セキュリティシグナルエクスプローラー

概要

セキュリティシグナルエクスプローラーから、セキュリティシグナルを相互に関連付けて優先順位を付けます。このページから Cloud SIEMPosture ManagementWorkload SecurityApplication Security Monitoring ダッシュボードにアクセスすることもできます。

このビューで、以下を行うことができます。

セキュリティシグナルの探索

セキュリティシグナルの検索結果が、セキュリティシグナルテーブルに表示されます。

2 つのアカウント乗っ取りシグナルを示す Security Signals テーブル

テーブルのコンテンツを、使用可能なファセットのリストで絞り込むことができます。右上に表示される Options ボタンを使用して、セキュリティシグナルテーブルのコンテンツを要件や好みに応じて構成できます。

セキュリティシグナルの検査

セキュリティシグナルをクリックすると、セキュリティシグナルパネルが開いて詳細が表示されます。

AWS S3 Public アクセスブロック削除のクリティカルシグナルを示す Security Signal パネル

問題を選別する際に最初に必要になる情報とアクションが、セキュリティシグナルパネルの最上部に表示されます。これらの情報から、シグナルの重要度や生成日時を判断したり、規則の設定にアクセスしたり、シグナルの状態を変更したり、シグナルをチームメイトとすばやく共有したり割り当てたりできます。

過去の新しいデータが利用可能になった場合、または攻撃が継続している場合、最初に見た日付と最後に見た日付が更新されます。Cloud SIEM と Cloud Workload Security のシグナルの場合、Overview タブに “What Happened” セクションが表示され、検出ルールに関連する構成済みのグループ化やルールカスタマイズも表示されます。この検出ルールの例では、グループ化が usr.name で構成されています。最後に、検出ルールに設定されたタグは、CSPM の調査結果ではヘッダーのグループ化の下に、Cloud SIEM および Cloud Workload Security のシグナルでは Context セクションに表示されます。

アクティビティをよりよく理解するために、セキュリティシグナルパネルは、シグナルをトリガーするすべてのログのタグと属性を要約するため、ログエクスプローラーにピボットすることなくトラブルシューティングを行うことができます。たとえば、Context セクションで、ユーザーアカウントにログインしようとしている IP のリスト、または認証サービスを実行している AWS アカウントとアベイラビリティーゾーンを一目で判断できます。

Cloud SIEM と Cloud Workload Security シグナルのヘッダーの下には、シグナルに関連する詳細情報を表示するタブがあります。

  • Overview では、タグによるグループ化、ルールタイプに基づくカスタマイズなど、What Happened セクションにルールがセキュリティシグナルを生成した理由が表示されます。さらに、シグナルに関連するコンテキスト情報と JSON が表示されます。
  • Rule Details では、検出ルールに構成されたテキストなどのルール詳細が表示され、シグナルを確認する人がシグナルの目的や対応策を理解するのに役立ちます。また、ユーザーは、ルールの抑制クエリの修正など、ルールの修正に移ることもできます。
  • Logs には、シグナルがトリガーされた理由に関するコンテキストを提供するログサンプルの視覚化とリストが含まれています。完全なログを表示するには、表のサンプルのいずれかをクリックしてください。
  • Related Signals は、シグナルのトリアージを支援するために同じグループ化値を含む他のシグナルのタイムラインとして表示されます。
  • Suggested Actions (beta) は、セキュリティシグナルの特性に基づいて、調査クエリ、関連ダッシュボード、クラウドプロバイダーコンソールへのリンクを提供し、調査を誘導して解決への洞察を提供するものです。

Cloud Security Posture Management シグナルのヘッダーの下には、シグナルに関連する詳細情報を表示するタブがあります。

  • Message は、シグナルをレビューする人がシグナルの目的と応答方法を理解するのに役立つように、検出ルールで構成されたテキストを表示します。
  • Findings には、ルールによって評価された各リソースのリストが含まれます。
  • Related Issues には、シグナルのトリアージを支援するために同じグループ化値を含む他のシグナルのリストが含まれています。

脅威インテリジェンス

Datadog Cloud SIEM では、脅威インテリジェンスパートナーがキュレーションした脅威情報フィードを提供しています。これらのフィードは、既知の不審なアクティビティ (例: IOC (Indicator Of Compromise) など) に関するデータを含むよう常に更新されているため、どの潜在的な脅威に対処すべきかを迅速に特定することができます。

セキュリティシグナルエクスプローラーの脅威インテリジェンス

Datadog は、関連する属性を持つすべての取り込みログを分析することで、脅威インテリジェンスを自動的に実装します。ログに危険な兆候 (VPN、プロキシ、または Tor の出口ノードに匿名化された IP が関連付けられているなど) が含まれている場合、threat_intel 属性がログイベントに追加され、利用可能なインテリジェンスに基づいて追加のインサイトを提供します。

セキュリティシグナルエクスプローラーで一致するすべての脅威インテリジェンスを見るためのクエリは @threat_intel.indicators_matched:* です。脅威インテリジェンスを照会するためのその他の属性は次の通りです。

  • @threat_intel.results.category “anonymizer”, “scanner”
  • @threat_intel.results.intention “malicious”, “unknown”
  • @threat_intel.results.subcategory options "proxy", "tor", "vpn" : プロキシ、Tor、VPN のサブカテゴリの属性は、脅威インテリジェンスパートナーの IPinfo のみが提供しています。

ネットワーク IP 属性で検索

Datadog Cloud SIEM がログから疑わしい活動を検出した場合、そのネットワーク IP を検索することで、疑わしいアクターがシステムと相互作用したかどうかを判断します。ログエクスプローラーで IP 属性で検索するには、クエリ @network.ip.list:<IP address> を使用します。このクエリは、タグ、属性、エラー、およびメッセージフィールドを含むログ内の任意の場所で IP を検索します。

network.ip.list 属性で検索した結果を表示したログエクスプローラー

異常検知

レビューしているセキュリティシグナルが異常検知メソッドにより生成されている場合、異常はグラフで可視化されます。グラフ右側の境界ボックスには、異常が検知された場所が表示されます。

異常検知のグラフ

セキュリティシグナル分析を視覚化する

ページの左上隅にある Signal Mode ボタンをクリックすると、セキュリティシグナルテーブルとセキュリティシグナル分析の間でモードが切り替わります。

シグナルを技法ごとに棒グラフで示したシグナルエクスプローラーのページ

セキュリティ規則エンジンによってセキュリティシグナルが生成されたら、セキュリティシグナルのクエリをグラフ化して、最大値、最小値、パーセンタイル、ユニーク数などを確認できます。

すべてのグラフ作成オプションについては、ログのグラフ作成ガイドを参照してください。

その他の参考資料