Amazon Security Lake

Información general

Amazon Security Lake es un lago de datos de seguridad para agregar y gestionar datos de eventos y logs de seguridad.

Esta integración ingiere logs de seguridad almacenados en Amazon Security Lake en Datadog para su posterior investigación y detección de amenazas en tiempo real. Para obtener más información sobre Amazon Security Lake, visita la Guía del usuario de Amazon Security Lake en AWS.

Configuración

Requisitos previos

  1. Amazon Security Lake debe configurarse para tu cuenta de AWS u organización de AWS. Consulta la Guía del usuario de Amazon Security Lake para obtener más detalles.
  2. Debes tener una cuenta de Datadog que utilice Datadog Log Management y Datadog Cloud SIEM.
  3. Si aún no lo has hecho, configura la integración de Amazon Web Services para la cuenta de AWS en la que Amazon Security Lake almacena datos.

Nota: Si solo deseas integrar esta cuenta de AWS para utilizar la integración de Amazon Security Lake, puedes desactivar la recopilación de métricas en la página de integración de AWS para que Datadog no monitorice tu infraestructura de AWS y no se te facture Infrastructure Monitoring.

Recopilación de logs

  1. Añade la siguiente política de IAM a tu rol de IAM DatadogIntegrationRole existente para que Datadog pueda incorporar archivos de log nuevos añadidos a tu lago de seguridad.

       {
   "Version": "2012-10-17",
   "Statement": \[
   {
   "Sid": "DatadogSecurityLakeAccess"
   "Effect": "Allow"
   "Action": \[
   "s3:GetObject"
   \],
   "Resource": "arn:aws:s3:::aws-security-data-lake-\*"
   }
   \]
   }

  2. En la consola de AWS para Amazon Security Lake, crea un suscriptor para Datadog y rellena el formulario. Para obtener más información sobre un suscriptor de Amazon Security Lake, lee la Guía del usuario de Amazon Security Lake.

    • Ingresa Datadog para el nombre del suscriptor.
    • Selecciona All log and event sources (Todas las fuentes de logs y eventos) o Specific log and event sources (Fuentes de logs y eventos específicos) para enviar a Datadog.
    • Selecciona S3 como método de acceso a los datos.

3. En el mismo formulario, rellena las Credenciales del suscriptor.

  • En Account ID (ID de cuenta), ingresa 464622532012.

  • En External ID (ID externo), abre una nueva pestaña y ve a la página de integración de AWS en Datadog para tu cuenta de AWS. El ID externo de AWS se encuentra en la pestaña Account Details (Detalles de la cuenta). Cópialo y pégalo en el formulario de AWS.

  • En Subscriber role (Rol del suscriptor), ingresa DatadogSecurityLakeRole. Nota: Datadog no usará este rol ya que DatadogIntegrationRole tendrá los permisos necesarios en el paso 1.

  • En API destination role (Rol de destino de la API), ingresa DatadogSecurityLakeAPIDestinationRole.

  • En Subscription endpoint (Endpoint de suscripción), este valor depende del sitio de Datadog que estés utilizando: https://api./api/intake/aws/securitylake

    Nota: Si el endpoint anterior no refleja tu región, alterna el menú desplegable Datadog site (Sitio de Datadog) a la derecha de esta página de documentación para cambiar de región.

  • En HTTPS key name (Nombre de clave HTTPS), ingresa DD-API-KEY.

  • En HTTPS key value (Valor de clave HTTPS), abre una pestaña nueva y dirígete a la página de claves de API en Datadog para buscar o crear una clave de API de Datadog. Cópiala y pégala en el formulario en AWS.

3. En el mismo formulario, rellena las Credenciales del suscriptor.

  • En Account ID (ID de cuenta), ingresa 417141415827.

  • En External ID (ID externo), abre una nueva pestaña y ve a la página de integración de AWS en Datadog para tu cuenta de AWS. El ID externo de AWS se encuentra en la pestaña Account Details (Detalles de la cuenta). Cópialo y pégalo en el formulario de AWS.

  • En Subscriber role (Rol del suscriptor), ingresa DatadogSecurityLakeRole. Nota: Datadog no usará este rol ya que DatadogIntegrationRole tendrá los permisos necesarios en el paso 1.

  • En API destination role (Rol de destino de la API), ingresa DatadogSecurityLakeAPIDestinationRole.

  • En Subscription endpoint (Endpoint de suscripción), este valor depende del sitio de Datadog que estés utilizando: https://api./api/intake/aws/securitylake

    Nota: Si el endpoint anterior no refleja tu región, alterna el menú desplegable Datadog site (Sitio de Datadog) a la derecha de esta página de documentación para cambiar de región.

  • En HTTPS key name (Nombre de clave HTTPS), ingresa DD-API-KEY.

  • En HTTPS key value (Valor de clave HTTPS), abre una pestaña nueva y dirígete a la página de claves de API en Datadog para buscar o crear una clave de API de Datadog. Cópiala y pégala en el formulario en AWS.

3. En el mismo formulario, rellena las Credenciales del suscriptor.

  • En Account ID (ID de cuenta), introduce 412381753143.

  • En External ID (ID externo), abre una nueva pestaña y ve a la página de integración de AWS en Datadog para tu cuenta de AWS. El ID externo de AWS se encuentra en la pestaña Account Details (Detalles de la cuenta). Cópialo y pégalo en el formulario de AWS.

  • En Subscriber role (Rol del suscriptor), ingresa DatadogSecurityLakeRole. Nota: Datadog no usará este rol ya que DatadogIntegrationRole tendrá los permisos necesarios en el paso 1.

  • En API destination role (Rol de destino de la API), ingresa DatadogSecurityLakeAPIDestinationRole.

  • En Subscription endpoint (Endpoint de suscripción), este valor depende del sitio de Datadog que estés utilizando: https://api./api/intake/aws/securitylake

    Nota: Si el endpoint anterior no refleja tu región, alterna el menú desplegable Datadog site (Sitio de Datadog) a la derecha de esta página de documentación para cambiar de región.

  • En HTTPS key name (Nombre de clave HTTPS), ingresa DD-API-KEY.

  • En HTTPS key value (Valor de clave HTTPS), abre una pestaña nueva y dirígete a la página de claves de API en Datadog para buscar o crear una clave de API de Datadog. Cópiala y pégala en el formulario en AWS.

  1. Haz clic en Create (Crear) para completar la creación del suscriptor.
  2. Espera varios minutos, luego comienza a explorar tus logs desde Amazon Security Lake en el Log Explorer de Datadog.

Para obtener más información sobre cómo puedes utilizar esta integración para la detección de amenazas en tiempo real, consulta el blog.

Datos recopilados

Métricas

La integración de Amazon Security Lake no incluye métricas.

Eventos

La integración de Amazon Security Lake no incluye eventos.

Checks de servicio

La integración de Amazon Security Lake no incluye checks de servicio.

Solucionar problemas

Permisos

Revisa la guía de solución de problemas para asegurarte de que tu cuenta de AWS ha configurado correctamente el rol de IAM para Datadog.

Creación de suscriptores

Revisa la Guía del usuario de Amazon Security Lake sobre la creación de un suscriptor para obtener orientación sobre la solución de problemas.

¿Necesitas más ayuda? Ponte en contacto con el soporte de Datadog.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Aspectos destacados de AWS re:Invent 2022BLOG more more