Sécurité des données de Log Management

Docs > Réduction des risques liés à vos données > Sécurité des données de Log Management

Cette page est consacrée à la sécurité des données transmises à Datadog. Si vous cherchez des fonctionnalités et solutions relatives à la sécurité des applications et du cloud, consultez la section Sécurité.

La solution Log Management prend en charge de nombreux environnements et formats. Vous êtes ainsi libres d’envoyer à Datadog la grande majorité de vos données, selon vos besoins. Cet article décrit les principales garanties de sécurité et les commandes de filtrage dont vous disposez lors de l’envoi de logs à Datadog.

Remarques :

Les logs peuvent être consultés dans divers produits Datadog. Tous les logs consultés dans l’interface Datadog, y compris les logs consultés dans les pages de traces APM, font partie du produit Log Management.
Les outils et politiques de Datadog sont conformes à PCI v4.0. Pour en savoir plus, consultez la section Conformité PCI DSS.

Sécurité des données

Datadog utilise un chiffrement symétrique au repos (AES-256) pour les logs indexés. Ces derniers sont supprimés de la plateforme Datadog lorsque leur période de rétention que vous avez définie expire.

Filtrage des logs

Depuis la version 6, vous pouvez configurer l’Agent afin de filtrer les logs qu’il envoie à l’application Datadog. Pour empêcher l’envoi de logs spécifiques, utilisez le paramètre log_processing_rules avec le type exclude_at_match ou include_at_match. Cela permet de créer une liste contenant une ou plusieurs expressions régulières qui demandent à l’Agent de filtrer les logs en fonction des règles d’inclusion ou d’exclusion fournies.

Obfuscation des logs

Depuis la version 6, vous pouvez configurer l’Agent afin d’obfusquer des patterns spécifiques au sein des logs envoyés par l’Agent à l’application Datadog. Pour masquer des séquences sensibles au sein de vos logs, utilisez le paramètre log_processing_rules avec le type mask_sequences. Cela permet de créer une liste contenant une ou plusieurs expressions régulières qui demandent à l’Agent de censurer les informations sensibles au sein de vos logs.

Vous pouvez également utiliser Sensitive Data Scanner dans le cloud ou avec l’Agent pour identifier, étiqueter et masquer les données sensibles. Dans Sensitive Data Scanner, configurez un groupe d’analyse pour définir les données à analyser, puis configurez des règles d’analyse pour déterminer les informations sensibles à rechercher dans les données. Vous pouvez choisir de masquer les données en cas de correspondance. Datadog fournit une bibliothèque de règles prédéfinies pour détecter les informations sensibles telles que les numéros de carte de crédit, les adresses e-mail, les adresses IP, les clés d’API, et plus encore. Vous pouvez également définir vos propres règles d’analyse basées sur des expressions régulières pour identifier les informations sensibles.

Sensitive Data Scanner est également disponible en tant que processeur dans Observability Pipelines. Avec Observability Pipelines, vous pouvez collecter et traiter des logs au sein de votre propre infrastructure, puis les acheminer vers des intégrations en aval.

Clients soumis à la loi américaine HIPAA

Datadog will sign a Business Associate Agreement (BAA) with customers that transmit protected health information (ePHI) through Datadog’s HIPAA-eligible services.

These restrictions are imposed on customers who have signed Datadog’s BAA:

Users cannot request support through Zendesk Live Chat.
Users cannot share logs or security signals from the Datadog explorer.
Users cannot use third-party powered generative AI services (except those listed as a HIPAA-eligible service).

If you have any questions about how the Log Management Service satisfies the applicable requirements under HIPAA, contact your account manager. HIPAA-enabled customers do not need to use specific endpoints to submit logs to enforce specific encryptions. The encryptions are enabled on all log submission endpoints.