概要
Signal Sciences のメトリクスとイベントを Datadog に送信することで、アプリケーション、API、マイクロサービスなどに対する攻撃や悪用をリアルタイムに監視できます。また、Signal Sciences が正しく機能し、トラフィックを検査していることを確認できます。
Signal Sciences からメトリクスとイベントをリアルタイムに取得して、以下のことができます。
以下に関連する WAF のメトリクスを表示できます。
- 合計リクエスト数
- 主要な潜在的攻撃の種類
- コマンドの実行
- SQL インジェクション
- クロスサイトスクリプティング
- パススキャニング
- 異常トラフィック
- 不明ソース
- サーバーの 400/500
以下のアクティビティのいずれかにより、Signal Sciences がブロックするか、悪意があると見なした IP を表示できます。
- OWASP インジェクション攻撃
- アプリケーション DoS
- ブルートフォース攻撃
- アプリケーションの悪用および誤用
- リクエスト率制限
- アカウント乗っ取り
- 不正なボット
- 仮想パッチ
Signal Sciences エージェントのステータスに関するアラートを表示できます。
セットアップ
Signal Sciences-Datadog インテグレーションを使用するには、Signal Sciences ユーザーである必要があります。Signal Sciences の詳細については、https://www.signalsciences.com を参照してください。
構成
メトリクスの収集
Signal Sciences エージェントをインストールします。
DogStatsD を使用するように Signal Sciences エージェントを構成します。
各エージェントの agent.config ファイルに次の行を追加します。
statsd-type = "dogstatsd"
追加すると、エージェントの StatsD クライアントのタグ付け機能が有効になり、sigsci.agent.signal.<SIGNAL_TYPE> のようなメトリクスは、signal_type:<SIGNAL_TYPE> のタグが付いた sigsci.agent.signal として送信されます。
例:sigsci.agent.signal.http404 => sigsci.agent.signal にタグ signal_type:http404 を使用
Kubernetes を使用して Datadog Agent を実行している場合は、Kubernetes と DogStatsD に関するドキュメントの説明に従い、DogStatsD の非ローカルトラフィックを必ず有効にしてください。
メトリクスを Datadog Agent に送信するように SigSci エージェントを構成します。
各エージェントの agent.config ファイルに次の行を追加します。
statsd-address="<DATADOG_AGENT_HOSTNAME>:<DATADOG_AGENT_PORT>"
ボタンをクリックしてインテグレーションをインストールします。
Datadog で、「Signal Sciences - Overview」ダッシュボードが作成され、メトリクスのキャプチャが開始されていることを確認します。
イベント収集
Datadog で、API キーを作成します。
Signal Sciences ダッシュボードのサイトナビゲーションバーで、Manage > Integrations をクリックし、Datadog Event インテグレーションの横にある Add をクリックします。
API Key フィールドに API キーを入力します。
Add をクリックします。
詳細については、Datadog Signal Sciences インテグレーションを参照してください。
収集データ
メトリクス
sigsci.agent.waf.total
(rate) | The number of requests inspected per second.
Shown as request |
sigsci.agent.waf.error
(rate) | The number of errors per second while processing requests.
Shown as error |
sigsci.agent.waf.allow
(rate) | The number of allow operations per second.
Shown as operation |
sigsci.agent.waf.block
(rate) | The number of block operations per second.
Shown as operation |
sigsci.agent.waf.perf.decision_time.50pct
(gauge) | The decision time 50th percentile.
Shown as second |
sigsci.agent.waf.perf.decision_time.95pct
(gauge) | The decision time 95th percentile.
Shown as second |
sigsci.agent.waf.perf.decision_time.99pct
(gauge) | The decision time 99th percentile.
Shown as second |
sigsci.agent.waf.perf.queue_time.50pct
(gauge) | The queue time 50th percentile.
Shown as second |
sigsci.agent.waf.perf.queue_time.95pct
(gauge) | The queue time 95th percentile.
Shown as second |
sigsci.agent.waf.perf.queue_time.99pct
(gauge) | The queue time 99th percentile.
Shown as second |
sigsci.agent.rpc.connections.open
(gauge) | The number of open rpc connections.
Shown as connection |
sigsci.agent.runtime.cpu_pct
(gauge) | CPU percent used by the agent.
Shown as percent |
sigsci.agent.runtime.mem.sys_bytes
(gauge) | Memory used by the agent.
Shown as byte |
sigsci.agent.runtime.uptime
(gauge) | Agent uptime in seconds.
Shown as second |
sigsci.agent.signal
(rate) | Number of signals of each type per second.. |
イベント
Signal Sciences で IP アドレスにフラグが立てられると、イベントが作成され、Datadog イベントストリームに送信されます。
サービスチェック
Signal Sciences インテグレーションには、サービスのチェック機能は含まれません。
トラブルシューティング
ご不明な点は、Datadog のサポートチームまでお問合せください。
その他の参考資料
お役に立つドキュメント、リンクや記事:
