- 필수 기능
- 시작하기
- Glossary
- 표준 속성
- Guides
- Agent
- 통합
- 개방형텔레메트리
- 개발자
- Administrator's Guide
- API
- Datadog Mobile App
- CoScreen
- Cloudcraft
- 앱 내
- 서비스 관리
- 인프라스트럭처
- 애플리케이션 성능
- APM
- Continuous Profiler
- 스팬 시각화
- 데이터 스트림 모니터링
- 데이터 작업 모니터링
- 디지털 경험
- 소프트웨어 제공
- 보안
- AI Observability
- 로그 관리
- 관리
Datadog Cloud SIEM은 애플리케이션과 인프라스트럭처에 대한 실시간 위협을 탐지합니다. 이러한 위협에는 표적 공격, 위협 정보 목록에 있는 IP가 시스템과 통신하거나 안전하지 않은 설정이 포함될 수 있습니다. 위협이 감지되면 신호가 생성되고 팀에 알림이 전송됩니다.
이 가이드에서는 Cloud SIEM을 시작하기 위한 모범 사례를 안내합니다.
소스에서 로그를 수집하도록 로그 수집을 설정합니다. 또한, 로그 관리 모범 사례를 검토합니다.
즉시 사용 가능한 통합 파이프라인을 사용하여 800 통합 이상에 대한 로그를 수집하거나 커스텀 로그 파이프라인을 만들어 전송할 수 있습니다:
Cloud SIEM을 활성화합니다.
중요한 보안 로그 소스에 즉시 사용 가능한 콘텐츠를 제공하는 콘텐츠 팩을 선택 및 설정합니다.
클라우드 보안 정보와 이벤트 관리(SIEM)에서 분석할 추가 로그 소스를 선택 및 설정합니다.
활성화를 클릭합니다. 커스텀 클라우드 보안 정보와 이벤트 관리(SIEM) 로그 인덱스(cloud-siem-xxxx
)가 생성됩니다.
Cloud SIEM 설정 페이지에 ‘클라우드 SIEM 인덱스가 첫 번째 순서에 위치하지 않습니다’라는 경고가 표시되면, 클라우드 SIEM 인덱스 재정렬 섹션의 단계를 따르세요.
로그 설정에서 인덱스 재정렬을 클릭합니다.
모달 제목에 ‘Move cloud-siem-xxxx to…‘라고 표시되고 인덱스 컬럼의 cloud-siem-xxxx
텍스트가 연한 보라색인지 확인합니다.
cloud-siem-xxxx
을 이동시키려는 인덱스의 맨 윗줄을 클릭합니다. 예를 들어, cloud-siem-xxxx
인덱스를 첫 번째 인덱스로 설정하려면 현재 첫 번째 인덱스의 상위에 있는 줄을 클릭합니다. 새 위치는 굵은 파란색 선으로 강조 표시됩니다.텍스트가 선택된 위치를 확인합니다. ‘인덱스의 새 위치를 위치 1으로 선택합니다.’ 그런 다음 이동을 클릭합니다.
경고 문구를 확인합니다. 변경 사항을 확인했다면 재정렬을 클릭합니다.
인덱스 순서를 검토하고 cloud-siem-xxxx
인덱스가 원하는 위치에 있는지 확인합니다. 인덱스를 이동하려면 이동 아이콘을 클릭하고 3 ~ 5단계를 따릅니다.
클라우드 SIEM 상태 페이지로 이동하세요.
이제 클라우드 SIEM 인덱스가 첫 번째 인덱스에 위치해야 합니다. 설정 페이지에 계속해서 인덱스 위치에 대한 경고가 표시된다면 몇 분 정도 기다렸다가 브라우저를 새로 고침하세요.
인덱스가 첫 번째 인덱스 위치로 이동하면 콘텐츠 팩 및 기타 로그 소스의 설정 및 상태를 검토합니다. 경고나 오류가 표시되는 각 통합의 경우 해당 통합을 클릭하고 지침에 따라 문제를 해결합니다.
사용자 환경에서 위협을 즉시 탐지하기 시작하는 기본 제공 탐지 규칙을 검토하세요. 탐지 규칙은 처리된 모든 로그에 적용되어 탐지 범위를 최대화합니다. 자세한 내용을 확인하려면 탐지 규칙 설명서를 참조하세요.
보안 신호를 살펴보세요. 탐지 규칙으로 위협이 탐지되면 보안 신호가 생성됩니다. 자세한 내용을 확인하려면 보안 신호 설명서를 참조하세요.
추가 유용한 문서, 링크 및 기사: