Présentation

La solution Cloud SIEM Datadog applique des règles de détection à l’ensemble des logs traités dans Datadog. Cette approche permet de détecter les menaces, comme les attaques ciblées, les adresses IP communiquant avec vos systèmes alors qu’elles font partie d’une liste noire ou les modifications de ressources non sécurisées. Les menaces s’affichent sous la forme de signaux de sécurité dans le Security Signals Explorer et peuvent être triées.

Ce guide détaille les étapes à suivre afin de commencer à détecter les menaces à l’aide de vos journaux d’audit Google Cloud :

  1. Activer les journaux d’audit d’accès aux données
  2. Créer un système Pub/Sub Google Cloud
  3. Configurer le Pub/Sub pour transmettre les logs à Datadog
  4. Exporter les logs depuis Google Cloud Logging vers le Pub/Sub
  5. Utiliser Cloud SIEM pour trier les signaux de sécurité

Activer les journaux d’audit d’accès aux données

  1. Accédez à IAM & Admin Console > Audit Log.
  2. Sélectionnez les services pour lesquels vous souhaitez activer les journaux d’accès aux données.
  3. Dans le volet Log Types, activez Admin Read, Data Read et Data Write.
  4. Cliquez sur Save.

Modifier la configuration par défaut pour les nouveaux services

Lorsque vous ajoutez un nouveau service Google Cloud, celui-ci applique la configuration d’audit par défaut.

Pour veiller à ce que les journaux d’audit d’accès aux données soient capturés pour les nouveaux services Google Cloud, modifiez votre configuration d’audit par défaut :

  1. Accédez à IAM & Admin Console > Audit Log.
  2. Activez Admin Read, Data Read et Data Write.
  3. Cliquez sur Save.

Créer un système Pub/Sub Google Cloud

  1. Accédez à Pub/Sub > Topics.
  2. Cliquez sur Create Topic.
  3. Attribuez un nom au sujet, par exemple export-audit-logs-to-datadog.
  4. Cliquez sur Create.

Configurer le Pub/Sub pour transmettre les logs à Datadog

  1. Accédez à Pub/Sub > Subscriptions.
  2. Cliquez sur Create Subscription.
  3. Attribuez un nom à l’abonnement.
  4. Sélectionnez le sujet que vous avez précédemment créé.
  5. Sous Delivery type, sélectionnez Push.
  6. Saisissez l’URL d’endpoint suivante, en prenant soin de remplacer CLÉ_API_DATADOG par une nouvelle clé d’API Datadog ou une clé d’API existante : https://gcp-intake.logs./api/v2/logs?dd-api-key=<CLÉ_API_DATADOG>&dd-protocol=gcp`.
  7. Configurez des options supplémentaires selon vos besoins.
  8. Cliquez sur Create.

Le Pub/Sub peut désormais recevoir des logs de Google Cloud Logging et les transmettre à Datadog.

Exporter les logs depuis Google Cloud Logging vers le Pub/Sub

  1. Accédez à l’explorateur de journaux Google Cloud.
  2. Saisissez une requête pour filtrer les logs que vous souhaitez exporter.
  3. Sélectionnez Log Router dans le menu latéral gauche.
  4. Cliquez sur Create Sink.
  5. Attribuez un nom au récepteur.
  6. Cliquez sur Next.
  7. Dans le menu déroulant Select Sink Service, sélectionnez Cloud Pub/Sub topic.
  8. Sous Select a Cloud Pub/Sub topic, sélectionnez le Pub/Sub que vous avez précédemment créé.
  9. Cliquez sur Create Sink.

Remarque : il est possible de créer plusieurs exportations depuis Google Cloud Logging vers le même Pub/Sub en utilisant plusieurs récepteurs.

Avertissement : les Pub/Sub sont inclus dans les quotas et limitations de Google Cloud. Si votre nombre de logs dépasse ces limites, Datadog vous conseille de les répartir sur plusieurs sujets. Consultez la rubrique Surveiller la redirection de logs pour découvrir comment configurer un monitor afin de recevoir une notification lorsque vous vous approchez de ces limites.

Utiliser Cloud SIEM pour trier les signaux de sécurité

Cloud SIEM applique des règles de détection prêtes à l’emploi à l’ensemble des logs traités, y compris les journaux d’audit Google Cloud que vous avez configurés. Lorsqu’une menace est détectée grâce à une règle, un signal de sécurité est généré. Vous pouvez le consulter dans le Security Signals Explorer.

Pour aller plus loin