AWS CloudTrail
セキュリティモニタリングが使用可能です セキュリティモニタリングが使用可能です

AWS CloudTrail

Crawler Crawler

概要

AWS CloudTrail は、AWS アカウントの監査証跡を提供します。Datadog は、この監査証跡を読み取ってイベントを作成します。Datadog のイベントストリームでイベントを検索し、ダッシュボードでの関連付けに使用します。次に CloudTrail イベントの例を示します。

他の AWS サービスについては、Amazon Web Services インテグレーションのページを参照してください

セットアップ

インストール

Amazon Web Services インテグレーションをまだセットアップしていない場合は、最初にセットアップします。

イベント収集

  1. AWS Cloudtrail のメトリクスを収集するには、次のアクセス許可を Datadog IAM ポリシーに追加します。CloudTrail ポリシーの詳細については、AWS ウェブサイトのドキュメントを参照してください。CloudTrail の証跡にアクセスするには、S3 のアクセス許可もいくつか必要です。このアクセス許可は CloudTrail バケットでのみ必要です。Amazon S3 ポリシーの詳細については、AWS ウェブサイトに関するドキュメントを参照してください。

    AWS アクセス許可説明
    cloudtrail:DescribeTrails証跡と、証跡が格納される S3 バケットをリストします。
    cloudtrail:GetTrailStatus非アクティブな証跡をスキップします。
    s3:ListBucketCloudTrail バケット内のオブジェクトをリストして、有効な証跡を取得します。
    s3:GetBucketLocation証跡をダウンロードするバケットのリージョンを取得します。
    s3:GetObject有効な証跡を取得します。
    s3:ListObjectsバケット内のオブジェクトの一部またはすべて(最大 1,000)を返します。

    このポリシーを Datadog IAM の既存のメインポリシーに追加します。

    {
        "Sid": "AWSDatadogPermissionsForCloudtrail",
        "Effect": "Allow",
        "Principal": {
            "AWS": "<ARN_FROM_MAIN_AWS_INTEGRATION_SETUP>"
        },
        "Action": ["s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject", "s3:ListObjects"],
        "Resource": [
            "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>",
            "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>/*"
        ]
    }

    : プリンシパル ARN は、メイン AWS インテグレーションのインストールプロセス中にリストされる ARN です。(新しいポリシーを追加するのではなく) ポリシーを更新する場合、SID または Principal は必要ありません。

  2. Datadog - AWS Cloudtrail インテグレーションをインストールします。 インテグレーションタイルで、Datadog のイベントストリームに標準の優先度 (デフォルトのフィルター) で表示するイベントのタイプを選択します。Amazon Web Services タイルで構成したアカウントもここに表示されます。ここに記載されていないイベントの確認を希望する場合は、Datadog のサポートチームまでお問い合わせください。

ログの収集

Cloudtrail ログの有効化

証跡を定義する場合は、ログの書き込み先になる S3 バケットを選択します。

Datadog へのログの送信

  1. Datadog ログコレクション AWS Lambda 関数をまだセットアップしていない場合は、セットアップします。
  2. Lambda 関数がインストールされたら、AWS コンソールで Cloudtrail ログを含む S3 バケットに手動でトリガーを追加します。Lambda で、トリガーリストから S3 をクリックします。Cloudtrail ログを含む S3 バケットを選択してトリガーを構成し、イベントタイプを Object Created (All) に変更して、Add ボタンをクリックします。

終了すると、Datadog のログエクスプローラーにログが表示されます。

収集データ

メトリクス

AWS Cloudtrail インテグレーションには、メトリクスは含まれません。

イベント

AWS Cloudtrail インテグレーションは、AWS Cloudtrail の監査証跡に基づいて多種多様なイベントを作成します。すべてのイベントは、Datadog のイベントストリーム#cloudtrail でタグ付けされます。

サービスのチェック

AWS Cloudtrail インテグレーションには、サービスのチェック機能は含まれません。

トラブルシューティング

CloudTrail タイルが表示されません。または、アカウントがリストされません

まず Amazon Web Services タイルを構成する必要があります。その後、CloudTrail タイルを構成することができます。