- 필수 기능
- 시작하기
- Glossary
- 표준 속성
- Guides
- Agent
- 통합
- 개방형텔레메트리
- 개발자
- Administrator's Guide
- API
- Datadog Mobile App
- CoScreen
- Cloudcraft
- 앱 내
- 서비스 관리
- 인프라스트럭처
- 애플리케이션 성능
- APM
- Continuous Profiler
- 스팬 시각화
- 데이터 스트림 모니터링
- 데이터 작업 모니터링
- 디지털 경험
- 소프트웨어 제공
- 보안
- AI Observability
- 로그 관리
- 관리
",t};e.buildCustomizationMenuUi=t;function n(e){let t='
",t}function s(e){let n=e.filter.currentValue||e.filter.defaultValue,t='${e.filter.label}
`,e.filter.options.forEach(s=>{let o=s.id===n;t+=``}),t+="${e.filter.label}
`,t+=`이 가이드에서는 Cloud SIEM 탐지 규칙을 만드는 단계와 규칙 구성에 대한 모범 사례를 알아봅니다.
Datadog Cloud SIEM (Security Information and Event Management)는 개발자, 운영팀, 보안팀을 하나의 플랫폼으로 통합합니다. Datadog은 다양한 기능과 통합에 대한 기본 제공 탐지 규칙 세트를 제공합니다. SIEM 탐지 규칙 목록에서 확인해 보세요.
Datadog Cloud SIEM 탐지 규칙은 통합에 추가할 수 있는 기본 제공 콘텐츠이며 설치 후 바로 사용할 수 있습니다.
Datadog 통합을 생성하려면 새 통합 생성을 참고하세요.
사용자의 보안 인사이트를 강화하기 위해 파트너는 Datadog 통합의 일부로 자체적인 기본 탐지 규칙을 생성할 수 있습니다. 탐지 규칙은 통합을 위한 기본 자산으로 추가될 수 있습니다.
Datadog 샌드박스에서 새 규칙을 만듭니다.
이 가이드에 설명된 모범 사례를 따라 탐지 규칙을 구성하세요.
Integration Developer Platform 통합 내에서 Content 탭으로 이동합니다. 여기에서 Import Detection Rule을 선택하여 사용 가능한 탐지 규칙 목록에서 선택합니다. 통합에 포함할 탐지 규칙을 최대 10개까지 선택할 수 있습니다.
기본 탐지 규칙을 보려면 해당 통합 타일이 Datadog에서 Installed
여야 하며 Cloud SIEM이 활성화되어 있어야 합니다.
규칙 유형 선택 및 검색 쿼리 정의:
규칙 사례 설정 및 알림 메시지 작성:
자세한 내용은 탐지 규칙 구성 문서를 참고하세요.
File=<FILE_PATH> in collection=<COLLECTION> is an invalid JSON: error=<ERROR>
이 오류는 <FILE_PATH>
의 JSON이 유효하지 않은 JSON으로 간주되었음을 의미합니다.
partnerRuleId is empty for rule name="<RULE_NAME>" - partnerRuleId=<NEW_RULE_ID> is available
각 규칙에 partnerRuleId
가 필요하지만 누락되었습니다. 생성된 <NEW_RULE_ID>
를 사용하세요.
partnerRuleId=<RULE_ID> is in the incorrect format for rule name="<RULE_NAME>", it must follow the format=^[a-z0-9]{3}-[a-z0-9]{3}-[a-z0-9]{3}$ - partnerRuleId=<NEW_RULE_ID> is available
규칙 이름의 형식이 올바르지 않습니다. 생성된 partnerRuleId: <NEW_RULE_ID>
규칙을 사용하여 문제를 해결하세요.
Duplicate partnerRuleId=<RULE_ID> for rule name="<RULE_NAME>" - <RULE_ID_KEY> must be unique and it is already used in rule_ids="<RULE_IDS>" - <RULE_ID_KEY>=<NEW_RULE_ID> is available
각 partnerRuleId
는 고유해야 합니다. 현재 ID는 이미 사용 중입니다. 새로 생성된 partnerRuleId
는 사용 가능합니다.
Duplicate name="<RULE_NAME>" for <RULE_ID_KEY>=<RULE_ID> - name must be unique.
각 규칙 이름은 고유해야 합니다. 현재 이름은 이미 사용 중입니다. 규칙 이름을 고유하게 업데이트하세요.
The rule with partnerRuleId=<RULE_ID> contains a MITRE tag tactic but it does not contain the tag `security:attack`, please add it
규칙에 MITRE 태그 tactic:<TAG_VALUE>
가 포함되어 있는 경우 security:attack
태그를 태그 목록에 추가해야 합니다.
The MITRE tactic/technique tag=<TAG> for partnerRuleId=<RULE_ID> appears to be incorrect (i.e. it does not exist in the MITRE framework).
나열된 tactic/technique 태그 <TAG>
는 MITRE 프레임워크를 따르지 않습니다. 유효한 MITRE 태그를 선택하세요.
The case status <CASE_STATUS> for <RULE_ID_KEY>=<RULE_ID> is incorrect, it should be one of <STATUS_LIST>.
케이스 상태는 CRITICAL
, HIGH
, MEDIUM
, LOW
, INFO
중 하나여야 합니다.
The case ordering for partnerRuleId=<RULE_ID> is incorrect, please modify to order cases from the highest severity to the lowest.
각 규칙 정의는 심각도가 높은 순서대로 정렬되어야 합니다. 케이스를 CRITICAL
, HIGH
, MEDIUM
, LOW
, INFO
로 다시 정렬하세요.
source=<SOURCE> in the tags of the rule with partnerRule=<RULE_ID> is not supported by Datadog documentation.
이 문제를 해결하려면 Datadog에 문의하세요.
<RULE_ID_KEY>=<RULE_ID> name="<RULE_NAME>" - error=<ERROR>
이 문제를 해결하려면 Datadog에 문의하세요.
Internal failure for <RULE_ID_KEY>=<RULE_ID> name="<RULE_NAME>"- Contact Datadog Team
이 문제를 해결하려면 Datadog에 문의하세요.
추가 유용한 문서, 링크 및 기사: