Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Security Analytics para Amazon OpenSearch Service
Security Analytics es una solución de OpenSearch que proporciona visibilidad de la infraestructura de su organización, monitorea las actividades anómalas, detecta posibles amenazas a la seguridad en tiempo real y activa alertas a destinos preconfigurados. Puede monitorear la actividad maliciosa de sus registros de eventos de seguridad evaluando continuamente las reglas de seguridad y revisando los resultados de seguridad generados automáticamente. Además, Security Analytics puede generar alertas automatizadas y enviarlas a un canal de notificación específico, como Slack o el correo electrónico.
Puede usar el complemento de Security Analytics para detectar amenazas comunes de forma inmediata y generar información de seguridad fundamental a partir de los registros de eventos de seguridad existentes, como los registros de firewall, los registros de Windows y los registros de auditoría de autenticación. Para Security Analytics, el dominio debe ejecutarse en una versión de OpenSearch 2.5 o posterior.
nota
Esta documentación proporciona una breve información general de Security Analytics en Amazon OpenSearch Service. Define los conceptos clave y proporciona los pasos para configurar los permisos. Para obtener la documentación completa, que incluye una guía de configuración, una referencia de la API y una referencia de toda la configuración disponible, consulte Security Analytics
Componentes y conceptos de Security Analytics
Una serie de herramientas y características constituyen la base del funcionamiento de Security Analytics. Los principales componentes que componen el complemento incluyen los detectores, los tipos de registro, las reglas, los resultados y las alertas.
Tipos de registro
OpenSearch admite varios tipos de registros y proporciona mapeos listos para usar para cada tipo. Al crear un detector, debe especificar el tipo de registro y configurar un intervalo de tiempo y, a partir de ahí, Security Analytics activa automáticamente un conjunto de reglas relevante que se ejecutan en ese intervalo.
Detectores
Los detectores identifican una variedad de amenazas de ciberseguridad para un tipo de registro en todos sus índices de datos. El detector se configura para que utilice tanto reglas personalizadas como reglas Sigma preconfiguradas que evalúan los eventos que ocurren en el sistema. A continuación, el detector genera los resultados de seguridad a partir de estos eventos. Para obtener más información sobre los detectores, consulte Creación de detectores
Reglas
Las reglas de detección de amenazas definen las condiciones que los detectores aplican a los datos de registro incorporados para identificar un evento de seguridad. Security Analytics permite importar, crear y personalizar reglas para cumplir con sus requisitos, y también proporciona reglas Sigma empaquetadas previamente y de código abierto para detectar las amenazas más comunes en sus registros. Security Analytics asigna muchas reglas a una base de conocimientos cada vez mayor sobre tácticas y técnicas de los adversarios, mantenida por la organización MITRE ATT&CK. Puede usar OpenSearch Dashboards o las API para crear y usar las reglas. Para obtener más información sobre las reglas, consulte Working with rules
Resultados
Cuando un detector hace coincidir una regla con un evento de registro, genera un resultado. Cada resultado incluye una combinación única de reglas seleccionadas, un tipo de registro y la gravedad de la regla. Los resultados no necesariamente apuntan a amenazas inminentes dentro del sistema, pero siempre aíslan un evento de interés. Para obtener más información sobre los resultados, consulte Trabajar con resultados
Alertas
Al crear un detector, puede especificar una o varias condiciones que activan una alerta. Una alerta es una notificación que se envía a un canal preferido, como Slack o el correo electrónico. Puede configurar la alerta para que se active cuando el detector coincida con una o varias reglas y puede personalizar el mensaje de notificación. Para obtener más información sobre las alertas, consulte Trabajar con alertas
Exploración de Security Analytics
Puede usar OpenSearch Dashboards para visualizar y obtener información sobre el complemento de Security Analytics. La vista Información general proporciona información como resultados y recuentos de alertas, resultados y alertas recientes, reglas de detección frecuentes y una lista de detectores. Puede ver una vista resumida compuesta por varias visualizaciones. El siguiente gráfico, por ejemplo, muestra la tendencia de los resultados y las alertas de varios tipos de registros durante un período de tiempo determinado.
Más abajo en la página, puede revisar los resultados y alertas más recientes.
Además, puede ver una distribución de las reglas que se activan con más frecuencia en todos los detectores activos. Esto puede ayudarle a detectar e investigar diferentes tipos de actividades maliciosas en todos los tipos de registros.
Por último, puede ver el estado de los detectores configurados. Desde este panel, también puede acceder al flujo de trabajo de creación de detectores.
Para configurar Security Analytics, cree reglas en la página de Reglas y utilícelas para escribir los detectores en la página de Detectores. Para tener una visión más precisa de los resultados de Security Analytics, puede utilizar las páginas de Resultados y Alertas.
Configuración de permisos de
Si habilita Security Analytics en un dominio de OpenSearch Service preexistente, el rol security_analytics_manager
podría no estar definido en el dominio. Los usuarios que no sean administradores deben estar asignados a este rol para poder administrar índices templados en los dominios mediante un control de acceso detallado. Para crear el rol security_analytics_manager
de forma manual, siga estos pasos:
-
En OpenSearch Dashboards, vaya a Seguridad y elija Permisos.
-
Seleccione Crear grupo de acciones y configure los siguientes grupos:
Nombre del grupo Permisos security_analytics_full_access
-
cluster:admin/opensearch/securityanalytics/alerts/*
-
cluster:admin/opensearch/securityanalytics/detector/*
-
cluster:admin/opensearch/securityanalytics/findings/*
-
cluster:admin/opensearch/securityanalytics/mapping/*
-
cluster:admin/opensearch/securityanalytics/rule/*
security_analytics_read_access
-
cluster:admin/opensearch/securityanalytics/alerts/get
-
cluster:admin/opensearch/securityanalytics/detector/get
-
cluster:admin/opensearch/securityanalytics/detector/search
-
cluster:admin/opensearch/securityanalytics/findings/get
-
cluster:admin/opensearch/securityanalytics/mapping/get
-
cluster:admin/opensearch/securityanalytics/mapping/view/get
-
cluster:admin/opensearch/securityanalytics/rule/get
-
cluster:admin/opensearch/securityanalytics/rule/search
-
-
Seleccione Roles y, a continuación, Crear rol.
-
Asigne el nombre security_analytics_manager al rol.
-
Para Permisos de clúster, seleccione
security_analytics_full_access
ysecurity_analytics_read_access
. -
Para Índice, escriba
*
. -
Para Permisos de índice, seleccione
indices:admin/mapping/put
yindices:admin/mappings/get
. -
Seleccione Crear.
-
Después de crear el rol, debe mapearlo a cualquier rol de usuario o backend que administre los índices de Security Analytics.
Resolución de problemas
No existe tal error de índice
Si no tiene detectores y abre el panel de Security Analytics, es posible que vea una notificación en la parte inferior derecha que diga [index_not_found_exception]
no such index [.opensearch-sap-detectors-config]
. Puede ignorar esta notificación, que desaparece en unos segundos y no volverá a aparecer una vez que crea un detector.