Cloud SIEM の概要

概要

Datadog Cloud SIEM は、アプリケーションやインフラストラクチャーに対する脅威をリアルタイムに検出します。これらの脅威には、標的型攻撃、脅威情報が記載された IP がシステムと通信している場合、または安全でない構成が含まれる場合があります。検出されるとシグナルが生成され、チームに通知することができます。

このガイドでは、Cloud SIEM を使い始めるためのベストプラクティスを説明します。

フェーズ 1: セットアップ

  1. ログ取り込みを構成して、ソースからログを収集します。ログ管理のベストプラクティスを確認してください。

    すぐに使えるインテグレーションパイプラインを使って 750 以上のインテグレーションのログを収集したり、カスタムログパイプラインを作成して以下を送信したりすることができます。

  2. Cloud SIEM を有効にします。

  3. コンテンツパックを選択し、構成します。コンテンツパックは、重要なセキュリティログソースに対するすぐに使えるコンテンツを提供します。

  4. Cloud SIEM に分析させたい追加のログソースを選択し、構成します。

  5. Activate をクリックします。カスタム Cloud SIEM ログインデックス (cloud-siem-xxxx) が作成されます。

  6. Cloud SIEM のセットアップページで「Cloud SIEM index is not in first position」(Cloud SIEM インデックスが最初の位置にありません) という警告が表示された場合は、Cloud SIEM インデックスの並び替えセクションの手順に従ってください。

Cloud SIEM インデックスの並び替え

インデックス構成に注意が必要であることを示す黄色の警告ボックス
  1. Reorder index in Logs Configuration をクリックします。

  2. モーダルタイトルに「Move cloud-siem-xxxx to…」と表示され、インデックス列の cloud-siem-xxxx テキストが薄紫色になっていることを確認します。

cloud-siem-xxxx インデックスが最後のインデックスであることを示すインデックスのリストを表示する Move cloud-siem-xxxx モーダル
  1. インデックスの新しい配置を選択するには、cloud-siem-xxxx を配置したいインデックスの一番上の行をクリックします。例えば、cloud-siem-xxxx インデックスを最初のインデックスにしたい場合、現在の最初のインデックスのの行をクリックします。新しい位置は青い太い線でハイライトされます。
最初のインデックスの上部に青い線を表示する Move cloud-SIEM-xxxx モーダル
  1. テキストは選択された位置を確認します: “Select the new placement of your index: Position 1” (インデックスの新しい配置を選択: 位置 1)。Move をクリックします。

  2. 警告テキストを確認します。変更内容に問題がなければ、Reorder をクリックします。

  3. インデックスの順序を確認し、cloud-siem-xxxx インデックスが希望の位置にあることを確認します。インデックスを移動したい場合は、Move to アイコンをクリックし、手順 3 から 5 を実行します。

  4. Cloud SIEM セットアップページに戻ります。

Cloud SIEM インデックスは最初のインデックス位置にあるはずです。セットアップページでインデックス位置に関する警告がまだ表示される場合は、数分待ってからブラウザを更新します。

インデックスが最初のインデックス位置に移動したら、コンテンツパックその他のログソースの設定とステータスを確認します。警告またはエラーが表示されたインテグレーションごとに、そのインテグレーションをクリックし、指示に従って修正します。

フェーズ 2: シグナルの確認

  1. すぐに使える検出ルールを確認し、お使いの環境における脅威の検出を開始します。検出ルールは、処理されたすべてのログに適用され、検出範囲を最大化します。詳細については、検出ルールのドキュメントを参照してください。

  2. セキュリティシグナルを確認します。検出ルールで脅威が検出されると、セキュリティシグナルが生成されます。詳しくは、セキュリティシグナルのドキュメントをご覧ください。

    • 通知ルールの設定を行い、シグナルが発生した際にアラートを出します。Slack、Jira、メール、Webhook、および他のインテグレーションを使用してアラートを出すことができます。詳しくは通知ルールのドキュメントを参照してください。
    • 毎週の脅威ダイジェストレポートを購読し、過去 7 日間に発見された最も重要なセキュリティ脅威の調査と対策を開始しましょう。

フェーズ 3: 調査

  1. より迅速な修復のために、Investigator を確認します。詳しくは Investigator のドキュメントをご覧ください。
  2. 調査、レポート、モニタリングには、すぐに使えるダッシュボードを使用するか、または独自のダッシュボードを作成します。

フェーズ 4: カスタマイズ

  1. 抑制ルールを設定し、ノイズを低減します。
  2. カスタム検出ルールを作成します。検出ルールを作成するためのベストプラクティスを確認します。

その他の参考資料