Amazon OpenSearch Service 安全分析 - 亚马逊 OpenSearch 服务
安全分析组件和概念探索安全分析配置 权限故障排除

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon OpenSearch Service 安全分析

安全分析是一种 OpenSearch 解决方案,用于监控组织基础设施、监控异常活动、实时检测潜在安全威胁,并对预先配置的目标触发警报。您可以通过持续评估安全规则及查看自动生成的安全调查发现来监控安全事件日志中的恶意活动。此外,安全分析还可以生成自动警报,并将其发送到指定通知通道,例如 Slack 或电子邮件。

您可以使用安全分析插件检测即时常见威胁,并从现有的安全事件日志(例如,防火墙日志、Windows 日志和身份验证审计日志)中生成重要安全见解。域必须运行 OpenSearch 版本 2.5 或更高版本,才能使用安全分析。

注意

本文档简要概述了适用于 Amazon OpenSearch Service 的安全分析,包括关键概念以及配置权限的步骤。如需全面的文档,包括设置指南、API 参考和所有可用设置的参考,请参阅 OpenSearch 文档中的 Security Analytics

安全分析组件和概念

大量工具和功能为运行安全分析奠定了基础。构成插件的主要组件包括探测器、日志类型、规则、调查发现和警报。

Workflow diagram showing steps from source ingestion to generating findings and alerts.

日志类型

OpenSearch 支持多种类型的日志,并针对每种类型提供现成可用的映射。您可以在创建探测器时指定日志类型并配置时间间隔,然后安全分析将自动激活以该间隔运行的一组相关规则。

探测器

探测器可识别数据索引中针对某一日志类型的一系列网络安全威胁。您可以将探测器配置为使用自定义规则和预包装 Sigma 规则来评估系统中发生的事件。然后,探测器将根据这些事件生成安全调查发现结果。有关探测器的更多信息,请参阅 OpenSearch 文档中的创建探测器

规则

威胁检测规则定义探测器应用于摄取日志数据以识别安全事件的条件。安全分析支持导入、创建和自定义规则以满足您的要求,同时还提供预包装开源 Sigma 规则以检测日志中的常见威胁。安全将大量规则映射到由 MITRE ATT&CK 组织维护的规模不断壮大的攻击者策略和技术知识库。您可以使用 OpenSearch 控制面板或 API 创建和使用规则。有关规则的更多信息,请参阅 OpenSearch 文档中的使用规则

调查发现

当探测器匹配规则与日志事件时,将生成调查发现。每项调查发现均包含唯一的选择规则、日志类型和规则严重性组合。调查发现不一定指向系统内部即将发生的威胁,但始终隔离感兴趣的事件。有关调查发现的更多信息,请参阅 OpenSearch 文档中的使用调查发现

提醒

创建探测器时,您可以指定一个或多个触发提醒的条件。提醒是指发送到首选通道的通知,例如 Slack 或电子邮件。您可以设置在探测器匹配一个或多个规则时触发提醒,而且可以自定义通知消息。有关提醒的更多信息,请参阅 OpenSearch 文档中的使用提醒

探索安全分析

您可以使用 OpenSearch 控制面板可视化显示并深入了解安全分析插件。概述视图提供了多方面的信息,例如调查发现和提醒计数、近期调查发现和提醒、频繁检测规则以及探测器列表等。您可以查看由多个可视化效果图构成的摘要视图。例如,下图显示了给定时段内不同日志类型的调查发现和提醒趋势。

Chart showing findings and alert trends for network and windows log types over time.

在页面下方,您可以查看最新调查发现和提醒。

Recent alerts and findings tables showing security events and their severity levels.

此外,您还可以查看所有活动探测器中最常触发的规则的分布情况。这样可以帮助您检测和调查各种日志类型的不同类型恶意活动。

Donut chart showing distribution of four most frequent detection rules in different colors.

最后,还可以查看已配置探测器的状态。您也可以通过此面板导航到创建探测器工作流。

Table showing 6 detectors with their names, status, and log types.

要配置您的安全分析设置,请使用规则页面创建规则,然后使用这些规则在探测器页面中编写探测器。要集中查看安全分析结果,您可以使用调查发现提醒页面。

配置 权限

如果在预先存在的 OpenSearch Service 域上启用安全分析,security_analytics_manager 角色可能无法在域上定义。必须将非管理员用户映射到此角色,才能使用精细访问控制管理域上的温索引。手动创建 security_analytics_manager 角色,请执行下列步骤:

  1. 在 OpenSearch 控制面板中,转到安全,然后选择权限

  2. 选择创建操作组并配置以下组:

    组名 权限
    security_analytics_full_access

    • cluster:admin/opensearch/securityanalytics/alerts/*

    • cluster:admin/opensearch/securityanalytics/detector/*

    • cluster:admin/opensearch/securityanalytics/findings/*

    • cluster:admin/opensearch/securityanalytics/mapping/*

    • cluster:admin/opensearch/securityanalytics/rule/*
    security_analytics_read_access

    • cluster:admin/opensearch/securityanalytics/alerts/get

    • cluster:admin/opensearch/securityanalytics/detector/get

    • cluster:admin/opensearch/securityanalytics/detector/search

    • cluster:admin/opensearch/securityanalytics/findings/get

    • cluster:admin/opensearch/securityanalytics/mapping/get

    • cluster:admin/opensearch/securityanalytics/mapping/view/get

    • cluster:admin/opensearch/securityanalytics/rule/get

    • cluster:admin/opensearch/securityanalytics/rule/search

  3. 选择角色创建角色

  4. 将角色命名为 security_analytics_manager

  5. 对于群集权限,选择 security_analytics_full_accesssecurity_analytics_read_access

  6. 对于索引,键入 *

  7. 对于索引权限,选择 indices:admin/mapping/putindices:admin/mappings/get

  8. 选择创建

  9. 创建角色之后,将其映射到将管理安全分析索引的任何用户或后端角色。

故障排除

无此类索引错误

如果您没有探测器,打开安全分析控制面板,可能会在右下角看到一条通知,通知内容为 [index_not_found_exception] no such index [.opensearch-sap-detectors-config]。您可以忽略此通知,通知会在几秒钟内消失,且创建探测器后不会再次显示。