AWS CloudTrail

개요

Cloud SIEM을 위해 AWS CloudTrail을 설정하는 경우 Cloud SIEM에 대한 AWS 설정을 참조합니다.

AWS CloudTrail은 AWS 계정에 대한 감사 트레일을 제공합니다. Datadog는 이 감사 트레일을 읽고 이벤트를 생성합니다. Datadog 이벤트 탐색기에서 이러한 이벤트를 검색하거나 대시보드에 연계하는 데 사용합니다. CloudTrail 이벤트 예시는 다음과 같습니다.

cloudtrail 이벤트

기타 AWS 서비스에 대한 자세한 정보는 Amazon Web Services 통합 페이지를 참조하세요.

설정

설치

이미 하지 않은 경우 먼저 Amazon Web Services 통합을 설정합니다.

이벤트 수집

참고: Datadog CloudTrail 통합은 이벤트가 CloudTrail 버킷을 수집하도록 합니다.

  1. Datadog IAM 정책에 다음 권한을 추가해 AWS CloudTrail 이벤트를 수집합니다. CloudTrail 정책에 대한 자세한 정보는 AWS CloudTrail API 기본 설정을 참조하세요. CloudTrail은 또한 일부 S3 권한이 트레일에 액세스할 수 있도록 해줍니다. CloudTrail 버킷에서만 요구됩니다. Amazon S3 정책에 대한 자세한 정보는 Amazon S3 API 기본 설정을 참조하세요.

    AWS 권한설명
    cloudtrail:DescribeTrails트레일과 트레일이 저장된 s3 버킷을 목록화합니다.
    cloudtrail:GetTrailStatus비활성 트레일을 건너뜁니다.
    s3:ListBucketCloudTrail 버킷의 개체를 목록화하여 사용 가능한 트레일을 확보합니다.
    s3:GetBucketLocation버킷의 지역을 확보하여 트레일을 다운로드합니다.
    s3:GetObject사용 가능한 트레일을 가져옵니다.
    organizations:DescribeOrganization계정의 조직에 대한 정보를 반환합니다(조직 트레일에 필요).

    이 정책을 기존 기본 Datadog IAM 정책에 추가합니다.

    {
        "Sid": "AWSDatadogPermissionsForCloudtrail",
        "Effect": "Allow",
        "Principal": {
            "AWS": "<ARN_FROM_MAIN_AWS_INTEGRATION_SETUP>"
        },
        "Action": ["s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject"],
        "Resource": [
            "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>",
            "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>/*"
        ]
    }
    

    참고: 기본 ARN은 기본 AWS 통합에 대한 설치 과정 중 나열되는 항목입니다. CloudTrail 리소스 ARN에 대한 자세한 정보는 AWS CloudTrail이 IAM과 작동하는 방법에 대한 리소스 섹션을 참조하세요. 정책을 업데이트하는 경우(새로운 항목 추가와 반대), SID 또는 Principal이 필요하지 않습니다.

  2. Datadog - AWS CloudTrail 통합 설치: 통합 페이지에서 이벤트 유형을 선택하여 Datadog 이벤트 탐색기에 일반 우선순위(기본 필터)로 표시합니다. Amazon Web Services 페이지에서 설정한 계정 역시 여기에 표시됩니다. 여기에서 언급되지 않은 다른 이벤트를 표시하려면 Datadog 지원 팀에 문의하세요.

로그 수집

로깅 활성화

AWS CloudTrail에서 트레일을 생성한 다음 로그를 작성할 S3 버킷을 선택합니다.

Datadog에 로그 전송

  1. 이미 하지 않은 경우 AWS 계정에서 Datadog 포워더 람다 함수를 설정합니다.
  2. 설정한 후에는 Datadog Forwarder Lambda 함수로 이동하세요. Function Overview 섹션에서 Add Trigger를 클릭합니다.
  3. 트리거 설정에 대해 S3 트리거를 선택합니다.
  4. CloudTrail 로그를 포함하는 S3 버킷을 선택합니다.
  5. 이벤트 유형을 All object create events로 남겨둡니다.
  6. Add를 클릭해 Lambda에 트리거를 추가합니다.

로그 탐색기로 이동해 로그 탐색을 시작합니다.

AWS 서비스 로그 수집에 대한 자세한 정보는 [Datadog 람다 함수를 사용해 AWS 서비스 로그 전송]을 참조하세요.

수집한 데이터

메트릭

AWS CloudTrail 통합은 메트릭을 포함하지 않습니다.

이벤트

AWS CloudTrail 통합은 AWS CloudTrail 감사 트레일을 기준으로 각기 다른 많은 이벤트를 생성합니다. 모든 이벤트는 Datadog 이벤트 탐색기에서 #cloudtrail를 사용해 태깅됩니다. 통합 설정에서 우선순위를 설정할 수 있습니다.

일반 우선순위로 설정될 수 있는 CloudTrail 이벤트(기본 필터 아래 이벤트 탐색기에 표시됨):

  • apigateway
  • autoscaling
  • cloudformation
  • cloudfront
  • cloudsearch
  • cloudtrail
  • codedeploy
  • codepipeline
  • config
  • datapipeline
  • ds
  • ec2
  • ecs
  • elasticache
  • elasticbeanstalk
  • elasticfilesystem
  • elasticloadbalancing
  • elasticmapreduce
  • iam
  • kinesis
  • lambda
  • monitoring
  • opsworks
  • rds
  • redshift
  • route53
  • s3
  • ses
  • signin
  • ssm

서비스 검사

AWS CloudTrail 통합은 서비스 점검을 포함하지 않습니다.

트러블슈팅

CloudTrail 타일이 누락되었거나 목록화된 계정이 없습니다.

먼저 Amazon Web Services 통합을 설정해야 합니다. 그 뒤 CloudTrail 타일을 설정할 수 있습니다.