CSM Threats Active Protection está en fase beta.

En este tema, se explica cómo utilizar la función Active Protection contra amenazas de CSM para bloquear automáticamente las amenazas de minería de criptomonedas.

Por defecto, todas las reglas de detección de amenazas predefinidas del Agent están habilitadas y activas para la monitorización contra amenazas criptográficas.

Active Protection te permite bloquear y terminar proactivamente las amenazas de minería de criptomonedas identificadas por las reglas de detección de amenazas de Datadog Agent.

Active Protection agiliza la detección de amenazas y la respuesta específica, lo que se traduce en una reducción de los riesgos y permite a los equipos de DevSecOps y de seguridad hacer frente con eficacia a las amenazas cambiantes de la minería de criptomonedas:

  • La seguridad decide qué amenazas justifican una acción automatizada.
  • DevOps decide qué aplicaciones y recursos son lo suficientemente resistentes como para soportar una protección específica.

El resultado final es la detección de amenazas de minería de criptomonedas, seguida de una mitigación detallada inmediata contra ataques de alta confianza y verdaderos positivos.

Opciones de protección

Dispone de tres opciones para las reglas del Agent:

  • Monitorización: esta es la configuración por defecto para las reglas habilitadas, independientemente de si Active Protection está activada. Agent monitoriza la regla activada y muestra las detecciones en Señales.
  • Bloqueo:
    • El Bloqueo está disponible cuando Active Protection está activada. El Bloqueo está disponible en reglas predefinidas seleccionadas que tienen alta confianza, verdaderos positivos.
    • Agent monitoriza la regla activada, finaliza las acciones correspondientes al instante y muestra las detecciones en Señales.
  • Desactivado: el Agent no monitoriza los eventos de regla y no envía detecciones al backend de Datadog.
El bloqueo se aplica a todas las amenazas detectadas después de activar el bloqueo. El bloqueo no es retroactivo.

Disponibilidad de Active Protection

Active Protection se activa a nivel de organización.

La funcionalidad de bloqueo de Active Protection solo está disponible en un subconjunto de reglas predefinidas del Agent. La monitorización de reglas del Agent se ejecuta independientemente de si Active Protection está activada.

Para comprobar si Active Protection ya está habilitada en tu organización, ve a Agent Configuration (Configuración del Agent). Si Active Protection está habilitada, aparecerá una columna Protection (Protección) en la lista de reglas del Agent.

La columna de protección indica que Active Protection está activada en la organización

Si Active Protection está disponible para una regla de minería de criptomonedas, entonces Monitoring (Monitorización) o Blocking (Bloqueo) aparece en la columna Protection (Protección).

Si no aparece Monitoring (Monitorización) o Blocking (Bloqueo) en la columna Protection (Protección), entonces Active Protection aún no está disponible para esa regla de minería de criptomonedas.

Cuando Active Protection está activada y se aplica a una regla de minería de criptomonedas que generó una señal, se puede ver haciendo lo siguiente:

  1. En Señales, abre una señal.
  2. En la señal, ve Next Steps (Siguientes pasos).
    • Si Active Protection está activada, en Proactively block threats (Bloquear amenazas de forma proactiva), aparece Active Protection Enabled (Active Protection activada).
    • Si Active Protection no está activada, no se muestra Active Protection Enabled (Active Protection activada).

Si Active Protection está activada y disponible para una regla de minería de criptomonedas del Agent, puedes verla al consultar la regla:

  1. En Agent Configuration (Configuración del Agent), selecciona una regla de minería de criptomonedas.
  2. En la regla de minería de criptomonedas, si Active Protection está activada y disponible, hay una sección Protection (Protección).

Activar Active Protection

Cuando activas Active Protection, estás activando la capacidad de Active Protection para toda tu organización de Datadog. Active Protection no se limita a usuarios individuales.

Por defecto, todas las reglas predefinidas de minería de criptomonedas del Agent se encuentran en un estado de monitorización. La activación de Active Protection no cambia inmediatamente el estado predeterminado. Activar Active Protection te permite cambiar el estado de una regla de minería criptomonedas de monitorización a bloqueo.

En consecuencia, no debes preocuparte de que la activación de Active Protection cambie inmediatamente el estado de la detección de amenazas.

Para activar Active Protection:

  1. Ve a las reglas de Configuración del Agent de CSM.

  2. Selecciona Enable Active Protection (Activar Active Protection).

    Botón Activar Active Protection

Una vez activada Active Protection, la lista de reglas de configuración del Agent contiene una columna Protección.

La columna Protección indica si una regla está en estado de Monitorización o Bloqueo. Cuando activas Active Protection por primera vez, las reglas solo están en estado de Monitorización. Debes configurar la opción de bloqueo manualmente.

Desactivar Active Protection

Una vez activada Active Protection, puedes desactivarla en cada regla de configuración del Agent.

Bloquear las amenazas detectadas por una regla del Agent

Una vez activada Active Protection, puedes configurar la opción Bloqueo en una regla de minería de criptomonedas del Agent, y el Agent terminará estas acciones correspondientes instantáneamente.

Para activar el bloqueo en una regla del Agent:

  1. En Agent Configuration (Configuración del Agent), abre una regla de minería de criptomonedas que tenga Monitoring (Monitorización) en la columna Protection (Protección). Si no está Monitoring (Monitorización) o Blocking (Bloqueo) en la columna Protection (Protección), entonces Active Protection aún no está disponible para esa regla.

  2. En la regla del Agent, en Protection (Protección), selecciona Blocking (Bloqueo).

    La sección Protección de una regla del Agent que muestra la opción Bloqueo
  3. En Where (Dónde), selecciona Everywhere (En cualquier lado) o Custom (Personalizado). Para obtener más información sobre estas opciones, consulta Alcance de la regla del Agent a continuación.

  4. Selecciona Save Changes (Guardar cambios).

  5. En la Configuración del Agent, selecciona Deploy Agent Policy (Desplegar política del Agent).

Alcance de la regla del Agent

Al crear o editar una regla de minería de criptomonedas del Agent después de activar Active Protection, puedes seleccionar Blocking (Bloqueo) en la configuración de Protection (Protección) de la regla.

Cuando seleccionas Blocking (Bloqueo), puedes limitar donde Datadog debe aplicar la regla usando las opciones Everywhere (En todas partes) y Custom (Personalizado).

En todas partes

La regla se aplica a todos los servicios, hosts e imágenes.

Personalizado

En Custom (Personalizado), puedes especificar servicios o etiquetas (tags) para generar automáticamente una expresión sobre dónde aplicar la protección de bloqueo.

Cualquier servicio o imagen que no coincida con la expresión no se bloquea, pero sigue siendo monitorizado.

Puedes utilizar servicios y etiquetas para generar una expresión. Datadog coincide con la regla que utiliza los servicios o etiquetas que proporciones.

  • Servicios: introduce uno o varios nombres de servicio. Puedes utilizar comodines. Por ejemplo, si introduces a* se genera la expresión process.envp in ["DD_SERVICE=a*"].
  • Etiquetas: introduce una o más etiquetas para las imágenes de contenedor. Si introduces varias etiquetas, todas las etiquetas deben coincidir para que se aplique la Protección. Hay dos opciones:
    • image_tag: la etiqueta de imagen solamente. Por ejemplo, stable-perl.
    • short_image: el nombre de la imagen sin una etiqueta. Por ejemplo, nginx.
    • Por ejemplo, se puede hacer referencia a una imagen de registro del contenedor de Github como ghcr.io/MY_NAMESPACE/MY_IMAGE:2.5 utilizando:
      • image_tag: 2.5.
      • short_image: MY_IMAGE.

Ejemplo de ataque bloqueado

Una vez activada Active Protection y configurada como Bloqueo para una regla del Agent, las amenazas bloqueadas aparecen en Señales.

Una señal de amenaza bloqueada contiene los mensajes SECURITY RESPONSE y The malicious process <THREAT NAME> has automatically been killed.:

Mensajes de señal
PREVIEWING: esther/docs-9518-update-example-control-sensitive-log-data