Guía de configuración de Azure para Cloud SIEM

Información general

Cloud SIEM aplica reglas de detección a todos los logs procesados en Datadog para detectar amenazas, como un ataque dirigido, una IP incluida en la lista de amenazas que se comunica con tus sistemas o una modificación de recursos insegura. Las amenazas aparecen como señales de seguridad en el [Security Signals Explorer][1] para su clasificación.

Con esta guía, seguirás la configuración de Microsoft Azure para enviar logs a Datadog para que puedas empezar a detectar amenazas en tus logs de Azure Platform.

La integración de Azure Native (disponible para clientes en el sitio US3 de Datadog) tiene diferentes instrucciones de configuración de la recopilación de logs. Si utilizas la integración Azure Native, selecciona US3 en el menú desplegable del sitio de Datadog y sigue las instrucciones de recopilación de logs de Microsoft Azure.

Haz clic en el botón de abajo y rellena el formulario en el portal de Azure. Después de completar el formulario, se desplegan para ti los recursos de Azure necesarios para enviar los logs de actividad en tu cuenta de Datadog.

Deploy to Azure

  1. Selecciona un grupo de recursos existente o crea uno nuevo.
  2. Selecciona una región.
  3. Selecciona true para Send Activity Logs (Enviar logs de actividad).
  4. Introduce tu clave de API en Datadog.
  5. Introduce nombres para tus recursos. Consulta Parámetros opcionales para obtener más información.
  6. Haz clic en Create + review (Crear + revisar).
  7. Una vez superada la validación, haz clic en Create (Crear).

Una vez que el despliegue se haya completado correctamente, ve a Log Explorer e introduce service:azure en la consulta de búsqueda para ver tus logs de Azure.

La sección te guía a través de los pasos de instalación manual para que puedas enviar logs de Azure Platform a Datadog:

  1. Crear un grupo de recursos
  2. Crear un espacio de nombres de centros de eventos
  3. Crear un centro de eventos de Azure
  4. Crear una aplicación de función de Azure
  5. Añade una nueva función a tu aplicación de función
  6. Reenviar logs de servicios de Azure al centro de eventos

Crear un grupo de recursos

Si deseas utilizar un grupo de recursos existente, pase a Create an Event Hubs namespace (Crear un espacio de nombres de centros de eventos).

  1. Ve a la página Azure Resource groups (Grupos de recursos de Azure).
  2. Haz clic en Create (Crear).
  3. Introduce un nombre para el grupo de recursos.
  4. Opcionalmente, haz clic en Next: Tags (Siguiente: etiquetas) si deseas añadir etiquetas (tags).
  5. Haz clic en Review + create (Revisar + crear).
  6. Una vez superada la validación, haz clic en Create (Crear).

Crear un espacio de nombres de centro de eventos

  1. Ve a Azure Event Hubs (Centros de eventos de Azure).
  2. Haz clic en Create (Crear).
  3. En el menú desplegable Resource group (Grupo de recursos), selecciona el grupo de recursos al que deseas añadir el centro de eventos.
  4. Introduce un nombre para el espacio de nombres.
  5. Selecciona una localización para el espacio de nombres. Nota: El centro de eventos debe estar en la misma localización que el recurso desde el que deseas enviar logs. Para los logs de actividad u otras fuentes de log de toda la cuenta, puedes elegir cualquier región.
  6. Selecciona un nivel de precios.
  7. Deja las unidades de rendimiento (para el nivel estándar) o unidades de procesamiento (para el nivel premium) como están.
  8. Haz clic en Review + create (Revisar + crear).
  9. Una vez superada la validación, haz clic en Create (Crear).
  10. Una vez completado el despliegue con éxito, haz clic en Go to resource (Ir al recurso).

Crear un centro de eventos

  1. En el espacio de nombres de centros de eventos que acabas de crear, haz clic en + Event Hub (+ Centro de eventos).
  2. Introduce un nombre para el centro de eventos.
  3. Opcionalmente, configura el recuento de particiones y las opciones de retención.
  4. Haz clic en Review + create (Revisar + crear).
  5. Una vez superada la validación, haz clic en Create (Crear).

Crear una aplicación de función de Azure

Crea una nueva aplicación de función. Si estás utilizando una aplicación de función existente, ve a Add a new function to your Function App (Añadir una nueva función a tu aplicación de función).

  1. Navega hasta Function App (Aplicación de función).
  2. Haz clic en Create (Crear).
  3. Selecciona un grupo de recursos para la aplicación de función.
  4. Introduce un nombre para la aplicación de función.
  5. Deja la selección para desplegar en código.
  6. En el menú desplegable Runtime stack (Stack de tiempo de ejecución), selecciona Node.js.
  7. Selecciona una región para tu aplicación de función.
  8. Selecciona un sistema operativo y un tipo de plan.
  9. Haz clic en Next: Storage (Siguiente: almacenamiento).
  10. Selecciona una cuenta de almacenamiento en el menú desplegable.
  11. Haz clic en Review + create (Revisar + crear).
  12. Una vez superada la validación, haz clic en Create (Crear).
  13. Una vez completado el despliegue con éxito, haz clic en Create a function (Crear una función).

Añade una nueva función a tu aplicación de función

  1. Navega hasta la aplicación de función si utilizas una ya existente. Haz clic en Functions (Funciones) en el menú de la izquierda.
  2. Haz clic en Create (Crear).
  3. Selecciona Azure Event Hub trigger (Desencadenante del Centro de eventos de Azure).
  4. Introduce un nombre para la nueva función.
  5. En Event Hub connection (Conexión de centro de evento), haz clic en New (Nuevo).
  6. En el menú desplegable Event Hub connection (Conexión de centro de eventos), selecciona el centro de eventos que creaste anteriormente.
  7. Haz clic en OK.
  8. En Event Hub name (Nombre de centro de eventos), introduce el nombre del centro de eventos que creaste anteriormente.
  9. Haz clic en Create (Crear).

Añadir la función de Datadog Azure

  1. En la nueva función, selecciona Code + Test (Código + Test) en el menú de la izquierda.
  2. Copia y pega el código de función Datadog-Azure en tu archivo index.js.
  3. Sustituye <DATADOG_API_KEY> por tu API de Datadog en la línea 22 del código de función.
  4. Si no utilizas el sitio US1 de Datadog, sustituye DD_SITE por tu parámetro del sitio de Datadog en la línea 23 del código de función.
  5. Haz clic en Save (Guardar).
  6. Haz clic en Integrations (Integraciones) en el menú de la izquierda.
  7. Haz clic en Azure Event Hubs (Centro de eventos de Azure).
  8. Configura Event parameter name en eventHubMessages.
  9. Event Hub Cardinality debe fijarse en Many.
  10. Establece Event Hub Data Type en vacío.
  11. Haz clic en Save (Guardar).
  12. Verifica que tu configuración es correcta ejecutando la función y comprobando después el Datadog Log Explorer para el mensaje de test. El evento de log de test debe tener un formato JSON válido. Por ejemplo:
    {
        is_test:true,
        name: "Datadog Test"
    }
    

Forward Azure services logs to Event Hub

Forward Activity logs to Event Hub

  1. Navega hasta Azure Activity Log (Log de actividad de Azure).
  2. Haz clic en Export Activity Logs (Exportar logs de actividades).
  3. Haz clic en Add diagnostic setting (Añadir parámetro de diagnóstico).
  4. Introduce un nombre para el ajuste de diagnóstico.
  5. Selecciona las categorías de logs que deseas enviar a Datadog.
  6. Selecciona Stream to an event hub (Flujo a un centro de eventos).
  7. Selecciona el espacio de nombres del centro de eventos creado anteriormente.
  8. Haz clic en Save (Guardar).

Reenviar logs de recurso al centro de eventos

  1. Navega hasta el recurso desde el que deseas enviar los logs de recurso.
  2. En Monitor en el menú lateral izquierdo, haz clic en Diagnostic settings (Configuración de diagnóstico).
  3. Haz clic en Add diagnostic setting (Añadir parámetro de diagnóstico).
  4. Introduce un nombre para el ajuste de diagnóstico.
  5. Selecciona allLogs.
  6. En Destination details (Detalles del destino), selecciona Stream to an event hub (Flujo a un centro de eventos).
  7. Selecciona el espacio de nombres del centro de eventos creado anteriormente.
  8. Haz clic en Save (Guardar).

Ve a Log Explorer e introduce service:azure en la consulta de búsqueda para ver tus logs de Azure.

Usar Cloud SIEM para clasificar señales de seguridad

Cloud SIEM aplica reglas de detección predefinidas a todos los logs procesados, incluidos los logs de Azure Platform que acabas de configurar. Cuando se detecta una amenaza con una regla de detección, se genera una señal de seguridad que se puede ver en el Security Signals Explorer.

  • Vaya al Cloud SIEM Signals Explorer para ver y clasificar las amenazas. Consulta Security Signals Explorer para obtener más información.
  • Consulta las reglas de detección predefinidas que se aplican a tus logs.
  • Cree nuevas reglas para detectar amenazas que coincidan con tu caso de uso específico.

Referencias adicionales