Security Signal Management

概要

Cloud SIEM と CWS Security Signal Management では、Security Signals Write 権限を持つユーザーは、過去 2 日以内に発生したセキュリティシグナルの検出に対して状態の変更などのアクションを行い、シグナルのアクション履歴を監査ログで確認することが可能です。シグナルエクスプローラーでは、専用のファセットを使用して、アクションを起こしたシグナルをフィルタリングし、行内のアクションに関する概要情報を表示することができます。シグナルにアクションを起こした後、監査ログでアクティビティを確認することができます。

セキュリティシグナルは、Security > Security Signals > Cloud SIEM または CWS シグナルを選択し、サイドパネルビューのヘッダーからアクションを起こすことで表示および管理できます。

セキュリティシグナル管理のためのロールベースのアクセス制御

Datadog のデフォルトのロールについては RBAC ドキュメントを、Cloud Security Platform で利用できるロールベースのきめ細かいアクセス制御の許可については Cloud Security RBAC ドキュメントをご覧ください。

シグナルの状態を変更するには、各ユーザーの “Security Signals Write” 権限を有効にしてください。

セキュリティシグナルの表示と対応

セキュリティシグナルは、Datadog がセキュリティルールに基づいて脅威を検出したときに作成されます。専用のクエリ言語を習得しなくても、シグナルエクスプローラーでセキュリティシグナルの表示、検索、フィルタリング、関連付けが可能です。Datadog Cloud Security Platform からシグナルを監視するか、通知ルールを構成してサードパーティツールにシグナルを送信することが可能です。シグナルは、Datadog プラットフォームで自分自身や他のユーザーに割り当てることができます。

シグナルのステータスは、以下のいずれかになります。

  • Open: Datadog Cloud Security Platform は、ルールに基づいて検出をトリガーし、結果のシグナルは解決されていません。
  • Under Review: 調査の実施中、シグナルの状態を Under Review に切り替えることができます。必要に応じて、シグナルの状態を Under Review から Archived または Open に移動することができます。
  • Archived: シグナルの原因となった検出を解決すると、Archived 状態に移行することができます。アーカイブされた問題が再浮上した場合、またはさらなる調査が必要な場合、作成から 2 日以内であれば、シグナルをオープン状態に戻すことができます。

シグナルに対してアクションを起こすと、確認のトーストが表示され、アクションを Undo (取り消す) ことができます。アクションを保存すると、シグナルのサイドパネルの上にバナーで表示されます。バナーには、いつ、誰が、どのようなアクションを行ったかが表示されます。

セキュリティシグナルエクスプローラーでシグナルアクションを表示

セキュリティシグナルエクスプローラーは、あなたのロールによって閲覧が許可されているすべてのシグナルを表示します。Security Signals を選択した後、以下のようにシグナルをフィルタリングします。

  • テーブルの右上にある Options ボタンを選択し、次のファセット @workflow.triage.state を追加して、列 Signal State を追加します。これにより、シグナルのステータスが表示され、ヘッダーを使用してステータス別にソートすることができます。
  • 状態別にシグナルを検索するには、検索構文 @workflow.triage.state: を使用し、クエリにフィルタリングする状態を含めます。
  • ファセットパネルで Signal State ファセットを選択し、ファセットを使用してシグナルのフィルタリングを行います。

シグナルの管理とトリアージ

シグナルの状態を変更する場合は、以下の手順で行ってください。

  1. Datadog で、左側のメインナビゲーションメニューから Security を選択し、メニューから Security Signals を選択します。

  2. 表から Log Detection または Workload Security Signal を選択します。

  3. 自分自身または他の Datadog ユーザーにシグナルを割り当てるには、シグナルのサイドパネルの右上にあるプラス記号の付いたユーザープロファイルのアイコンに移動します。

  4. シグナルのサイドパネルの右上に移動し、ドロップダウンメニューから希望のステータスを選択します。デフォルトのステータスは Open です。

    • Open: Datadog Cloud Security Platform は、ルールに基づいて検出をトリガーし、結果のシグナルはまだ解決されていません。
    • Under Review: 調査の実施中、シグナルの状態を Under Review に切り替えることができます。Under Review の状態から、必要に応じてシグナルの状態を Archived または Open に移動することができます。
    • Archived: シグナルの原因となった検出が解決されると、Archived 状態に移行することができます。アーカイブされた問題が再浮上した場合、またはさらなる調査が必要な場合、作成から 2 日以内であれば、シグナルをオープン状態に戻すことができます。
  5. ステータスを保存すると、どのアクションが実行されたかを示す確認のトーストが表示され、そのアクションを Undo (取り消す) ことができます。アクションを保存すると、シグナルのサイドパネルの上にバナーで表示されます。バナーには、いつ、誰が、どのようなアクションを行ったかが表示されます。

セキュリティシグナルアクションの監査ログ

管理者またはセキュリティチームのメンバーとして、監査ログ (公開ベータ版)を使用すると、Datadog 内のセキュリティシグナルに対してチームが取っているアクションを確認することができます。個人としても、自分のアクションの流れを確認することができます。 シグナルのアクション履歴の保持は、設定された監査ログ保持にあります。監査ログのデフォルトの保持期間は 7 日間です。保持期間は、3 日から 90 日の間で設定できます。 監査ログエクスプローラーは、実行されたすべてのシグナルアクションを表示します。オーガニゼーションの設定 に移動し、Security の Audit Logs Settings を選択します。

Cloud Security Platform で行われたアクションによって生成された監査ログを排他的に表示するには

  • 検索構文 @evt.name:“Security Monitoring” を使用します
  • “Event Name” ファセットの下にある “Security Monitoring” ファセットを選択します。