Datadog внедрил доказательную детекцию аутентификации в App & API Protection

Datadog обновил App & API Protection: статус аутентификации теперь определяется на основе проверяемых сигналов, отображается в API Inventory и допускает настройку правил тегирования эндпоинтов — это снижает ложные срабатывания и ускоряет приоритезацию.

Datadog добавил в App & API Protection механизм доказательной детекции статуса аутентификации для API‑эндпоинтов — теперь решение выставляет метки authenticated, unauthenticated или undetected на основе явно верифицируемых сигналов. Это важно для компаний, которые управляют сотнями и тысячами эндпоинтов с разными схемами аутентификации и рискуют получать много ложных срабатываний, затрудняющих приоритезацию уязвимостей и инцидентов. Логика классификации опирается только на явные доказательства: эндпоинт помечается как authenticated, если есть совпадающие trace signals, соответствие tag mappings или данные интеграций; unauthenticated — при явном свидетельстве отсутствия аутентификации, например когда трафик не совпадает с вашей trace tagging rule в Datadog; если таких сигналов нет, статус остаётся undetected.

Bearer и API‑ключей до пользовательских заголовков JSON Web Token — что подчёркивает необходимость точной локальной настройки детекции. Для удобства обзора в интерфейсе App & API Protection в разделе API Inventory добавлена отдельная колонка статуса аутентификации. При наведении курсора показывается, какой метод детекции использован и какие сигналы совпали; доступны интерактивные действия «View traces» и «View schema» для быстрого перехода к трассировкам и схемам API и глубокого анализа причин классификации. Кроме того, реализована возможность задавать endpoint tagging rules, которые позволяют адаптировать детекцию под локальные названия заголовков, нестандартные схемы авторизации и командные практики, снижая зависимость от универсальных эвристик.

Практический эффект для инженеров и команд безопасности — уменьшение шума в находках и сокращение числа ложноположительных и ложноотрицательных результатов, а также прозрачная доказательная база для приоритезации. Возможность увидеть использованные сигналы и тут же перейти к трассам или схеме API ускоряет принятие решения: исправить конфигурацию, добавить или изменить trace tagging rule либо пометить эндпоинт для дальнейшего рассмотрения. Авторы в блоге подчёркивают, что цель подхода — сократить ручную проверку состояния аутентификации и ускорить устранение реальных рисков за счёт фокуса на верифицированных сигналах, прозрачности причин детекции и гибких правил под конкретное окружение.