Cloud SIEM のための AWS 構成ガイド

概要

Cloud SIEM は、Datadog で処理されたすべてのログに検出ルールを適用し、標的型攻撃や脅威インテリジェンスに記載された IP がシステムと通信している、あるいは安全でない構成などの脅威を検出します。この脅威は、トリアージするためにセキュリティシグナルエクスプローラーでセキュリティシグナルとして表面化されます。

このガイドでは、AWS CloudTrail のログから脅威の検出を開始できるように、次の手順を説明します。

  1. Datadog の AWS インテグレーションを設定する
  2. AWS CloudTrail のログを有効にする
  3. AWS CloudTrail のログを Datadog に送信する
  4. Cloud SIEM でセキュリティシグナルのトリアージを行う

CloudFormation を使った AWS インテグレーションの設定

Sensitive Data Scanner for cloud storage is in Limited Availability. Request Access to enroll.
  1. Go to Datadog’s AWS integration tile to install the integration.
  2. Click Automatically Using CloudFormation. If there is already an AWS account set up, click Add Another Account first.
  3. Select the AWS Region where the CloudFormation stack will be launched.
  4. Select or create the Datadog API Key used to send data from your AWS account to Datadog.
  5. To configure the Datadog Lambda Forwarder, select Yes for Send Logs to Datadog. This enables AWS CloudTrail logs to be sent to Datadog.
  6. To enable Cloud Security Management, select Yes for Detect security issues.
  7. If you select Yes for Detect security issues, the Enable Sensitive Data Scanner for Cloud Storage option appears. Turn this on to automatically identify and classify sensitive data stored in Amazon S3.
  8. Click Launch CloudFormation Template. This opens the AWS Console and loads the CloudFormation stack with the parameters filled in based on your selections in the Datadog form.
  9. Check the required boxes from AWS and click Create stack.
  10. After the CloudFormation stack is created, return to the AWS integration tile in Datadog and click Ready!

Notes:

  • The DatadogAppKey parameter enables the CloudFormation stack to make API calls to Datadog, allowing it to add and edit the configuration for this AWS account. The key is automatically generated and tied to your Datadog account.
  • For more information about Datadog’s AWS integration and CloudFormation template, see Getting Started with AWS.
  • If you need to set up the AWS integration manually, see AWS manual setup instructions.

AWS CloudTrail のログを有効にする

Enable AWS CloudTrail logging so that logs are sent to a S3 bucket. If you already have this setup, skip to Send AWS CloudTrail logs to Datadog.

  1. Click Create trail on the CloudTrail dashboard.
  2. Enter a name for your trail.
  3. Create a new S3 bucket or use an existing S3 bucket to store the CloudTrail logs.
  4. Create a new AWS KMS key or use an existing AWS KMS key, then click Next.
  5. Leave the event type with the default management read and write events, or choose additional event types you want to send to Datadog, then click Next.
  6. Review and click Create trail.

AWS CloudTrail のログを Datadog に送信する

Set up a trigger on your Datadog Forwarder Lambda function to send CloudTrail logs stored in the S3 bucket to Datadog for monitoring.

  1. Go to the Datadog Forwarder Lambda that was created during the AWS integration set up.
  2. Click Add trigger.
  3. Select S3 for the trigger.
  4. Select the S3 bucket you are using to collect AWS CloudTrail logs.
  5. For Event type, select All object create events.
  6. Click Add.
  7. See CloudTrail logs in Datadog’s Log Explorer.

See Log Explorer for more information on how to search and filter, group, and visualize your logs.

Cloud SIEM でセキュリティシグナルのトリアージを行う

Cloud SIEM は、設定した CloudTrail のログを含む、処理されたすべてのログに対して、すぐに検出ルールを適用します。検出ルールで脅威が検出されると、セキュリティシグナルが生成され、セキュリティシグナルエクスプローラーで確認することができます。

Cloud SIEM は処理されたすべてのログに検出ルールを適用するため、脅威検出のために Kubernetes 監査ログや他のソースからのログを収集する方法についてはアプリ内説明書を参照してください。また、異なる AWS サービスを有効にして S3 バケットにログを記録し、脅威監視のために Datadog に送信することも可能です。

参考資料

お役に立つドキュメント、リンクや記事:

Cloud SIEM のデフォルト検出ルールの確認ドキュメント more more セキュリティシグナルエクスプローラーについて学ぶドキュメント more more 新しい検出ルールの作成ドキュメント more more AWS の概要ドキュメント more more Datadog の Lambda 関数で AWS サービスのログを送信するドキュメント more more ログの調査方法ドキュメント more more