Créer une règle de détection Cloud SIEM

Présentation

Ce guide décrit les étapes de création d’une règle de détection Cloud SIEM et présente les bonnes pratiques pour sa configuration.

Datadog Cloud SIEM (Security Information and Event Management) unifie les équipes de développement, d’exploitation et de sécurité sur une seule plateforme. Datadog fournit un ensemble de règles de détection prêtes à l’emploi pour de nombreuses fonctionnalités et intégrations. Vous pouvez consulter ces règles dans votre liste de règles de détection SIEM.

Les règles de détection Cloud SIEM de Datadog sont prêtes à l’emploi et peuvent être directement intégrées à vos intégrations.

Pour créer une intégration Datadog, consultez la section Créer une intégration.

Créer une règle de détection

Créer une règle de détection

Pour améliorer la visibilité des utilisateurs sur la sécurité, les partenaires peuvent créer leurs propres règles de détection prêtes à l’emploi dans le cadre d’une intégration Datadog. Ces règles peuvent être ajoutées comme ressources prêtes à l’emploi.

Dans votre sandbox Datadog, créez une nouvelle règle.

La page Créer une nouvelle règle dans l'espace Règles de détection de Datadog
 

Suivez les bonnes pratiques décrites dans ce guide pour configurer votre règle.

Importer votre règle de détection

Dans votre intégration, sur la plateforme de développement d’intégrations, accédez à l’onglet Content. Sélectionnez ensuite Import Detection Rule pour choisir parmi les règles disponibles. Vous pouvez en inclure jusqu’à 10 avec votre intégration.

L'onglet Content dans la plateforme de développement
 

Vérifier votre règle de détection en production

Pour voir la règle de détection prête à l’emploi, le carré d’intégration concerné doit être Installed dans Datadog, et Cloud SIEM doit être activé. 

  1. Recherchez votre règle dans la liste des règles de détection, puis cliquez pour l’afficher. 
  2. Assurez-vous que les logos s’affichent correctement.
  3. Vérifiez que la règle est bien activée.

Exemple d’une règle de détection bien définie

Sélection d’un type de règle et définition des requêtes de recherche :

Étapes 1 à 3 d'un formulaire de création de règle de détection rempli

Définition des cas de la règle et rédaction du message de notification :

Étapes 4 et 5 d'un formulaire de création de règle de détection rempli

Pour plus d’informations, consultez la documentation sur la configuration d’une règle de détection.

Comprendre les messages de validation

Analyse JSON de la règle

File=<FILE_PATH> in collection=<COLLECTION> is an invalid JSON: error=<ERROR>

Cette erreur signifie que le fichier JSON situé à <FILE_PATH> est invalide.

ID de règle/nom de la règle

partnerRuleId is empty for rule name="<RULE_NAME>" - partnerRuleId=<NEW_RULE_ID> is available

Un partnerRuleId est requis pour chaque règle et est manquant. Utilisez l’ID généré <NEW_RULE_ID>.

partnerRuleId=<RULE_ID> is in the incorrect format for rule name="<RULE_NAME>", it must follow the format=^[a-z0-9]{3}-[a-z0-9]{3}-[a-z0-9]{3}$ - partnerRuleId=<NEW_RULE_ID> is available

Le nom de la règle n’est pas au format attendu. Utilisez l’ID généré partnerRuleId: <NEW_RULE_ID> pour corriger l’erreur.

Duplicate partnerRuleId=<RULE_ID> for rule name="<RULE_NAME>" - <RULE_ID_KEY> must be unique and it is already used in rule_ids="<RULE_IDS>" - <RULE_ID_KEY>=<NEW_RULE_ID> is available

Chaque partnerRuleId doit être unique. L’ID actuel est déjà utilisé. Un partnerRuleId nouvellement généré est disponible.

Duplicate name="<RULE_NAME>" for <RULE_ID_KEY>=<RULE_ID> - name must be unique.

Chaque nom de règle doit être unique. Le nom actuel est déjà utilisé. Modifiez-le pour qu’il soit unique.

Tags MITRE

The rule with partnerRuleId=<RULE_ID> contains a MITRE tag tactic but it does not contain the tag `security:attack`, please add it

Lorsqu’une règle contient un tag MITRE tactic:<TAG_VALUE>, le tag security:attack doit également être présent dans la liste des tags.

The MITRE tactic/technique tag=<TAG> for partnerRuleId=<RULE_ID> appears to be incorrect (i.e. it does not exist in the MITRE framework).

Le tag tactic/technique spécifié <TAG> ne respecte pas le cadre MITRE. Veuillez sélectionner un tag MITRE valide.

Cas

The case status <CASE_STATUS> for <RULE_ID_KEY>=<RULE_ID> is incorrect, it should be one of <STATUS_LIST>.

Le statut d’un cas doit être soit CRITICAL, HIGH, MEDIUM, LOW ou INFO.

The case ordering for partnerRuleId=<RULE_ID> is incorrect, please modify to order cases from the highest severity to the lowest.

Chaque définition de règle doit être classée par ordre décroissant de gravité. Veuillez réorganiser les cas selon l’ordre CRITICAL, HIGH, MEDIUM, LOW et INFO.

Tags source

source=<SOURCE> in the tags of the rule with partnerRule=<RULE_ID> is not supported by Datadog documentation.

Contactez Datadog pour résoudre ce problème.

Validation du contenu de la règle/mise à jour de la règle

<RULE_ID_KEY>=<RULE_ID> name="<RULE_NAME>" - error=<ERROR>

Contactez Datadog pour résoudre ce problème.

Internal failure for <RULE_ID_KEY>=<RULE_ID> name="<RULE_NAME>"- Contact Datadog Team

Contactez Datadog pour résoudre ce problème.

Pour aller plus loin

Documentation, liens et articles supplémentaires utiles: