Empezando con Cloud SIEM

Información general

Datadog Cloud SIEM detecta en tiempo real amenazas dirigidas a tu aplicación e infraestructura. Estas amenazas pueden ser un ataque dirigido, una IP de la lista de amenazas que se comunica con tus sistemas o una configuración insegura. Una vez detectada, se genera una señal y se puede enviar una notificación a tu equipo.

Esta guía te mostrará las prácticas recomendadas para empezar a usar Cloud SIEM.

Fase 1: Configuración

  1. Configura la ingesta de logs para recopilar logs de tus fuentes. Revisa las prácticas recomendadas de gestión de logs.

    Puedes utilizar pipelines de integración ya preparadas a fin de recopilar logs de más de 800 integraciones o crear pipelines de logs personalizadas para enviarlas:

  2. Habilite Cloud SIEM.

  3. Selecciona y configura paquetes de contenido, que proporcionan contenido listo para utilizar para fuentes de logs de seguridad críticas.

  4. Selecciona y configura las fuentes de logs adicionales que quieras que analice Cloud SIEM.

  5. Haz clic en Activate (Activar). Se crea un índice de log de Cloud SIEM (cloud-siem-xxxx) personalizado.

  6. Si en la página de configuración de Cloud SIEM se muestra la advertencia «The Cloud SIEM index is not in the first position» (El índice de Cloud SIEM no está en la primera posición), sigue los pasos de la sección Reordenar el índice de Cloud SIEM.

Reordenar el índice de Cloud SIEM

Un cuadro de advertencia amarillo que indica que se debe prestar atención a la configuración del índice

  1. Haz clic en Reorder index in Logs Configuration (Reordenar el índice en la configuración de logs).

  2. Confirma que el título de la ventana modal diga «Move cloud-siem-xxxx to…» (Mover cloud-siem-xxxx a…) y que el texto cloud-siem-xxxx en la columna de índice sea de color morado claro.

Ventana modal Mover cloud-siem-xxxx que muestra la lista de índices con el índice cloud-siem-xxxx como último índice
  1. Para seleccionar la nueva ubicación del índice, haz clic en la línea superior del índice donde quieres que vaya cloud-siem-xxxx. Por ejemplo, si quieres que el índice cloud-siem-xxxx sea el primero, haz clic en la línea de arriba del primer índice actual. La posición nueva se resalta con una línea azul gruesa.
Ventana modal Mover cloud-siem-xxxx que muestra una línea azul en la parte superior del primer índice

  1. El texto confirma la posición seleccionada: «Select the new placement of your index: Position 1» (Selecciona la nueva posición del índice: Posición 1). Haz clic en Move (Mover).

  2. Revisa el texto de advertencia. Si estás conforme con el cambio, haz clic en Reorder (Reordenar).

  3. Revisa el orden de los índices y confirma que el índice cloud-siem-xxxx está donde quieres que esté. Si quieres moverlo, haz clic en el icono Move to (Mover a) y sigue los pasos 3 a 5.

  4. Vuelve a la página de configuración de Cloud SIEM.

Ahora el índice de Cloud SIEM debería estar en la primera posición. Si la página de configuración sigue mostrando una advertencia sobre la posición del índice, espera unos minutos y actualiza el navegador.

Después de mover el índice a la primera posición, revisa la configuración y los estados de los paquetes de contenido y las otras fuentes de logs. Haz clic en cada integración que muestre una advertencia o error y sigue las instrucciones para solucionarlo.

Fase 2: Exploración de señales

  1. Echa un vistazo a las reglas de detección que ya vienen preparadas para detectar amenazas en tu entorno de inmediato. Las reglas de detección se aplican a todos los logs procesados para maximizar la cobertura de detección. Consulta el material de referencia de las reglas de detección para obtener más información.

  2. Revisa las señales de seguridad. Cuando se detecta una amenaza con una regla de detección, se genera una señal de seguridad. Consulta la documentación de las señales de seguridad para obtener más información.

    • Configura las reglas de notificación para recibir un aviso cuando se generen señales. Puedes recibir alertas mediante Slack, Jira, correo electrónico, webhooks y otras integraciones. Consulta el material de referencia de las reglas de notificación para obtener más información.
    • Suscríbete a los informes semanales de amenazas para iniciar la investigación y corrección de las amenazas de seguridad más importantes que se han detectado en los siete días anteriores.

Fase 3: Investigación

  1. Usa Investigator para agilizar la corrección. Consulta la documentación de Investigator para obtener más información.
  2. Utiliza dashboards ya preparados o crea el tuyo para las investigaciones, la generación de informes y la monitorización.

Fase 4: Personalización

  1. Configura reglas de supresión para reducir el ruido.
  2. Crea reglas de detección personalizadas. Lee las prácticas recomendadas para crear reglas de detección.

Configurar tests de API y tests de API multupaso

Grabar pruebas de aplicaciones móviles