Огляд
Інтеграція Datadog працює у двох напрямках. Виявлення Datadog може призначити вправу RansomLeak причетним людям, тож реакція включає навчання. А події навчання та людського ризику надходять у Datadog, тож дані обізнаності лежать поруч із сигналами, які ви вже відстежуєте.
Дві половини незалежні. Запускайте будь-яку окремо або обидві разом:
- Виявлення призначає урок через дію Workflow
- Події навчання надходять як логи й метрики
- Провали й протерміноване навчання як події високого сигналу
- Навчання призначається протягом приблизно хвилини
Від виявлення до навчання
Коли виявлення спрацьовує на ризиковій активності користувача, дія Datadog Workflow викликає RansomLeak і призначає відповідну вправу причетній людині. Воно використовує assignment API, тож пасує до правил виявлення та плейбуків, які ви вже підтримуєте. Жоден агент на вашому боці не робить роботу; навчання — це наступний крок у робочому процесі.
-
У RansomLeak відкрийте Admin → Integrations і згенеруйте API-токен для assignment API.
-
У Datadog додайте Workflow Automation із HTTP-дією Send POST request, що викликає ендпоінт призначення RansomLeak із токеном у заголовку Bearer.
-
Зіставте тіло запиту із сигналом: вправу для призначення й пошту причетного користувача. RansomLeak визначає людину й призначає модуль протягом приблизно хвилини.
Той самий ендпоінт призначення живить наші інтеграції зі службою підтримки та SOAR, тож виявлення Datadog, тикет Jira або плейбук SOAR можуть завершуватися однаково: коротким уроком для причетної людини й проходженням, на яке можна зреагувати.
Потік подій навчання в Datadog
Підключіть Datadog один раз через API key, і RansomLeak надсилає події навчання та людського ризику до вашого акаунту Datadog. Вони надходять як логи, метрики та події, позначені так, щоб ви могли розрізати їх за командою чи категорією.
-
У Datadog створіть API key і занотуйте свій регіон (US1, US3, US5, EU, AP1 або Gov).
-
У RansomLeak відкрийте Admin → Integrations → Datadog, оберіть свій регіон, вставте API key і виберіть Save and connect.
| Подія | Сигнал |
|---|---|
| Навчання завершено | Лог і метрика, для дашбордів частки завершення. |
| Навчання провалено | Подія високого сигналу, щоб ви могли налаштувати алерт на сплеск. |
| Навчання протерміновано | Подія високого сигналу, для тих, хто так і не почав. |
Як це поєднується
Два напрямки замикають цикл. Виявлення в Datadog може запустити навчання, а результат цього навчання надходить назад у Datadog як дані, які ви можете відстежувати й на які можна налаштувати алерт.
- Виявлення спрацьовує на названому користувачі
- Урок призначається цьому користувачу
- Проходження надходить назад у Datadog
Події навчання та людського ризику також досягають будь-якого SIEM через той самий експорт і вебхуки, тож дані обізнаності не привʼязані до Datadog. Перегляньте огляд інтеграцій для повного переліку напрямків.
Дозволи та обробка даних
Потік подій автентифікується через API key Datadog, який ви надаєте, а цикл «виявлення в навчання» використовує API-токен RansomLeak, який тримає ваш Workflow. Обидва зберігаються зашифрованими.
- API keys і токени зашифровані
- Події несуть особу й результат, а не вміст навчання
- Відключення забуває ключ на нашому боці
Ваш API key Datadog лишається вашим: відключення видаляє його з RansomLeak, і ви контролюєте його в Datadog. Про те, як RansomLeak обробляє дані, читайте в політиці конфіденційності та на сторінці безпеки й відповідності.
Поширені запитання
Чи інтегрується RansomLeak із Datadog?
Так, в обидва боки. Виявлення Datadog може призначити вправу RansomLeak причетним людям через дію Workflow, а події навчання та людського ризику надходять у Datadog, тож вони лежать у дашбордах і моніторах, які ваш SOC уже відстежує.
Як виявлення Datadog призначає навчання?
Ви додаєте Datadog Workflow Automation із HTTP-дією Send POST request, що викликає assignment API RansomLeak з API-токеном. Дія передає вправу й користувача за поштою із сигналу, і RansomLeak призначає відповідний модуль протягом приблизно хвилини. Ви будуєте це на правилах виявлення та плейбуках, які вже використовуєте.
Які дані навчання надходять у Datadog?
Події завершеного, проваленого й протермінованого навчання надходять як логи, метрики та події, позначені за тенантом і категорією. Ви можете будувати графіки, налаштувати алерт на сплеск провалів або корелювати їх з іншими сигналами, які вже є в Datadog.
Що потрібно, щоб це налаштувати?
Для потоку подій — API key Datadog і ваш регіон Datadog, вставлені в RansomLeak. Для циклу «виявлення в навчання» — API-токен RansomLeak, який ваша дія Datadog Workflow використовує для виклику assignment API. Ці два незалежні, тож можна запустити будь-який або обидва.
Чи записується проходження назад у Datadog?
Події навчання та людського ризику надходять у Datadog безперервно, тож проходження зʼявляється там само собою. Якщо ваш Workflow передає колбек, RansomLeak також надсилає результат назад, коли вправу завершено, щоб плейбук міг на нього зреагувати.
Чи цикл «виявлення в навчання» — це функція в один клік?
Ні, і це навмисно. Вихідний потік подій — це підключення в один клік з API key. Цикл «виявлення в навчання» — це Datadog Workflow, який ви налаштовуєте проти assignment API RansomLeak, той самий відкритий ендпоінт, що використовують наші інтеграції зі службою підтримки та SOAR, тож він пасує до плейбуків, які ви вже підтримуєте.
Потрібна допомога?
Напишіть нам на support@ransomleak.com — і ми допоможемо підключити Datadog до вашого тенанта.