Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Analyses de sécurité pour Amazon OpenSearch Service
Security Analytics est une OpenSearch solution qui fournit une visibilité sur l'infrastructure de votre entreprise, surveille les activités anormales, détecte les menaces de sécurité potentielles en temps réel et déclenche des alertes vers des destinations préconfigurées. Vous pouvez surveiller les activités malveillantes à partir de vos journaux d'événements de sécurité en évaluant en permanence les règles de sécurité et en examinant les résultats de sécurité générés automatiquement. En outre, Security Analytics peut générer des alertes automatisées et les envoyer à un canal de notification spécifique, tel que Slack ou par e-mail.
Vous pouvez utiliser le plug-in Security Analytics pour détecter les menaces courantes out-of-the-box et générer des informations de sécurité critiques à partir de vos journaux d'événements de sécurité existants, tels que les journaux de pare-feu, les journaux Windows et les journaux d'audit d'authentification. Pour utiliser Security Analytics, votre domaine doit exécuter OpenSearch la version 2.5 ou ultérieure.
Note
Cette documentation fournit une brève présentation de Security Analytics pour Amazon OpenSearch Service. Il définit les concepts clés et fournit des étapes pour configurer les autorisations. Pour une documentation complète, y compris un guide de configuration, une référence d'API et une référence de tous les paramètres disponibles, consultez Security Analytics
Composants et concepts d'analyse de sécurité
Un certain nombre d'outils et de fonctionnalités constituent la base du fonctionnement de Security Analytics. Les principaux composants du plugin incluent les détecteurs, les types de journaux, les règles, les résultats et les alertes.
Types de journaux
OpenSearch prend en charge plusieurs types de journaux et fournit des out-of-the-box mappages pour chaque type. Vous spécifiez le type de journal et configurez un intervalle de temps lorsque vous créez un détecteur, puis Security Analytics active automatiquement un ensemble de règles pertinent qui s'exécutent à cet intervalle.
Détecteurs
Les détecteurs identifient un éventail de menaces de cybersécurité pour un type de journal dans vos index de données. Vous configurez votre détecteur pour utiliser à la fois des règles personnalisées et des règles Sigma prédéfinies qui évaluent les événements survenant dans le système. Le détecteur génère ensuite des résultats de sécurité à partir de ces événements. Pour plus d'informations sur les détecteurs, consultez la section Création de détecteurs
Règles
Les règles de détection des menaces définissent les conditions que les détecteurs appliquent aux données de journal ingérées pour identifier un événement de sécurité. Security Analytics prend en charge l'importation, la création et la personnalisation de règles pour répondre à vos besoins, et fournit également des règles Sigma open source prédéfinies pour détecter les menaces courantes dans vos journaux. Security Analytics associe de nombreuses règles à une base de connaissances toujours croissante sur les tactiques et techniques de l'adversaire gérée par l'organisation MITRE ATT&CK. Vous pouvez utiliser les OpenSearch tableaux de bord ou les API pour créer et utiliser des règles. Pour plus d'informations sur les règles, consultez la section Utilisation des règles
Conclusions
Lorsqu'un détecteur fait correspondre une règle à un événement de journal, il génère une constatation. Chaque résultat inclut une combinaison unique de règles sélectionnées, d'un type de journal et d'une sévérité de règle. Les résultats n'indiquent pas nécessairement des menaces imminentes au sein du système, mais ils isolent toujours un événement intéressant. Pour plus d'informations sur les résultats, consultez la section Utilisation des résultats
Alerts (Alertes)
Lorsque vous créez un détecteur, vous pouvez définir une ou plusieurs conditions qui déclenchent une alerte. Une alerte est une notification envoyée à un canal préféré, tel que Slack ou par e-mail. Vous configurez l'alerte pour qu'elle soit déclenchée lorsque le détecteur répond à une ou plusieurs règles, et vous pouvez personnaliser le message de notification. Pour plus d'informations sur les alertes, consultez la section Utilisation des alertes
Découvrir les analyses de sécurité
Vous pouvez utiliser OpenSearch les tableaux de bord pour visualiser et mieux comprendre votre plugin Security Analytics. La vue d'ensemble fournit des informations telles que les résultats et le nombre d'alertes, les résultats et alertes récents, les règles de détection fréquente et la liste de vos détecteurs. Vous pouvez voir une vue récapitulative composée de plusieurs visualisations. Le graphique suivant, par exemple, montre les résultats et la tendance des alertes pour différents types de journaux sur une période donnée.
Plus bas sur la page, vous pouvez consulter vos dernières découvertes et alertes.
En outre, vous pouvez voir la répartition des règles les plus fréquemment déclenchées sur tous les détecteurs actifs. Cela peut vous aider à détecter et à étudier différents types d'activités malveillantes selon les types de journaux.
Enfin, vous pouvez consulter l'état des détecteurs configurés. À partir de ce panneau, vous pouvez également accéder au flux de travail de création d'un détecteur.
Pour configurer votre configuration Security Analytics, créez des règles à l'aide de la page Règles et utilisez-les pour écrire des détecteurs sur la page Détecteurs. Pour une vue plus précise des résultats de vos analyses de sécurité, vous pouvez utiliser les pages Résultats et Alertes.
Configurer des autorisations
Si vous activez Security Analytics sur un domaine de OpenSearch service préexistant, le security_analytics_manager
rôle risque de ne pas être défini sur le domaine. Les utilisateurs non-administrateurs doivent être mappés à ce rôle pour gérer les index à chaud des domaines utilisant le contrôle précis des accès. Pour créer manuellement le rôle security_analytics_manager
, procédez comme suit :
-
Dans les OpenSearch tableaux de bord, accédez à Sécurité, puis sélectionnez Autorisations.
-
Choisissez Create action group (Créer un groupe d'actions) et configurez les groupes suivants :
Nom du groupe Autorisations security_analytics_full_access
-
cluster:admin/opensearch/securityanalytics/alerts/*
-
cluster:admin/opensearch/securityanalytics/detector/*
-
cluster:admin/opensearch/securityanalytics/findings/*
-
cluster:admin/opensearch/securityanalytics/mapping/*
-
cluster:admin/opensearch/securityanalytics/rule/*
security_analytics_read_access
-
cluster:admin/opensearch/securityanalytics/alerts/get
-
cluster:admin/opensearch/securityanalytics/detector/get
-
cluster:admin/opensearch/securityanalytics/detector/search
-
cluster:admin/opensearch/securityanalytics/findings/get
-
cluster:admin/opensearch/securityanalytics/mapping/get
-
cluster:admin/opensearch/securityanalytics/mapping/view/get
-
cluster:admin/opensearch/securityanalytics/rule/get
-
cluster:admin/opensearch/securityanalytics/rule/search
-
-
Choisissez Roles (Rôles), puis Create role (Créer un rôle).
-
Nommez le rôle security_analytics_manager.
-
Pour Cluster permissions (Autorisations de cluster), sélectionnez
security_analytics_full_access
etsecurity_analytics_read_access
. -
Pour Index, saisissez
*
. -
Pour les autorisations d'indexation, sélectionnez
indices:admin/mapping/put
etindices:admin/mappings/get
. -
Choisissez Créer.
-
Après avoir créé le rôle, associez-le à n'importe quel rôle d'utilisateur ou de backend qui gérera les index Security Analytics.
Résolution des problèmes
Aucune erreur d'index de ce type
Si vous n'avez aucun détecteur et que vous ouvrez le tableau de bord de Security Analytics, vous verrez peut-être une notification en bas à droite indiquant [index_not_found_exception]
no such index [.opensearch-sap-detectors-config]
que Vous pouvez ignorer cette notification, qui disparaît en quelques secondes et ne réapparaîtra pas une fois que vous aurez créé un détecteur.