Security Signal Management

概要

Cloud SIEM と CWS Security Signal Management では、Security Signals Write 権限を持つユーザーは、過去 2 日以内に発生したセキュリティシグナルの検出に対して状態の変更などのアクションを行い、シグナルのアクション履歴を監査ログで確認することが可能です。シグナルエクスプローラーでは、専用のファセットを使用して、アクションを起こしたシグナルをフィルタリングし、行内のアクションに関する概要情報を表示することができます。シグナルにアクションを起こした後、監査ログでアクティビティを確認することができます。

セキュリティシグナルは、Security > Security Signals > Cloud SIEM または CWS シグナルを選択し、サイドパネルビューのヘッダーからアクションを起こすことで表示および管理できます。

セキュリティシグナル管理のためのロールベースのアクセス制御

Datadog のデフォルトのロールについては RBAC ドキュメントを、 Datadog Security で利用できるロールベースのきめ細かいアクセス制御の許可については Cloud Security RBAC ドキュメントをご覧ください。

シグナルの状態を変更するには、各ユーザーの “Security Signals Write” 権限を有効にしてください。

セキュリティシグナルの表示と対応

セキュリティシグナルは、Datadog がセキュリティルールに基づいて脅威を検出したときに作成されます。専用のクエリ言語を習得しなくても、シグナルエクスプローラーでセキュリティシグナルの表示、検索、フィルタリング、関連付けが可能です。Datadog Security からシグナルを監視するか、通知ルールを構成してサードパーティツールにシグナルを送信することが可能です。シグナルは、Datadog プラットフォームで自分自身や他のユーザーに割り当てることができます。

シグナルのステータスは、以下のいずれかになります。

  • Open: Datadog Security は、ルールに基づいて検出をトリガーし、結果のシグナルは解決されていません。
  • Under Review: 調査の実施中、シグナルの状態を Under Review に切り替えることができます。必要に応じて、シグナルの状態を Under Review から Archived または Open に移動することができます。
  • Archived: シグナルの原因となった検出を解決すると、Archived 状態に移行することができます。アーカイブされた問題が再浮上した場合、またはさらなる調査が必要な場合、作成から 2 日以内であれば、シグナルをオープン状態に戻すことができます。

シグナルに対してアクションを起こすと、確認のトーストが表示され、アクションを Undo (取り消す) ことができます。アクションを保存すると、シグナルのサイドパネルの上にバナーで表示されます。バナーには、いつ、誰が、どのようなアクションを行ったかが表示されます。

セキュリティシグナルエクスプローラーでシグナルアクションを表示

セキュリティシグナルエクスプローラーは、あなたのロールによって閲覧が許可されているすべてのシグナルを表示します。Security Signals を選択した後、以下のようにシグナルをフィルタリングします。

  • テーブルの右上にある Options ボタンを選択し、次のファセット @workflow.triage.state を追加して、列 Signal State を追加します。これにより、シグナルのステータスが表示され、ヘッダーを使用してステータス別にソートすることができます。
  • 状態別にシグナルを検索するには、検索構文 @workflow.triage.state: を使用し、クエリにフィルタリングする状態を含めます。
  • ファセットパネルで Signal State ファセットを選択し、ファセットを使用してシグナルのフィルタリングを行います。

シグナルの管理とトリアージ

シグナルの状態を変更する場合は、以下の手順で行ってください。

  1. Datadog で、左側のメインナビゲーションメニューから Security を選択し、メニューから Security Signals を選択します。

  2. 表から Log Detection または Workload Security Signal を選択します。

  3. 自分自身または他の Datadog ユーザーにシグナルを割り当てるには、シグナルのサイドパネルの右上にあるプラス記号の付いたユーザープロファイルのアイコンに移動します。

  4. シグナルのサイドパネルの右上に移動し、ドロップダウンメニューから希望のステータスを選択します。デフォルトのステータスは Open です。

    • Open: Datadog Security は、ルールに基づいて検出をトリガーし、結果のシグナルはまだ解決されていません。
    • Under Review: 調査の実施中、シグナルの状態を Under Review に切り替えることができます。Under Review の状態から、必要に応じてシグナルの状態を Archived または Open に移動することができます。
    • Archived: シグナルの原因となった検出が解決されると、Archived 状態に移行することができます。アーカイブされた問題が再浮上した場合、またはさらなる調査が必要な場合、作成から 2 日以内であれば、シグナルをオープン状態に戻すことができます。

  5. ステータスを保存すると、どのアクションが実行されたかを示す確認のトーストが表示され、そのアクションを Undo (取り消す) ことができます。アクションを保存すると、シグナルのサイドパネルの上にバナーで表示されます。バナーには、いつ、誰が、どのようなアクションを行ったかが表示されます。

組織のサービスに支障をきたす可能性を警告するセキュリティシグナルは、インシデントと見なされることがあります。このような脅威を処理するために、一定のフレームワークを持つことが必要になることがよくあります。インシデント管理は、インシデントを効果的に識別し、緩和するためのシステムを提供します。

サイドパネルの右上にあるケバブボタンをクリックし、Declare incident をクリックして、Cloud SIEM または Cloud Workload Security のシグナルから直接インシデントを宣言することができます。

サイドパネルの右上にあるエクスポートボタンを選択し、Export to incident をクリックして、Application Security Management のシグナルからインシデントを宣言します。

セキュリティシグナルからインシデントを作成

セキュリティシグナルアクションの監査証跡

管理者またはセキュリティチームのメンバーは、Datadog 監査証跡を使用して、セキュリティ製品内でチームがどのようなアクションを起こしているかを確認できます。個人として、自身のアクションをストリームで確認することも可能です。 監査証跡エクスプローラーは、実行されたすべてのシグナルアクションを表示します。Organization Settings に移動し、SecurityAudit Logs Settings を選択します。

Datadog Security で行われたアクションによって生成された監査ログを排他的に表示するには、次のいずれかの手順に従います。

  • クエリ @evt.name:"Security Monitoring" を使用します。
  • “Event Name” ファセットの下にある “Security Monitoring” ファセットを選択します。