개요

Datadog Cloud SIEM은 애플리케이션과 인프라스트럭처에 대한 실시간 위협을 탐지합니다. 이러한 위협에는 표적 공격, 위협 정보 목록에 있는 IP가 시스템과 통신하거나 안전하지 않은 설정이 포함될 수 있습니다. 위협이 감지되면 신호가 생성되고 팀에 알림이 전송됩니다.

이 가이드에서는 Cloud SIEM을 시작하기 위한 모범 사례를 안내합니다.

1단계: 설정

1. 소스에서 로그를 수집하도록 로그 수집을 설정합니다. 또한, 로그 관리 모범 사례를 검토합니다.

   즉시 사용 가능한 통합 파이프라인을 사용하여 750 통합 이상에 대한 로그를 수집하거나 커스텀 로그 파이프라인을 만들어 전송할 수 있습니다:

   • Cloud Audit 로그
   • Identity Provider 로그
   • SaaS 및 Workspace 로그
   • 타사 보안 통합(예: Amazon GuardDuty)

2. Cloud SIEM을 활성화합니다.

2단계: 신호 탐색

1. 사용자 환경에서 위협을 즉시 탐지하기 시작하는 기본 제공 탐지 규칙을 검토하세요. 탐지 규칙은 처리된 모든 로그에 적용되어 탐지 범위를 최대화합니다. 자세한 내용은 탐지 규칙 설명서를 참조하세요.

2. 보안 신호를 살펴보세요. 탐지 규칙으로 위협이 탐지되면 보안 신호가 생성됩니다. 자세한 내용은 보안 신호 설명서를 참조하세요.

   • 알림 규칙 설정을 통해 신호가 생성될 때 알림을 받도록 설정합니다. Slack, Jira, 이메일, 웹훅 및 기타 통합을 사용하여 알림을 보낼 수 있습니다. 자세한 내용은 알림 규칙 설명서를 참조하세요.

3단계: 조사

1. 더 빠른 해결을 위해 Investigator를 살펴보세요. 자세한 내용은 Investigator 문서를 참조하세요.
2. 조사, 보고 및 모니터링을 위해 즉시 사용 가능한 대시보드를 사용하거나 자체 대시보드를 생성합니다.

4단계: 맞춤 설정

1. 노이즈를 줄이기 위해 억제 규칙을 설정합니다.
2. 커스텀 탐지 규칙을 생성하고, 탐지 규칙 생성을 위한 모범 사례를 검토하세요.

참고 자료

Additional helpful documentation, links, and articles:

Cloud SIEM 코스 소개학습 센터 Datadog 워크플로 및 Cloud SIEM으로 일반적인 보안 작업을 자동화하고 위협에 대비하세요.블로그 Workflows 보안 블루프린트로 응답 자동화하기APP Cloud SIEM용 AWS 설정 가이드설명서 Cloud SIEM용 Google Cloud 설정 가이드설명서 Cloud SIEM용 Azure 설정 가이드설명서 알림 변수에 대해 자세히 알아보고 알림을 사용자 지정하세요.설명서 대화형 세션에 참여하여 보안 및 위협 탐지를 강화하세요.기반 활성화 Datadog의 보안 연구소에서 보안 관련 주제에 대해 읽어보세요.보안 연구소 Cloud SIEM Content Packs로 보안 로그를 쉽게 수집하고 모니터링하세요.블로그