Amazon Security Lake

概要

Amazon Security Lake は、セキュリティログやイベントデータを集計・管理するためのセキュリティデータレイクです。

このインテグレーションは、Amazon Security Lake に保存されたセキュリティログを Datadog に取り込み、さらなる調査やリアルタイムの脅威検出を行います。Amazon Security Lake の詳細については、AWS の Amazon Security Lake ユーザーガイドをご覧ください。

セットアップ

前提条件

  1. Amazon Security Lake は、AWS アカウントまたは AWS 組織に対して構成する必要があります。詳しくは Amazon Security Lake ユーザーガイドをご参照ください。
  2. Datadog ログ管理Datadog Cloud SIEM の両方を利用している Datadog のアカウントが必要です。
  3. まだの場合は、Amazon Security Lake がデータを保存している AWS アカウントに Amazon Web Services インテグレーションを設定します。

注: この AWS アカウントを統合して Amazon Security Lake の統合を使用したいだけであれば、AWS インテグレーションページでメトリクスの収集を無効にすることができますので、Datadog はお客様の AWS インフラストラクチャーを監視せず、お客様はインフラストラクチャーモニタリングに対する請求を受けません。

ログの収集

  1. Datadog がセキュリティレイクに追加された新しいログファイルを取り込むことができるように、既存の DatadogIntegrationRole IAM ロールに次の IAM ポリシーを追加してください。

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "DatadogSecurityLakeAccess",
          "Effect": "Allow",
          "Action": [
              "s3:GetObject"
          ],
          "Resource": "arn:aws:s3:::aws-security-data-lake-*"
      }
  ]
}

  2. Amazon Security Lake の AWS コンソールで、Datadog のサブスクライバーを作成し、フォームに必要事項を入力します。AWS Security Lake のサブスクライバーの詳細については、Amazon Security Lake ユーザーガイドを参照してください。

    • サブスクライバー名に Datadog と入力します。
    • Datadog に送信する All log and event sources または Specific log and event sources を選択します。
    • データアクセスメソッドとして S3 を選択します。

  1. 同じフォームに、サブスクライバー資格情報を入力します。

    • Account ID464622532012 を入力します。

    • External ID は、新しいタブを開き、Datadog の AWS Account の AWS インテグレーションページに移動します。AWS External ID は、Account Details タブにあります。それをコピーして、AWS のフォームに貼り付けます。

    • Subscriber role には、DatadogSecurityLakeRole と入力します。注: DatadogIntegrationRole は、ステップ 1 で必要な権限を持っているので、このロールは実際には Datadog によって使用されません。

    • API destination role には、DatadogSecurityLakeAPIDestinationRole と入力します。

    • Subscription endpoint の場合、この値は使用している Datadog サイトに依存します: https://api./api/intake/aws/securitylake

      注: 上記のエンドポイントがお住まいの地域を反映していない場合は、このドキュメントページの右にある Datadog site のドロップダウンメニューを切り替えて地域を切り替えてください。

    • HTTPS key name には、DD-API-KEY を入力します。

    • HTTPS key value については、新しいタブを開いて Datadog の API Keys ページにアクセスし、Datadog API キーを探すか作成してください。それをコピーして、AWS のフォームに貼り付けます。

  1. 同じフォームに、サブスクライバー資格情報を入力します。

    • Account ID417141415827 を入力します。

    • External ID は、新しいタブを開き、Datadog の AWS Account の AWS インテグレーションページに移動します。AWS External ID は、Account Details タブにあります。それをコピーして、AWS のフォームに貼り付けます。

    • Subscriber role には、DatadogSecurityLakeRole と入力します。注: DatadogIntegrationRole は、ステップ 1 で必要な権限を持っているので、このロールは実際には Datadog によって使用されません。

    • API destination role には、DatadogSecurityLakeAPIDestinationRole と入力します。

    • Subscription endpoint の場合、この値は使用している Datadog サイトに依存します: https://api./api/intake/aws/securitylake

      注: 上記のエンドポイントがお住まいの地域を反映していない場合は、このドキュメントページの右にある Datadog site のドロップダウンメニューを切り替えて地域を切り替えてください。

    • HTTPS key name には、DD-API-KEY を入力します。

    • HTTPS key value については、新しいタブを開いて Datadog の API Keys ページにアクセスし、Datadog API キーを探すか作成してください。それをコピーして、AWS のフォームに貼り付けます。

  1. Create をクリックすると、サブスクライバーの作成が完了します。
  2. 数分待つと、Datadog のログエクスプローラーで Amazon Security Lake からのログの探索を開始します。

このインテグレーションを利用したリアルタイムの脅威検出の方法については、ブログをご覧ください。

収集データ

メトリクス

Amazon Security Lake インテグレーションには、メトリクスは含まれません。

イベント

Amazon Security Lake インテグレーションには、イベントは含まれません。

サービスのチェック

Amazon Security Lake インテグレーションには、サービスのチェック機能は含まれません。

トラブルシューティング

アクセス許可

トラブルシューティングガイドを確認し、AWS アカウントで Datadog 用の IAM ロールが正しく設定されていることを確認してください。

サブスクライバーの作成

トラブルシューティングのガイダンスとして、サブスクライバーの作成に関する Amazon Security Lake ユーザーガイドをご確認ください。

ご不明な点は、Datadog のサポートチームまでお問い合わせください。

その他の参考資料

お役に立つドキュメント、リンクや記事:

AWS re:Invent 2022 のハイライトGITHUB more more