Security Analytics para Amazon OpenSearch Service - OpenSearch Servicio Amazon

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Security Analytics para Amazon OpenSearch Service

Security Analytics es una solución de OpenSearch que proporciona visibilidad de la infraestructura de su organización, monitorea las actividades anómalas, detecta posibles amenazas a la seguridad en tiempo real y activa alertas a destinos preconfigurados. Puede monitorear la actividad maliciosa de sus registros de eventos de seguridad evaluando continuamente las reglas de seguridad y revisando los resultados de seguridad generados automáticamente. Además, Security Analytics puede generar alertas automatizadas y enviarlas a un canal de notificación específico, como Slack o el correo electrónico.

Puede usar el complemento de Security Analytics para detectar amenazas comunes de forma inmediata y generar información de seguridad fundamental a partir de los registros de eventos de seguridad existentes, como los registros de firewall, los registros de Windows y los registros de auditoría de autenticación. Para Security Analytics, el dominio debe ejecutarse en una versión de OpenSearch 2.5 o posterior.

nota

Esta documentación proporciona una breve información general de Security Analytics en Amazon OpenSearch Service. Define los conceptos clave y proporciona los pasos para configurar los permisos. Para obtener la documentación completa, que incluye una guía de configuración, una referencia de la API y una referencia de toda la configuración disponible, consulte Security Analytics en la documentación de OpenSearch.

Componentes y conceptos de Security Analytics

Una serie de herramientas y características constituyen la base del funcionamiento de Security Analytics. Los principales componentes que componen el complemento incluyen los detectores, los tipos de registro, las reglas, los resultados y las alertas.

Workflow diagram showing steps from source ingestion to generating findings and alerts.

Tipos de registro

OpenSearch admite varios tipos de registros y proporciona mapeos listos para usar para cada tipo. Al crear un detector, debe especificar el tipo de registro y configurar un intervalo de tiempo y, a partir de ahí, Security Analytics activa automáticamente un conjunto de reglas relevante que se ejecutan en ese intervalo.

Detectores

Los detectores identifican una variedad de amenazas de ciberseguridad para un tipo de registro en todos sus índices de datos. El detector se configura para que utilice tanto reglas personalizadas como reglas Sigma preconfiguradas que evalúan los eventos que ocurren en el sistema. A continuación, el detector genera los resultados de seguridad a partir de estos eventos. Para obtener más información sobre los detectores, consulte Creación de detectores en la documentación de OpenSearch.

Reglas

Las reglas de detección de amenazas definen las condiciones que los detectores aplican a los datos de registro incorporados para identificar un evento de seguridad. Security Analytics permite importar, crear y personalizar reglas para cumplir con sus requisitos, y también proporciona reglas Sigma empaquetadas previamente y de código abierto para detectar las amenazas más comunes en sus registros. Security Analytics asigna muchas reglas a una base de conocimientos cada vez mayor sobre tácticas y técnicas de los adversarios, mantenida por la organización MITRE ATT&CK. Puede usar OpenSearch Dashboards o las API para crear y usar las reglas. Para obtener más información sobre las reglas, consulte Working with rules en la documentación de OpenSearch.

Resultados

Cuando un detector hace coincidir una regla con un evento de registro, genera un resultado. Cada resultado incluye una combinación única de reglas seleccionadas, un tipo de registro y la gravedad de la regla. Los resultados no necesariamente apuntan a amenazas inminentes dentro del sistema, pero siempre aíslan un evento de interés. Para obtener más información sobre los resultados, consulte Trabajar con resultados en la documentación de OpenSearch.

Alertas

Al crear un detector, puede especificar una o varias condiciones que activan una alerta. Una alerta es una notificación que se envía a un canal preferido, como Slack o el correo electrónico. Puede configurar la alerta para que se active cuando el detector coincida con una o varias reglas y puede personalizar el mensaje de notificación. Para obtener más información sobre las alertas, consulte Trabajar con alertas en la documentación de OpenSearch.

Exploración de Security Analytics

Puede usar OpenSearch Dashboards para visualizar y obtener información sobre el complemento de Security Analytics. La vista Información general proporciona información como resultados y recuentos de alertas, resultados y alertas recientes, reglas de detección frecuentes y una lista de detectores. Puede ver una vista resumida compuesta por varias visualizaciones. El siguiente gráfico, por ejemplo, muestra la tendencia de los resultados y las alertas de varios tipos de registros durante un período de tiempo determinado.

Chart showing findings and alert trends for network and windows log types over time.

Más abajo en la página, puede revisar los resultados y alertas más recientes.

Recent alerts and findings tables showing security events and their severity levels.

Además, puede ver una distribución de las reglas que se activan con más frecuencia en todos los detectores activos. Esto puede ayudarle a detectar e investigar diferentes tipos de actividades maliciosas en todos los tipos de registros.

Donut chart showing distribution of four most frequent detection rules in different colors.

Por último, puede ver el estado de los detectores configurados. Desde este panel, también puede acceder al flujo de trabajo de creación de detectores.

Table showing 6 detectors with their names, status, and log types.

Para configurar Security Analytics, cree reglas en la página de Reglas y utilícelas para escribir los detectores en la página de Detectores. Para tener una visión más precisa de los resultados de Security Analytics, puede utilizar las páginas de Resultados y Alertas.

Configuración de permisos de

Si habilita Security Analytics en un dominio de OpenSearch Service preexistente, el rol security_analytics_manager podría no estar definido en el dominio. Los usuarios que no sean administradores deben estar asignados a este rol para poder administrar índices templados en los dominios mediante un control de acceso detallado. Para crear el rol security_analytics_manager de forma manual, siga estos pasos:

  1. En OpenSearch Dashboards, vaya a Seguridad y elija Permisos.

  2. Seleccione Crear grupo de acciones y configure los siguientes grupos:

    Nombre del grupo Permisos
    security_analytics_full_access
    • cluster:admin/opensearch/securityanalytics/alerts/*

    • cluster:admin/opensearch/securityanalytics/detector/*

    • cluster:admin/opensearch/securityanalytics/findings/*

    • cluster:admin/opensearch/securityanalytics/mapping/*

    • cluster:admin/opensearch/securityanalytics/rule/*

    security_analytics_read_access
    • cluster:admin/opensearch/securityanalytics/alerts/get

    • cluster:admin/opensearch/securityanalytics/detector/get

    • cluster:admin/opensearch/securityanalytics/detector/search

    • cluster:admin/opensearch/securityanalytics/findings/get

    • cluster:admin/opensearch/securityanalytics/mapping/get

    • cluster:admin/opensearch/securityanalytics/mapping/view/get

    • cluster:admin/opensearch/securityanalytics/rule/get

    • cluster:admin/opensearch/securityanalytics/rule/search

  3. Seleccione Roles y, a continuación, Crear rol.

  4. Asigne el nombre security_analytics_manager al rol.

  5. Para Permisos de clúster, seleccione security_analytics_full_access y security_analytics_read_access.

  6. Para Índice, escriba *.

  7. Para Permisos de índice, seleccione indices:admin/mapping/put y indices:admin/mappings/get.

  8. Seleccione Crear.

  9. Después de crear el rol, debe mapearlo a cualquier rol de usuario o backend que administre los índices de Security Analytics.

Resolución de problemas

No existe tal error de índice

Si no tiene detectores y abre el panel de Security Analytics, es posible que vea una notificación en la parte inferior derecha que diga [index_not_found_exception] no such index [.opensearch-sap-detectors-config]. Puede ignorar esta notificación, que desaparece en unos segundos y no volverá a aparecer una vez que crea un detector.