Transmettre des événements d'audit à des destinations personnalisées

La fonctionnalité de transmission des événements d'audit n'est pas disponible pour le site US1-FED.
La fonctionnalité de transmission des événements d'audit est disponible en version bêta.

Présentation

La fonctionnalité de transmission d’événements d’audit vous permet d’envoyer les événements d’audit de Datadog à des destinations personnalisées, telles que des endpoints Splunk, Elasticsearch et HTTP. Ces événements d’audit sont envoyés au format JSON, et vous pouvez ajouter jusqu’à trois destinations pour chaque organisation Datadog.

La section « Custom Destinations » affichant une destination Login-Event-to-SIEM active, avec un volume d'événements d'audit estimé à 10,4 Mo au cours des dernières 24 heures et le filtre de requête @action:login.

Remarque : seuls les utilisateurs Datadog disposant de l’autorisation audit_trail_write peuvent créer, modifier ou supprimer des destinations personnalisées pour la transmission d’événements d’audit.

Configurer la transmission d’événements d’audit à des destinations personnalisées

  1. Ajoutez à la liste d’autorisation des IP de webhook figurant dans la liste des plages d’IP, au besoin.
  2. Accédez à Audit Trail Settings.
  3. Cliquez sur Add Destination dans la section Audit Event Forwarding.
  4. Saisissez la requête qui servira à filtrer vos événements d’audit à transmettre. Ajoutez par exemple @action:login comme requête à filtrer si vous souhaitez uniquement transmettre des événements de connexion à votre SIEM ou à votre destination personnalisée. Consultez la section Syntaxe de recherche pour en savoir plus.
  5. Sélectionnez l’option Destination Type.
  1. Attribuez un nom à la destination.
  2. Dans le champ Define endpoint, saisissez l’endpoint vers lequel vous souhaitez envoyer les logs. Cet endpoint doit commencer par https://.
  3. Dans la section Configure Authentication, sélectionnez l’un des types d’authentification suivants et fournissez les informations pertinentes suivantes :
    • Authentification basique : spécifiez le nom d’utilisateur et le mot de passe du compte vers lequel vous souhaitez envoyer les logs.
    • En-tête de la requête : spécifiez le nom de l’en-tête et la valeur associée. À titre d’exemple, si vous utilisez l’en-tête Authorization et que le nom d’utilisateur ainsi que le mot de passe du compte vers lequel vous souhaitez envoyer les logs sont respectivement myaccount et mypassword, procédez comme suit :
      • Saisissez Authorization pour Header Name.
      • La valeur de l’en-tête est au format Basic username:password, avec username:password encodé en base64. Pour cet exemple, nous prenons comme valeur d’en-tête Basic bXlhY2NvdW50Om15cGFzc3dvcmQ=`.
  4. Cliquez sur Save.
  1. Attribuez un nom à la destination.
  2. Dans la section Configure Destination, saisissez l’endpoint vers lequel vous souhaitez envoyer les logs. Cet endpoint doit commencer par https://. Saisissez par exemple https://<votre_compte>.splunkcloud.com:8088. Remarque : /services/collector/event est automatiquement ajouté à l’endpoint.
  3. Dans la section Configure Authentication, saisissez le token du HEC Splunk. Consultez la section Configurer et utiliser le HTTP Event Collector pour en savoir plus sur le token du HEC Splunk.
  4. Cliquez sur Save.

Remarque : la confirmation de l’indexeur (indexer acknowledgment) doit être désactivée.

  1. Attribuez un nom à la destination.

  2. Dans la section Configure Destination, saisissez les informations suivantes :

    a. L’endpoint vers lequel vous souhaitez envoyer les logs. Cet endpoint doit commencer par https://. Voici un exemple d’endpoint pour Elasticsearch : https://<votre_compte>.us-central1.gcp.cloud.es.io.

    b. Le nom de l’index de destination des logs.

    c. Si vous le souhaitez, vous pouvez également définir la rotation de l’index pour choisir la fréquence de création d’un nouvel index. Vous avez le choix entre No Rotation, Every Hour, Every Day, Every Week ou Every Month. La valeur par défaut est No Rotation.

  3. Dans la section Configure Authentication, saisissez le nom d’utilisateur et le mot de passe de votre compte Elasticsearch.

  4. Cliquez sur Save.

Pour aller plus loin

Documentation, liens et articles supplémentaires utiles: