- 필수 기능
- 시작하기
- Glossary
- 표준 속성
- Guides
- Agent
- 통합
- 개방형텔레메트리
- 개발자
- Administrator's Guide
- API
- Datadog Mobile App
- CoScreen
- Cloudcraft
- 앱 내
- 서비스 관리
- 인프라스트럭처
- 애플리케이션 성능
- APM
- Continuous Profiler
- 스팬 시각화
- 데이터 스트림 모니터링
- 데이터 작업 모니터링
- 디지털 경험
- 소프트웨어 제공
- 보안
- AI Observability
- 로그 관리
- 관리
이 항목에서는 ASM(애플리케이션 보안 관리)에 대한 위협 인텔리전스에 대해 설명합니다.
Datadog은 ASM을 위한 내장형 위협 인텔리전스데이터 세트를 제공합니다. 이는 보안 활동에 대한 조치를 취할 때 추가 증거를 제공하고 일부 비즈니스 논리 탐지에 대한 탐지 임계값을 줄입니다.
또한 ASM은 bring your own threat intelligence를 지원합니다. 이 기능은 비즈니스별 위협 인텔리전스를 통해 탐지 기능을 강화합니다.
Datadog은 위협 인텔리전스를 사용하기 위해 다음 방법을 권장합니다.
Datadog은 다음 사항을 권장하지 않습니다.
사용자는 패싯 및 검색 창을 사용하여 Signals 및 Traces 탐색기에서 위협 인텔리전스를 필터링할 수 있습니다.
특정 소스로 플래그가 지정된 모든 트레이스를 검색하려면 소스 이름과 함께 다음 쿼리를 사용하세요.
@threat_intel.results.source.name:<SOURCE_NAME>
모든 소스의 위협 인텔리전스가 포함된 모든 트레이스를 쿼리하려면 다음 쿼리를 사용하세요.
@appsec.threat_intel:true
ASM은 Datadog 레퍼런스 테이블에 저장된 위협 인텔리전스 침해 지표를 통해 트레이스 강화 및 검색을 지원합니다. 레퍼런스 테이블을 사용하면 메타데이터를 이미 Datadog에 있는 정보와 결합할 수 있습니다.
위협 인텔리전스는 CSV 형식으로 지원되며 4개의 열이 필요합니다.
CSV 구조
field | data | 설명 | 필수 | 예시 |
---|---|---|---|---|
ip_address | 텍스트 | IPv4 점 표기법 형식에서 레퍼런스 테이블의 기본 키. | true | 192.0.2.1 |
additional_data | json | 트레이스를 강화하기 위한 추가 데이터입니다. | false | {"ref":"hxxp://example.org"} |
category | 텍스트 | 위협 인텔리전스 카테고리. 이는 일부 즉시 사용할 수 있는 탐지 규칙에서 사용됩니다. | true | residential_proxy |
intention | 텍스트 | 위협 인텔리전스 의도. 이는 일부 즉시 사용할 수 있는 탐지 규칙에서 사용됩니다. | true | malicious |
소스 | 텍스트 | 팀 및 팀 위키와 같은 소스의 이름과 해당 사이트에 대한 링크입니다. | true | {"name":"internal_security_team", "url":"https://teamwiki.example.org"} |
지원되는 카테고리 및 의도의 전체 목록은 Threat Intelligence Facets에서 확인할 수 있습니다.
ip_address,additional_data,category,intention,source
192.0.2.1,"{""ref"":""hxxp://example.org""}",scanner,suspicious,"{""name"":""internal_security_team"", ""url"":""https://teamwiki.example.org""}"
192.0.2.2,"{""ref"":""hxxp://example.org""}",scanner,suspicious,"{""name"":""internal_security_team"", ""url"":""https://teamwiki.example.org""}"
192.0.2.3,"{""ref"":""hxxp://example.org""}",scanner,suspicious,"{""name"":""internal_security_team"", ""url"":""https://teamwiki.example.org""}"
새로운 레퍼런스 테이블 페이지에서:
테이블 이름을 지정합니다. 테이블 이름은 ASM의 Threat Intel 구성에서 참조됩니다.
CSV를 업로드합니다.
테이블 스키마를 미리 확인한 후 IP 주소를 기본 키로 선택합니다.
테이블을 저장합니다.
Threat Intel에서 새 테이블을 찾은 다음 토글을 선택하여 활성화합니다.
트레이스 테이블을 레퍼런스 테이블과 결합하여 Datadog에서 ASM 트레이스를 필터링할 수 있습니다.
레퍼런스 테이블을 트레이스 쿼리와 조인하려면 Datadog 트레이스 테이블과 레퍼런스 테이블 사이의 관련 열을 기반으로 해당 테이블의 행을 결합니다. 트레이스 쿼리는 두 테이블에서 일치하는 항목이 있는 트레이스만 반환합니다.
참조 테이블과의 조인을 사용하여 기존 트레이스와의 과거 일치를 검색하고 강화 전의 영향을 평가할 수 있습니다.
IP 주소뿐만 아니라 모든 필드를 사용할 수 있습니다. 예를 들어 보안 추적을 레퍼런스 테이블의 특정 URL과 연결하면 애플리케이션의 어느 부분이 공격의 대상이 되는지 식별할 수 있습니다. 이는 애플리케이션 내에서 취약점이나 고위험 영역을 정확히 찾아내는 데 도움이 될 수 있습니다.
예:
레퍼런스 테이블을 사용하여 트레이스를 결합하려면:
트레이스 강화에는 침해 지표가 ASM 추적의 http.client_ip
키 값과 일치할 때 ASM 트레이스의 위협 인텔리전스 속성이 포함됩니다. 이를 통해 기존 패싯을 사용하고 탐지 규칙과 함께 위협 인텔리전스를 사용하여 위협 인텔리전스와 일치하는 트레이스를 검색할 수 있습니다.
ASM Traces Explorer에서 트레이스를 볼 때 @appsec
속성 아래에서 위협 인텔리전스 데이터를 확인할 수 있습니다. category
및 security_activity
속성이 모두 설정되었습니다.
@threat_intel.results
아래에 어떤 소스에서 일치하는지에 대한 세부 정보가 항상 표시됩니다.
추가 유용한 문서, 링크 및 기사: