You can monitor the security of your Python apps running in Docker, Kubernetes, Amazon ECS, and AWS Fargate.

前提条件

• Datadog Agent が、アプリケーションのオペレーティングシステムやコンテナ、クラウド、仮想環境にインストールされ構成されている。
• Datadog APM が、アプリケーションまたはサービスに構成され、Datadog によってトレースが受信されている。
• リモート構成を有効にした Agent とそれをサポートするトレーシングライブラリのバージョンでサービスを実行している場合は、Agent やトレーシングライブラリの追加構成なしに、Datadog UI から攻撃者をブロックすることができます。

Enabling threat detection

Get started

1. Update your Datadog Python library package to at least version 1.2.2. Run the following:

   pip install --upgrade ddtrace
   

   To check that your service’s language and framework versions are supported for AAP capabilities, see Compatibility.

2. Enable AAP when starting the Python application.

   DD_APPSEC_ENABLED=true ddtrace-run python app.py
   

   You can also use one of the following methods, depending on where your application runs:

   Update your configuration container for APM by adding the following argument in your docker run command:

   docker run [...] -e DD_APPSEC_ENABLED=true [...]
   

   Add the following environment variable value to your container Dockerfile:

   ENV DD_APPSEC_ENABLED=true
   

   Update your configuration YAML file container for APM and add the DD_APPSEC_ENABLED environment variable:

   spec:
     template:
       spec:
         containers:
           - name: <CONTAINER_NAME>
             image: <CONTAINER_IMAGE>/<TAG>
             env:
               - name: DD_APPSEC_ENABLED
                 value: "true"
   

   Update your ECS task definition JSON file by adding the following in the environment section:

   "environment": [
     ...,
     {
       "name": "DD_APPSEC_ENABLED",
       "value": "true"
     }
   ]
   

   Initialize AAP in your code or set the DD_APPSEC_ENABLED environment variable to true in your service invocation:

   DD_APPSEC_ENABLED=true ddtrace-run python app.py
   

   この構成が完了すると、ライブラリは、アプリケーションからセキュリティデータを収集し、Agent に送信します。Agent は、そのデータを Datadog に送信し、すぐに使える検出ルールによって、攻撃者のテクニックや潜在的な誤構成にフラグが立てられるため、是正措置を講じることができます。

3. Application Security Management の脅威検出の動作を見るには、既知の攻撃パターンをアプリケーションに送信してください。例えば、次の curl スクリプトを含むファイルを実行して、Security Scanner Detected ルールをトリガーします。

   for ((i=1;i<=250;i++)); 
   do
   # Target existing service’s routes
   curl https://your-application-url/existing-route -A dd-test-scanner-log;
   # Target non existing service’s routes
   curl https://your-application-url/non-existing-route -A dd-test-scanner-log;
   done

   注: dd-test-scanner-log の値は、最新のリリースでサポートされています。

   アプリケーションを有効にして実行すると、数分後に Application Signals Explorer に脅威情報が表示され、Vulnerability Explorer に脆弱性情報が表示されます**。

Using AAP without APM tracing

If you want to use Application & API Protection without APM tracing functionality, you can deploy with tracing disabled:

1. Configure your tracing library with the DD_APM_TRACING_ENABLED=false environment variable in addition to the DD_APPSEC_ENABLED=true environment variable.
2. This configuration will reduce the amount of APM data sent to Datadog to the minimum required by App and API Protection products.

For more details, see [Standalone App and API Protection][standalone_billing_guide]. [standalone_billing_guide]: /security/application_security/guide/standalone_application_security/

Further Reading

お役に立つドキュメント、リンクや記事:

Adding user information to tracesDOCUMENTATION Python Datadog library source codeSOURCE CODE OOTB App and API Protection RulesDOCUMENTATION Troubleshooting App and API ProtectionDOCUMENTATION