Guía de configuración de AWS para Cloud SIEM

Información general

Cloud SIEM aplica reglas de detección a todos los logs procesados en Datadog para detectar amenazas, como un ataque dirigido, una IP incluida en la lista de amenazas que se comunica con tus sistemas o una configuración insegura. Las amenazas aparecen como señales de seguridad en el Security Signals Explorer para su clasificación.

Esta guía te indicará los siguientes pasos para que puedas empezar a detectar amenazas con tus logs de AWS CloudTrail:

  1. Configurar la integración de AWS de Datadog
  2. Habilitar logs de AWS CloudTrail
  3. Enviar logs de AWS CloudTrail a Datadog
  4. Usar Cloud SIEM para clasificar señales de seguridad

Configurar la integración de AWS con CloudFormation

  1. Go to Datadog’s AWS integration tile to install the integration.

  2. Click Automatically Using CloudFormation. If there is already an AWS account set up, click Add Another Account first.

  3. Select the AWS Region where the CloudFormation stack will be launched.

  4. Select or create the Datadog API Key used to send data from your AWS account to Datadog.

  5. Select Yes for Send Logs to Datadog to set up the Datadog Lambda Forwarder to be used later for sending AWS CloudTrail logs to Datadog.

  6. Click Launch CloudFormation Template. This opens the AWS Console and loads the CloudFormation stack with the parameters filled in based on your selections in the Datadog form.

    Note: The DatadogAppKey parameter enables the CloudFormation stack to make API calls to Datadog, allowing it to add and edit the configuration for this AWS account. The key is automatically generated and tied to your Datadog account.

  7. Check the required boxes from AWS and click Create stack.

  8. After the CloudFormation stack is created, return to the AWS integration tile in Datadog and click Ready!

Notes:

Habilitar el registro de AWS CloudTrail

Enable AWS CloudTrail logging so that logs are sent to a S3 bucket. If you already have this setup, skip to Send AWS CloudTrail logs to Datadog.

  1. Click Create trail on the CloudTrail dashboard.
  2. Enter a name for your trail.
  3. Create a new S3 bucket or use an existing S3 bucket to store the CloudTrail logs.
  4. Create a new AWS KMS key or use an existing AWS KMS key, then click Next.
  5. Leave the event type with the default management read and write events, or choose additional event types you want to send to Datadog, then click Next.
  6. Review and click Create trail.

Enviar logs de AWS CloudTrail a Datadog

Set up a trigger on your Datadog Forwarder Lambda function to send CloudTrail logs stored in the S3 bucket to Datadog for monitoring.

  1. Go to the Datadog Forwarder Lambda that was created during the AWS integration set up.
  2. Click Add trigger.
  3. Select S3 for the trigger.
  4. Select the S3 bucket you are using to collect AWS CloudTrail logs.
  5. For Event type, select All object create events.
  6. Click Add.
  7. See CloudTrail logs in Datadog’s Log Explorer.

See Log Explorer for more information on how to search and filter, group, and visualize your logs.

Usar Cloud SIEM para clasificar señales de seguridad

Cloud SIEM aplica reglas de detección predefinidas a todos los logs procesados, incluidos los logs de CloudTrail que acabas de configurar. Cuando se detecta una amenaza con una regla de detección, se genera una señal de seguridad que se puede ver en el Security Signals Explorer.

Dado que Cloud SIEM aplica reglas de detección a todos los logs procesados, consulta las instrucciones dentro de la aplicación sobre cómo recopilar logs de auditoría de Kubernetes y logs de otras fuentes para la detección de amenazas. También puedes habilitar diferentes servicios de AWS para loguear en un bucket S3 y enviarlos a Datadog para la monitorización de amenazas.

Referencias adicionales