- 필수 기능
- 시작하기
- Glossary
- 표준 속성
- Guides
- Agent
- 통합
- 개방형텔레메트리
- 개발자
- Administrator's Guide
- API
- Datadog Mobile App
- CoScreen
- Cloudcraft
- 앱 내
- 서비스 관리
- 인프라스트럭처
- 애플리케이션 성능
- APM
- Continuous Profiler
- 스팬 시각화
- 데이터 스트림 모니터링
- 데이터 작업 모니터링
- 디지털 경험
- 소프트웨어 제공
- 보안
- AI Observability
- 로그 관리
- 관리
Datadog Application Security는 코드 수준 취약성이나 애플리케이션 비즈니스 로직을 남용하고 시스템에 해를 끼치는 애플리케이션 수준 공격에 관측성을 제공합니다.
다음 간단 개요를 참고하세요.
Datadog Application Security 위협 관리에서는 APM에서 수집한 정보를 이용해 공격 시도가 포함된 트레이스를 플래그합니다. APM에서 애플리케이션 트래픽을 샘플링하고 추적 라이브러리에서 활성화된 Application Security가 효과적으로 서비스를 모니터링하고 보호합니다.
애플리케이션 공격에 노출된 서비스는 APM (서비스 카탈로그, 서비스 페이지, 트레이스)에 포함된 보안 보기에 강조 표시됩니다.
Datadog 위협 모니터링 및 감지 서비스에서는 클라이언트 IP 주소, 로그인 계정 정보(예: 사용자 계정/ID), 요청 전체에서 수동으로 추가된 사용자 태그와 같은 데이터를 수집해 유해 행위자를 파악합니다.
Datadog 소프트웨어 구성 분석은 오픈 소스 소프트웨어 라이브러리와 관련된 다양한 알려진 취약성 데이터 소스와 Datadog 보안 연구팀이 제공하는 정보를 사용하여 애플리케이션이 런타임에서 의존하는 라이브러리와 잠재적 취약성을 확인하고 권장 수정 사항을 제시합니다.
Code Security는 서비스의 코드 수준 취약점을 파악하고 실행 가능한 인사이트와 수정 사항을 제공합니다. IAST(대화형 애플리케이션 보안 테스트) 접근 방식을 사용하여 애플리케이션 코드 내의 취약점을 찾습니다. IAST는 APM(애플리케이션 성능 모니터링)과 같이 코드에 내장된 계측을 사용하기 때문에 Datadog에서 추가 구성이나 정기적으로 해야 하는 외부 테스트에 의존할 필요 없이 정상적인 애플리케이션 트래픽을 사용하여 취약점을 파악할 수 있습니다. Datadog Code Security에서는 영향을 받은 파일 이름, 정확한 방법, 줄 번호까지, 정보 팀에 필요한 정보를 자동으로 제공합니다.
Datadog Applicatoin Security가 Datadog 구성과 호환되도록 하려면 APM과 Datadog에 트레이스 전송을 활성화해야 합니다. Application Security에서는 APM과 동일한 라이브러리를 사용하기 때문에 다른 라이브러리를 사용할 필요가 없습니다.
Datadog Application Security를 활성화하는 단계는 각 런타임 언어에 따라 다릅니다. 사용 중인 언어가 각 제품의 Datadog Application Security 요구 사항을 충족하는지 확인하세요.
AWS Lambda용 Application Security는 기능을 공격하는 공격자에 관한 정보를 상세하게 보여줍니다. 분산형 추적으로 공격에 관한 풍부한 컨텍스트를 통해 영향을 살펴볼 수 있고, 효과적으로 문제를 해결할 수 있습니다.
설정에 관한 정보는 서버리스용 Application Security 활성화를 참고하세요.
Datadog Application Security에서는 에이전트와 APM에 이미 포함되어 있는 프로세스를 이용하기 때문에 사용할 때 성능에 큰 영향을 미치지 않습니다.
APM이 활성화되면 Datadog 라이브러리는 분산형 트레이스를 생성합니다. Datadog Application Security에서는 알려진 공격 패턴을 사용해 트레이스에서 보안 활동을 플래그 지정합니다. 분산형 트레이스가 제공하는 실행 컨텍스트와 공격 패턴을 연계하여 탐지 규칙을 기반으로 보안 신호를 트리거합니다.
Datadog Application Security는 추적 라이브러리에서 보안 데이터를 포함하는 모든 트레이스를 수집합니다. 기본 보존 기간 필터는 Datadog 플랫폼의 모든 보안 관련 트레이스에 대한 보존 기간을 보장합니다.
보안 트레이스에 대한 데이터는 90일 동안 보관됩니다. 기본 트레이스에 대한 데이터는 15일 동안 보관됩니다.
Application Security는 기본적으로 요청이 의심 활동으로 표시된 이유를 파악할 수 있도록 보안 트레이스에서 정보를 수집합니다. 데이터를 보내기 전에 데이터 민감성을 나타내는 패턴과 키워드를 검색합니다. 데이터가 민감한 것으로 간주되면 <redacted>
플래그로 대체됩니다. 이는 요청이 의심 활동으로 분류되었지만 데이터 보안 문제로 인해 요청 데이터를 수집할 수 없음을 나타냅니다.
기본적으로 민감한 것으로 플래그 지정되는 데이터 예시는 다음과 같습니다.
pwd
, password
, ipassword
, pass_phrase
secret
key
, api_key
, private_key
, public_key
token
consumer_id
, consumer_key
, consumer_secret
sign
, signed
, signature
bearer
authorization
BEGIN PRIVATE KEY
ssh-rsa
Application Security에서 수정되는 정보를 구성하려면 데이터 보안 구성을 참고하세요.
Datadog는 알려진 위협과 취약성을 탐지하기 위한 OWASP ModSecurity 핵심 규칙 집합을 포함해 다양한 패턴의 소스를 사용합니다. HTTP 요청이 OOTB 탐지 규칙 중 하나와 일치하면 Datadog에서 보안 신호가 생성됩니다.
자동 위협 패턴 업데이트: 서비스가 원격 설정이 활성화된 에이전트 및 이를 지원하는 추적 라이브러리 버전으로 실행 중인 경우 서비스를 모니터링하는 데 사용되는 위협 패턴은 Datadog에서 업데이트를 게시할 때마다 자동으로 업데이트됩니다.
Datadog이 프로덕션 서비스를 표적으로 하는 유의미한 공격을 탐지하면 보안 신호가 자동으로 생성됩니다. 공격자와 표적 서비스에 대한 가시성을 제공합니다. 알림을 받으려는 공격을 결정하기 위해 임계값이 포함된 커스텀 탐지 규칙을 설정할 수 있습니다.
내 서비스가 원격 구성이 활성화되어 있고 이 구성을 지원하는 추적 라이브러리 버전이 있는 에이전트를 사용 중인 경우, 에이전트나 추적 라이브러리에 추가 구성을 하지 않고도 Datadog UI에서 공격과 공격자를 차단할 수 있습니다.
ASM Protect는 위협 감지 뿐만 아니라 공격과 공격자의 속도를 늦추는 차단 활동을 합니다. 트래픽을 조사할 때 규칙을 넓은 범위로 적용하는 경계 WAF와 달리, ASM은 내 애플리케이션의 전체 컨텍스트(데이터베이스, 프레임워크, 프로그래밍 언어)를 사용해 가장 효율적인 조사 규칙으로 범위를 좁혀 적용합니다.
ASM은 APM(Application Performance Monitoring)과 동일한 추적 라이브러리을 사용해 다음과 같은 위험으로부터 애플리케이션을 보호합니다.
Datadog 추적 라이브러리에서 보안 트레이스를 실시간으로 차단합니다. 차단 내역은 Datadog에 저장되며, Datadog 에이전트가 안전하게 자동으로 저장 내용을 가져와 인프라스트럭처에 배포하고 서비스에 적용합니다. 자세한 내용은 원격 구성 작동 방식을 참고하세요.
인앱 WAF, IP 차단, 사용자 차단 등과 같은 보호 기능을 활용하려면 보호를 참고하세요.
분산 추적 정보를 활용하여 공격 시도를 안전, 알 수 없음 또는 유해로 분류합니다.
Datadog Application Security에는 다음 범주를 포함하되 이에 국한되지 않는 다양한 종류의 공격을 방어하는 데 도움이 되는 100개 이상의 공격 서명이 포함되어 있습니다.
Datadog Application Security는 애플리케이션 코드와 오픈 소스 종속성에서 탐지된 취약성에 관해 경고하는 기본 제공 탐지 기능을 제공합니다. 해당 정보의 자세한 내용은 취약성 탐색기에 표시되며, 심각도, 영향을 받는 서비스, 잠재적으로 취약한 인프라스트럭처, 표면화된 위험을 해결하기 위한 치료 지침을 확인할 수 있습니다.
자세한 정보는 코드 보안과 소프트웨어 구성 분석을 참고하세요.
Datadog Application Security에서는 API와 관련된 위협에 가시성을 제공합니다. API 카탈로그를 사용해 API 상태 및 성능 지표를 모니터링하고 API를 대상으로 하는 공격을 볼 수 있습니다. 이 보기에는 공격자의 IP 및 인증 정보는 물론, 공격이 어떻게 형성되었는지에 관한 세부 정보 포함한 요청 헤더가 있습니다. Application Security와 API 관리를 함게 사용하면 API 공격 경로에 관한 포괄적인 보기를 관리하고 위협을 완화할 수 있습니다.
Application Security에서는 Log4j Log4Shell 공격 페이로드를 파악하고 악성 코드를 원격으로 로드하려고 시도하는 취약한 앱에 관한 가시성을 제공합니다. Datadog 클라우드 SIEM의 나머지 기능과 함께 사용하면, 남용 활동 후에 일반적으로 나타나는 증상을 조사 및 파악할 수 있고, 잠재적으로 취약하여 공격 벡터로 작동할 수 있는 자바 웹 서비스를 사전에 예방할 수 있습니다.
추가 유용한 문서, 링크 및 기사: