Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsanalysen für Amazon OpenSearch Service
Security Analytics ist eine OpenSearch Lösung, die Einblick in die Infrastruktur Ihres Unternehmens bietet, ungewöhnliche Aktivitäten überwacht, potenzielle Sicherheitsbedrohungen in Echtzeit erkennt und Warnmeldungen an vorkonfigurierte Ziele auslöst. Sie können anhand Ihrer Sicherheitsereignisprotokolle nach böswilligen Aktivitäten Ausschau halten, indem Sie die Sicherheitsregeln kontinuierlich auswerten und die automatisch generierten Sicherheitsergebnisse überprüfen. Darüber hinaus kann Security Analytics automatische Warnmeldungen generieren und diese an einen bestimmten Benachrichtigungskanal wie Slack oder E-Mail senden.
Sie können das Security Analytics-Plugin verwenden, um häufig auftretende Bedrohungen zu erkennen out-of-the-box und wichtige Sicherheitsinformationen aus Ihren vorhandenen Sicherheitsereignisprotokollen wie Firewallprotokollen, Windows-Protokollen und Authentifizierungsprotokollen zu gewinnen. Um Security Analytics verwenden zu können, muss auf Ihrer Domain OpenSearch Version 2.5 oder höher ausgeführt werden.
Anmerkung
Diese Dokumentation bietet einen kurzen Überblick über Security Analytics for Amazon OpenSearch Service. Es definiert die wichtigsten Konzepte und enthält Schritte zur Konfiguration von Berechtigungen. Eine umfassende Dokumentation, einschließlich eines Einrichtungsleitfadens, einer API-Referenz und einer Referenz aller verfügbaren Einstellungen, finden Sie in der OpenSearch Dokumentation unter Security Analytics
Komponenten und Konzepte der Sicherheitsanalyse
Eine Reihe von Tools und Funktionen bilden die Grundlage für den Betrieb von Security Analytics. Zu den Hauptkomponenten, aus denen das Plugin besteht, gehören Detektoren, Protokolltypen, Regeln, Ergebnisse und Warnungen.
Typen von Protokollen
OpenSearch unterstützt mehrere Arten von Protokollen und bietet out-of-the-box Zuordnungen für jeden Typ. Sie geben den Protokolltyp an und konfigurieren ein Zeitintervall, wenn Sie einen Detektor erstellen. Von dort aus aktiviert Security Analytics automatisch einen entsprechenden Regelsatz, der in diesem Intervall ausgeführt wird.
Detektoren
Detektoren identifizieren eine Reihe von Cybersicherheitsbedrohungen für einen Protokolltyp in Ihren Datenindizes. Sie konfigurieren Ihren Detektor so, dass er sowohl benutzerdefinierte Regeln als auch vorgefertigte Sigma-Regeln verwendet, die Ereignisse im System auswerten. Der Detektor generiert dann Sicherheitsergebnisse aus diesen Ereignissen. Weitere Informationen zu Meldern finden Sie in der OpenSearch Dokumentation unter Melder erstellen
Regeln
Regeln zur Bedrohungserkennung definieren die Bedingungen, die Melder auf aufgenommene Protokolldaten anwenden, um ein Sicherheitsereignis zu identifizieren. Security Analytics unterstützt das Importieren, Erstellen und Anpassen von Regeln, um Ihre Anforderungen zu erfüllen, und bietet außerdem vorkonfigurierte Open-Source-Sigma-Regeln, mit denen Sie häufig auftretende Bedrohungen anhand Ihrer Protokolle erkennen können. Security Analytics ordnet viele Regeln einer ständig wachsenden Wissensbasis über gegnerische Taktiken und Techniken zu, die von der MITRE ATT&CK-Organisation verwaltet werden. Sie können sowohl OpenSearch Dashboards als auch APIs verwenden, um Regeln zu erstellen und zu verwenden. Weitere Informationen zu Regeln finden Sie in der OpenSearch Dokumentation unter Arbeiten mit Regeln
Funde
Wenn ein Detektor eine Regel mit einem Protokollereignis abgleicht, generiert er einen Befund. Jedes Ergebnis umfasst eine eindeutige Kombination aus ausgewählten Regeln, einem Protokolltyp und einem Regelschweregrad. Die Ergebnisse deuten nicht unbedingt auf unmittelbare Bedrohungen innerhalb des Systems hin, aber sie isolieren immer ein interessierendes Ereignis. Weitere Informationen zu den Ergebnissen finden Sie in der OpenSearch Dokumentation unter Arbeiten mit Ergebnissen
Benachrichtigungen
Wenn Sie einen Detektor erstellen, können Sie eine oder mehrere Bedingungen angeben, die eine Warnung auslösen. Eine Warnung ist eine Benachrichtigung, die an einen bevorzugten Kanal wie Slack oder E-Mail gesendet wird. Sie legen fest, dass die Warnung ausgelöst wird, wenn der Detektor einer oder mehreren Regeln entspricht, und können die Benachrichtigungsnachricht anpassen. Weitere Informationen zu Warnmeldungen finden Sie in der OpenSearch Dokumentation unter Arbeiten mit Warnmeldungen
Erfahren Sie mehr über Sicherheitsanalysen
Sie können OpenSearch Dashboards verwenden, um Ihr Security Analytics-Plugin zu visualisieren und Einblicke in dieses zu erhalten. Die Übersichtsansicht enthält Informationen wie Ergebnisse und Anzahl der Alarme, aktuelle Ergebnisse und Warnungen, Regeln für häufige Erkennungen und eine Liste Ihrer Melder. Sie können eine Übersichtsansicht sehen, die aus mehreren Visualisierungen besteht. Das folgende Diagramm zeigt beispielsweise den Trend der Ergebnisse und Warnmeldungen für verschiedene Protokolltypen über einen bestimmten Zeitraum.
Weiter unten auf der Seite können Sie Ihre neuesten Ergebnisse und Warnungen überprüfen.
Darüber hinaus können Sie eine Verteilung der am häufigsten ausgelösten Regeln auf alle aktiven Melder sehen. Dies kann Ihnen helfen, verschiedene Arten bösartiger Aktivitäten in verschiedenen Protokolltypen zu erkennen und zu untersuchen.
Schließlich können Sie den Status der konfigurierten Melder einsehen. Von diesem Bereich aus können Sie auch zum Workflow zum Erstellen von Meldern navigieren.
Um Ihr Security Analytics-Setup zu konfigurieren, erstellen Sie Regeln auf der Seite „Regeln“ und verwenden Sie diese Regeln, um Melder auf der Seite „Detektoren“ zu schreiben. Für eine genauere Ansicht Ihrer Security Analytics-Ergebnisse können Sie die Seiten Ergebnisse und Warnungen verwenden.
Konfigurieren von Berechtigungen
Wenn Sie Security Analytics für eine bereits bestehende OpenSearch Dienstdomäne aktivieren, ist die security_analytics_manager
Rolle möglicherweise nicht für die Domäne definiert. Benutzer ohne Administratorrechte müssen dieser Rolle zugeordnet werden, um Warm-Indizes in Domains mithilfe einer fein abgestuften Zugriffskontrolle zu verwalten. Führen Sie die folgenden Schritte aus, um die security_analytics_manager
-Rolle manuell zu erstellen:
-
Gehen Sie in OpenSearch Dashboards zu Sicherheit und wählen Sie Berechtigungen aus.
-
Wählen Sie Aktionsgruppe erstellen und konfigurieren Sie die folgenden Gruppen:
Group name (Gruppenname) Berechtigungen security_analytics_full_access
-
cluster:admin/opensearch/securityanalytics/alerts/*
-
cluster:admin/opensearch/securityanalytics/detector/*
-
cluster:admin/opensearch/securityanalytics/findings/*
-
cluster:admin/opensearch/securityanalytics/mapping/*
-
cluster:admin/opensearch/securityanalytics/rule/*
security_analytics_read_access
-
cluster:admin/opensearch/securityanalytics/alerts/get
-
cluster:admin/opensearch/securityanalytics/detector/get
-
cluster:admin/opensearch/securityanalytics/detector/search
-
cluster:admin/opensearch/securityanalytics/findings/get
-
cluster:admin/opensearch/securityanalytics/mapping/get
-
cluster:admin/opensearch/securityanalytics/mapping/view/get
-
cluster:admin/opensearch/securityanalytics/rule/get
-
cluster:admin/opensearch/securityanalytics/rule/search
-
-
Wählen Sie Rollen und Rolle erstellen.
-
Nennen Sie die Rolle security_analytics_manager.
-
Wählen Sie für Clusterberechtigungen
security_analytics_full_access
undsecurity_analytics_read_access
aus. -
Geben Sie für Index
*
ein. -
Wählen Sie für Indexberechtigungen die Option und aus.
indices:admin/mapping/put
indices:admin/mappings/get
-
Wählen Sie Erstellen.
-
Nachdem Sie die Rolle erstellt haben, ordnen Sie sie einer beliebigen Benutzer- oder Back-End-Rolle zu, die Security Analytics-Indizes verwaltet.
Fehlerbehebung
Kein solcher Indexfehler
Wenn Sie keine Melder haben und das Security Analytics-Dashboard öffnen, sehen Sie möglicherweise unten rechts eine Benachrichtigung mit der Aufschrift[index_not_found_exception]
no such index [.opensearch-sap-detectors-config]
. Sie können diese Benachrichtigung ignorieren. Sie verschwindet innerhalb weniger Sekunden und erscheint nicht mehr, sobald Sie einen Detektor erstellt haben.