このトピックでは、すぐに使える (OOTB) 検出ルールによって生成された Datadog Agent の脅威検出イベントを、Agent Events エクスプローラーを使用してクエリし、確認する方法を説明します。

Datadog Agent は Agent ホスト上のシステムアクティビティを評価します。アクティビティが Agent ルールの式に一致すると、Agent は検出イベントを生成し、それを Datadog バックエンドに渡します。

イベントが Agent 検出ルールとバックエンドの脅威検出ルールの両方に一致する場合、シグナルが作成され、Signals に表示されます (Agent 検出ルール + バックエンドの脅威検出ルール = シグナル)。

Agent Events エクスプローラーを使用すると、シグナルとは別に Agent イベントを調査できます。イベントが発生したホストパスを確認し、イベントの属性、メトリクス、プロセスを表示できます。また、イベントを生成した Agent ルールを確認し、トリアージと対応に関する指示を表示することもできます。

Active Protection で脅威を積極的にブロック

デフォルトでは、Agent のすぐに使える暗号マイニングの脅威検出ルールがすべて有効になっており、脅威を積極的に監視しています。

Active Protection を使用すると、Datadog Agent の脅威検出ルールによって特定された暗号マイニングの脅威を積極的にブロックし、終了させることができます。

Agent イベントの表示

Agent イベントを表示するには、Agent Events エクスプローラーに移動します。

Agent イベントは、Datadog Events エクスプローラーの標準エクスプローラーコントロールを使用してクエリが実行され、表示されます。

Agent イベントの調査

Agent Events エクスプローラーにイベントがリストされている理由を調査するには、イベントを選択します。

イベントの詳細には、属性、メトリクス、およびプロセスが含まれます。メトリクスはホストダッシュボードにリンクし、プロセスはホストのプロセスダッシュボードおよびプロセスエージェントのインストール手順にリンクします。

Path では、最新のプロセスツリーが表示され、イベントを開始したコマンドに至るすべてのコマンドを確認でき、何が起こったのかを把握しやすくなります。

イメージの説明

Path は、多くの場合イベントの調査を始める際に最も適した場所となります。

Agent イベントのトリアージ

イベントをトリアージするには

  1. Agent Events エクスプローラーAGENT RULE 列でイベントを選択します。
  2. Click to copy を選択します。
  3. OOTB ルールドキュメントを開きます。
  4. 検索フィールドにコピーしたルール名を貼り付けます。
  5. 結果からルールを選択します。
  6. ルールの目標戦略を確認し、トリアージと対応の手順に従います。

その他の参考資料