Cloud SIEM permite establecer reglas de detección que activan flujos de trabajo de corrección automática. Con la integración de webhook de Datadog, configura webhooks para entregar cargas útiles a los servicios que desees automatizar cada vez que se active una Regla de detección. Cada carga útil de webhook contiene información sobre el evento desencadenante y un mensaje personalizado que se puede utilizar para iniciar servicios descendentes. Automatiza comandos para cualquier servicio que tenga una URL de webhook. Las herramientas de orquestación de seguridad y respuesta de automatización aceptan solicitudes HTTP entrantes y estos webhooks inician cualquier flujo de trabajo que hayas definido.
Elige un escenario de seguridad a continuación para empezar a automatizar la corrección.
Eliminar grupos de seguridad mal configurados
En un entorno en la nube, es importante eliminar un recurso mal configurado en cuanto se crea. En este escenario, puedes configurar una integración de webhook para enviar un webhook al servicio de gestión de API de tu proveedor de nube.
Una vez configurado, si un usuario de AWS crea un recurso mal configurado (por ejemplo, un grupo de seguridad o rol de usuario demasiado permisivo) dentro de tu entorno de AWS, Datadog Log Management ingiere el log relacionado, lo que activa una Regla de detección basada en el grupo de seguridad. Este proceso envía automáticamente la carga útil JSON del webhook a la URL designada de Amazon API Gateway, que a su vez activa una función de AWS Lambda que elimina automáticamente el recurso peligroso.
Prohibir una dirección IP sospechosa
Un inicio de sesión desde una dirección IP no reconocida podría representar a un atacante manipulando las credenciales de un usuario de confianza, con las que podría acceder a tus datos y ganar persistencia en tu entorno.
Para combatir este tipo de ataque, puedes utilizar el método de detección de nuevos valores, que analiza los datos históricos de tu cuenta durante un periodo elegido y alerta sobre valores no vistos anteriormente en tu logs en la nube.
En primer lugar, configura una nueva regla de detección utilizando el método de detección Nuevo valor.
A continuación, configura un webhook que envíe una carga útil al servicio de Identity and Access Management (IAM) de tu nube para prohibir la IP desconocida cuando se active esta regla.
El siguiente ejemplo ilustra el aspecto que podría tener la carga útil del webhook correspondiente cuando se produce una señal de seguridad a través de Datadog:
webhook-payload.json
{"SECURITY_RULE_NAME":"Request from unexpected IP address","SECURITY_SIGNAL_ID":"abcd1234","SECURITY_SIGNAL_ATTRIBUTES":{"network":{"client":{"ip":["1.2.3.4"]}}}}
Uso indebido y fraude en la aplicación
Con Datadog Cloud SIEM, puedes descubrir patrones de uso indebido o fraude en tu aplicación. Por ejemplo, configura una Regla de detección que se active cuando un usuario intente repetidamente comprar algo en tu aplicación con datos de tarjeta de crédito no válidos. A continuación, configura un webhook que envíe una carga útil con instrucciones de corrección a un servicio que desactivará las credenciales del usuario.
El siguiente ejemplo ilustra el aspecto que podría tener la carga útil del webhook correspondiente cuando se produce una señal de seguridad a través de Datadog:
Datadog genera la Señal de seguridad, que detalla el delito así como la información del usuario sospechoso, como su dirección IP y su ID de usuario, y la carga útil del webhook envía instrucciones de corrección a un servicio para desactivar las credentidades del usuario.