AWS CloudTrail

Información general

Si estás configurando AWS CloudTrail para Cloud SIEM, consulta la guía Configuración de AWS para Cloud SIEM.

AWS CloudTrail proporciona un registro de auditoría de tu cuenta de AWS. Datadog lee este registro de auditoría y crea eventos. Busca estos eventos con el Datadog Event Explorer o utilízalos para la correlación en tus dashboards. El siguiente es un ejemplo de evento de CloudTrail:

Cloudtrail Event

Para obtener información de otros servicios de AWS, consulta la página de la integración de Amazon Web Services

Configuración

Instalación

Si aún no lo has hecho, configura primero la integración Amazon Web Services.

Recopilación de eventos

Nota: La integración CloudTrail en Datadog requiere que se recopilen eventos en un bucket de CloudTrail.

  1. Añade los siguientes permisos a tu política de Datadog IAM para recopilar eventos de AWS CloudTrail. Para obtener más información sobre las políticas de CloudTrail, consulta la referencia de la API de AWS CloudTrail. CloudTrail también requiere algunos permisos de S3 para acceder a los registros. Solo se requieren para buckets de CloudTrail. Para obtener más información sobre las políticas de Amazon S3, consulta la referencia de la API de Amazon S3.

    Permiso AWSDescripción
    cloudtrail:DescribeTrailsEnumera los registros y el bucket de S3 en el que están almacenados.
    cloudtrail:GetTrailStatusOmite los registros inactivos.
    s3:ListBucketEnumera los objetos en el bucket de CloudTrail para obtener los registros disponibles.
    s3:GetBucketLocationObtiene la región del bucket para descargar registros.
    s3:GetObjectBusca los registros disponibles.
    organizations:DescribeOrganizationDevuelve información sobre la organización de una cuenta (necesaria para los registros de la organización).

    Añade esta política a tu principal política IAM de Datadog existente:

    {
    "Sid": "AWSDatadogPermissionsForCloudtrail",
    "Effect": "Allow",
    "Principal": {
        "AWS": "<ARN_FROM_MAIN_AWS_INTEGRATION_SETUP>"
    },
    "Action": ["s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>",
        "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>/*"
    ]
}

    Nota: El ARN principal es el que aparece durante el proceso de instalación de la integración principal de AWS. Consulta la sección Recursos Cómo funciona AWS CloudTrail con IAM para obtener más información sobre los ARN de recursos de CloudTrail. Si estás actualizando tu política (en lugar de añadir una nueva), no necesitas el SID o el Principal.

  2. Instala la integración Datadog - AWS CloudTrail: En la página de la integración, elige los tipos de eventos que quieres mostrar como prioridad normal (el filtro predeterminado) en el Datadog Event Explorer. Las cuentas configuradas en la página de Amazon Web Services también se muestran aquí. Si quieres ver otros eventos que no se mencionan aquí, ponte en contacto con el servicio de asistencia de Datadog.

Recopilación de logs

Activar logging

En AWS CloudTrail, crea un registro y selecciona un bucket S3 en el que escribir los logs.

Enviar logs a Datadog

  1. Si aún no lo has hecho, configura la función Lambda del Datadog Forwarder en tu cuenta de AWS.
  2. Una vez configurada, ve a la función de Lambda del Datadog Forwarder. En la sección Información general de la función, haz clic en Add Trigger (Añadir activador).
  3. Para configurar un activador, selecciona el activador S3.
  4. Selecciona el bucket de S3 que contiene tus logs de CloudTrail.
  5. Deja el tipo de evento como All object create events.
  6. Haz clic en Add (Añadir) para añadir el activador a tu Lambda.

Ve al Log Explorer para empezar a explorar tus logs.

Para obtener más información sobre la recopilación de logs de servicios de AWS, consulta Enviar logs de servicios de AWS con la función Lambda de Datadog.

Datos recopilados

Métricas

La integración AWS CloudTrail no incluye métricas.

Eventos

La integración de AWS CloudTrail crea muchos eventos diferentes basados en el registro de auditoría de AWS CloudTrail. Todos los eventos se etiquetan con #cloudtrail en tu Datadog Event Explorer.. Puedes definir su prioridad en la configuración de la integración.

Eventos de CloudTrail que se pueden configurar con una prioridad normal (aparecen en el Explorador de eventos bajo el filtro por defecto):

  • apigateway
  • autoscaling
  • cloudformation
  • cloudfront
  • cloudsearch
  • cloudtrail
  • codedeploy
  • codepipeline
  • config
  • datapipeline
  • ds
  • ec2
  • ecs
  • elasticache
  • elasticbeanstalk
  • elasticfilesystem
  • elasticloadbalancing
  • elasticmapreduce
  • iam
  • kinesis
  • lambda
  • monitoring
  • opsworks
  • rds
  • redshift
  • route53
  • s3
  • ses
  • signin
  • ssm

Checks de servicio

La integración AWS CloudTrail no incluye checks de servicios.

Solucionar problemas

El cuadro de CloudTrail no está presente o no hay cuentas enumeradas

En primer lugar, debes configurar la integración Amazon Web Services. A continuación, podrás configurar el cuadro de CloudTrail.