Cloud SIEM 시작하기

개요

Datadog Cloud SIEM은 애플리케이션과 인프라스트럭처에 대한 실시간 위협을 탐지합니다. 이러한 위협에는 표적 공격, 위협 정보 목록에 있는 IP가 시스템과 통신하거나 안전하지 않은 설정이 포함될 수 있습니다. 위협이 감지되면 신호가 생성되고 팀에 알림이 전송됩니다.

이 가이드에서는 Cloud SIEM을 시작하기 위한 모범 사례를 안내합니다.

1단계: 설정

  1. 소스에서 로그를 수집하도록 로그 수집을 설정합니다. 또한, 로그 관리 모범 사례를 검토합니다.

    즉시 사용 가능한 통합 파이프라인을 사용하여 750 통합 이상에 대한 로그를 수집하거나 커스텀 로그 파이프라인을 만들어 전송할 수 있습니다:

  2. Cloud SIEM을 활성화합니다.

  3. 중요한 보안 로그 소스에 즉시 사용 가능한 콘텐츠를 제공하는 콘텐츠 팩을 선택 및 설정합니다.

  4. 클라우드 보안 정보와 이벤트 관리(SIEM)에서 분석할 추가 로그 소스를 선택 및 설정합니다.

  5. 활성화를 클릭합니다. 커스텀 클라우드 보안 정보와 이벤트 관리(SIEM) 로그 인덱스(cloud-siem-xxxx)가 생성됩니다.

  6. Cloud SIEM 설정 페이지에 ‘클라우드 SIEM 인덱스가 첫 번째 순서에 위치하지 않습니다’라는 경고가 표시되면, 클라우드 SIEM 인덱스 재정렬 섹션의 단계를 따르세요.

클라우드 보안 정보와 이벤트 관리(SIEM) 인덱스 재정렬

인덱스 설정에 주의를 기울여야 한다고 알려 주는 노란색 경고 창

  1. 로그 설정에서 인덱스 재정렬을 클릭합니다.

  2. 모달 제목에 ‘Move cloud-siem-xxxx to…‘라고 표시되고 인덱스 컬럼의 cloud-siem-xxxx 텍스트가 연한 보라색인지 확인합니다.

cloud-siem-xxxx 인덱스가 가장 최근 인덱스인 인덱스 목록을 보여주는 이동 cloud-siem-xxxx 모달
  1. 인덱스의 새 위치를 선택하려면 cloud-siem-xxxx을 이동시키려는 인덱스의 맨 윗줄을 클릭합니다. 예를 들어, cloud-siem-xxxx 인덱스를 첫 번째 인덱스로 설정하려면 현재 첫 번째 인덱스의 상위에 있는 줄을 클릭합니다. 새 위치는 굵은 파란색 선으로 강조 표시됩니다.
첫 번째 인덱스의 윗 줄이 파란색 줄로 강조 표시된 이동 cloud-siem-xxxx 모달

  1. 텍스트가 선택된 위치를 확인합니다. ‘인덱스의 새 위치를 위치 1으로 선택합니다.’ 그런 다음 이동을 클릭합니다.

  2. 경고 문구를 확인합니다. 변경 사항을 확인했다면 재정렬을 클릭합니다.

  3. 인덱스 순서를 검토하고 cloud-siem-xxxx 인덱스가 원하는 위치에 있는지 확인합니다. 인덱스를 이동하려면 이동 아이콘을 클릭하고 3 ~ 5단계를 따릅니다.

  4. 클라우드 SIEM 상태 페이지로 이동하세요.

이제 클라우드 SIEM 인덱스가 첫 번째 인덱스에 위치해야 합니다. 설정 페이지에 계속해서 인덱스 위치에 대한 경고가 표시된다면 몇 분 정도 기다렸다가 브라우저를 새로 고침하세요.

인덱스가 첫 번째 인덱스 위치로 이동하면 콘텐츠 팩기타 로그 소스의 설정 및 상태를 검토합니다. 경고나 오류가 표시되는 각 통합의 경우 해당 통합을 클릭하고 지침에 따라 문제를 해결합니다.

2단계: 신호 탐색

  1. 사용자 환경에서 위협을 즉시 탐지하기 시작하는 기본 제공 탐지 규칙을 검토하세요. 탐지 규칙은 처리된 모든 로그에 적용되어 탐지 범위를 최대화합니다. 자세한 내용을 확인하려면 탐지 규칙 설명서를 참조하세요.

  2. 보안 신호를 살펴보세요. 탐지 규칙으로 위협이 탐지되면 보안 신호가 생성됩니다. 자세한 내용을 확인하려면 보안 신호 설명서를 참조하세요.

    • 알림 규칙 설정을 통해 신호가 생성될 때 알림을 받도록 설정합니다. Slack, Jira, 이메일, 웹훅 및 기타 통합을 사용하여 알림을 보낼 수 있습니다. 자세한 내용을 확인하려면 알림 규칙 설명서를 참조하세요.
    • 주간 위협 요약 보고서를 구독하면 지난 7일 동안 발견된 가장 중요한 보안 위협에 대한 조사 및 문제 해결 작업을 시작할 수 있습니다.

3단계: 조사

  1. 더 빠른 해결을 위해 Investigator를 살펴보세요. 자세한 내용은 Investigator 문서를 참조하세요.
  2. 조사, 보고 및 모니터링을 위해 즉시 사용 가능한 대시보드를 사용하거나 자체 대시보드를 생성합니다.

4단계: 맞춤 설정

  1. 노이즈를 줄이기 위해 억제 규칙을 설정합니다.
  2. 커스텀 탐지 규칙을 생성하고, 탐지 규칙 생성 모범 사례를 검토하세요.

참고 자료

Additional helpful documentation, links, and articles:

Cloud SIEM 코스 소개학습 센터 more more Datadog 워크플로 및 Cloud SIEM으로 일반적인 보안 작업을 자동화하고 위협에 대비하세요.블로그 more more Workflows 보안 블루프린트로 응답 자동화하기APP more more Cloud SIEM용 AWS 설정 가이드설명서 more more Cloud SIEM용 Google Cloud 설정 가이드설명서 more more Cloud SIEM용 Azure 설정 가이드설명서 more more 알림 변수에 대해 자세히 알아보고 알림을 사용자 지정하세요.설명서 more more 대화형 세션에 참여하여 보안 및 위협 탐지를 강화하세요.기반 활성화 more more Datadog의 보안 연구소에서 보안 관련 주제에 대해 읽어보세요.보안 연구소 more more Cloud SIEM Content Packs로 보안 로그를 쉽게 수집하고 모니터링하세요.블로그 more more