This product is not supported for your selected
Datadog site. (
).
App and API Protection is not supported for your selected
Datadog site (
).
Datadog の App and API Protection (AAP) は、Web アプリケーションと API を、以下を含む幅広いセキュリティ脅威から保護します:
- エクスプロイトの試み
- アプリケーションの悪用および詐欺
- API の悪用
Datadog プラットフォームに統合された App and API Protection は、Datadog の広範なオブザーバビリティ データ (ログとトレース) を活用して、単一のプラットフォーム上でフル スタックの可視性とセキュリティを提供します。
App and API Protection は、チームが脅威を迅速に特定して対処できるようにします。その主な特長は、セキュリティと DevOps の間の隔たりを埋め、開発、セキュリティ、運用の各チームの連携を促進する点です。
ユースケース
Datadog App and API Protection が一般的なユースケースにどのように役立つかをご覧ください:
| 実現したいこと | Datadog AAP の活用方法 |
|---|
| Web アプリケーションの保護: SQL インジェクション、サーバー サイド リクエスト フォージェリー、ローカル ファイル インクルージョンなどの脆弱性悪用を防止します。 | サービス上で Exploit Prevention を有効にします。App and API Protection はエクスプロイトをリアルタイムでブロックし、さらなる調査のためのシグナルを生成します。 |
| アプリケーションと API の悪用: クレデンシャル スタッフィングやアカウント 乗っ取り攻撃などの不正利用から、アプリケーションと API を保護します。 | 標準提供の検出ルール を活用して、単一の IP からの異常なアカウント作成やパスワード リセット、または分散型のクレデンシャル スタッフィング キャンペーンに関する通知を受け取れます。標準提供のアカウント 乗っ取り防止機能 の利点も確認してください。 |
| API セキュリティ: 組織の API について学び、優先順位付けされた API エンドポイントのリストを使用して、リスクを軽減するために必要な態勢と対策を理解できます。 | App and API Protection:- すべての API エンドポイントのインベントリを作成します。- API の悪用を含め、API トラフィックを可視化します。- API エンドポイント全体のリスクを浮き彫りにします (例: 機密データを処理する脆弱なエンドポイントや認証されていないエンドポイントなど) 。 |
セキュリティシグナル
Threat Monitoring によって生成されたセキュリティ シグナルは要約され、サービスの健全性やパフォーマンスを確認する際に普段参照するビューに表示されます。Software Catalog と APM の各サービス ページでは、アプリケーションの脅威シグナルに関するインサイトが得られるため、脆弱性を調査し、攻撃者をブロックし、攻撃への露出状況を確認できます。
App and API Protection の仕組みについての詳細は、AAP の仕組みをご覧ください。
脅威シグナルを探る
サービスの脅威データが Datadog に取り込まれると、AAP Overview に発生内容の概要が表示されます。ここでは、脆弱性検出の有効化、攻撃のレビュー、アラートとレポートのカスタマイズ、サービスの AAP の有効化を行うことができます。疑わしいアクティビティのシグナルを調査するには、サービスの Review リンクをクリックします。
シグナルエクスプローラーでは、属性やファセットでフィルターをかけて重要な脅威を見つけます。シグナルをクリックすると、ユーザー情報や IP アドレス、トリガーしたルール、攻撃フロー、関連するトレースやその他のセキュリティシグナルなど、シグナルの詳細を確認できます。このページから、クリックしてケースを作成し、インシデントを宣言することもできます。詳しくはセキュリティシグナルの調査を参照してください。
攻撃パターンを特定するための In-App WAF ルールの作成
AAP に付属するデフォルト ルールを補完するために、アプリケーションで何を疑わしい動作と見なすかを定義する In-App WAF ルールを作成できます。続いて、これらのルールで検出された攻撃試行からセキュリティ シグナルを生成するよう カスタム ルールを指定 し、Threat Monitoring ビューで調査できるようにします。
AAP Protect で攻撃と攻撃者の動きを鈍らせる
If your service is running an Agent with Remote Configuration enabled and a tracing library version that supports it, you can block attacks and attackers from the Datadog UI without additional configuration of the Agent or tracing libraries.
AAP Protect goes beyond Threat Detection and enables you to take blocking action to slow down attacks and attackers. Unlike perimeter WAFs that apply a broad range of rules to inspect traffic, AAP uses the full context of your application—its databases, frameworks, and programming language—to narrowly apply the most efficient set of inspection rules.
AAP leverages the same tracing libraries as Application Performance Monitoring (APM) to protect your applications against:
- Attacks: AAP’s In-App WAF inspects all incoming traffic and uses pattern-matching to detect and block malicious traffic (security traces).
- Attackers: IP addresses and authenticated users that are launching attacks against your applications are detected from the insights collected by the libraries and flagged in Security Signals.
Security traces are blocked in real time by the Datadog tracing libraries. Blocks are saved in Datadog, automatically and securely fetched by the Datadog Agent, deployed in your infrastructure, and applied to your services. For details, read How Remote Configuration Works.
To start leveraging Protection capabilities—In-App WAF, IP blocking, User blocking and more—read Protection.
脅威管理と保護を無効にする
脅威管理と保護を無効化する方法の詳細については、脅威管理と保護の無効化を参照してください。
参考資料
