Cloud SIEM の概要

概要

Datadog Cloud SIEM は、アプリケーションやインフラストラクチャーに対する脅威をリアルタイムに検出します。これらの脅威には、標的型攻撃、脅威情報が記載された IP がシステムと通信している場合、または安全でない構成が含まれる場合があります。検出されるとシグナルが生成され、チームに通知することができます。

このガイドでは、Cloud SIEM を使い始めるためのベストプラクティスを説明します。

フェーズ 1: セットアップ

  1. ログ取り込みを構成して、ソースからログを収集します。ログ管理のベストプラクティスを確認してください。

    すぐに使えるインテグレーションパイプラインを使って 700 以上のインテグレーションのログを収集したり、カスタムログパイプラインを作成して以下を送信したりすることができます。

  2. Cloud SIEM を有効にします。

フェーズ 2: シグナルの確認

  1. すぐに使える検出ルールを確認し、お使いの環境における脅威の検出を開始します。検出ルールは、処理されたすべてのログに適用され、検出範囲を最大化します。詳細については、検出ルールのドキュメントを参照してください。

  2. セキュリティシグナルを確認します。検出ルールで脅威が検出されると、セキュリティシグナルが生成されます。詳しくは、セキュリティシグナルのドキュメントをご覧ください。

    • 通知ルールの設定を行い、シグナルが発生した際にアラートを出します。Slack、Jira、メール、Webhook、および他のインテグレーションを使用してアラートを出すことができます。詳しくは通知ルールのドキュメントを参照してください。

フェーズ 3: 調査

  1. より迅速な修復のために、Investigator を確認します。詳しくは Investigator のドキュメントをご覧ください。
  2. 調査、レポート、モニタリングには、すぐに使えるダッシュボードを使用するか、または独自のダッシュボードを作成します。

フェーズ 4: カスタマイズ

  1. 抑制ルールを設定し、ノイズを低減します。
  2. カスタム検出ルールを作成します。検出ルールを作成するためのベストプラクティスを確認します。

その他の参考資料