Présentation

Lorsqu’une menace est détectée par le système de sécurité de Datadog, un signal de sécurité est généré. Il est alors possible d’envoyer des notifications pour en informer votre équipe.

Vous pouvez définir des notifications pour certaines règles de détection ou pour des règles de notification plus larges. Consultez la section relative aux variables de notification pour découvrir comment personnaliser des notifications en fonction de la gravité du signal et du contexte spécifique de la menace.

Canaux de notification

Envoyez des notifications par e-mail, sur Slack, Jira ou PagerDuty, ou via un webhook.

E-mail

  • Notify an active Datadog user by email with @<DD_USER_EMAIL_ADDRESS>.

    Note: An email address associated with a pending Datadog user invitation or a disabled user is considered inactive and does not receive notifications. Blocklists, IP or domain filtering, spam filtering, or email security tools may also cause missing notifications.

  • Notify any non-Datadog user by email with @<EMAIL>.

Note: Email notifications don’t support addresses that contain slashes /, for example, @DevOpS/West@example.com.

Intégrations

Notify your team through connected integrations by using the format @<INTEGRATION_NAME>-<VALUES>.

This table lists prefixes and example links:

IntegrationPrefixExamples
Jira@jiraExamples
PagerDuty@pagerdutyExamples
Slack@slackExamples
Webhooks@webhookExamples
Microsoft Teams@teamsExamples
ServiceNow@servicenowExamples

Handles that include parentheses ((, )) are not supported. When a handle with parentheses is used, the handle is not parsed and no alert is created.

Notifications des règles de détection

Lorsque vous créez ou modifiez une règle de détection, vous pouvez définir les notifications à envoyer à partir des sections Set rule case et Say what’s happening.

Définir un scénario de règle

Depuis la section Set rule case, ajoutez des scénarios de règle afin de définir les conditions pour lesquelles une règle de détection doit déclencher un signal de sécurité, ainsi que la gravité de ce dernier. Le menu déroulant Notify vous permet d’envoyer les notifications de signal générées par le scénario pertinent aux destinataires sélectionnés.

Section Say what’s happening

La section Say what’s happening vous permet de déterminer le contenu des signaux générés.

Nom du scénario

Attribuez un nom au scénario pour votre règle de détection. Ce nom est affiché dans la liste Detection Rules. Il s’agit également du titre du signal associé.

Message

Utilisez le format Markdown standard ainsi que des variables de notification pour ajouter des attributs d’événement et des tags, et ainsi fournir des détails spécifiques à propos du signal.

Tags

Le menu déroulant Tag resulting signals vous permet d’appliquer différents tags à vos signaux. Vous pouvez par exemple ajouter le tag attack:sql-injection-attempt.

Règles de notification

Les règles de notification vous permettent de définir des préférences générales en matière d’alertes. Vous n’avez ainsi pas besoin de définir des paramètres de notification pour chaque règle de détection. Par exemple, vous pouvez définir une règle de notification qui envoie une notification lorsqu’un signal avec la gravité CRITICAL ou HIGH est déclenché. Pour en savoir plus sur la définition et la configuration des règles de notification, consultez la documentation dédiée.

Pour aller plus loin