Перейти к содержанию

Концепции Threat Observability

  • Пояснение

Этот раздел поможет вам лучше понять данные в контексте безопасности, чтобы вы могли легко реализовывать различные варианты использования с данными, связанными с безопасностью, доступными в Grail. Чтобы узнать, как DQL может помочь в повседневных задачах, см. Примеры DQL для данных безопасности.

Типы данных в Grail

Данные могут поступать в Grail из вашей отслеживаемой среды или из сторонних источников.

Данные из вашей отслеживаемой среды

Данные из сторонних источников

Данные, которые Dynatrace собирает из вашей отслеживаемой среды и которые в настоящее время можно запрашивать в Grail, включают:

Подробнее см.:

Dynatrace принимает данные из сторонних источников, обеспечивая консолидированный, унифицированный анализ и автоматизацию.

Список поддерживаемых интеграций см. в разделе Приём событий безопасности.

Данные, связанные с безопасностью

Данные, связанные с безопасностью, могут генерироваться встроенными возможностями Dynatrace и собираться OneAgent или ActiveGate, либо приниматься из сторонних инструментов через приём логов или OpenPipeline.

Данные, связанные с безопасностью, в Grail могут предоставлять ответы с различной степенью детализации и с разных точек зрения. Вы можете запрашивать, агрегировать, визуализировать и создавать отчёты по данным на нескольких уровнях.

Хранилище данных Grail не разделяет данные безопасности и данные наблюдаемости. Вы можете использовать все свои данные в Dynatrace для сценариев безопасности. Например, если вы приняли логи аутентификации приложения для бизнес-целей, вы можете использовать те же логи для обнаружения потенциальных атак методом перебора на учётные записи клиентов. Ниже приведены примеры использования данных в целях безопасности:

События безопасности

Этот раздел был обновлён в соответствии с новой таблицей событий безопасности Grail. Полный список обновлений и действий, необходимых для выполнения миграции, см. в руководстве по миграции таблицы безопасности Grail.

События безопасности — это тип данных, связанных с безопасностью, состоящий из различных генерируемых событий, таких как:

Хранение

  • События безопасности, сгенерированные Dynatrace из вашей отслеживаемой среды, хранятся в бакете default_securityevents_builtin в течение трёх лет.
  • События безопасности, принятые из сторонних источников, хранятся в бакете default_securityevents в течение одного года.
  • Исходные (необработанные) принятые данные хранятся в dt.raw_data. Вы можете запрашивать их с помощью команды parse, например:
fetch security.events


| parse dt.raw_data, """JSON:dt.raw_data"""


| filter isNotNull(dt.raw_data[vulnerability.title])


| fields dt.raw_data[vulnerability.title]

Разрешения

  • storage:security.events:read (для запроса принятых событий безопасности)
  • storage:logs:read (для запроса принятых логов)

События уязвимостей

События уязвимостей можно классифицировать по уровням событий (event.level), группам событий (event.group_label) и типам событий (event.type). Подробности см. ниже.

Уровни событий

Уровни событий Описание
VULNERABILITY Уязвимость на глобальном уровне, включая общую информацию, глобальные статусы и изменения. Уникальный идентификатор — vulnerability.id или vulnerability.display_id.
ENTITY Уязвимая сущность с информацией об уязвимости в рамках этой сущности. Уникальный идентификатор — кортеж (affected_entity.id, vulnerability.id).

Группы событий

Группы событий Описание
CHANGE_EVENT Изменение, произошедшее с уязвимостью или её затронутой сущностью.
STATE_REPORT Полное историческое состояние уязвимости или её затронутой сущности, сообщаемое периодически: уязвимости со статусом OPEN (заглушённые и незаглушённые) сообщаются каждые 15 минут; уязвимости со статусом RESOLVED сообщаются только один раз (когда открытые уязвимости разрешаются). Для анализа разрешённых уязвимостей отфильтруйте нужный временной диапазон.

Типы событий

Типы событий Описание
VULNERABILITY_STATE_REPORT_EVENT Исторические состояния уязвимостей, сообщаемые периодически.
VULNERABILITY_COVERAGE_REPORT_EVENT Исторические события покрытия, сообщаемые периодически.
VULNERABILITY_STATUS_CHANGE_EVENT Изменения статуса уязвимости, сообщаемые при изменении. Включают статусы разрешения и заглушения.
VULNERABILITY_ASSESSMENT_CHANGE_EVENT Изменения оценки уязвимости, сообщаемые при изменении. Включают Dynatrace Security Score и Dynatrace Assessment.
VULNERABILITY_FINDING1 Единичная уязвимость, обнаруженная в конкретном процессе в определённый момент времени.
VULNERABILITY_SCAN1 Анализ обнаруженных пакетов в конкретном процессе в определённый момент времени.

1

Этот тип события может поступать как из сторонних инструментов безопасности, так и из сторонних библиотек, используемых процессами, отслеживаемыми Dynatrace.

Список полей событий уязвимостей, сопоставленных с Grail, см. в Семантическом словаре Dynatrace.

Находки уязвимостей

Используйте Vulnerabilities Vulnerabilities для анализа, приоритизации и эффективного управления находками в ваших отслеживаемых средах.

Находка уязвимости — это событие безопасности, указывающее на обнаруженную слабость в системе, программном компоненте или среде. Она представляет собой единичный случай дефекта или неправильной конфигурации, которые могут быть использованы злоумышленником.

Каждая находка хранится как отдельное событие в момент обнаружения. Эти записи могут поступать из внешних источников, таких как сторонние сканеры или библиотеки, используемые процессами, отслеживаемыми Dynatrace. Dynatrace принимает и хранит эти события как необработанные данные, но не выполняет дополнительный анализ (например, Dynatrace Security Score не рассчитывается).

Находки включают следующие данные:

  • Серьёзность и уровень риска
  • Затронутый компонент и статус устранения
  • Метаданные (временные метки, уникальные идентификаторы и информация об источнике)
  • Технические атрибуты (оценки CVSS, доступность эксплойтов и ссылки на CVE)

События соответствия

Событие соответствия — это тип события безопасности, специфичный для возможности Security Posture Management. Оно представляет собой оценку ресурса в контексте правила, указанного в стандарте соответствия.

Типы событий Описание
COMPLIANCE_SCAN_COMPLETED Событие завершения сканирования соответствия генерируется по завершении проверки набора конфигурационных данных на соответствие правилам.
COMPLIANCE_FINDING Событие находки соответствия генерируется, когда объект оценивается на соответствие правилу во время сканирования. Событие содержит результаты этой оценки и статус соответствия данного объекта.

Список полей событий соответствия, сопоставленных с Grail, см. в Семантическом словаре Dynatrace.

События обнаружения

Событие обнаружения генерируется при обнаружении подозрительной активности вокруг объекта. Событие содержит всю доступную информацию, признанную полезной на момент обнаружения.

Используйте Threats & Exploits Threats & Exploits для оценки, сортировки и расследования обнаруженных находок.

Типы событий Описание
DETECTION_FINDING Оповещение или обнаружение, сгенерированное инструментами безопасности с использованием алгоритмов корреляции, правил обнаружения или других аналитических методов.

Для получения событий обнаружения используйте запрос, подобный следующему:

fetch security.events


| filter event.kind == "SECURITY_EVENT" AND event.type == "DETECTION_FINDING"


| filter product.name == "Runtime Application Protection"


| makeTimeseries count()

Список полей событий обнаружения, сопоставленных с Grail, см. в Семантическом словаре Dynatrace.

Интеграция с OpenPipeline

С помощью OpenPipeline вы можете принимать внешние события безопасности из различных сторонних продуктов в Grail и использовать ваши данные на платформе Dynatrace.

Готовые интеграции

Dynatrace предоставляет бесшовные варианты интеграции OpenPipeline для определённых технологий. Принятые данные автоматически сохраняются в Grail и сопоставляются с унифицированным форматом Семантического словаря Dynatrace. Мы предоставляем готовые дашборды и рабочие процессы для визуализации данных и автоматизации уведомлений. Практический пример см. в разделе Визуализация и анализ находок безопасности.

Поддержка пользовательского приёма данных

Вы можете использовать наш встроенный эндпоинт API событий безопасности или создать пользовательский эндпоинт API для приёма любых событий безопасности из любой сторонней системы в Grail. Вы можете настроить пайплайн для ручного сопоставления данных с соглашениями Семантического словаря. После приведения событий в соответствие с Семантическим словарём вы можете использовать дашборды и рабочие процессы, предоставляемые другими интеграциями, для просмотра, анализа и автоматизации этих находок вместе с существующими данными безопасности.

Нормализация серьёзности и оценок

При приёме находок из различных источников уязвимостей Dynatrace различает значения, сообщаемые поставщиком, и нормализованные значения, используемые на платформе. Нормализация обеспечивает единообразное сравнение и приоритизацию всех находок независимо от их происхождения.

  • Принятая серьёзность: уровень серьёзности, сообщаемый исходным поставщиком или сканером. Уровень серьёзности хранится в поле finding.severity.
  • Нормализованная серьёзность: серьёзность, приведённая к единой шкале риска Dynatrace (dt.security.risk.level) для обеспечения единообразия между продуктами.
  • Принятая оценка риска: оценка риска, определённая поставщиком (например, Dynatrace Security Score). При наличии данных от исходного инструмента принятая оценка риска хранится в поле finding.score.
  • Нормализованная оценка риска: оценка риска, преобразованная в единую шкалу Dynatrace (dt.security.risk.score), чтобы вы могли последовательно приоритизировать уязвимости.

Каждая находка также указывает продукт (product.name и product.vendor), который её обнаружил (например, Runtime Vulnerability Analytics), чтобы вы могли определить источник данных. Для получения дополнительной информации и полной спецификации модели безопасности см. События безопасности.