Cloud SIEM の概要

概要

Datadog Cloud SIEM は、アプリケーションやインフラストラクチャーに対する脅威をリアルタイムに検出します。これらの脅威には、標的型攻撃、脅威情報が記載された IP がシステムと通信している場合、または安全でない構成が含まれる場合があります。検出されるとシグナルが生成され、チームに通知することができます。

このガイドでは、Cloud SIEM を使い始めるためのベストプラクティスを説明します。

フェーズ 1: セットアップ

1. ログ取り込みを構成して、ソースからログを収集します。ログ管理のベストプラクティスを確認してください。

   すぐに使えるインテグレーションパイプラインを使って 600 以上のインテグレーションのログを収集したり、カスタムログパイプラインを作成して以下を送信したりすることができます。

   • クラウド監査ログ。
   • ID プロバイダーログ
   • SaaS と Workspace のログ
   • サードパーティセキュリティインテグレーション (例: AWS GuardDuty)

2. Cloud SIEM を有効にします。

フェーズ 2: シグナルの確認

1. すぐに使える検出ルールを確認し、お使いの環境における脅威の検出を開始します。検出ルールは、処理されたすべてのログに適用され、検出範囲を最大化します。詳細については、検出ルールのドキュメントを参照してください。

2. セキュリティシグナルを確認します。検出ルールで脅威が検出されると、セキュリティシグナルが生成されます。詳しくは、セキュリティシグナルのドキュメントをご覧ください。

   • 通知ルールの設定を行い、シグナルが発生した際にアラートを出します。Slack、Jira、メール、Webhook、および他のインテグレーションを使用してアラートを出すことができます。詳しくは通知ルールのドキュメントを参照してください。

フェーズ 3: 調査

1. より迅速な修復のために、Investigator を確認します。詳しくは Investigator のドキュメントをご覧ください。
2. 調査、レポート、モニタリングには、すぐに使えるダッシュボードを使用するか、または独自のダッシュボードを作成します。

フェーズ 4: カスタマイズ

1. 抑制ルールを設定し、ノイズを低減します。
2. カスタム検出ルールを作成します。検出ルールを作成するためのベストプラクティスを確認します。

その他の参考資料

お役に立つドキュメント、リンクや記事:

Cloud SIEM 入門コースラーニングセンター Datadog Workflows と Cloud SIEM で、一般的なセキュリティタスクを自動化し、脅威の先を行くブログ Workflows のセキュリティ設計図で応答を自動化するAPP Cloud SIEM の AWS 構成ガイドDOCUMENTATION Cloud SIEM のための Google Cloud 構成ガイドDOCUMENTATION 通知をカスタマイズするための通知変数についてDOCUMENTATION Datadog の Security Labs でセキュリティ関連のトピックを読むSECURITY LABS