Amazon Security Lake

Présentation

Amazon Security Lake est un lac de données de sécurité permettant l’agrégation et la gestion des données relatives aux logs et événements de sécurité.

Cette intégration permet l’ingestion, par Datadog, des logs de sécurité stockés dans Amazon Security Lake afin de les examiner de manière plus approfondie et de détecter les menaces en temps réel. Pour en savoir plus sur Amazon Security Lake, consultez le guide d’utilisation d’Amazon Security Lake dans AWS.

Implémentation

Prérequis

  1. Amazon Security Lake doit être configuré sur votre compte AWS ou pour votre organisation AWS. Consultez le guide d’utilisation d’Amazon Security Lake pour en savoir plus.
  2. Les solutions Datadog Log Management et Cloud SIEM doivent être activées sur votre compte Datadog.
  3. Si ce n’est pas déjà fait, configurez l’intégration Amazon Web Services pour le compte AWS sur lequel Amazon Security Lake stocke les données.

Remarque : si vous souhaitez uniquement intégrer ce compte AWS pour utiliser l’intégration Amazon Security Lake, vous pouvez désactiver la collecte des métriques sur la page de l’intégration AWS de manière à ce que Datadog ne surveille pas votre infrastructure AWS et à ce qu’aucuns frais de surveillance d’infrastructure ne vous soient facturés.

Collecte de logs

  1. Ajoutez la stratégie IAM suivante à votre rôle IAM DatadogIntegrationRole existant afin que Datadog puisse ingérer les nouveaux fichiers de log ajoutés à votre lac de données de sécurité.

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "DatadogSecurityLakeAccess",
          "Effect": "Allow",
          "Action": [
              "s3:GetObject"
          ],
          "Resource": "arn:aws:s3:::aws-security-data-lake-*"
      }
  ]
}

  2. Dans la console AWS pour Amazon Security Lake, créez un abonné pour Datadog et complétez le formulaire. Pour en savoir plus les abonnés AWS Security Lake, consultez le guide d’utilisation d’Amazon Security Lake.

    • Saisissez Datadog pour le nom de l’abonné.
    • Choisissez les données à envoyer à Datadog en sélectionnant All log and event sources ou Specific log and event sources.
    • Sélectionnez S3 comme méthode d’accès aux données.

  1. Dans le même formulaire, renseignez les identifiants de l’abonné.

    • Pour Account ID, saisissez 464622532012.

    • Pour External ID, ouvrez un nouvel onglet et accédez à la page de l’intégration AWS dans Datadog pour votre compte AWS. L’identifiant AWS External ID apparaît dans l’onglet Account Details. Copiez-le et collez-le dans le formulaire sur AWS.

    • Pour Subscriber role, saisissez DatadogSecurityLakeRole. Remarque : en réalité, ce rôle ne sera pas utilisé par Datadog puisque le rôle DatadogIntegrationRole disposera des autorisations nécessaires depuis l’étape 1.

    • Pour API destination role, saisissez DatadogSecurityLakeAPIDestinationRole.

    • Pour Subscription endpoint, cette valeur dépend du site Datadog que vous utilisez : https://api./api/intake/aws/securitylake

      Remarque : si l’endpoint ci-dessus ne reflète pas votre région, utilisez le menu déroulant site Datadog à droite de cette page pour choisir votre région.

    • Pour HTTPS key name, saisissez DD-API-KEY.

    • Pour HTTPS key value, ouvrez un nouvel onglet et accédez à la page des clés d’API dans Datadog pour trouver ou créer une clé d’API Datadog. Copiez-la et collez-la dans le formulaire sur AWS.

  1. Dans le même formulaire, renseignez les identifiants de l’abonné.

    • Pour Account ID, saisissez 417141415827.

    • Pour External ID, ouvrez un nouvel onglet et accédez à la page de l’intégration AWS dans Datadog pour votre compte AWS. L’identifiant AWS External ID apparaît dans l’onglet Account Details. Copiez-le et collez-le dans le formulaire sur AWS.

    • Pour Subscriber role, saisissez DatadogSecurityLakeRole. Remarque : en réalité, ce rôle ne sera pas utilisé par Datadog puisque le rôle DatadogIntegrationRole disposera des autorisations nécessaires depuis l’étape 1.

    • Pour API destination role, saisissez DatadogSecurityLakeAPIDestinationRole.

    • Pour Subscription endpoint, cette valeur dépend du site Datadog que vous utilisez : https://api./api/intake/aws/securitylake

      Remarque : si l’endpoint ci-dessus ne reflète pas votre région, utilisez le menu déroulant site Datadog à droite de cette page pour choisir votre région.

    • Pour HTTPS key name, saisissez DD-API-KEY.

    • Pour HTTPS key value, ouvrez un nouvel onglet et accédez à la page des clés d’API dans Datadog pour trouver ou créer une clé d’API Datadog. Copiez-la et collez-la dans le formulaire sur AWS.

  1. Cliquez sur Create pour terminer le processus de création de l’abonné.
  2. Patientez quelques minutes, puis commencez à explorer vos logs d’Amazon Security Lake dans la vue Log Explorer de Datadog.

Pour en savoir plus sur l’utilisation de cette intégration à des fins de détection des menaces en temps réel, consultez le blog.

Données collectées

Métriques

L’intégration Amazon Security Lake n’inclut aucune métrique.

Événements

L’intégration Amazon Security Lake n’inclut aucun événement.

Checks de service

L’intégration Amazon Security Lake n’inclut aucun check de service.

Dépannage

Autorisations

Consultez le guide de dépannage pour vous assurer que votre compte AWS a correctement configuré le rôle IAM pour Datadog.

Créer des abonnés

Consultez le guide d’utilisation d’Amazon Security Lake pour découvrir comment régler les problèmes relatifs à la création d’un abonné.

Besoin d’aide supplémentaire ? Contactez l’assistance Datadog.

Pour aller plus loin

Documentation, liens et articles supplémentaires utiles:

Les points forts de l'édition 2022 d'AWS re:InventGITHUB more more