- 重要な情報
- はじめに
- 用語集
- ガイド
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- Service Management
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
Cloud SIEM と Cloud Security Management Threats (CSM Threats) では、Security Signals Write
権限を持つユーザーは、過去 30 日以内に発生したセキュリティシグナルの検出に対して状態の変更などのアクションを行い、シグナルのアクション履歴を監査ログで確認することが可能です。シグナルエクスプローラーでは、専用のファセットを使用して、アクションを起こしたシグナルをフィルタリングし、行内のアクションに関する概要情報を表示することができます。シグナルにアクションを起こした後、監査ログでアクティビティを確認することができます。
セキュリティシグナルは、Security > Security Signals > Cloud SIEM または CSM Threats シグナルを選択し、サイドパネルビューのヘッダーからアクションを起こすことで表示および管理できます。
Datadog のデフォルトのロールについては RBAC ドキュメントを、 Datadog Security で利用できるロールベースのきめ細かいアクセス制御の許可については Cloud Security RBAC ドキュメントをご覧ください。
シグナルの状態を変更するには、各ユーザーの “Security Signals Write” 権限を有効にしてください。
セキュリティシグナルは、Datadog がセキュリティルールに基づいて脅威を検出したときに作成されます。専用のクエリ言語を習得しなくても、シグナルエクスプローラーでセキュリティシグナルの表示、検索、フィルタリング、関連付けが可能です。Datadog Security からシグナルを監視するか、通知ルールを構成してサードパーティツールにシグナルを送信することが可能です。シグナルは、Datadog プラットフォームで自分自身や他のユーザーに割り当てることができます。
シグナルのステータスは、以下のいずれかになります。
シグナルに対してアクションを起こすと、確認のトーストが表示され、アクションを Undo (取り消す) ことができます。アクションを保存すると、シグナルのサイドパネルの上にバナーで表示されます。バナーには、いつ、誰が、どのようなアクションを行ったかが表示されます。
セキュリティシグナルエクスプローラーは、あなたのロールによって閲覧が許可されているすべてのシグナルを表示します。Security Signals を選択した後、以下のようにシグナルをフィルタリングします。
@workflow.triage.state
を追加して、列 Signal State を追加します。これにより、シグナルのステータスが表示され、ヘッダーを使用してステータス別にソートすることができます。@workflow.triage.state:
を使用し、クエリにフィルタリングする状態を含めます。シグナルの状態を変更する場合は、以下の手順で行ってください。
Datadog で、左側のメインナビゲーションメニューから Security を選択し、メニューから Security Signals を選択します。
表から Log Detection または Workload Security Signal を選択します。
自分自身または他の Datadog ユーザーにシグナルを割り当てるには、シグナルのサイドパネルの右上にあるプラス記号の付いたユーザープロファイルのアイコンに移動します。
シグナルのサイドパネルの右上に移動し、ドロップダウンメニューから希望のステータスを選択します。デフォルトのステータスは Open です。
ステータスを保存すると、どのアクションが実行されたかを示す確認のトーストが表示され、そのアクションを “Undo” (取り消す) ことができます。アクションを保存すると、シグナルのサイドパネルの上にバナーで表示されます。バナーには、いつ、誰が、どのようなアクションを行ったかが表示されます。
組織のサービスに支障をきたす可能性を警告するセキュリティシグナルは、インシデントと見なされることがあります。このような脅威を処理するために、一定のフレームワークを持つことが必要になることがよくあります。インシデント管理は、インシデントを効果的に識別し、緩和するためのシステムを提供します。
サイドパネルの右上にあるケバブボタンをクリックし、Declare incident をクリックして、Cloud SIEM または CSM Threats のシグナルから直接インシデントを宣言することができます。
サイドパネルの右上にあるエクスポートボタンを選択し、Export to incident をクリックして、Application Security Management のシグナルからインシデントを宣言します。
管理者またはセキュリティチームのメンバーは、Datadog 監査証跡を使用して、セキュリティ製品内でチームがどのようなアクションを起こしているかを確認できます。個人として、自身のアクションをストリームで確認することも可能です。 監査証跡エクスプローラーは、実行されたすべてのシグナルアクションを表示します。Organization Settings に移動し、Compliance の Audit Trail を選択します。
Datadog Cloud Security で行われたアクションによって生成された監査ログを排他的に表示するには、次のいずれかの手順に従います。
@evt.name:"Cloud Security Platform"
を使用します。