Die Zero Trust-Plattform von Cloudflare hilft Unternehmen bei der Erarbeitung und Anwendung eines robusten Sicherheitskonzepts. Dazu gehören Zero Trust-Netzwerkzugang (Zero Trust Network Access – ZTNA), ein Secure Web Gateway zum Filtern des Datenverkehrs, ein Cloud Access Security Broker (CASB) und eine Lösung zum Schutz vor Datenverlust (Data Loss Prevention – DLP), die Daten bei der Übertragung und in der Cloud absichert. Kunden nutzen Cloudflare zur Verifizierung, Isolierung und Kontrolle aller von der IT verwalteten Geräte. Unsere modularen Inline-Lösungen bieten einen vereinfachten Sicherheitsansatz und eine umfassende Reihe an Protokollen.
Wir wissen von vielen unserer Kunden, dass sie diese Protokolle in dem Cloud SIEM-Produkt von Datadog zusammenführen. Dieses bietet Bedrohungserkennung, Nachforschung und automatische Reaktion für dynamische Umgebungen im Cloud-Maßstab. Es analysiert Betriebs- und Sicherheitsprotokolle unabhängig vom Volumen in Echtzeit und nutzt direkt einsatzbereite Integrationen und Regeln, um Bedrohungen aufzuspüren und auf den Grund zu gehen. Darüber hinaus werden gebrauchsfertige Workflow-Blaupausen eingesetzt, um automatisch auf potenzielle Bedrohungen reagieren und sie neutralisieren zu können. Entwicklern, Sicherheits- und Betriebsteams stehen außerdem detaillierte Beobachtungsdaten und eine einzige, übergreifende Plattform für schnellere Nachforschungen bei Sicherheitsproblemen zur Verfügung, was eine effizientere Zusammenarbeit erlaubt. Bisher war bei Datadog ein sofort nutzbares Dashboard für das Cloudflare-CDN verfügbar. Darüber können unsere Kunden wertvolle Erkenntnisse zur Verwendung ihrer Produkte gewinnen und Performance-Kennzahlen zu den Reaktionszeiten, HTTP-Statuscodes und Trefferquoten im Cache abrufen. So lassen sich wichtige Cloudflare-Metriken erheben, graphisch darstellen und bei Bedarf hervorheben.
Wir freuen uns sehr, heute die allgemeine Verfügbarkeit einer Integration für Cloudflare Zero Trust bei Datadog bekannt zu geben. Diese tiefgreifendere Integration bietet das Cloudflare Content Pack innerhalb von Cloud SIEM. Das umfasst ein sofort einsatzbereites Dashboard und Regeln zur Erkennung, die unseren Kunden bei der Einspeisung von Zero Trust-Protokollen in Datadog helfen. So erhalten sie erheblich aufschlussreichere Informationen über ihre Zero Trust-Landschaft.
„Unsere Integration in das SIEM von Datadog erlaubt eine ganzheitliche Sicht auf die Aktivitäten bei sämtlichen Cloudflare Zero Trust-Integrationen. Das hilft den Mitarbeitenden in der IT-Sicherheit und Entwicklung, ungewöhnliche Aktivitäten bei Anwendungen, Geräten und Nutzern innerhalb des Ökosystems von Cloudflare Zero Trust schnell zu erkennen und zügig darauf zu reagieren. Die Integration bietet Erkennungsregeln, mit denen automatisch Signale anhand der Treffer des CASB (Cloud Access Security Broker) generiert werden, Szenarien für Fälle von ,Impossible Travel' und ein neu gestaltetes Dashboard zur leichten Erkennung ungewöhnlicher Vorkommnisse. Außerdem erlaubt sie eine beschleunigte Reaktion und Abwehr, damit den Aktivitäten eines Angreifers mit gebrauchsfertigen Blaupausen zur Automatisierung von Workflows schnell ein Riegel vorgeschoben werden kann.“– Yash Kumar, Senior Director of Product bei Datadog
Erste Schritte
Logpush-Aufgaben für Datadog einrichten
Mit dem Dashboard oder der API von Cloudflare kann eine Logpush-Aufgabe erstellt werden, bei der für jeden Datensatz, der Datadog zugeführt werden soll, alle Felder aktiviert sind. Wir bieten zurzeit acht Arten von kontenbezogenen Datensätzen (Zugriffsanfragen, Prüfprotokolle, CASB-Treffer, Gateway-Protokolle unter anderem für DNS, Netzwerk und HTTP, sowie Zero Trust-Sitzungsprotokolle) an, die bei Datadog eingespeist werden können.
Cloudflare-Kachel bei Datadog installieren
Sie können in Ihrem Datadog-Dashboard die Cloudflare-Kachel innerhalb des Datadog Integration-Katalogs suchen und installieren. Die sofort einsatzbereite Protokollverarbeitungs-Pipeline von Datadog wandelt Ihre Cloudflare Zero Trust-Protokolle dann automatisch um und bringt sie in ein einheitliches Format.
Zero Trust-Protokolle mit den sofort verfügbaren Inhalten des Cloud SIEM von Datadog analysieren und miteinander in Korrelation setzen
Unsere neue und optimierte Integration bei Datadog erlaubt es IT-Sicherheitsabteilungen, ihre Zero Trust-Komponenten mithilfe des Cloudflare Content Pack schnell und unkompliziert im Blick zu behalten. Dazu gehört ein sofort betriebsbereites Dashboard, das jetzt auch über einen Zero Trust-Bereich verfügt. Dort finden Sie verschiedene Steuerelemente zu Aktivitäten bei den Anwendungen, Geräten und Nutzern in Ihrem Cloudflare Zero Trust-Ökosystem. In diesem Bereich können Sie sich einen Gesamtüberblick verschaffen um Anomalien schnell zu erkennen und rasch darauf zu reagieren.
Auf CASB zugeschnittene Erkennung von Sicherheitsbedrohungen
Weil Unternehmen mehr und mehr SaaS-Anwendungen nutzen, wird es immer wichtiger, einen Überblick und die Kontrolle über ruhende Daten zu haben. Genau das ermöglichen die von Cloudflare CASB gelieferten Erkenntnisse, die Informationen zu Sicherheitsrisiken für alle integrierten SaaS-Anwendungen liefern.
Mit dieser neuen Integration steht bei Datadog nun eine direkt anwendbare Erkennungsregel zur Verfügung, mit der sich CASB-Treffer aufspüren lassen. Bei jedem sicherheitsrelevanten Treffer des CASB, der auf verdächtige Aktivitäten innerhalb einer integrierten SaaS-Anwendung wie Microsoft 365 oder Google Workspace hindeutet, werden Warnmeldungen unterschiedlichen Schweregrads ausgegeben.Im folgenden Beispiel führt der CASB-Treffer zu einem Asset, dessen Domain bei Google Workspace nicht eingetragen ist.
Die Erkennungsfunktion hilft dabei, Fehlkonfigurationen oder Sicherheitsprobleme aufzuspüren und zu beheben. Das spart Zeit und verringert die Wahrscheinlichkeit, dass es zu Sicherheitsverletzungen kommt.
Mit der „Impossible Travel“-Funktion verdächtige Aktivitäten aufdecken
Eines der häufigsten Sicherheitsprobleme kann sich auf überraschend simple Weise zeigen. Nehmen wir an, ein Nutzer meldet sich allem Anschein nach an einem Ort an und kurz danach an einem anderen Ort, der geographisch zu weit entfernt ist, um die Strecke in der verstrichenen Zeit zurückzulegen, wieder ab. Die neue Erkennungsregel für „Impossible Travel“(wörtlich „unmögliches Reisen“) von Datadog ist genau für diesen Fall gedacht. Kommt das Cloud SIEM von Datadog zu dem Ergebnis, dass ein Nutzer zwischen zwei aufeinanderfolgenden Login- bzw. Logoutereignissen mehr als 500 km mit einer Geschwindigkeit von mehr als 1.000 km/h zurückgelegt hat, wird ein Alarm ausgelöst. Ein Administrator kann sich dann ein Bild davon machen, ob es tatsächlich zu einer Sicherheitsverletzung gekommen ist, und gegebenenfalls entsprechende Maßnahmen ergreifen.
Was steht als Nächstes an?
Kunden von Cloudflare und Datadog haben mit den erweiterten Dashboards und den neuen Erkennungsregeln jetzt die Möglichkeit, sich einen umfassenderen Überblick über ihre Produkte und ihre Sicherheitslage zu verschaffen. Wir freuen uns schon darauf, den Mehrwert unseres Angebots für unsere Kunden weiter zu steigern und maßgeschneiderte Erkennungsregeln zu entwickeln.
Wenn Sie Kundin oder Kunde von Cloudflare sind und Datadog nutzen, können Sie sich jetzt ein Bild von der neuen Integration machen.