選択した Datadog サイト () では Workload Security Profiles はサポートされていません。

Workload Security Profiles は、行動学習モデルを通じて予想されるワークロードのアクティビティの基準を提供し、潜在的な脅威や誤構成を特定する手助けとなります。この洞察は、既知で許容可能なワークロード動作に対する[抑制サジェスチョンの生成](#suppress-signals based-on-suggestions)や、以前に見られなかった異常な動作の特定など、セキュリティアラートの調査時に利用することができます。

互換性

Workload Security Profiles を Datadog の構成と互換性を持たせるためには、Cloud Security Management Threats を有効にし、Datadog Agent 7.44 以降を使用し、アクティビティスナップショットを有効にしている必要があります。Workload Security Profiles はデフォルトで有効になっており、コンテナ化されたワークロードのみをサポートします。

Workload Security Profiles の生成方法

Workload Security Profiles は、イメージ名とイメージバージョンのタグが共通するコンテナからのアクティビティスナップショットがセキュリティプロファイルを形成するためにマージされるときに生成されます。コンテナイメージの各バージョンごとに異なるセキュリティプロファイルが生成されます。その結果、{ image-name, image-version} タグの組み合わせごとに、1 つのプロファイルが生成されます。

各セキュリティプロファイルは、特定のワークロードイメージの行動モデルとして機能し、既知で許容される行動を特定します。

アクティビティスナップショット

アクティビティスナップショットは、Workload Security Profiles の基本要素です。各スナップショットは、プロセス、ネットワーク、およびファイルアクセスの詳細を含む、コンテナ上のカーネルレベルのアクティビティをキャプチャします。この情報は、Agent によって 30 分間隔 (デフォルト) で収集され、Datadog のバックエンドに送信されます。

Agent の構成でアクティビティスナップショットを有効にすると、Agent は、Agent を起動したときにすでに実行されているコンテナを含む、実行中のコンテナのスナップショットを自動的に生成します。また、Linux カーネル制御グループまたは cgroups を使用するクラウドネイティブ環境における新しいコンテナのスナップショットもキャプチャします。

各 Agent は、ホストシステム上の複数のコンテナを同時にプロファイルすることができます。パフォーマンスのオーバーヘッドを最小限に抑えるため、一度にプロファイルされるコンテナの数は 5 つ (デフォルト) に制限されています。

次の図は、複数のコンテナからのアクティビティスナップショットが 1 つの Workload Security Profile にどのようにマージされるかをおおまかに表したものです。共通性スコアは、指定されたプロセスまたはファイルのアクティビティが、通常の既知の動作である可能性がどれだけ高いかを表します。

自動生成されたセキュリティプロファイルを表示する CSM Threats Security Profiles ページ

動作学習モデル

Workload Security Profiles は、特定のワークロードイメージとイメージバージョンのための動作モデルです。個々のコンテナからのアクティビティスナップショットをキャプチャし、比較することで、各セキュリティプロファイルは同種のコンテナの集約されたワークロード動作のモデルを提供できます。より多くのコンテナがプロファイルされるにつれて、この表現は特定のワークロードのためのより精密な動作モデルを提供します。コンテナ化されたワークロードは不変であると予想されるため、共通のイメージ名とイメージバージョンタグを共有するワークロード間のバリエーションは少ないはずです。

動作モデルの視覚的表現は、プロセスノードと、ファイルおよびネットワークアクティビティの関係を含んで、セキュリティプロファイルの詳細ページに表示されます。プロファイルの視覚化では、プロファイル化されたさまざまなコンテナ間で、これらの関係がどれだけ一貫しているか、または共通しているかが表示されます。

プロファイルステータス

セキュリティプロファイルは、次の 2 つのステータスのいずれかを持つことができます。

  • Learning: セキュリティプロファイルは、クラウドインフラストラクチャー内の異なるコンテナから Agent によって収集されたアクティビティスナップショットを基に、現在もモデル化が進行中です。これらのコンテナは、イメージ名とイメージバージョンのタグが共通で、異なるホストや環境に存在できます。
  • Stable: スナップショットの受信数または最初のアクティビティスナップショットが処理されてからの経過時間において、特定のアクティビティスナップショットのしきい値に到達することです。現在のデフォルトのしきい値は、200 スナップショットまたは 2 日 (48 時間) で、いずれかが最初に達成された場合に適用されます。

プロファイルが Stable ステータスに遷移すると、それは不変となり、新しいバージョンとプロファイルが作成されるまで、それ以上のアクティビティは追加されません。一方で、プロファイルが Learning ステータスにある場合、追加のアクティビティが処理され、共通性スコアが更新されます。

セキュリティプロファイルを調べる

CSM Threats で生成されたセキュリティプロファイルは、Security Profiles ページで、イメージ名でグループ化されて表示されます。イメージ名をクリックすると、異なるイメージバージョンやイメージタグを含む、そのイメージに関連するセキュリティプロファイルの完全なリストが表示されます。各セキュリティプロファイルの詳細には、プロファイルを作成するためにマージされたアクティビティスナップショットの数、動作学習モデルのステータス、プロファイルが最後に更新された日付などが表示されます。

自動生成されたセキュリティプロファイルを表示する CSM Threats Security Profiles ページ

セキュリティプロファイルを選択してその詳細ページを表示します。セキュリティプロファイルを構成するプロセスを探索し、関連するセキュリティシグナル、イメージ名でタグ付けされているインフラストラクチャーコンテナの観測可能性ステータス、そしてプロファイルの作成に使用されたアクティビティスナップショットを確認できます。

共通性スコア

Behavior Commonality スコアは、全体的なセキュリティプロファイルレベルと、個々のプロセス、ファイル、およびネットワーク DNS アクティビティレベルの両方に存在します。プロファイルレベルのパーセンテージは、セキュリティプロファイルの動作モデルを構築するために使用された全アクティビティスナップショットの類似度の集計レベルです。

CSM Threats  セキュリティプロファイル詳細ページ

プロセスノードを選択すると、サイドパネルに追加の共通性スコアが表示され、セキュリティプロファイルを構成する異なるコンテナ全体で、個々のプロセス実行、ファイルアクセス、およびネットワークリクエストがどの程度共通しているかが示されます。

一般に、共通性スコアが高いほど、指定されたプロセスやファイルのアクティビティが正常で既知の動作である可能性が高くなります。学習段階では、より多くのアクティビティスナップショットがプロファイルにマージされることにより、共通性のパーセンテージが変動する可能性がありますが、セキュリティプロファイルが安定状態に達すると一貫しているはずです。ワークロードイメージの新しいバージョンをリリースすると、学習サイクルが再開され、新しいプロファイルが作成されることにより、共通性スコアがリセットされます。

セキュリティシグナルサイドパネル

セキュリティプロファイルの詳細は、セキュリティシグナルエクスプローラーのシグナルパネルにも表示されます。この情報を使用して、ワークロードのアクティビティをより理解し、潜在的な脅威と通常のワークロードの動作を区別するのに役立たせることができる可能性があります。また、View Security Profile リンクを使用して、関連するセキュリティプロファイルに直接移動することができます。

CSM Threats セキュリティプロファイルページ

提案に基づくシグナルの抑制

シグナルがセキュリティプロファイルの既知のワークロード動作と一致する場合、セキュリティシグナルのサイドパネルに抑制提案が表示されます。提案を受け入れるかどうか決める前に、対応するセキュリティプロファイルとシグナルのトリガーとなったプロセスを確認することができます。

提案を受け入れるには、Suppress Signals をクリックし、Add Suppression to Rule をクリックします。これにより、ルールのための抑制クエリが作成され、そのプロセスが将来のセキュリティシグナルをトリガーするのを防ぐことができます。

抑制提案を示すセキュリティシグナルパネル

その他の参考資料