概要

Cloud SIEM は、Datadog で処理されたすべてのログに検出ルールを適用し、標的型攻撃や脅威インテリジェンスに記載された IP がシステムと通信している、あるいは安全でない構成などの脅威を検出します。この脅威は、トリアージするためにセキュリティシグナルエクスプローラーでセキュリティシグナルとして表面化されます。

このガイドでは、AWS CloudTrail のログから脅威の検出を開始できるように、次の手順を説明します。

  1. Datadog の AWS インテグレーションを設定する
  2. AWS CloudTrail のログを有効にする
  3. AWS CloudTrail のログを Datadog に送信する
  4. Cloud SIEM でセキュリティシグナルのトリアージを行う

CloudFormation を使った AWS インテグレーションの設定

  1. Go to Datadog’s AWS integration tile to install the integration.

  2. Click Automatically Using CloudFormation. If there is already an AWS account set up, click Add Another Account first.

  3. Select the AWS Region where the CloudFormation stack will be launched.

  4. Select or create the Datadog API Key used to send data from your AWS account to Datadog.

  5. Select Yes for Send Logs to Datadog to set up the Datadog Lambda Forwarder to be used later for sending AWS CloudTrail logs to Datadog.

  6. Click Launch CloudFormation Template. This opens the AWS Console and loads the CloudFormation stack with the parameters filled in based on your selections in the Datadog form.

    Note: The DatadogAppKey parameter enables the CloudFormation stack to make API calls to Datadog, allowing it to add and edit the configuration for this AWS account. The key is automatically generated and tied to your Datadog account.

  7. Check the required boxes from AWS and click Create stack.

  8. After the CloudFormation stack is created, return to the AWS integration tile in Datadog and click Ready!

Notes:

AWS CloudTrail のログを有効にする

Enable AWS CloudTrail logging so that logs are sent to a S3 bucket. If you already have this setup, skip to Send AWS CloudTrail logs to Datadog.

  1. Click Create trail on the CloudTrail dashboard.
  2. Enter a name for your trail.
  3. Create a new S3 bucket or use an existing S3 bucket to store the CloudTrail logs.
  4. Create a new AWS KMS key or use an existing AWS KMS key, then click Next.
  5. Leave the event type with the default management read and write events, or choose additional event types you want to send to Datadog, then click Next.
  6. Review and click Create trail.

AWS CloudTrail のログを Datadog に送信する

Set up a trigger on your Datadog Forwarder Lambda function to send CloudTrail logs stored in the S3 bucket to Datadog for monitoring.

  1. Go to the Datadog Forwarder Lambda that was created during the AWS integration set up.
  2. Click Add trigger.
  3. Select S3 for the trigger.
  4. Select the S3 bucket you are using to collect AWS CloudTrail logs.
  5. For Event type, select All object create events.
  6. Click Add.
  7. See CloudTrail logs in Datadog’s Log Explorer.

See Log Explorer for more information on how to search and filter, group, and visualize your logs.

Cloud SIEM でセキュリティシグナルのトリアージを行う

Cloud SIEM は、設定した CloudTrail のログを含む、処理されたすべてのログに対して、すぐに検出ルールを適用します。検出ルールで脅威が検出されると、セキュリティシグナルが生成され、セキュリティシグナルエクスプローラーで確認することができます。

Cloud SIEM は処理されたすべてのログに検出ルールを適用するため、脅威検出のために Kubernetes 監査ログや他のソースからのログを収集する方法についてはアプリ内説明書を参照してください。また、異なる AWS サービスを有効にして S3 バケットにログを記録し、脅威監視のために Datadog に送信することも可能です。

参考資料