Ingerir y enriquecer

Información general

Con las reglas de detección de Cloud SIEM, se analizan los logs y los datos de seguridad para generar señales de seguridad cuando se detectan amenazas. Una vez activado Cloud SIEM, configura Datadog para que ingiera y enriquezca los logs de las fuentes que desees monitorizar.

Ingesta de datos de seguridad

La forma más sencilla de enviar datos a Datadog es utilizando Paquetes de contenido, que son integraciones diseñadas específicamente para Cloud SIEM. Cada paquete de contenido contiene instrucciones sobre cómo configurar la integración para que ingiera esos logs y proporciona información sobre lo que incluye, como por ejemplo:

  • Reglas de detección
  • Dashboards interactivos predefinidos
  • Analizadores
  • Workflows (UI) / Procesos (generic) de SOAR

Existen Paquetes de contenido para muchas tecnologías de seguridad populares.

Si tienes logs personalizados o dispones de datos source (fuente) que no figuran en la page (págiona) del Paquete de contenido de Cloud SIEM, check si la integración está disponible en la amplia biblioteca de integraciones de Datadog. Si no está disponible, puedes enviar esos logs como logs personalizados a Cloud SIEM para su análisis.

Enriquecer logs

Información sobre amenazas

Datadog proporciona Inteligencia de amenazas integrada para los logs de Cloud SIEM y también admite el enriquecimiento y la búsqueda mediante indicadores de compromiso (IoC) de inteligencia de amenazas almacenados en las tablas de referencia de Datadog. Consulta Trae tu propia inteligencia de amenazas para obtener más información.

Open Cybersecurity Framework (OCSF)

Open Cybersecurity Framework (OCSF) se integra directamente en Cloud SIEM, de modo que los logs de seguridad entrantes se enriquezcan automáticamente con atributos conformes al OCSF mediante pipelines predefinidos.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Empezando con Cloud SIEMDOCUMENTACIÓN more more Prácticas recomendadas para monitorizar los logs de CloudTrail de AWSBLOG more more Prácticas recomendadas para monitorizar los logs de autenticaciónBLOG more more Normaliza tus datos con el OCSF Common Data Model en Cloud SIEM de DatadogBLOG more more