概要

Datadog Cloud SIEM は、アプリケーションやインフラストラクチャーに対する脅威をリアルタイムに検出します。これらの脅威には、標的型攻撃、脅威情報が記載された IP がシステムと通信している場合、または安全でない構成が含まれる場合があります。検出されるとシグナルが生成され、チームに通知することができます。

このガイドでは、Cloud SIEM を使い始めるためのベストプラクティスを説明します。

フェーズ 1: セットアップ

1. ログ取り込みを構成して、ソースからログを収集します。ログ管理のベストプラクティスを確認してください。

   すぐに使えるインテグレーションパイプラインを使って 750 以上のインテグレーションのログを収集したり、カスタムログパイプラインを作成して以下を送信したりすることができます。

   • クラウド監査ログ。
   • ID プロバイダーログ
   • SaaS と Workspace のログ
   • サードパーティセキュリティインテグレーション (例: Amazon GuardDuty)

2. Cloud SIEM を有効にします。

3. コンテンツパックを選択し、構成します。コンテンツパックは、重要なセキュリティログソースに対するすぐに使えるコンテンツを提供します。

4. Cloud SIEM に分析させたい追加のログソースを選択し、構成します。

5. Activate をクリックします。カスタム Cloud SIEM ログインデックス (cloud-siem-xxxx) が作成されます。

6. Cloud SIEM のセットアップページで「Cloud SIEM index is not in first position」(Cloud SIEM インデックスが最初の位置にありません) という警告が表示された場合は、Cloud SIEM インデックスの並び替えセクションの手順に従ってください。

Cloud SIEM インデックスの並び替え

1. Reorder index in Logs Configuration をクリックします。

2. モーダルタイトルに「Move cloud-siem-xxxx to…」と表示され、インデックス列の cloud-siem-xxxx テキストが薄紫色になっていることを確認します。

3. インデックスの新しい配置を選択するには、cloud-siem-xxxx を配置したいインデックスの一番上の行をクリックします。例えば、cloud-siem-xxxx インデックスを最初のインデックスにしたい場合、現在の最初のインデックスの上の行をクリックします。新しい位置は青い太い線でハイライトされます。

4. テキストは選択された位置を確認します: “Select the new placement of your index: Position 1” (インデックスの新しい配置を選択: 位置 1)。Move をクリックします。

5. 警告テキストを確認します。変更内容に問題がなければ、Reorder をクリックします。

6. インデックスの順序を確認し、cloud-siem-xxxx インデックスが希望の位置にあることを確認します。インデックスを移動したい場合は、Move to アイコンをクリックし、手順 3 から 5 を実行します。

7. Cloud SIEM セットアップページに戻ります。

Cloud SIEM インデックスは最初のインデックス位置にあるはずです。セットアップページでインデックス位置に関する警告がまだ表示される場合は、数分待ってからブラウザを更新します。

インデックスが最初のインデックス位置に移動したら、コンテンツパックとその他のログソースの設定とステータスを確認します。警告またはエラーが表示されたインテグレーションごとに、そのインテグレーションをクリックし、指示に従って修正します。

フェーズ 2: シグナルの確認

1. すぐに使える検出ルールを確認し、お使いの環境における脅威の検出を開始します。検出ルールは、処理されたすべてのログに適用され、検出範囲を最大化します。詳細については、検出ルールのドキュメントを参照してください。

2. セキュリティシグナルを確認します。検出ルールで脅威が検出されると、セキュリティシグナルが生成されます。詳しくは、セキュリティシグナルのドキュメントをご覧ください。

   • 通知ルールの設定を行い、シグナルが発生した際にアラートを出します。Slack、Jira、メール、Webhook、および他のインテグレーションを使用してアラートを出すことができます。詳しくは通知ルールのドキュメントを参照してください。
   • 毎週の脅威ダイジェストレポートを購読し、過去 7 日間に発見された最も重要なセキュリティ脅威の調査と対策を開始しましょう。

フェーズ 3: 調査

1. より迅速な修復のために、Investigator を確認します。詳しくは Investigator のドキュメントをご覧ください。
2. 調査、レポート、モニタリングには、すぐに使えるダッシュボードを使用するか、または独自のダッシュボードを作成します。

フェーズ 4: カスタマイズ

1. 抑制ルールを設定し、ノイズを低減します。
2. カスタム検出ルールを作成します。検出ルールを作成するためのベストプラクティスを確認します。

その他の参考資料

お役に立つドキュメント、リンクや記事:

Cloud SIEM 入門コースラーニングセンター Datadog Workflows と Cloud SIEM で、一般的なセキュリティタスクを自動化し、脅威の先を行くブログ Workflows のセキュリティ設計図で応答を自動化するAPP Cloud SIEM の AWS 構成ガイドDOCUMENTATION Cloud SIEM のための Google Cloud 構成ガイドDOCUMENTATION Cloud SIEM の Azure 構成ガイドDOCUMENTATION 通知をカスタマイズするための通知変数についてDOCUMENTATION セキュリティと脅威検出を高めるインタラクティブなセッションに参加できますFOUNDATION ENABLEMENT Datadog の Security Labs でセキュリティ関連のトピックを読むSECURITY LABS Cloud SIEM Content Pack でセキュリティログの取り込みと監視が容易にブログ