Datadogの導入効果をレビューでご紹介(株式会社グラファー-mrtc0)

参考になった

レビュー投稿日の情報になります

株式会社グラファー / mrtc0

メンバー / セキュリティエンジニア / 従業員規模: 51名〜100名 / エンジニア組織: 11名〜50名

最終更新日2024/03/08投稿日2023/11/10

利用プラン	ツールの利用規模	ツールの利用開始時期
Cloud Security Management Enterprise	11名〜50名	2022年11月

導入の背景・解決したかった問題

導入背景

クラウドの監視は AWS の機能を利用していましたが、社内のポリシーに基づいたルールをコード化できない点や、抑制等の運用に課題がありました。また、コンテナ環境に対する検知ルールも「自動で更新されてほしい」「誤検知が少ない」「本当に検知すべき攻撃を検知してほしい」といった要件がありました。

当時、アプリケーションのログや監視などはすべて Datadog に集約されていたため、セキュリティに関するログや監視も Datadog に寄せたほうが、新しいソフトウェアやサービスの学習をせずに済むと考えDatadogを選定しています。結果として、セキュリティエンジニア以外でも利用できるのではないかと考えていました。

比較検討したサービス

すでにDatadogを利用しているところにセキュリティ機能を付随させたので比較検討はしていません。

選定理由

すでにDatadogを社内で活用していたため。

導入時の苦労・悩み

Datadog 側で用意されている検知ルールを確認し、想定している脅威に対して不足しているものはルールを追加しながら導入を進めました。導入してからしばらく様子を見ながら False Positive への対応を行い、ルールを Terraform で管理するようにしました。

導入に向けた社内への説明

経営陣・上長への説明

導入に際してはDecision Recordとして「どこを守れるようになるのか」「従来と比べて何が変わるのか」「運用方法」など記述し、社内ドキュメントとしても展開して進めました。

活用方法

よく使う機能

Datadog CSM
- AWS のリソースに設定ミスがないかを確認しています。Regoでは独自ルールが記述できるので、社内ポリシーに準拠しているか検知する目的でも利用しています。
- コンプライアンスに違反しているリソースの確認や、Inventory 機能を使って AWS アカウントを横断したリソースの検索をしています。
Datadog Workload Security
- コンテナやホストの不審な挙動や攻撃を検知するために使用しています。実行されたコマンドなども記録する目的で使用しています。
Datadog Logs / Monitor / Dashboard
- AWS CloudTrail やプロダクトのセキュリティログ、利用している SaaS の監査ログを Datadog Logs に集めています。
- 既知の攻撃例などをもとに Datadog Monitor によるアラートを設定したり、毎週 Datadog Dashboard で見逃したセキュリティイベントがないかを確認しています。
- Cloud SIEM を利用していないので、セキュリティに関するログやイベントはダッシュボードで閲覧できるようにし、毎週チームで不審なイベントがないか確認をし、アラート化したほうが良いものはアラート化を行っています。