概要
ASM セキュリティシグナルは、Datadog が検出ルールに基づいて脅威を検出すると作成されます。Signals Explorer でセキュリティシグナルを表示、検索、フィルター、調査したり、通知ルール を構成してサードパーティツールにシグナルを送信することができます。
Signals Explorer では、属性やファセットでフィルターをかけて重要な脅威を見つけます。シグナルをクリックすると、サービス所有者や攻撃情報など、シグナルの詳細を確認できます。攻撃情報には、認証ユーザーとその IP アドレス、トリガーしたルール、攻撃フロー、関連するトレースやその他のセキュリティシグナルが含まれます。このページから、IP アドレスやユーザーをブロックできるほか、クリックしてケースを作成し、インシデントを宣言することもできます。
セキュリティシグナルのフィルター
Signals Explorer でセキュリティシグナルをフィルターするには、検索クエリ @workflow.triage.state:<status>
を使用します。<status>
はフィルターしたい状態 (open
、under_review
、archived
) です。ファセットパネルの Signal State ファセットを使用することもできます。
シグナルのトリアージ
シグナルをトリアージするには、そのシグナルをさらに調査するユーザーに割り当てます。割り当てられたユーザーは、シグナルのステータスを更新することで、そのレビューを追跡できます。
- Signals Explorer ページでセキュリティシグナルを選択します。
- シグナル側のパネルで、ユーザープロファイルのアイコンをクリックし、ユーザーを選択します。
- セキュリティシグナルのステータスを更新するには、トリアージステータスのドロップダウンメニューをクリックし、ステータスを選択します。デフォルトのステータスは Open です。
- Open: シグナルはまだ解決していません。
- Under Review: シグナルはアクティブに調査中です。Under Review の状態から、必要に応じてシグナルを Archived または Open に移動することができます。
- Archived: シグナルの原因となった検出が解決されました。シグナルが最初に検出されてから 30 日以内であれば、Archived の状態からシグナルを Open に戻すことができます。
注: セキュリティシグナルを変更するには、security_monitoring_signals_write
権限が必要です。Datadog のデフォルトロールと Application Security Management で利用可能な粒度の高いロールベースのアクセス制御権限については、[ロールベースのアクセス制御][3]を参照してください。
ケースの作成
Case Management を使用して、セキュリティシグナルの追跡、トリアージ、調査を行います。
- Signals Explorer ページでセキュリティシグナルを選択します。
- シグナルのサイドパネルで、Create a case ドロップダウンメニューを選択します。クリックし、Create a new case を選択するか、Add to an existing case を選択して、シグナルを既存のケースに追加します。
- タイトルとオプションで説明を入力します。
- Create Case をクリックします。
インシデントの宣言
セキュリティシグナルのインシデントを作成するには、Incident Management を使用します。
- Signals Explorer ページでセキュリティシグナルを選択します。
- シグナルのサイドパネルで、Declare Incident ドロップダウンメニューをクリックし、Create an incident または Add to an existing incident を選択します。
- インシデント作成モーダルで、重大度レベルやインシデントコマンダーなどの詳細を指定することでインシデントを構成します。
- Declare Incident をクリックします。
ワークフローの実行
セキュリティシグナルでワークフローを手動でトリガーするには、ワークフローの自動化を使用します。
- Signals Explorer ページでセキュリティシグナルを選択します。
- What is Workflow Automation セクションまで下へスクロールします。
- Run Workflow をクリックします。
- ワークフローモーダルで、実行したいワークフローを選択します。ワークフローによっては、追加の入力パラメーターを要求されることがあります。
- Run をクリックします。
確認と修正
- Signals Explorer ページでセキュリティシグナルを選択します。
- シグナルのサイドパネルで、Attack Flow、Activity Summary、Rule Details などの各タブをクリックし、情報を確認します。
- Suggested Next Steps を確認し、アクションを起こします。
- Block all Attacking IPs をクリックする (指定した期間または恒久的)。
- Automated Attacker Blocking をクリックする (検出ルールに基づく)。
- Block with Edge WAF をクリックする。
その他の参考資料