- 重要な情報
- はじめに
- 用語集
- ガイド
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- Service Management
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
検出ルールは、取り込んだすべてのログおよびクラウドコンフィギュレーションに適用される条件付きロジックを定義します。対象期間内に、ルールで定義された少なくとも 1 つのケースが一致した場合に Datadog でセキュリティシグナルが生成されます。
それぞれのモニタリングオプションに、インテグレーションコンフィギュレーションによりすぐに機能するデフォルトの検出ルールがあります。
Cloud SIEM では、ログ検出を使用して、収集したログをリアルタイムで分析します。環境に合わせてカスタム検出ルールを作成することも可能です。
Cloud Security Management Misconfigurations では、クラウド構成およびインフラストラクチャー構成検出ルールを使用して、クラウド環境の状態をスキャンします。
Cloud Security Management Threats を使用して、Datadog Agent はアクティブにシステムのアクティビティを監視し、検出ルールに対して評価を行います。
Application Security Management (ASM) は、Datadog APM、Datadog Agent、検出ルールを活用し、アプリケーション環境における脅威を検出します。
Detection Rules ページでは、ルールの種類別にすべての検出ルールを検索することができます。ルールの有効化、無効化、編集、削除、クローン化が素早く行えます。カスタムの検出ルールを作成するには、ページの右上にある New Rule ボタンをクリックします。
フリーテキスト検索を使うと、ルール名やクエリに含まれるテキストで検出ルールを絞り込むことができます。クエリが編集された場合、“Search” ボタンを再度クリックしなくてもクエリ結果がリアルタイムで更新されます。
左側のパネルにあるファセットを使用して、検索クエリを値によってスコープします。例えば、log detection
や cloud configuration
など、いくつかのルールタイプがある場合、only
でフィルタリングすると、ルールタイプ別にルールが表示されます。
また、source
や severity
などのファセットでフィルタリングすることもでき、受信した問題の調査やトリアージに役立てることができます。カテゴリー内のすべてのファセットを検索に含めるには、パネル内の値の上にマウスカーソルを置き、all をクリックします。
注: デフォルトでは、すべてのファセットが選択されています。
ルールは、検出ルール表に表示されます。テーブルの右上にある Sort by オプションをクリックすると、テーブルを並べ替えることができます。たとえば、Highest Severity でソートすると、影響の大きい構成ミスや脅威をトリアージできます。
1 つのルールを有効または無効にするには、ルールの右側にあるスイッチを切り替えます。
また、ルールの一括有効化、無効化も可能です。
ルールトグルの隣にある 3 点ドットメニューをクリックし、提供されているオプション (編集、複製、削除、生成された信号の表示) のいずれかを選択します。
デフォルトでは、すべてのユーザーがセキュリティルールにフルアクセスできます。
きめ細かいアクセス制御を使用して、1 つのルールを編集できるロールを制限することができます。
アクセスが制限されたルールに一般的なアクセスを戻すには、次の手順に従います。
すべての検出ルールの定期的な監査を行い、忠実なシグナル品質を維持します。非推奨のルールは、改良されたルールに置き換えられます。
ルール非推奨のプロセスは以下の通りです。