Analisi di sicurezza per Amazon OpenSearch Service - OpenSearch Servizio Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Analisi di sicurezza per Amazon OpenSearch Service

Security Analytics è una OpenSearch soluzione che offre visibilità sull'infrastruttura dell'organizzazione, monitora le attività anomale, rileva potenziali minacce alla sicurezza in tempo reale e attiva avvisi verso destinazioni preconfigurate. Puoi monitorare le attività dannose dai registri degli eventi di sicurezza valutando continuamente le regole di sicurezza e rivedendo i risultati di sicurezza generati automaticamente. Inoltre, Security Analytics può generare avvisi automatici e inviarli a un canale di notifica specifico, come Slack o e-mail.

Puoi utilizzare il plug-in Security Analytics per rilevare le minacce più comuni out-of-the-box e generare informazioni critiche sulla sicurezza dai registri degli eventi di sicurezza esistenti, come i registri del firewall, i registri di Windows e i registri di controllo dell'autenticazione. Per utilizzare Security Analytics, sul tuo dominio deve essere in esecuzione la OpenSearch versione 2.5 o successiva.

Nota

Questa documentazione fornisce una breve panoramica di Security Analytics for Amazon OpenSearch Service. Definisce i concetti chiave e fornisce i passaggi per configurare le autorizzazioni. Per una documentazione completa, tra cui una guida alla configurazione, un riferimento all'API e un riferimento a tutte le impostazioni disponibili, consulta Security Analytics nella OpenSearch documentazione.

Componenti e concetti di analisi della sicurezza

Numerosi strumenti e funzionalità forniscono le basi per il funzionamento di Security Analytics. I componenti principali che compongono il plug-in includono rilevatori, tipi di registro, regole, risultati e avvisi.

Workflow diagram showing steps from source ingestion to generating findings and alerts.

Tipi di log

OpenSearch supporta diversi tipi di log e fornisce out-of-the-box mappature per ogni tipo. Si specifica il tipo di registro e si configura un intervallo di tempo quando si crea un rilevatore, e da lì Security Analytics attiva automaticamente un set di regole pertinenti che vengono eseguite in quell'intervallo.

Rilevatori

I rilevatori identificano una serie di minacce alla sicurezza informatica per un tipo di registro nei tuoi indici di dati. È possibile configurare il rilevatore in modo da utilizzare sia regole personalizzate che regole Sigma preconfezionate che valutano gli eventi che si verificano nel sistema. Il rilevatore genera quindi risultati di sicurezza a partire da questi eventi. Per ulteriori informazioni sui rilevatori, vedere Creazione di rilevatori nella documentazione. OpenSearch

Regolamento

Le regole di rilevamento delle minacce definiscono le condizioni che i rilevatori applicano ai dati di registro acquisiti per identificare un evento di sicurezza. Security Analytics supporta l'importazione, la creazione e la personalizzazione di regole per soddisfare le vostre esigenze e fornisce anche regole Sigma preconfezionate e open source per rilevare le minacce più comuni dai log. Security Analytics associa molte regole a una base di conoscenze in continua crescita di tattiche e tecniche degli avversari gestita dall'organizzazione MITRE ATT&CK. Puoi utilizzare sia le OpenSearch dashboard che le API per creare e utilizzare le regole. Per ulteriori informazioni sulle regole, consulta Lavorare con le regole nella OpenSearch documentazione.

Risultati

Quando un rilevatore abbina una regola a un evento di registro, genera un risultato. Ogni risultato include una combinazione unica di regole selezionate, un tipo di registro e una gravità della regola. I risultati non indicano necessariamente minacce imminenti all'interno del sistema, ma isolano sempre un evento di interesse. Per ulteriori informazioni sui risultati, consulta Lavorare con i risultati nella OpenSearch documentazione.

Avvisi

Quando si crea un rilevatore, è possibile specificare una o più condizioni che attivano un avviso. Un avviso è una notifica inviata a un canale preferito, come Slack o e-mail. Puoi impostare l'avviso in modo che venga attivato quando il rilevatore soddisfa una o più regole e puoi personalizzare il messaggio di notifica. Per ulteriori informazioni sugli avvisi, consulta Lavorare con gli avvisi nella documentazione. OpenSearch

Esplorazione dell'analisi della sicurezza

Puoi utilizzare OpenSearch le dashboard per visualizzare e ottenere informazioni dettagliate sul tuo plug-in Security Analytics. La visualizzazione Panoramica fornisce informazioni quali risultati e conteggio degli avvisi, scoperte e avvisi recenti, regole di rilevamento frequenti e un elenco dei rilevatori. È possibile visualizzare una visualizzazione riepilogativa composta da più visualizzazioni. Il grafico seguente, ad esempio, mostra l'andamento dei risultati e degli avvisi per vari tipi di log in un determinato periodo di tempo.

Chart showing findings and alert trends for network and windows log types over time.

Più in basso nella pagina, puoi esaminare i risultati e gli avvisi più recenti.

Recent alerts and findings tables showing security events and their severity levels.

Inoltre, puoi vedere una distribuzione delle regole attivate più frequentemente tra tutti i rilevatori attivi. Questo può aiutarti a rilevare e indagare su diversi tipi di attività dannose tra i tipi di registro.

Donut chart showing distribution of four most frequent detection rules in different colors.

Infine, è possibile visualizzare lo stato dei rilevatori configurati. Da questo pannello, puoi anche accedere al flusso di lavoro per la creazione del rilevatore.

Table showing 6 detectors with their names, status, and log types.

Per configurare la configurazione di Security Analytics, crea delle regole con la pagina Regole e usale per scrivere i rilevatori nella pagina Rilevatori. Per una visualizzazione più mirata dei risultati di Security Analytics, puoi utilizzare le pagine Risultati e Avvisi.

Configurazione delle autorizzazioni

Se abiliti Security Analytics su un dominio di OpenSearch servizio preesistente, il security_analytics_manager ruolo potrebbe non essere definito nel dominio. Gli utenti senza privilegi di amministratore devono essere mappati a questo ruolo in modo da gestire gli indici a caldo sui domini che utilizzano il controllo granulare degli accessi. Per creare manualmente il ruolo security_analytics_manager, procedere nel seguente modo:

  1. In OpenSearch Dashboard, vai su Sicurezza e scegli Autorizzazioni.

  2. Scegliere Crea gruppo di operazioni e configurare i seguenti gruppi:

    Group name (Nome gruppo) Autorizzazioni
    security_analytics_full_access
    • cluster:admin/opensearch/securityanalytics/alerts/*

    • cluster:admin/opensearch/securityanalytics/detector/*

    • cluster:admin/opensearch/securityanalytics/findings/*

    • cluster:admin/opensearch/securityanalytics/mapping/*

    • cluster:admin/opensearch/securityanalytics/rule/*

    security_analytics_read_access
    • cluster:admin/opensearch/securityanalytics/alerts/get

    • cluster:admin/opensearch/securityanalytics/detector/get

    • cluster:admin/opensearch/securityanalytics/detector/search

    • cluster:admin/opensearch/securityanalytics/findings/get

    • cluster:admin/opensearch/securityanalytics/mapping/get

    • cluster:admin/opensearch/securityanalytics/mapping/view/get

    • cluster:admin/opensearch/securityanalytics/rule/get

    • cluster:admin/opensearch/securityanalytics/rule/search

  3. Scegliere Ruoli, quindi selezionare Crea ruolo.

  4. Assegna un nome al ruolo security_analytics_manager.

  5. Per Autorizzazioni cluster, selezionare security_analytics_full_access e security_analytics_read_access.

  6. Per Indice, digitare *.

  7. Per le autorizzazioni di indicizzazione, seleziona e. indices:admin/mapping/put indices:admin/mappings/get

  8. Scegli Crea.

  9. Dopo aver creato il ruolo, associalo a qualsiasi ruolo utente o di backend che gestirà gli indici di Security Analytics.

Risoluzione dei problemi

Nessun errore di indice di questo tipo

Se non hai rilevatori e apri la dashboard di Security Analytics, potresti vedere una notifica in basso a destra che dice[index_not_found_exception] no such index [.opensearch-sap-detectors-config]. Puoi ignorare questa notifica, che scompare nel giro di pochi secondi e non verrà più visualizzata una volta creato un rilevatore.