Datadog Security イベントの監査

次で利用可能:

Cloud SIEM | Cloud Security Management | Application Security Management

管理者またはセキュリティチームのメンバーであれば、監査証跡を使用して、チームが Datadog Security でどのようなアクションを実行しているかを確認することができます。個人としては、自分のアクションのストリームを見ることができます。セキュリティ管理者や情報セキュリティチームにとって、監査証跡イベントはコンプライアンスの確認や、Datadog リソースでいつ誰が何をしたのかを記録する監査証跡を保持する助けになります。

Datadog Security で実行されたアクションによって生成された監査ログを表示するには、Datadog の Audit Trail ページに移動します。Datadog Security では、以下の製品固有のイベントが利用できます。

Cloud Security Platform

NameDescription of audit eventQuery in audit explorer
CWS agent ruleA user accessed (fetched) a CWS agent rule in the Cloud Security Platform.@evt.name:"Cloud Security Platform" @asset.type:cws_agent_rule @action:accessed
Notification profileA user created, updated, or deleted a notification profile in the Cloud Security Platform.@evt.name:"Cloud Security Platform" @asset.type:notification_profile
Security ruleA user validated, updated, deleted, or created a security rule and the previous and new values for the rule.@evt.name:"Cloud Security Platform" @asset.type:security_rule
Security signalA user modified the state of a signal or assigned the signal to a user, and the previous and new values for the signal.@evt.name:"Cloud Security Platform" @asset.type:security_signal @action:modified
Report subscriptionA user subscribed or unsubscribed from a K9 email report.@evt.name:"Cloud Security Platform" @asset.type:report_subscription

Application Security Management

NameDescription of audit eventQuery in audit explorer
One-click ActivationA user activated or de-activated ASM on a service.@evt.name:"Application Security" @asset.type:compatible_services
ProtectionA user enabled or disabled the ASM protection.@evt.name:"Application Security" @asset.type:blocking_configuration
DenylistA user blocked, unblocked, or extended the blocking duration of an IP address or a user ID.@evt.name:"Application Security" @asset.type:ip_user_denylist
PasslistA user added, modified, or deleted an entry to the passlist.@evt.name:"Application Security" @asset.type:passlist_entry
In-App WAF PolicyA user created, modified, or deleted an In-App WAF policy.@evt.name:"Application Security" @asset.type:policy_entry
In-App WAF Custom RuleA user validated, created, modified, or deleted an In-App WAF custom rule.@evt.name:"Application Security" @asset.type:waf_custom_rule

その他の参考資料

お役に立つドキュメント、リンクや記事:

監査証跡についてドキュメント more more 監査証跡イベントについてドキュメント more more
PREVIEWING: evan.li/clarify-agentless