Analyses de sécurité pour Amazon OpenSearch Service - Amazon OpenSearch Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Analyses de sécurité pour Amazon OpenSearch Service

Security Analytics est une OpenSearch solution qui fournit une visibilité sur l'infrastructure de votre entreprise, surveille les activités anormales, détecte les menaces de sécurité potentielles en temps réel et déclenche des alertes vers des destinations préconfigurées. Vous pouvez surveiller les activités malveillantes à partir de vos journaux d'événements de sécurité en évaluant en permanence les règles de sécurité et en examinant les résultats de sécurité générés automatiquement. En outre, Security Analytics peut générer des alertes automatisées et les envoyer à un canal de notification spécifique, tel que Slack ou par e-mail.

Vous pouvez utiliser le plug-in Security Analytics pour détecter les menaces courantes out-of-the-box et générer des informations de sécurité critiques à partir de vos journaux d'événements de sécurité existants, tels que les journaux de pare-feu, les journaux Windows et les journaux d'audit d'authentification. Pour utiliser Security Analytics, votre domaine doit exécuter OpenSearch la version 2.5 ou ultérieure.

Note

Cette documentation fournit une brève présentation de Security Analytics pour Amazon OpenSearch Service. Il définit les concepts clés et fournit des étapes pour configurer les autorisations. Pour une documentation complète, y compris un guide de configuration, une référence d'API et une référence de tous les paramètres disponibles, consultez Security Analytics dans la OpenSearch documentation.

Composants et concepts d'analyse de sécurité

Un certain nombre d'outils et de fonctionnalités constituent la base du fonctionnement de Security Analytics. Les principaux composants du plugin incluent les détecteurs, les types de journaux, les règles, les résultats et les alertes.

Workflow diagram showing steps from source ingestion to generating findings and alerts.

Types de journaux

OpenSearch prend en charge plusieurs types de journaux et fournit des out-of-the-box mappages pour chaque type. Vous spécifiez le type de journal et configurez un intervalle de temps lorsque vous créez un détecteur, puis Security Analytics active automatiquement un ensemble de règles pertinent qui s'exécutent à cet intervalle.

Détecteurs

Les détecteurs identifient un éventail de menaces de cybersécurité pour un type de journal dans vos index de données. Vous configurez votre détecteur pour utiliser à la fois des règles personnalisées et des règles Sigma prédéfinies qui évaluent les événements survenant dans le système. Le détecteur génère ensuite des résultats de sécurité à partir de ces événements. Pour plus d'informations sur les détecteurs, consultez la section Création de détecteurs dans la OpenSearch documentation.

Règles

Les règles de détection des menaces définissent les conditions que les détecteurs appliquent aux données de journal ingérées pour identifier un événement de sécurité. Security Analytics prend en charge l'importation, la création et la personnalisation de règles pour répondre à vos besoins, et fournit également des règles Sigma open source prédéfinies pour détecter les menaces courantes dans vos journaux. Security Analytics associe de nombreuses règles à une base de connaissances toujours croissante sur les tactiques et techniques de l'adversaire gérée par l'organisation MITRE ATT&CK. Vous pouvez utiliser les OpenSearch tableaux de bord ou les API pour créer et utiliser des règles. Pour plus d'informations sur les règles, consultez la section Utilisation des règles dans la OpenSearch documentation.

Conclusions

Lorsqu'un détecteur fait correspondre une règle à un événement de journal, il génère une constatation. Chaque résultat inclut une combinaison unique de règles sélectionnées, d'un type de journal et d'une sévérité de règle. Les résultats n'indiquent pas nécessairement des menaces imminentes au sein du système, mais ils isolent toujours un événement intéressant. Pour plus d'informations sur les résultats, consultez la section Utilisation des résultats dans la OpenSearch documentation.

Alerts (Alertes)

Lorsque vous créez un détecteur, vous pouvez définir une ou plusieurs conditions qui déclenchent une alerte. Une alerte est une notification envoyée à un canal préféré, tel que Slack ou par e-mail. Vous configurez l'alerte pour qu'elle soit déclenchée lorsque le détecteur répond à une ou plusieurs règles, et vous pouvez personnaliser le message de notification. Pour plus d'informations sur les alertes, consultez la section Utilisation des alertes dans la OpenSearch documentation.

Découvrir les analyses de sécurité

Vous pouvez utiliser OpenSearch les tableaux de bord pour visualiser et mieux comprendre votre plugin Security Analytics. La vue d'ensemble fournit des informations telles que les résultats et le nombre d'alertes, les résultats et alertes récents, les règles de détection fréquente et la liste de vos détecteurs. Vous pouvez voir une vue récapitulative composée de plusieurs visualisations. Le graphique suivant, par exemple, montre les résultats et la tendance des alertes pour différents types de journaux sur une période donnée.

Chart showing findings and alert trends for network and windows log types over time.

Plus bas sur la page, vous pouvez consulter vos dernières découvertes et alertes.

Recent alerts and findings tables showing security events and their severity levels.

En outre, vous pouvez voir la répartition des règles les plus fréquemment déclenchées sur tous les détecteurs actifs. Cela peut vous aider à détecter et à étudier différents types d'activités malveillantes selon les types de journaux.

Donut chart showing distribution of four most frequent detection rules in different colors.

Enfin, vous pouvez consulter l'état des détecteurs configurés. À partir de ce panneau, vous pouvez également accéder au flux de travail de création d'un détecteur.

Table showing 6 detectors with their names, status, and log types.

Pour configurer votre configuration Security Analytics, créez des règles à l'aide de la page Règles et utilisez-les pour écrire des détecteurs sur la page Détecteurs. Pour une vue plus précise des résultats de vos analyses de sécurité, vous pouvez utiliser les pages Résultats et Alertes.

Configurer des autorisations

Si vous activez Security Analytics sur un domaine de OpenSearch service préexistant, le security_analytics_manager rôle risque de ne pas être défini sur le domaine. Les utilisateurs non-administrateurs doivent être mappés à ce rôle pour gérer les index à chaud des domaines utilisant le contrôle précis des accès. Pour créer manuellement le rôle security_analytics_manager, procédez comme suit :

  1. Dans les OpenSearch tableaux de bord, accédez à Sécurité, puis sélectionnez Autorisations.

  2. Choisissez Create action group (Créer un groupe d'actions) et configurez les groupes suivants :

    Nom du groupe Autorisations
    security_analytics_full_access
    • cluster:admin/opensearch/securityanalytics/alerts/*

    • cluster:admin/opensearch/securityanalytics/detector/*

    • cluster:admin/opensearch/securityanalytics/findings/*

    • cluster:admin/opensearch/securityanalytics/mapping/*

    • cluster:admin/opensearch/securityanalytics/rule/*

    security_analytics_read_access
    • cluster:admin/opensearch/securityanalytics/alerts/get

    • cluster:admin/opensearch/securityanalytics/detector/get

    • cluster:admin/opensearch/securityanalytics/detector/search

    • cluster:admin/opensearch/securityanalytics/findings/get

    • cluster:admin/opensearch/securityanalytics/mapping/get

    • cluster:admin/opensearch/securityanalytics/mapping/view/get

    • cluster:admin/opensearch/securityanalytics/rule/get

    • cluster:admin/opensearch/securityanalytics/rule/search

  3. Choisissez Roles (Rôles), puis Create role (Créer un rôle).

  4. Nommez le rôle security_analytics_manager.

  5. Pour Cluster permissions (Autorisations de cluster), sélectionnez security_analytics_full_access etsecurity_analytics_read_access.

  6. Pour Index, saisissez *.

  7. Pour les autorisations d'indexation, sélectionnez indices:admin/mapping/put etindices:admin/mappings/get.

  8. Choisissez Créer.

  9. Après avoir créé le rôle, associez-le à n'importe quel rôle d'utilisateur ou de backend qui gérera les index Security Analytics.

Résolution des problèmes

Aucune erreur d'index de ce type

Si vous n'avez aucun détecteur et que vous ouvrez le tableau de bord de Security Analytics, vous verrez peut-être une notification en bas à droite indiquant [index_not_found_exception] no such index [.opensearch-sap-detectors-config] que Vous pouvez ignorer cette notification, qui disparaît en quelques secondes et ne réapparaîtra pas une fois que vous aurez créé un détecteur.