概要

Cloud SIEM は、Datadog で処理されたすべてのログに検出ルールを適用し、標的型攻撃や脅威インテリジェンスに記載された IP がシステムと通信している、あるいは安全でないリソース変更などの脅威を検出します。この脅威は、トリアージするためにセキュリティシグナルエクスプローラーでセキュリティシグナルとして表面化されます。

このガイドでは、Azure Platform のログから脅威の検出を開始できるように、Datadog にログを送信するための Microsoft Azure の構成を説明します。

Azure Native インテグレーション (Datadog の US3 サイトのお客様向け) には、ログ収集の設定手順が異なります。Azure Native インテグレーションを使用する場合は、Datadog サイトドロップダウンメニューで US3 を選択し、Microsoft Azure ログ収集の指示に従ってください。

下のボタンをクリックし、Azure ポータルのフォームに記入してください。フォームを完了すると、アクティビティログを Datadog アカウントに送信するために必要な Azure リソースが、お客様のためにデプロイされます。

Azure にデプロイ

  1. 既存のリソースグループを選択するか、新規に作成します。
  2. リージョンを選択します。
  3. Send Activity Logstrue を選択します。
  4. Datadog API キーを入力します。
  5. リソースの名前を入力します。詳しくは、オプションパラメーターをご覧ください。
  6. Create + review をクリックします。
  7. 検証後、Create をクリックします。

デプロイが正常に完了したら、ログエクスプローラーで検索クエリに service:azure と入力し、Azure のログを表示します。

このセクションでは、Azure Platform のログを Datadog に送信できるように、手動インストールのステップを説明します。

  1. リソースグループの作成
  2. Event Hubs ネームスペースの作成
  3. Azure イベントハブの作成
  4. Azure Function アプリの作成
  5. Function アプリに新しい関数を追加する
  6. Azure サービスのログをイベントハブに転送する

リソースグループの作成

既存のリソースグループを使用する場合は、Event Hubs ネームスペースの作成に進んでください。

  1. Azure Resource groups ページに移動します。
  2. 作成をクリックします。
  3. リソースグループの名前を入力します。
  4. オプションで、タグを追加したい場合は、Next: Tags をクリックします。
  5. Review + create をクリックします。
  6. 検証後、Create をクリックします。

Event Hubs ネームスペースの作成

  1. Azure Event Hubs に移動します。
  2. 作成をクリックします。
  3. Resource group ドロップダウンメニューで、Event Hub を追加するリソースグループを選択します。
  4. ネームスペースの名前を入力します。
  5. ネームスペースの場所を選択します。 : Event Hub とログの送信元となるリソースは同じ場所になければなりません。アクティビティログや他のアカウント全体のログソースは、その限りではありません。
  6. 価格帯を選択します。
  7. スループットユニット (スタンダードティアの場合) またはプロセッシングユニット (プレミアムティアの場合) はそのままにしておいてください。
  8. Review + create をクリックします。
  9. 検証に成功したら、Create をクリックします。
  10. デプロイが正常に完了したら、Go to resource をクリックします。

イベントハブの作成

  1. 先ほど作成した Event Hubs ネームスペースで、+ Event Hub をクリックします。
  2. イベントハブの名前を入力します。
  3. オプションで、パーティションカウントと保持オプションを構成します。
  4. Review + create をクリックします。
  5. 検証に成功したら、Create をクリックします。

Azure Function アプリの作成

新しい Function アプリを作成します。既存の関数アプリを使用している場合は、Function アプリに新しい関数を追加するに進んでください。

  1. Function アプリに移動します。
  2. 作成をクリックします。
  3. 関数アプリのリソースグループを選択します。
  4. 関数アプリの名前を入力します。
  5. コードにデプロイする場合は選択のままにしてください。
  6. Runtime stack ドロップダウンメニューで、Node.js を選択します。
  7. 関数アプリのリージョンを選択します。
  8. オペレーティングシステムとプランタイプを選択します。
  9. Next: Storage をクリックします。
  10. ドロップダウンメニューで、ストレージアカウントを選択します。
  11. Review + create をクリックします。
  12. 検証に成功したら、Create をクリックします。
  13. デプロイが正常に完了したら、Create a function をクリックします。

Function アプリに新しい関数を追加する

  1. 既存のものを使用している場合は、関数アプリに移動します。左サイドメニューの ** Functions** をクリックします。
  2. 作成をクリックします。
  3. Azure Event Hub trigger を選択します。
  4. 新しい関数の名前を入力します。
  5. Event Hub connection で、New をクリックします。
  6. Event Hub connection ドロップダウンメニューで、先に作成したイベントハブを選択します。
  7. OK をクリックします。
  8. Event Hub name には、先ほど作成したイベントハブの名前を入力します。
  9. 作成をクリックします。

Datadog Azure 関数を追加する

  1. 新しい関数で、左側のメニューから Code + Test を選択します。
  2. Datadog-Azure 関数コードをコピーして index.js ファイルに貼り付けてください。
  3. 関数コードの 22 行目の <DATADOG_API_KEY> をお使いの Datadog API に置き換えてください。
  4. Datadog US1 サイトを使用していない場合は、関数コードの 23 行目で DD_SITEDatadog サイトパラメーターに置き換えてください。
  5. Save をクリックします。
  6. 左サイドメニューの Integrations をクリックします。
  7. Azure Event Hubs をクリックします。
  8. Event parameter nameeventHubMessages に設定します
  9. Event Hub Cardinality は、Many に設定する必要があります。
  10. Event Hub Data Type を empty に設定します。
  11. Save をクリックします。
  12. 関数を実行し、Datadog ログエクスプローラーでテストメッセージをチェックし、設定が正しいことを確認します。テストログイベントは、有効な JSON 形式である必要があります。例:
    {
        is_test:true,
        name: "Datadog Test"
    }
    

Azure サービスのログを Event Hub に転送する

Activity ログを Event Hub に転送する

  1. Azure Activity ログに移動します。
  2. Export Activity Logs をクリックします。
  3. Add diagnostic settings をクリックします。
  4. 診断設定の名前を入力します。
  5. Datadog に送信するログのカテゴリーを選択します。
  6. Stream to an event hub を選択します。
  7. 先に作成したイベントハブネームスペースを選択します。
  8. Save をクリックします。

リソースログを Event Hub に転送する

  1. リソースログを送信するリソースに移動します。
  2. 左サイドメニューの Monitor の下にある、Diagnostic settings をクリックします。
  3. Add diagnostic setting をクリックします。
  4. 診断設定の名前を入力します。
  5. allLogs を選択します。
  6. Destination details セクションで、Stream to an event hub を選択します。
  7. 先に作成したイベントハブネームスペースを選択します。
  8. Save をクリックします。

ログエクスプローラーで検索クエリに service:azure と入力し、Azure のログを表示します。

Cloud SIEM でセキュリティシグナルのトリアージを行う

Cloud SIEM は、設定した Azure Platform ログを含む、処理されたすべてのログに対して、すぐに検出ルールを適用します。検出ルールで脅威が検出されると、セキュリティシグナルが生成され、セキュリティシグナルエクスプローラーで確認することができます。

  • Cloud SIEM シグナルエクスプローラーにアクセスして、脅威の表示とトリアージを行います。詳細はセキュリティシグナルエクスプローラーをご覧ください。
  • ログに適用されるすぐに使える検出ルールをご覧ください。
  • 新しいルールを作成し、特定のユースケースにマッチした脅威を検出することができます。

その他の参考資料