セキュリティシグナルエクスプローラー

概要

セキュリティシグナルエクスプローラーから、セキュリティシグナルを相互に関連付けて優先順位を付けます。このページから Cloud SIEMPosture ManagementWorkload SecurityApplication Security Management ダッシュボードにアクセスすることもできます。

セキュリティシグナルの探索

セキュリティシグナルの検索結果が、セキュリティシグナルテーブルに表示されます。

2 つのアカウント乗っ取りシグナルを示す Security Signals テーブル

テーブルのコンテンツを、使用可能なファセットのリストで絞り込むことができます。右上に表示される Options ボタンを使用して、セキュリティシグナルテーブルのコンテンツを要件や好みに応じて構成できます。

セキュリティシグナルの検査

セキュリティシグナルをクリックすると、セキュリティシグナルパネルが開いて詳細が表示されます。

AWS S3 Public アクセスブロック削除のクリティカルシグナルを示す Security Signal パネル

問題を選別する際に最初に必要になる情報とアクションが、セキュリティシグナルパネルの最上部に表示されます。これらの情報から、シグナルの重要度や生成日時を判断したり、規則の設定にアクセスしたり、シグナルの状態を変更したり、シグナルをチームメイトとすばやく共有したり割り当てたりできます。

過去の新しいデータが利用可能になった場合、または攻撃が継続している場合、最初に見た日付と最後に見た日付が更新されます。Cloud SIEM と Cloud Workload Security のシグナルの場合、Overview タブに “What Happened” セクションが表示され、検出ルールに関連する構成済みのグループ化やルールカスタマイズも表示されます。この検出ルールの例では、グループ化が usr.name で構成されています。最後に、検出ルールに設定されたタグは、CSPM の調査結果ではヘッダーのグループ化の下に、Cloud SIEM および Cloud Workload Security のシグナルでは Context セクションに表示されます。

アクティビティをよりよく理解するために、セキュリティシグナルパネルは、シグナルをトリガーするすべてのログのタグと属性を要約するため、ログエクスプローラーにピボットすることなくトラブルシューティングを行うことができます。たとえば、Context セクションで、ユーザーアカウントにログインしようとしている IP のリスト、または認証サービスを実行している AWS アカウントとアベイラビリティーゾーンを一目で判断できます。

Cloud SIEM と Cloud Workload Security シグナルのヘッダーの下には、シグナルに関連する詳細情報を表示するタブがあります。

  • Overview では、タグによるグループ化、ルールタイプに基づくカスタマイズなど、What Happened セクションにルールがセキュリティシグナルを生成した理由が表示されます。さらに、シグナルに関連するコンテキスト情報と JSON が、シグナルに関連するセキュリティプロファイルと、利用可能な場合は抑制の提案とともに表示されます (CWS のみ)。
  • Rule Details では、検出ルールに構成されたテキストなどのルール詳細が表示され、シグナルを確認する人がシグナルの目的や対応策を理解するのに役立ちます。また、ユーザーは、ルールの抑制クエリの修正など、ルールの修正に移ることもできます。
  • Logs には、シグナルがトリガーされた理由に関するコンテキストを提供するログサンプルの視覚化とリストが含まれています。完全なログを表示するには、表のサンプルのいずれかをクリックしてください。
  • Related Signals は、シグナルのトリアージを支援するために同じグループ化値を含む他のシグナルのタイムラインとして表示されます。
  • Suggested Actions (beta) は、セキュリティシグナルの特性に基づいて、調査クエリ、関連ダッシュボード、クラウドプロバイダーコンソールへのリンクを提供し、調査を誘導して解決への洞察を提供するものです。

Cloud Security Posture Management シグナルのヘッダーの下には、シグナルに関連する詳細情報を表示するタブがあります。

  • Message は、シグナルをレビューする人がシグナルの目的と応答方法を理解するのに役立つように、検出ルールで構成されたテキストを表示します。
  • Findings には、ルールによって評価された各リソースのリストが含まれます。
  • Related Issues には、シグナルのトリアージを支援するために同じグループ化値を含む他のシグナルのリストが含まれています。

Case Management

Cloud SIEM のセキュリティシグナルからケースを作成し、シグナルの追跡、トリアージ、および調査を行うことができます。Escalate をクリックすると、ドロップダウンメニューが表示されます。セキュリティ調査を開始するには、Create a case をクリックします。さらに調査した結果、重要であると判断した場合は、ケース内の Declare Incident をクリックし、インシデントにエスカレートさせます。詳しくは、Case Management を参照してください。

Workflows

任意のセキュリティシグナルに対して、自動的にワークフローをトリガーすることができます。また、Cloud SIEM のセキュリティシグナルから手動でワークフローをトリガーすることも可能です。詳しくは、セキュリティシグナルからワークフローをトリガーするを参照してください。

脅威インテリジェンス

Datadog Cloud SIEM では、脅威インテリジェンスパートナーがキュレーションした脅威情報フィードを提供しています。これらのフィードは、既知の不審なアクティビティ (例: IOC (Indicator Of Compromise) など) に関するデータを含むよう常に更新されているため、どの潜在的な脅威に対処すべきかを迅速に特定することができます。

セキュリティシグナルエクスプローラーの脅威インテリジェンス

Datadog は、関連する属性を持つすべての取り込みログを分析することで、脅威インテリジェンスを自動的に実装します。ログに危険な兆候 (VPN、プロキシ、または Tor の出口ノードに匿名化された IP が関連付けられているなど) が含まれている場合、threat_intel 属性がログイベントに追加され、利用可能なインテリジェンスに基づいて追加のインサイトを提供します。

セキュリティシグナルエクスプローラーで一致するすべての脅威インテリジェンスを見るためのクエリは @threat_intel.indicators_matched:* です。脅威インテリジェンスを照会するためのその他の属性は次の通りです。

  • @threat_intel.results.category "anonymizer", "scanner"
  • @threat_intel.results.intention "malicious", "unknown"
  • @threat_intel.results.subcategory options "proxy", "tor", "vpn" : プロキシ、Tor、VPN のサブカテゴリの属性は、脅威インテリジェンスパートナーの IPinfo のみが提供しています。

ネットワーク IP 属性で検索

Datadog Cloud SIEM がログから疑わしい活動を検出した場合、そのネットワーク IP を検索することで、疑わしいアクターがシステムと相互作用したかどうかを判断します。ログエクスプローラーで IP 属性で検索するには、クエリ @network.ip.list:<IP address> を使用します。このクエリは、タグ、属性、エラー、およびメッセージフィールドを含むログ内の任意の場所で IP を検索します。

network.ip.list 属性で検索した結果を表示したログエクスプローラー

異常検知

レビューしているセキュリティシグナルが異常検知メソッドにより生成されている場合、異常はグラフで可視化されます。グラフ右側の境界ボックスには、異常が検知された場所が表示されます。

異常検知のグラフ

CWS シグナルでアネストリーツリーを処理する

Datadog クラウドワークロードセキュリティシグナルには、システム内の悪意のあるアクティビティを検出するためのプロセスアネストリーツリーが搭載されています。疑わしいプロセスを特定し、攻撃の程度を判断することで、より適切な調査や対処を行うことができます。

プロセスツリーウォーターフォールグラフ

ウォーターフォール構造では、コンテキスト情報に関連する子プロセスの連続実行が表示されます。各プロセスのメタデータは、システムの活動をより可視化し、セキュリティ侵害を発見するのに役立ちます。 主な情報の種類:

  • プロセスが生成した Unix ユーティリティを識別する command line
  • そのプロセスが機密情報を受け継いでいるかどうかを判断する environment variables
  • プロセス実行中に攻撃者が使用したあらゆる識別データを収集する command line arguments

セキュリティシグナル分析を視覚化する

ページの左上隅にある Signal Mode ボタンをクリックすると、セキュリティシグナルテーブルとセキュリティシグナル分析の間でモードが切り替わります。

シグナルを技法ごとに棒グラフで示したシグナルエクスプローラーのページ

セキュリティ規則エンジンによってセキュリティシグナルが生成されたら、セキュリティシグナルのクエリをグラフ化して、最大値、最小値、パーセンタイル、ユニーク数などを確認できます。

すべてのグラフ作成オプションについては、ログのグラフ作成ガイドを参照してください。

その他の参考資料