Guide de configuration d'AWS pour Cloud SIEM

Présentation

Cloud SIEM applique des règles de détection à l’ensemble des logs traités dans Datadog. Cette approche permet de détecter les menaces, comme les attaques ciblées, les adresses IP communiquant avec vos systèmes alors qu’elles font partie d’une liste noire ou les configurations non sécurisées. Les menaces s’affichent sous la forme de signaux de sécurité dans le Security Signals Explorer et peuvent être triés.

Ce guide détaille les étapes à suivre afin de commencer à détecter les menaces à l’aide de vos logs AWS CloudTrail :

Configurer l’intégration AWS avec CloudFormation

  1. Accédez au carré d’intégration AWS de Datadog pour installer l’intégration.

  2. Cliquez sur Automatically Using CloudFormation. Si un compte AWS est déjà configuré, cliquez d’abord sur Add Another Account.

  3. Pour la solution Cloud SIEM, la gestion des logs doit être intégrée. Sélectionnez donc Log Management. Cela permet de configurer la fonction Lambda du Forwarder Datadog afin de l’utiliser par la suite pour envoyer les logs AWS CloudTrail à Datadog.

  4. Sélectionnez la région AWS à partir de laquelle la pile CloudFormation sera lancée.

  5. Sélectionnez la clé d’API Datadog servant à envoyer des données depuis votre compte AWS vers Datadog, ou créez-la si besoin.

  6. Cliquez sur Launch CloudFormation Template, afin d’ouvrir la console AWS et de charger la pile CloudFormation. Les paramètres définis varient en fonction des informations que vous avez fournies précédemment dans le formulaire Datadog précédent.

    Remarque : le paramètre DatadogAppKey active la pile CloudFormation et permet donc d’effectuer des appels API vers Datadog, afin d’ajouter et de modifier la configuration Datadog pour ce compte AWS. La clé est automatiquement générée et liée à votre compte Datadog.

  7. Cochez les cases requises pour AWS et cliquez sur Create stack.

  8. Une fois la pile CloudFormation créée, revenez au carré d’intégration AWS dans Datadog et repérez la zone correspondant au compte créé. Cliquez sur Refresh to Check Status pour afficher un message de réussite en haut de la page. Le nouveau compte est également indiqué, avec les informations pertinentes.

Consultez la section Débuter avec AWS pour en savoir plus sur l’intégration Datadog/AWS et le modèle CloudFormation. Si vous souhaitez configurer manuellement l’intégration AWS, consultez les instructions dédiées.

Activer les logs AWS CloudTrail

Activez la journalisation AWS CloudTrail afin d’envoyer les logs vers un compartiment S3. Si vous avez déjà appliqué cette configuration, passez à l’étape Envoyer des logs AWS CloudTrail à Datadog.

  1. Cliquez sur Create trail sur le dashboard CloudTrail.
  2. Saisissez le nom de votre journal de suivi.
  3. Créez un compartiment S3 ou utilisez-en un existant pour stocker les logs CloudTrail.
  4. Créez une clé AWS KMS ou utilisez-en une existante, puis cliquez sur Next.
  5. Conservez le type d’événement par défaut, à savoir les événements de lecture et d’écriture de gestion, ou choisissez les types d’événements supplémentaires que vous souhaitez envoyer à Datadog. Cliquez ensuite sur Next.
  6. Vérifiez votre configuration, puis cliquez sur Create trail.

Envoyer des logs AWS CloudTrail à Datadog

Configurez un déclencheur sur la fonction Lambda du Forwarder Datadog afin d’envoyer les logs CloudTrail stockés dans le compartiment S3 à Datadog, pour faciliter la surveillance.

  1. Accédez à la fonction Lambda du Forwarder Datadog qui a été créée lors de la configuration de l’intégration AWS.
  2. Cliquez sur Add trigger.
  3. Sélectionnez le déclencheur S3.
  4. Sélectionnez le compartiment S3 que vous utilisez pour recueillir les logs AWS CloudTrail.
  5. Sélectionnez le type d’événement All object create events.
  6. Cliquez sur Add.
  7. Accédez à vos logs CloudTrail dans la vue Log Explorer de Datadog.

Consultez la section Log Explorer pour découvrir comment rechercher, filtrer, regrouper et visualiser vos logs.

Utiliser Cloud SIEM pour trier les signaux de sécurité

Cloud SIEM applique des règles de détection prêtes à l’emploi à l’ensemble des logs traités, y compris les logs CloudTrail que vous avez configurés. Lorsqu’une menace est détectée grâce à une règle, un signal de sécurité est généré. Vous pouvez le consulter dans le Security Signals Explorer.

Cloud SIEM applique des règles de détection à l’ensemble des logs traités. Pour cette raison, vous pouvez consulter les instructions dans l’application pour découvrir comment recueillir des logs d’audit Kubernetes et des logs d’autres sources afin d’améliorer la détection des menaces. Il est également possible d’activer la journalisation d’autres services AWS dans un compartiment S3 et d’envoyer ces logs à Datadog à des fins de surveillance des menaces.

Pour aller plus loin