AWS CloudTrail

Información general

Si estás configurando AWS CloudTrail para Cloud SIEM, consulta la guía Configuración de AWS para Cloud SIEM.

AWS CloudTrail proporciona una ruta de auditoría para tu cuenta AWS. Datadog lee esta ruta de auditoría y crea eventos. Busca estos eventos con el Explorador de eventos de Datadog o utilízalos para la correlación en tus dashboards. El siguiente es un ejemplo de un evento CloudTrail:

Evento de CloudTrail

Para obtener información sobre otros servicios AWS, consulta la página de la integración Amazon Web Services.

Configuración

Instalación

Si aún no lo has hecho, configura la integración Amazon Web Services.

Recopilación de eventos

Nota: La integración CloudTrail en Datadog requiere que se recopilen eventos en un bucket de CloudTrail.

  1. Añade los siguientes permisos a tu política IAM Datadog para recopilar eventos de CloudTrail AWS. Para obtener más información sobre las políticas de CloudTrail, consulta la referencia de la API de CloudTrail AWS. CloudTrail también requiere algunos permisos de S3 para acceder a las rutas. Sólo se requieren para buckets de CloudTrail. Para obtener más información sobre las políticas de Amazon S3, consulta la referencia de la API de Amazon S3.

    Permiso AWSDescripción
    cloudtrail:DescribeTrailsEnumera las rutas y el bucket de s3 en el que están almacenadas.
    cloudtrail:GetTrailStatusOmite las rutas inactivas.
    s3:ListBucketEnumera los objetos en el bucket de CloudTrail para obtener las rutas disponibles.
    s3:GetBucketLocationObtiene la región del bucket para descargar rutas.
    s3:GetObjectBusca las rutas disponibles.
    organizations:DescribeOrganizationDevuelve información sobre la organización de una cuenta (necesario para rutas de organizaciones).

    Añade esta política a tu principal política IAM de Datadog existente:

    {
    "Sid": "AWSDatadogPermissionsForCloudtrail",
    "Effect": "Allow",
    "Principal": {
        "AWS": "<ARN_FROM_MAIN_AWS_INTEGRATION_SETUP>"
    },
    "Action": ["s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>",
        "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>/*"
    ]
}

    Nota: El ARN principal es el que se muestra durante el proceso de instalación para la integración AWS principal. Para obtener más información sobre los ARN de recursos CloudTrail, consulta el funcionamiento de AWS CloudTrail con IAM en la sección Recursos. Si estás actualizando tu política (en lugar de añadir una nueva), no necesitas SID ni Principal.

  2. Instala la integración AWS CloudTrail en Datadog. En la página de la integración, elige los tipos de eventos que quieres mostrar con prioridad normal (filtro predeterminado) en el Explorador de eventos de Datadog. Las cuentas que has configurado en la página de Amazon Web Services también se muestran aquí. Si quieres ver otros eventos que no se mencionan aquí, ponte en contacto con el servicio de asistencia de Datadog.

APM

Activar logging

En AWS CloudTrail, crea una ruta y selecciona un bucket de S3 en el que escribir logs.

Enviar logs a Datadog

  1. Si aún no lo has hecho, configura la [función Lambda del Datadog Forwarder9 en tu cuenta AWS.
  2. Una vez configurada, ve a la función Lambda del Datadog Forwarder. En la sección Información general de la función, haz clic en Add Trigger (Añadir activador).
  3. Para configurar un activador, selecciona el activador S3.
  4. Selecciona el bucket de S3 que contiene tus logs de CloudTrail.
  5. Deja el tipo evento como All object create events.
  6. Haz clic en Add (Añadir) para añadir el activador a tu Lambda.

Para empezar a explorar tus logs, ve al Explorador de logs.

Para obtener más información sobre la recopilación de logs de servicios AWS, consulta Enviar logs de servicios AWS con la función Lambda en Datadog.

Datos recopilados

Métricas

La integración AWS CloudTrail no incluye métricas.

Eventos

La integración AWS CloudTrail crea muchos eventos diferentes basados en la ruta de auditoría de AWS CloudTrail. Todos los eventos están etiquetados con #cloudtrail en tu Explorador de eventos de Datadog. Puedes definir su prioridad en la configuración de la integración.

Eventos de CloudTrail que se pueden configurar con una prioridad normal (aparecen en el Explorador de eventos bajo el filtro por defecto):

  • apigateway
  • autoescalado
  • cloudformation
  • cloudfront
  • cloudsearch
  • cloudtrail
  • codedeploy
  • codepipeline
  • config
  • datapipeline
  • ds
  • ec2
  • ecs
  • elasticache
  • elasticbeanstalk
  • elasticfilesystem
  • elasticloadbalancing
  • elasticmapreduce
  • iam
  • kinesis
  • lambda
  • monitorización
  • opsworks
  • rds
  • redshift
  • route53
  • s3
  • ses
  • firmar
  • ssm

Checks de servicios

La integración AWS CloudTrail no incluye checks de servicios.

Resolución de problemas

El cuadro de CloudTrail no está presente o no hay cuentas enumeradas

En primer lugar, debes configurar la integración Amazon Web Services. Luego podrás configurar el cuadro de CloudTrail.