Cloud Security Management Threats (CSM Threats) は、環境全体のファイル、ネットワーク、プロセスアクティビティを監視し、インフラストラクチャーに対する脅威をリアルタイムで検出します。Datadog プラットフォームの一部として、CSM Threats のリアルタイム脅威検出をメトリクス、ログ、トレース、その他のテレメトリーと組み合わせることで、ワークロードに対する潜在的な攻撃を取り巻く完全なコンテキストを確認することができます。

本番ワークロードへの脅威をリアルタイムで検出する

カーネルレベルでファイルやプロセスのアクティビティを監視し、Amazon EC2 インスタンス、Docker コンテナ、Kubernetes クラスターなどのインフラストラクチャーへの脅威を検出します。CSM Threats をネットワークパフォーマンスモニタリングと組み合わせ、ワークロードが侵害される前にネットワークレベルで疑わしいアクティビティを検出します。

CSM Threats では、Datadog Agent を使用して環境を監視しています。まだ Datadog Agent をセットアップしていない場合は、サポートされている OS 上で Agent のセットアップから始めてください。Datadog Agent が CSM Threats に使用する監視は 4 種類あります。

1. プロセス実行監視により、ホストやコンテナ上の悪意のあるアクティビティのプロセス実行をリアルタイムで監視します。
2. ファイル整合性監視により、ホストやコンテナ上の主要なファイルやディレクトリの変更をリアルタイムに監視します。
3. DNS アクティビティ監視により、ホストやコンテナ上の悪意あるアクティビティをネットワークトラフィックでリアルタイムに監視します。
4. カーネルアクティビティ監視により、プロセスのハイジャックやコンテナのブレイクアウトなど、カーネル層への攻撃をリアルタイムに監視します。

すぐに使える検出ルールとカスタム検出ルールの管理

CSM Threats には、セキュリティ専門家チームによってメンテナンスされている、すぐに使える 50 以上の検出ルールが用意されています。このルールは、最も重要なリスクを顕在化させるので、すぐに修正するための措置を取ることができます。Agent 式ルールは分析のために収集されるワークロードのアクティビティを定義し、一方でバックエンド検出ルールはアクティビティを分析し、攻撃者の技術やその他のリスクのある行動パターンを特定します。

リモート構成を使用して、新規および更新されたルールを Agent に自動的にデプロイします。各ルールがプロセス、ネットワーク、ファイルのアクティビティをどのように監視するかを定義することでルールをカスタマイズし、カスタムルールを作成し、新しいシグナルに対するリアルタイム通知を設定することができます。

リアルタイム通知の設定

環境内で脅威が検出されるとリアルタイムで通知を送信し、チームはリスクを軽減するためのアクションを起こすことができます。通知は、Slack、メール、PagerDuty、Webhook などに送ることができます。

テンプレート変数と Markdown を使用して、通知メッセージをカスタマイズできます。既存の通知ルールの編集、無効化、削除、または新しいルールの作成、重大度やルールタイプに基づいた通知トリガー時のカスタムロジックの定義が可能です。

セキュリティシグナルの調査と修復

Threats Explorer で、セキュリティシグナルを調査し、トリアージします。影響を受けたファイルやプロセス、関連するシグナルやログ、改善手順に関する詳細情報を表示します。

はじめに