AWS CloudTrail

概要

AWS CloudTrail for Cloud SIEM を設定する場合は、AWS Configuration for Cloud SIEM を参照してください。

AWS CloudTrail は、AWS アカウントの監査証跡を提供します。Datadog は、この監査証跡を読み取ってイベントを作成します。Datadog のイベントエクスプローラーでイベントを検索し、ダッシュボードでの関連付けに使用します。次に CloudTrail イベントの例を示します。

CloudTrail イベント

ほかの AWS サービスについては、Amazon Web Services インテグレーション ページ を参照してください。

セットアップ

インストール

Amazon Web Services インテグレーションをまだセットアップしていない場合は、最初にセットアップします。

イベント収集

: Datadog CloudTrail インテグレーションでは、CloudTrail バケットにイベントを収集する必要があります。

  1. AWS CloudTrail イベントを収集するため、Datadog IAM ポリシーに次の権限を追加してください。CloudTrail ポリシーの詳細は、AWS CloudTrail API リファレンス を参照してください。CloudTrail ではトレイルにアクセスするために S3 権限も一部必要です。これらは CloudTrail バケットに対してのみ必要です。Amazon S3 ポリシーの詳細は、Amazon S3 API リファレンス を参照してください。

    AWS アクセス許可説明
    cloudtrail:DescribeTrails証跡と、証跡が格納される S3 バケットをリストします。
    cloudtrail:GetTrailStatus非アクティブな証跡をスキップします。
    s3:ListBucketCloudTrail バケット内のオブジェクトをリストして、有効な証跡を取得します。
    s3:GetBucketLocation証跡をダウンロードするバケットのリージョンを取得します。
    s3:GetObject有効な証跡を取得します。
    organizations:DescribeOrganizationアカウントのオーガニゼーションについての情報を返します (org trail に必須)。

    このポリシーを Datadog IAM の既存のメインポリシーに追加します。

    {
    "Sid": "AWSDatadogPermissionsForCloudtrail",
    "Effect": "Allow",
    "Principal": {
        "AWS": "<ARN_FROM_MAIN_AWS_INTEGRATION_SETUP>"
    },
    "Action": ["s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject"],
    "Resource": [
        "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>",
        "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>/*"
    ]
}

    : プリンシパル ARN は、メイン AWS インテグレーションのインストール手順で表示されるものを使用します。CloudTrail リソース ARN について詳しくは、AWS CloudTrail と IAM の連携の仕組み の Resources セクションを参照してください。既存のポリシーを更新する場合 (新規に作成する場合ではなく) は、SIDPrincipal は不要です。

  2. Datadog - AWS CloudTrail インテグレーション をインストールします: インテグレーション ページで、Datadog の events explorer におけるデフォルト フィルターである normal priority として表示するイベントの種類を選択します。Amazon Web Services ページで設定したアカウントも、ここに表示されます。ここに記載のないイベントも表示したい場合は、Datadog サポート にお問い合わせください。

ログ収集

ログの有効化

AWS CloudTrail で Trail を作成し、ログの書き込み先となる S3 バケットを選択します。

ログを Datadog に送信する方法

  1. まだ設定していない場合は、AWS アカウントに Datadog Forwarder Lambda 関数 をセットアップしてください。
  2. 設定したら、Datadog Forwarder Lambda 関数に移動します。Function Overview セクションで、Add Trigger をクリックします。
  3. Trigger Configuration で S3 トリガーを選択します。
  4. CloudTrail のログが格納されている S3 バケットを選択します。
  5. イベントの種類は All object create events のままにしておきます。
  6. Add をクリックすると、Lambda にトリガーが追加されます。

Log Explorer に移動して、ログの調査を開始します。

AWS サービス ログの収集について詳しくは、Datadog Lambda 関数で AWS サービス ログを送信する を参照してください。

収集データ

メトリクス

AWS CloudTrail インテグレーションには、メトリクスは含まれません。

イベント

AWS CloudTrail インテグレーションは、AWS CloudTrail の監査トレイルをもとに多種多様なイベントを生成します。すべてのイベントには、Datadog の events explorer#cloudtrail タグが付与されます。優先度はインテグレーション設定で変更できます。

優先度を標準に設定された CloudTrail イベント (デフォルトのフィルターのイベントエクスプローラーに表示されます):

  • apigateway
  • オートスケーリング
  • CloudFormation
  • cloudfront
  • cloudsearch
  • cloudtrail
  • codedeploy
  • codepipeline
  • config
  • datapipeline
  • ds
  • ec2
  • ecs
  • elasticache
  • elasticbeanstalk
  • elasticfilesystem
  • elasticloadbalancing
  • elasticmapreduce
  • iam
  • kinesis
  • Lambda
  • モニタリング
  • opsworks
  • rds
  • redshift
  • route53
  • s3
  • ses
  • signin
  • ssm

サービスチェック

AWS CloudTrail インテグレーションには、サービスのチェック機能は含まれません。

トラブルシューティング

CloudTrail タイルがないか、アカウントがリストされません

まずは Amazon Web Services インテグレーションを設定してください。その後、CloudTrail タイルを設定できます。