Amazon Security Lake

Información general

Amazon Security Lake es un lago de datos de seguridad para agregar y gestionar datos de eventos y logs de seguridad.

Esta integración incorpora los logs de seguridad almacenados en Amazon Security Lake a Datadog para realizar investigaciones más exhaustivas y detectar amenazas en tiempo real. Para obtener más información sobre Amazon Security Lake, consulta la guía del usuario de Amazon Security Lake en AWS.

Configuración

Requisitos previos

  1. Amazon Security Lake se debe configurar para tu cuenta u organización de AWS. Consulta la guía del usuario de Amazon Security Lake para obtener más detalles.
  2. Debes tener una cuenta de Datadog que use Datadog Log Management y Datadog Cloud SIEM.
  3. Si aún no lo has hecho, configura la integración de Amazon Web Services para la cuenta de AWS donde almacena datos Amazon Security Lake.

Nota: Si solo quieres integrar esta cuenta de AWS para usar la integración de Amazon Security Lake, puedes deshabilitar la recopilación de métricas en la página de la integración de AWS a fin de que Datadog no monitorice tu infraestructura de AWS y no se te facture por la monitorización de infraestructura.

APM

  1. Añade la siguiente política de IAM a tu rol de IAM DatadogIntegrationRole existente para que Datadog pueda incorporar archivos de log nuevos añadidos a tu lago de seguridad.

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "DatadogSecurityLakeAccess",
          "Effect": "Allow",
          "Action": [
              "s3:GetObject"
          ],
          "Resource": "arn:aws:s3:::aws-security-data-lake-*"
      }
  ]
}

  2. En la consola de AWS para Amazon Security Lake, crea un suscriptor para Datadog y completa el formulario. Para obtener más información sobre un suscriptor de Amazon Security Lake, lee la guía del usuario de Amazon Security Lake.

    • Ingresa Datadog para el nombre del suscriptor.
    • Selecciona All log and event sources (Todas las fuentes de logs y eventos) o Specific log and event sources (Fuentes de logs y eventos específicos) para enviar a Datadog.
    • Selecciona S3 como método de acceso a los datos.

  1. En el mismo formulario, completa las credenciales del suscriptor.

    • En Account ID (ID de cuenta), ingresa 464622532012.

    • En External ID (ID externo), abre una pestaña nueva y dirígete a la página de la integración de AWS en Datadog para tu cuenta de AWS. El AWS External ID (ID externo de AWS) se encuentra en la pestaña Account Details (Detalles de la cuenta). Cópialo y pégalo en el formulario de AWS.

    • En Subscriber role (Rol del suscriptor), ingresa DatadogSecurityLakeRole. Nota: Datadog no usará este rol ya que DatadogIntegrationRole tendrá los permisos necesarios en el paso 1.

    • En API destination role (Rol de destino de la API), ingresa DatadogSecurityLakeAPIDestinationRole.

    • En Subscription endpoint (Endpoint de suscripción), el valor depende del sitio de Datadog que uses: https://api./api/intake/aws/securitylake

      Nota: Si el endpoint anterior no refleja tu región, alterna el menú desplegable Datadog site (Sitio de Datadog) a la derecha de esta página de documentación para cambiar de región.

    • En HTTPS key name (Nombre de clave HTTPS), ingresa DD-API-KEY.

    • En HTTPS key value (Valor de clave HTTPS), abre una pestaña nueva y dirígete a la página de claves de API en Datadog para buscar o crear una clave de API de Datadog. Cópiala y pégala en el formulario en AWS.

  1. En el mismo formulario, completa las credenciales del suscriptor.

    • En Account ID (ID de cuenta), ingresa 417141415827.

    • En External ID (ID externo), abre una pestaña nueva y dirígete a la página de la integración de AWS en Datadog para tu cuenta de AWS. El AWS External ID (ID externo de AWS) se encuentra en la pestaña Account Details (Detalles de la cuenta). Cópialo y pégalo en el formulario de AWS.

    • En Subscriber role (Rol del suscriptor), ingresa DatadogSecurityLakeRole. Nota: Datadog no usará este rol ya que DatadogIntegrationRole tendrá los permisos necesarios en el paso 1.

    • En API destination role (Rol de destino de la API), ingresa DatadogSecurityLakeAPIDestinationRole.

    • En Subscription endpoint (Endpoint de suscripción), el valor depende del sitio de Datadog que uses: https://api./api/intake/aws/securitylake

      Nota: Si el endpoint anterior no refleja tu región, alterna el menú desplegable Datadog site (Sitio de Datadog) a la derecha de esta página de documentación para cambiar de región.

    • En HTTPS key name (Nombre de clave HTTPS), ingresa DD-API-KEY.

    • En HTTPS key value (Valor de clave HTTPS), abre una pestaña nueva y dirígete a la página de claves de API en Datadog para buscar o crear una clave de API de Datadog. Cópiala y pégala en el formulario en AWS.

  1. Haz clic en Create (Crear) para completar la creación del suscriptor.
  2. Espera unos minutos y luego comienza a explorar tus logs de Amazon Security Lake en el explorador de logs de Datadog.

A fin de obtener más información sobre cómo puedes usar esta integración para la detección de amenazas en tiempo real, consulta el blog.

Datos recopilados

Métricas

La integración de Amazon Security Lake no incluye métricas.

Eventos

La integración de Amazon Security Lake no incluye eventos.

Checks de servicio

La integración de Amazon Security Lake no incluye checks de servicio.

Resolución de problemas

Permisos

Repasa la guía de solución de problemas a fin de asegurarte de que tu cuenta de AWS haya configurado de manera correcta el rol de IAM para Datadog.

Creación de suscriptores

Consulta la guía del usuario de Amazon Security Lake sobre cómo crear un suscriptor para obtener orientación sobre la solución de problemas.

¿Necesitas ayuda adicional? Ponte en contacto con el servicio de asistencia de Datadog.

Leer más

Más enlaces, artículos y documentación útiles:

Aspectos destacados de AWS re:Invent 2022BLOG more more