AWS CloudTrail

Información general

Si estás configurando AWS CloudTrail para Cloud SIEM, consulta la guía Configuración de AWS para Cloud SIEM.

AWS CloudTrail proporciona una ruta de auditoría para tu cuenta AWS. Datadog lee esta ruta de auditoría y crea eventos. Busca estos eventos con el Explorador de eventos de Datadog o utilízalos para la correlación en tus dashboards. El siguiente es un ejemplo de un evento CloudTrail:

Evento de Cloudtrail

Para obtener información sobre otros servicios de AWS, consulta la página de la integración de Amazon Web Services

Configuración

Instalación

Si aún no lo has hecho, configura la integración Amazon Web Services.

Recopilación de eventos

Nota: La integración CloudTrail en Datadog requiere que se recopilen eventos en un bucket de CloudTrail.

  1. Añade los siguientes permisos a tu política de Datadog IAM para recopilar eventos de AWS CloudTrail. Para obtener más información sobre las políticas de CloudTrail, consulta la referencia de la API de AWS CloudTrail. CloudTrail también requiere algunos permisos de S3 para acceder a las rutas. Sólo se requieren para buckets de CloudTrail. Para obtener más información sobre las políticas de Amazon S3, consulta la referencia de la API de Amazon S3.

    Permiso AWSDescripción
    cloudtrail:DescribeTrailsEnumera las rutas y el bucket de s3 en el que están almacenadas.
    cloudtrail:GetTrailStatusOmite las rutas inactivas.
    s3:ListBucketEnumera los objetos en el bucket de CloudTrail para obtener las rutas disponibles.
    s3:GetBucketLocationObtiene la región del bucket para descargar rutas.
    s3:GetObjectBusca las rutas disponibles.
    organizations:DescribeOrganizationDevuelve información sobre la organización de una cuenta (necesario para rutas de organizaciones).

    Añade esta política a tu principal política IAM de Datadog existente:

    {
    "Sid": "AWSDatadogPermissionsForCloudtrail",
    "Effect": "Allow",
    "Principal": {
        "AWS": "<ARN_FROM_MAIN_AWS_INTEGRATION_SETUP>"
    },
    "Action": ["s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>",
        "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>/*"
    ]
}

    Nota: El ARN principal es el que aparece durante el proceso de instalación para la integración principal de AWS. Consulte la sección Recursos de Cómo funciona AWS CloudTrail con IAM para obtener más información sobre los ARN de recursos de CloudTrail. Si está actualizando su política (en lugar de añadir una nueva), no necesita el SID o el Principal.

  2. Instala la integración de Datadog y AWS CloudTrail: En la página de la integración, elige los tipos de eventos que deseas mostrar como prioridad normal (el filtro predeterminado) en los eventos del Datadog Explorer. Las cuentas que configuraste en la página de Amazon Web Service también se muestran aquí. Si deseas ver otros eventos que no se mencionan aquí, ponte en contacto con el soporte de Datadog.

Recopilación de logs

Activar logging

En AWS CloudTrail, crea un Seguimiento y selecciona un bucket de S3 en el que escribir los logs.

Enviar logs a Datadog

  1. Si aún no lo has hecho, configura la función de Datadog Forwarder Lambda en tu cuenta de AWS.
  2. Una vez configurada, ve a la función de Lambda del Datadog Forwarder. En la sección Información general de la función, haz clic en Add Trigger (Añadir activador).
  3. Para configurar un activador, selecciona el activador S3.
  4. Selecciona el bucket de S3 que contiene tus logs de CloudTrail.
  5. Deja el tipo de evento como All object create events.
  6. Haz clic en Add (Añadir) para añadir el activador a tu Lambda.

Ve al Log Explorer para empezar a explorar tus logs.

Para obtener más información sobre la recopilación de logs de AWS Services, consulta Enviar registros de AWS Services con la función de Datadog Lambda.

Datos recopilados

Métricas

La integración AWS CloudTrail no incluye métricas.

Eventos

La integración de AWS CloudTrail crea muchos eventos diferentes basados en la pista de auditoría de AWS CloudTrail. Todos los eventos se etiquetan con #cloudtrail en su Datadog eventos Explorer. Puedes establecer su prioridad en la configuración de la integración.

Eventos de CloudTrail que se pueden configurar con una prioridad normal (aparecen en el Explorador de eventos bajo el filtro por defecto):

  • apigateway
  • autoscaling
  • cloudformation
  • cloudfront
  • cloudsearch
  • cloudtrail
  • codedeploy
  • codepipeline
  • config
  • datapipeline
  • ds
  • ec2
  • ecs
  • elasticache
  • elasticbeanstalk
  • elasticfilesystem
  • elasticloadbalancing
  • elasticmapreduce
  • iam
  • kinesis
  • lambda
  • monitoring
  • opsworks
  • rds
  • redshift
  • route53
  • s3
  • ses
  • signin
  • ssm

Checks de servicio

La integración AWS CloudTrail no incluye checks de servicios.

Solucionar problemas

El cuadro de CloudTrail no está presente o no hay cuentas enumeradas

Primero hay que configurar la integración de Amazon Web Services. A continuación, se puede configurar el cuadro de CloudTrail.