Cloud SIEM のための AWS 構成ガイド

概要

Cloud SIEM は、Datadog で処理されたすべてのログに検出ルールを適用し、標的型攻撃や脅威インテリジェンスに記載された IP がシステムと通信している、あるいは安全でない構成などの脅威を検出します。この脅威は、トリアージするためにセキュリティシグナルエクスプローラーでセキュリティシグナルとして表面化されます。

このガイドでは、AWS CloudTrail のログから脅威の検出を開始できるように、次の手順を説明します。

1. Datadog の AWS インテグレーションを設定する
2. AWS CloudTrail のログを有効にする
3. AWS CloudTrail のログを Datadog に送信する
4. Cloud SIEM でセキュリティシグナルのトリアージを行う

CloudFormation を使った AWS インテグレーションの設定

1. Datadog の AWS インテグレーションタイルにアクセスし、インテグレーションをインストールします。

2. Automatically Using CloudFormation をクリックします。すでに AWS アカウントが設定されている場合は、まず Add Another Account をクリックします。

3. CloudFormation スタックを起動する AWS リージョンを選択します。

4. AWS アカウントから Datadog へのデータ送信に使用される Datadog API キーを選択または作成します。

5. Send Logs to Datadog で Yes を選択します。これで、AWS CloudTrail のログを Datadog に送信するために、後で使用する Datadog Lambda Forwarder がセットアップされます。

6. Launch CloudFormation Template をクリックします。これで AWS コンソールが開き、CloudFormation スタックがロードされます。パラメーターは、事前の Datadog フォームでの選択に基づいて入力されています。

   注: DatadogAppKey パラメーターは、CloudFormation スタックが Datadog に API コールを行い、この AWS アカウントに対して Datadog の構成を追加・編集できるようにするものです。キーは自動的に生成され、Datadog アカウントに結びつけられます。

7. AWS から必要な項目にチェックを入れ、Create stack をクリックします。

8. CloudFormation スタック作成後、Datadog の AWS インテグレーションタイルに戻り、Ready! をクリックします。

Datadog の AWS インテグレーションと CloudFormation テンプレートの詳細については、AWS の概要を参照してください。AWS インテグレーションを手動で設定する必要がある場合は、AWS 手動設定手順を参照してください。

AWS CloudTrail のログを有効にする

AWS CloudTrail のログを有効にし、S3 バケットにログが送信されるようにします。すでに設定している場合は、AWS CloudTrail のログを Datadog に送信するにスキップしてください。

1. CloudTrail ダッシュボードの Create Trail をクリックします。
2. トレイルの名前を入力します。
3. 新しい S3 バケットを作成するか、既存の S3 バケットを使用して CloudTrail のログを保存します。
4. 新しい AWS KMS キーを作成するか、既存の AWS KMS キーを使用します。Next をクリックします。
5. イベントタイプは、デフォルトの管理用読み書きイベントのまま、または Datadog に送信したいイベントタイプを追加で選択します。Next をクリックします。
6. 確認後、Create trail をクリックします。

AWS CloudTrail のログを Datadog に送信する

Datadog Forwarder の Lambda 関数にトリガーを設定し、S3 バケットに保存されている CloudTrail ログを Datadog に送信してモニタリングします。

1. AWS インテグレーションのセットアップ時に作成した Datadog Forwarder Lambda にアクセスします。
2. Add trigger をクリックします。
3. トリガーに S3 を選択します。
4. AWS CloudTrail のログを収集するために使用する S3 バケットを選択します。
5. イベントタイプで、All object create events を選択します。
6. Add をクリックします。
7. Datadog のログエクスプローラーで CloudTrail のログをご覧ください。

ログの検索やフィルタリング、グループ化、視覚化の方法については、ログエクスプローラーを参照してください。

Cloud SIEM でセキュリティシグナルのトリアージを行う

Cloud SIEM は、設定した CloudTrail のログを含む、処理されたすべてのログに対して、すぐに検出ルールを適用します。検出ルールで脅威が検出されると、セキュリティシグナルが生成され、セキュリティシグナルエクスプローラーで確認することができます。

• Cloud SIEM シグナルエクスプローラーにアクセスして、脅威の表示とトリアージを行います。詳細はセキュリティシグナルエクスプローラーをご覧ください。
• また、AWS CloudTrail ダッシュボードを使って、異常なアクティビティを調査することも可能です。
• ログに適用されるすぐに使える検出ルールをご覧ください。
• 新しいルールを作成し、特定のユースケースにマッチした脅威を検出することができます。

Cloud SIEM は処理されたすべてのログに検出ルールを適用するため、脅威検出のために Kubernetes 監査ログや他のソースからのログを収集する方法についてはアプリ内説明書を参照してください。また、異なる AWS サービスを有効にして S3 バケットにログを記録し、脅威監視のために Datadog に送信することも可能です。

その他の参考資料

お役に立つドキュメント、リンクや記事:

Cloud SIEM のデフォルト検出ルールの確認ドキュメント セキュリティシグナルエクスプローラーについて学ぶドキュメント 新しい検出ルールの作成ドキュメント AWS の概要ドキュメント Datadog の Lambda 関数で AWS サービスのログを送信するドキュメント ログの調査方法ドキュメント