Cloud Security Management Threats (CSM Threats) は、環境全体のファイル、ネットワーク、プロセスアクティビティを監視し、インフラストラクチャーに対する脅威をリアルタイムで検出します。Datadog プラットフォームの一部として、CSM Threats のリアルタイム脅威検出をメトリクス、ログ、トレース、その他のテレメトリーと組み合わせることで、ワークロードに対する潜在的な攻撃を取り巻く完全なコンテキストを確認することができます。

本番ワークロードへの脅威をリアルタイムで検出する

カーネルレベルでファイルやプロセスのアクティビティを監視し、Amazon EC2 インスタンス、Docker コンテナ、Kubernetes クラスターなどのインフラストラクチャーへの脅威を検出します。CSM Threats をネットワークパフォーマンスモニタリングと組み合わせ、ワークロードが侵害される前にネットワークレベルで疑わしいアクティビティを検出します。

CSM Threats では、Datadog Agent を使用して環境を監視しています。まだ Datadog Agent をセットアップしていない場合は、サポートされている OS 上で Agent のセットアップから始めてください。Datadog Agent が CSM Threats に使用する監視は 4 種類あります。

1. プロセス実行監視により、ホストやコンテナ上の悪意のあるアクティビティのプロセス実行をリアルタイムで監視します。
2. ファイル整合性監視により、ホストやコンテナ上の主要なファイルやディレクトリの変更をリアルタイムに監視します。
3. DNS アクティビティ監視により、ホストやコンテナ上の悪意あるアクティビティをネットワークトラフィックでリアルタイムに監視します。
4. カーネルアクティビティ監視により、プロセスのハイジャックやコンテナのブレイクアウトなど、カーネル層への攻撃をリアルタイムに監視します。

Active Protection で脅威を積極的にブロック

デフォルトでは、Agent のすぐに使える暗号マイニングの脅威検出ルールがすべて有効になっており、脅威を積極的に監視しています。

Active Protection を使用すると、Datadog Agent の脅威検出ルールによって特定された暗号マイニングの脅威を積極的にブロックし、終了させることができます。

すぐに使える検出ルールとカスタム検出ルールの管理

CSM Threats には、セキュリティ専門家チームによって維持されている、すぐに使える 50 以上の検出ルールが用意されています。このルールは、最も重要なリスクを顕在化させるので、すぐに修正するための措置を取ることができます。Agent 表現ルールは、分析のために収集するワークロードのアクティビティを定義し、バックエンド検出ルールはアクティビティを分析し、攻撃者のテクニックやその他の危険な行動パターンを特定します。

リモート構成を使用して、新規および更新されたルールを Agent に自動的にデプロイします。各ルールがプロセス、ネットワーク、ファイルのアクティビティをどのように監視するかを定義することでルールをカスタマイズし、カスタムルールを作成し、新しいシグナルに対するリアルタイム通知を設定することができます。

リアルタイム通知の設定

環境内で脅威が検出されるとリアルタイムで通知を送信し、チームはリスクを軽減するためのアクションを起こすことができます。通知は、Slack、メール、PagerDuty、Webhook などに送ることができます。

テンプレート変数と Markdown を使用して、通知メッセージをカスタマイズできます。既存の通知ルールの編集、無効化、削除、または新しいルールの作成、重大度やルールタイプに基づいた通知トリガー時のカスタムロジックの定義が可能です。

セキュリティシグナルの調査と修復

シグナルエクスプローラーで、セキュリティシグナルを調査し、トリアージします。影響を受けたファイルやプロセス、関連するシグナルやログ、改善手順に関する詳細情報を表示します。

詳細はこちら