Empezando con Cloud SIEM

Información general

Datadog Cloud SIEM detecta amenazas en tiempo real a tu aplicación e infraestructura. Estas amenazas pueden incluir un ataque dirigido, una IP de la lista de amenazas que se comunica con tus sistemas o una configuración insegura. Una vez detectada, se genera una señal y se puede enviar una notificación a tu equipo.

Esta guía te mostrará las prácticas recomendadas para empezar con Cloud SIEM.

Fase 1: Configuración

  1. Configura la ingesta de logs para recopilar logs de tus fuentes. Revisa las Prácticas recomendadas para la gestión de logs.

    Puedes utilizar pipelines de integración listas para utilizar a fin de recopilar logs de más de 800 integraciones o crear pipelines de logs personalizadas para enviar:

  2. Habilite Cloud SIEM.

  3. Selecciona y configura Paquetes de contenido, que proporcionan contenido listo para utilizar para fuentes de logs de seguridad críticas.

  4. Selecciona y configura fuentes de logs adicionales que quieras que analice Cloud SIEM.

  5. Haz clic en Activate (Activar). Se crea un índice de log de Cloud SIEM (cloud-siem-xxxx) personalizado.

  6. Si en la página de configuración de Cloud SIEM se muestra la advertencia «The Cloud SIEM index is not in the first position» (El índice de Cloud SIEM no está en la primera posición), sigue los pasos en la sección Reordenar el índice de Cloud SIEM.

Reordenar el índice de Cloud SIEM

Un cuadro de advertencia amarillo que indica que se debe prestar atención a la configuración del índice
  1. Haz clic en Reorder index in Logs Configuration (Reordenar el índice en la Configuración de logs).

  2. Confirma que el título modal diga «Move cloud-siem-xxxx to…» (Mover cloud-siem-xxxx a…) y que el texto cloud-siem-xxxx en la columna de índice sea de color morado claro.

El modal Mover cloud-siem-xxxx que muestra la lista de índices con el índice cloud-siem-xxxx como último índice
  1. Para seleccionar la ubicación nueva del índice, haz clic en la línea superior del índice donde deseas que vaya cloud-siem-xxxx. Por ejemplo, si deseas que el índice cloud-siem-xxxx sea el primer índice, haz clic en la línea arriba del primer índice actual. La posición nueva se resalta con una línea azul gruesa.
El modal Mover cloud-siem-xxxx que muestra una línea azul en la parte superior del primer índice
  1. El texto confirma la posición seleccionada: «Selecciona la posición nueva de tu índice: Posición 1». Haz clic en Move (Mover).

  2. Revisa el texto de advertencia. Si estás satisfecho con el cambio, haz clic en Reorder (Reordenar).

  3. Revisa el orden de los índices y confirma que el índice cloud-siem-xxxx está donde deseas. Si deseas mover el índice, haz clic en el icono Move to (Mover a) y sigue los pasos 3 a 5.

  4. Vuelve a la Página de configuración de Cloud SIEM.

Ahora el índice de Cloud SIEM debería estar en la primera posición. Si la página de configuración sigue mostrando una advertencia sobre la posición del índice, espera unos minutos y actualiza el navegador.

Después de mover el índice a la primera posición, revisa la configuración y los estados de los Paquetes de contenido y otras fuentes de logs. Para cada integración que muestre una advertencia o error, haz clic en la integración y sigue las instrucciones a fin de solucionarlo.

Fase 2: Exploración de señales

  1. Revisa las reglas de detección listas para utilizar que comienzan a detectar amenazas en tu entorno de inmediato. Las reglas de detección se aplican a todos los logs procesados para maximizar la cobertura de detección. Consulta la documentación de las reglas de detección para obtener más información.

  2. Explora las señales de seguridad. Cuando se detecta una amenaza con una regla de detección, se genera una señal de seguridad. Consulta la documentación de las señales de seguridad para obtener más información.

    • Configura las reglas de notificación para que avise cuando se generen señales. Puedes generar alertar mediante Slack, Jira, correos electrónicos, webhooks y otras integraciones. Consulta la documentación de las reglas de notificación para obtener más información.
    • Suscríbete a los informes semanales de amenazas para iniciar la investigación y corrección de las amenazas de seguridad más importantes que se han detectado en los siete días anteriores.

Fase 3: Investigación

  1. Explora Investigator para una corrección más rápida. Consulta la documentación de Investigator para obtener más información.
  2. Utiliza dashboards listos para utilizar o crea el tuyo para las investigaciones, la presentación de informes y la monitorización.

Fase 4: Personalización

  1. Configura reglas de supresión para reducir el ruido.
  2. Crea reglas de detección personalizadas. Revisa las Prácticas recomendadas para crear reglas de detección.

Leer más