애플리케이션 위협 관리

문서 > Datadog 보안 > 애플리케이션 보안 관리 > 애플리케이션 위협 관리

ASM Threat Management는 APM 계측 애플리케이션의 트레이스 원격 측정을 사용하여 관찰된 동작을 알려진 공격 패턴과 비교하거나 비즈니스 로직 남용을 식별함으로써 실행 중인 서비스에 대한 위협 및 공격을 식별합니다.

Threat Monitoring을 통해 제기된 보안 신호는 서비스 상태 및 성능을 모니터링하기 위해 이미 일반적으로 방문하는 보기에 요약되어 표시됩니다. APM의 Service Catalog 및 개별 Service Pages는 애플리케이션 위협 신호에 대한 인사이트를 제공하여 취약점을 조사하고, 공격자를 차단하고, 공격 노출을 검토할 수 있도록 해줍니다.

Threat Managemen 작동 방식에 대한 자세한 내용은 How ASM Works를 참조하세요.

위협 신호 살펴보기

서비스에 대한 위협 데이터가 Datadog으로 들어오면 ASM Overview에서 현재 상황에 대한 요약을 보여줍니다. 여기에서 취약점 탐지를 활성화하고, 공격을 검토할 수 있으며, 경고 및 보고를 사용자 정의하고, 서비스에서 ASM을 활성화할 수 있습니다. 의심스러운 활동의 신호를 조사하려면 서비스의 Review 링크를 클릭하세요.

Signals Explorer에서 속성과 패싯으로 필터링하여 중요한 위협을 찾습니다. 신호를 클릭하면 사용자 정보와 IP 주소, 트리거된 규칙, 공격 흐름, 관련 트레이스 및 기타 보안 신호를 포함한 세부 정보를 볼 수 있습니다. 이 페이지에서 케이스를 생성하고 인시던트를 선언할 수도 있습니다. 자세한 내용은 Investigate Security Signals를 참조하세요.

공격 패턴을 식별하기 위한 인앱 WAF 규칙 생성

애플리케이션에서 의심스러운 동작이 어떻게 보이는지 정의하는 인앱 WAF 규칙을 생성하여 ASM과 함께 제공되는 기본 규칙을 강화할 수 있습니다. 그런 다음 커스텀 규칙을 지정하여 이러한 규칙에서 트리거된 공격 시도로부터 보안 신호를 생성하고 조사하기 위해 Threat Monitoring 보기에 표시합니다.

ASM Protect로 공격 및 공격자의 속도 늦추기

내 서비스가 원격 구성이 활성화되어 있고 이 구성을 지원하는 추적 라이브러리 버전이 있는 에이전트를 사용 중인 경우, 에이전트나 추적 라이브러리에 추가 구성을 하지 않고도 Datadog UI에서 공격과 공격자를 차단할 수 있습니다.

ASM Protect는 위협 감지 뿐만 아니라 공격과 공격자의 속도를 늦추는 차단 활동을 합니다. 트래픽을 조사할 때 규칙을 넓은 범위로 적용하는 경계 WAF와 달리, ASM은 내 애플리케이션의 전체 컨텍스트(데이터베이스, 프레임워크, 프로그래밍 언어)를 사용해 가장 효율적인 조사 규칙으로 범위를 좁혀 적용합니다.

ASM은 APM(Application Performance Monitoring)과 동일한 추적 라이브러리을 사용해 다음과 같은 위험으로부터 애플리케이션을 보호합니다.

공격: ASM의 인앱 WAF은 모든 수신 트래픽을 조사하고 패턴이 일치하는지를 점검해 악성 트래픽(보안 트레이스)을 차단합니다.
공격자: 라이브러리에서 수집하고 Security Signals에서 플래그된 인사이트를 기반으로 내 애플리케이션에 공격을 실행한 IP 주소와 인증 사용자를 감지합니다.

Datadog 추적 라이브러리에서 보안 트레이스를 실시간으로 차단합니다. 차단 내역은 Datadog에 저장되며, Datadog 에이전트가 안전하게 자동으로 저장 내용을 가져와 인프라스트럭처에 배포하고 서비스에 적용합니다. 자세한 내용은 원격 구성 작동 방식을 참고하세요.

인앱 WAF, IP 차단, 사용자 차단 등과 같은 보호 기능을 활용하려면 보호를 참고하세요.