Enabling ASM for Python

このページは日本語には対応しておりません。随時翻訳に取り組んでいます。翻訳に関してご質問やご意見ございましたら、お気軽にご連絡ください。

You can monitor the security of your Python apps running in Docker, Kubernetes, Amazon ECS, and AWS Fargate.

前提条件

1 クリック有効化
サービスがリモート構成を有効にした Agent とそれをサポートするトレーシングライブラリのバージョンで実行されている場合、ASM Status 列の Not Enabled インジケーターにカーソルを合わせ、Enable ASM をクリックします。DD_APPSEC_ENABLED=true または --enable-appsec のフラグを使ってサービスを再起動する必要はありません。

Enabling threat detection

Get started

  1. Update your Datadog Python library package to at least version 1.2.2 (at least version 1.5.0 for Software Composition Analysis detection features). Run the following:

    pip install --upgrade ddtrace

    To check that your service’s language and framework versions are supported for ASM capabilities, see Compatibility.

  2. Enable ASM when starting the Python application.

    DD_APPSEC_ENABLED=true ddtrace-run python app.py

    You can also use one of the following methods, depending on where your application runs:

      Update your configuration container for APM by adding the following argument in your docker run command:

      docker run [...] -e DD_APPSEC_ENABLED=true [...]

      Add the following environment variable value to your container Dockerfile:

      ENV DD_APPSEC_ENABLED=true

      Update your configuration YAML file container for APM and add the DD_APPSEC_ENABLED environment variable:

      spec:
  template:
    spec:
      containers:
        - name: <CONTAINER_NAME>
          image: <CONTAINER_IMAGE>/<TAG>
          env:
            - name: DD_APPSEC_ENABLED
              value: "true"

      Update your ECS task definition JSON file by adding the following in the environment section:

      "environment": [
  ...,
  {
    "name": "DD_APPSEC_ENABLED",
    "value": "true"
  }
]

      Initialize ASM in your code or set the DD_APPSEC_ENABLED environment variable to true in your service invocation:

      DD_APPSEC_ENABLED=true ddtrace-run python app.py

      この構成が完了すると、ライブラリは、アプリケーションからセキュリティデータを収集し、Agent に送信します。Agent は、そのデータを Datadog に送信し、すぐに使える検出ルールによって、攻撃者のテクニックや潜在的な誤構成にフラグが立てられるため、是正措置を講じることができます。

    • Application Security Management の脅威検出の動作を見るには、既知の攻撃パターンをアプリケーションに送信してください。例えば、次の curl スクリプトを含むファイルを実行して、Security Scanner Detected ルールをトリガーします。

      for ((i=1;i<=250;i++)); 
      do
      # Target existing service’s routes
      curl https://your-application-url/existing-route -A dd-test-scanner-log;
      # Target non existing service’s routes
      curl https://your-application-url/non-existing-route -A dd-test-scanner-log;
      done

      : dd-test-scanner-log の値は、最新のリリースでサポートされています。

      アプリケーションを有効にして実行すると、数分後に Application Signals Explorer に脅威情報が表示されVulnerability Explorer に脆弱性情報が表示されます**。

    Further Reading

    お役に立つドキュメント、リンクや記事:

    Adding user information to tracesDOCUMENTATION more more Python Datadog library source codeSOURCE CODE more more OOTB Application Security Management RulesDOCUMENTATION more more Troubleshooting Application Security ManagementDOCUMENTATION more more
    PREVIEWING: mervebolat/span-id-preprocessing