ルールを再び有効にすることができます。
  3. 一度削除されたルールは、複製して再度有効にすることはできません。

その他の参考資料

お役に立つドキュメント、リンクや記事:

デフォルトの検出ルールについてDOCUMENTATION more more セキュリティ通知についてドキュメント more more Datadog でアプリケーションの悪用を検出ブログ more more 不可能な旅行検出ルールで不審なログイン行為を検出するブログ more more