As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Análise de segurança para Amazon OpenSearch Service

O Security Analytics é uma OpenSearch solução que fornece visibilidade da infraestrutura da sua organização, monitora atividades anômalas, detecta possíveis ameaças à segurança em tempo real e aciona alertas para destinos pré-configurados. Você pode monitorar atividades maliciosas nos seus logs de eventos de segurança avaliando continuamente as regras e revisando as descobertas de segurança geradas automaticamente. Além disso, o Security Analytics pode gerar alertas automatizados e enviá-los para um canal de notificação específico, como Slack ou e-mail.

Você pode usar o plug-in Security Analytics para detectar ameaças comuns out-of-the-box e gerar informações críticas de segurança a partir de seus registros de eventos de segurança existentes, como registros de firewall, registros do Windows e registros de auditoria de autenticação. Para usar o Security Analytics, seu domínio deve estar executando a OpenSearch versão 2.5 ou posterior.

Componentes e conceitos de Security Analytics

Várias ferramentas e atributos fornecem a base para a operação do Security Analytics. Os principais componentes que compõem o plug-in incluem detectores, tipos de log, regras, descobertas e alertas.

Tipos de log

OpenSearch oferece suporte a vários tipos de registros e fornece out-of-the-box mapeamentos para cada tipo. Você especifica o tipo de log e configura um intervalo de tempo ao criar um detector e, a partir daí, o Security Analytics ativa automaticamente um conjunto relevante de regras que são executadas nesse intervalo.

Detectores

Os detectores identificam uma variedade de ameaças à segurança cibernética para um tipo de log em seus índices de dados. Você configura seu detector para usar regras personalizadas e regras Sigma prontas para uso que avaliam eventos que ocorrem no sistema. O detector então gera descobertas de segurança a partir desses eventos. Para obter mais informações sobre detectores, consulte Criação de detectores na OpenSearch documentação.

Regras

As regras de detecção de ameaças definem as condições que os detectores aplicam aos dados de log ingeridos para identificar um evento de segurança. O Security Analytics oferece suporte à importação, criação e personalização de regras para atender às suas necessidades e também fornece regras Sigma predefinidas e de código aberto para detectar ameaças comuns em seus logs. O Security Analytics mapeia muitas regras para uma base de conhecimento cada vez maior de táticas e técnicas adversárias mantida pela organização MITRE ATT&CK. Você pode usar os OpenSearch painéis ou as APIs para criar e usar regras. Para obter mais informações sobre regras, consulte Como trabalhar com regras na OpenSearch documentação.

Descobertas

Quando um detector combina uma regra com um evento de log, ele gera uma descoberta. Cada descoberta inclui uma combinação exclusiva de regras selecionadas, um tipo de log e uma severidade da regra. As descobertas não apontam necessariamente para ameaças iminentes no sistema, mas sempre isolam um evento de interesse. Para obter mais informações sobre descobertas, consulte Trabalhando com descobertas na OpenSearch documentação.

Alertas

Ao criar um detector, você pode especificar uma ou mais condições que acionam um alerta. Um alerta é uma notificação enviada para um canal preferencial, como Slack ou e-mail. Você configura o alerta para ser acionado quando o detector corresponde a uma ou várias regras e pode personalizar a mensagem de notificação. Para obter mais informações sobre alertas, consulte Como trabalhar com alertas na OpenSearch documentação.

Explorando o Security Analytics

Você pode usar OpenSearch painéis para visualizar e obter informações sobre seu plug-in de análise de segurança. A visão geral fornece informações como descobertas e contagens de alertas, descobertas e alertas recentes, regras de detecção frequentes e uma lista de seus detectores. Você pode ver uma exibição resumida composta por várias visualizações. O gráfico a seguir, por exemplo, mostra a tendência de descobertas e alertas para vários tipos de logs em um determinado período de tempo.

Mais abaixo na página, você pode revisar suas descobertas e alertas mais recentes.

Além disso, você pode ver uma distribuição das regras acionadas com mais frequência em todos os detectores ativos. Isso pode ajudar você a detectar e investigar diferentes tipos de atividades maliciosas em todos os tipos de log.

Finalmente, é possível visualizar o status dos detectores configurados. Nesse painel, você também pode navegar até o fluxo de trabalho de criação de detectores.

Para configurar sua configuração do Security Analytics, crie regras com a página Regras e use essas regras para escrever detectores na página Detectors. Para uma visão mais focada dos resultados do Security Analytics, você pode usar as páginas Descobertas e Alertas.

Configurar permissões do

Se você habilitar o Security Analytics em um domínio OpenSearch de serviço preexistente, a security_analytics_manager função pode não estar definida no domínio. Os usuários não administradores deverão ser mapeados nessa função para poderem gerenciar índices warm usando o controle de aceso detalhado. Para criar manualmente a função security_analytics_manager, faça o seguinte:

Solução de problemas

Esse erro de índice não existe

Se você não tiver detectores e abrir o painel do Security Analytics, verá uma notificação no canto inferior direito que diz [index_not_found_exception] no such index [.opensearch-sap-detectors-config]. Você pode ignorar essa notificação, que desaparece em alguns segundos e não aparecerá novamente depois que um detector for criado.