Cloud SIEM 시작하기

개요

Datadog Cloud SIEM은 애플리케이션과 인프라스트럭처에 대한 실시간 위협을 탐지합니다. 이러한 위협에는 표적 공격, 위협 정보 목록에 있는 IP가 시스템과 통신하거나 안전하지 않은 설정이 포함될 수 있습니다. 위협이 감지되면 신호가 생성되고 팀에 알림이 전송됩니다.

이 가이드에서는 Cloud SIEM을 시작하기 위한 모범 사례를 안내합니다.

1단계: 설정

  1. 소스에서 로그를 수집하도록 로그 수집을 설정합니다. 또한, 로그 관리 모범 사례를 검토합니다.

    즉시 사용 가능한 통합 파이프라인을 사용하여 700 통합 이상에 대한 로그를 수집하거나 커스텀 로그 파이프라인을 만들어 전송할 수 있습니다:

  2. Cloud SIEM을 활성화합니다.

2단계: 신호 탐색

  1. 사용자 환경에서 위협을 즉시 탐지하기 시작하는 기본 제공 탐지 규칙을 검토하세요. 탐지 규칙은 처리된 모든 로그에 적용되어 탐지 범위를 최대화합니다. 자세한 내용은 탐지 규칙 설명서를 참조하세요.

  2. 보안 신호를 살펴보세요. 탐지 규칙으로 위협이 탐지되면 보안 신호가 생성됩니다. 자세한 내용은 보안 신호 설명서를 참조하세요.

    • 알림 규칙 설정을 통해 신호가 생성될 때 알림을 받도록 설정합니다. Slack, Jira, 이메일, 웹훅 및 기타 통합을 사용하여 알림을 보낼 수 있습니다. 자세한 내용은 알림 규칙 설명서를 참조하세요.

3단계: 조사

  1. 더 빠른 해결을 위해 Investigator를 살펴보세요. 자세한 내용은 Investigator 문서를 참조하세요.
  2. 조사, 보고 및 모니터링을 위해 즉시 사용 가능한 대시보드를 사용하거나 자체 대시보드를 생성합니다.

4단계: 맞춤 설정

  1. 노이즈를 줄이기 위해 억제 규칙을 설정합니다.
  2. 커스텀 탐지 규칙을 생성하고, 탐지 규칙 생성을 위한 모범 사례를 검토하세요.

참고 자료