Analisis Keamanan untuk OpenSearch Layanan Amazon - OpenSearch Layanan Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Analisis Keamanan untuk OpenSearch Layanan Amazon

Security Analytics adalah OpenSearch solusi yang memberikan visibilitas ke infrastruktur organisasi Anda, memantau aktivitas anomali, mendeteksi potensi ancaman keamanan secara real time, dan memicu peringatan ke tujuan yang telah dikonfigurasi sebelumnya. Anda dapat memantau aktivitas berbahaya dari log peristiwa keamanan Anda dengan terus mengevaluasi aturan keamanan dan meninjau temuan keamanan yang dibuat secara otomatis. Selain itu, Security Analytics dapat menghasilkan peringatan otomatis dan mengirimkannya ke saluran notifikasi tertentu, seperti Slack atau email.

Anda dapat menggunakan plugin Security Analytics untuk mendeteksi ancaman umum out-of-the-box dan menghasilkan wawasan keamanan penting dari log peristiwa keamanan yang ada, seperti log firewall, log windows, dan log audit otentikasi. Untuk menggunakan Security Analytics, domain Anda harus menjalankan OpenSearch versi 2.5 atau yang lebih baru.

catatan

Dokumentasi ini memberikan gambaran singkat tentang Security Analytics for Amazon OpenSearch Service. Ini mendefinisikan konsep kunci dan menyediakan langkah-langkah untuk mengkonfigurasi izin. Untuk dokumentasi komprehensif, termasuk panduan penyiapan, referensi API, dan referensi dari semua setelan yang tersedia, lihat Analisis Keamanan di OpenSearch dokumentasi..

Komponen dan konsep analitik keamanan

Sejumlah alat dan fitur memberikan dasar bagi pengoperasian Analisis Keamanan. Komponen utama yang menyusun plugin termasuk detektor, jenis log, aturan, temuan, dan peringatan.

Workflow diagram showing steps from source ingestion to generating findings and alerts.

Jenis log

OpenSearch mendukung beberapa jenis log dan menyediakan out-of-the-box pemetaan untuk setiap jenis. Anda menentukan jenis log dan mengonfigurasi interval waktu saat membuat detektor, dan dari sana Security Analytics secara otomatis mengaktifkan seperangkat aturan yang relevan yang berjalan pada interval tersebut.

Detektor

Detektor mengidentifikasi berbagai ancaman keamanan siber untuk jenis log di seluruh indeks data Anda. Anda mengonfigurasi detektor untuk menggunakan aturan kustom dan aturan Sigma pra-paket yang mengevaluasi peristiwa yang terjadi di sistem. Detektor kemudian menghasilkan temuan keamanan dari peristiwa ini. Untuk informasi selengkapnya tentang detektor, lihat Membuat detektor dalam dokumentasi. OpenSearch

Aturan

Aturan deteksi ancaman menentukan kondisi yang diterapkan detektor pada data log yang dicerna untuk mengidentifikasi peristiwa keamanan. Security Analytics mendukung pengimporan, pembuatan, dan penyesuaian aturan untuk memenuhi kebutuhan Anda, dan juga menyediakan aturan Sigma sumber terbuka yang dikemas untuk mendeteksi ancaman umum dari log Anda. Security Analytics memetakan banyak aturan ke basis pengetahuan yang terus berkembang tentang taktik dan teknik musuh yang dikelola oleh organisasi MITRE ATT&CK. Anda dapat menggunakan OpenSearch Dasbor atau API untuk membuat dan menggunakan aturan. Untuk informasi selengkapnya tentang aturan, lihat Bekerja dengan aturan dalam OpenSearch dokumentasi.

Temuan

Ketika detektor mencocokkan aturan dengan peristiwa log, detektor menghasilkan temuan. Setiap temuan mencakup kombinasi unik dari aturan pilih, jenis log, dan tingkat keparahan aturan. Temuan tidak selalu menunjukkan ancaman yang akan segera terjadi dalam sistem, tetapi mereka selalu mengisolasi peristiwa yang menarik. Untuk informasi lebih lanjut tentang temuan, lihat Bekerja dengan temuan dalam OpenSearch dokumentasi.

Peringatan

Saat membuat detektor, Anda dapat menentukan satu atau beberapa kondisi yang memicu peringatan. Peringatan adalah pemberitahuan yang dikirim ke saluran pilihan, seperti Slack atau email. Anda menyetel peringatan yang akan dipicu saat detektor cocok dengan satu atau beberapa aturan, dan dapat menyesuaikan pesan notifikasi. Untuk informasi selengkapnya tentang lansiran, lihat Bekerja dengan lansiran di dokumentasi. OpenSearch

Menjelajahi Analisis Keamanan

Anda dapat menggunakan OpenSearch Dasbor untuk memvisualisasikan dan mendapatkan wawasan tentang plugin Analisis Keamanan Anda. Tampilan Ikhtisar memberikan informasi seperti temuan dan jumlah peringatan, temuan dan peringatan terbaru, aturan deteksi yang sering, dan daftar detektor Anda. Anda dapat melihat tampilan ringkasan yang terdiri dari beberapa visualisasi. Bagan berikut, misalnya, menunjukkan tren temuan dan peringatan untuk berbagai jenis log selama periode waktu tertentu.

Chart showing findings and alert trends for network and windows log types over time.

Lebih jauh ke bawah halaman, Anda dapat meninjau temuan dan peringatan terbaru Anda.

Recent alerts and findings tables showing security events and their severity levels.

Selain itu, Anda dapat melihat distribusi aturan yang paling sering dipicu di semua detektor aktif. Ini dapat membantu Anda mendeteksi dan menyelidiki berbagai jenis aktivitas berbahaya di seluruh jenis log.

Donut chart showing distribution of four most frequent detection rules in different colors.

Akhirnya, Anda dapat melihat status detektor yang dikonfigurasi. Dari panel ini, Anda juga dapat menavigasi ke alur kerja buat detektor.

Table showing 6 detectors with their names, status, and log types.

Untuk mengonfigurasi penyiapan Analisis Keamanan Anda, buat aturan dengan halaman Aturan dan gunakan aturan tersebut untuk menulis detektor di halaman Detektor. Untuk tampilan hasil Analisis Keamanan yang lebih terfokus, Anda dapat menggunakan halaman Temuan dan Peringatan.

Konfigurasi izin

Jika Anda mengaktifkan Analisis Keamanan pada domain OpenSearch Layanan yang sudah ada sebelumnya, security_analytics_manager peran tersebut mungkin tidak ditentukan pada domain. Pengguna non-admin harus dipetakan ke peran ini untuk mengelola indeks hangat pada domain menggunakan kontrol akses berbutir halus. Untuk membuat secara manual peran security_analytics_manager, lakukan langkah-langkah berikut:

  1. Di OpenSearch Dasbor, buka Keamanan dan pilih Izin.

  2. Pilih Buat grup tindakan dan konfigurasi grup-grup berikut:

    Nama grup Izin
    security_analytics_full_access
    • cluster:admin/opensearch/securityanalytics/alerts/*

    • cluster:admin/opensearch/securityanalytics/detector/*

    • cluster:admin/opensearch/securityanalytics/findings/*

    • cluster:admin/opensearch/securityanalytics/mapping/*

    • cluster:admin/opensearch/securityanalytics/rule/*

    security_analytics_read_access
    • cluster:admin/opensearch/securityanalytics/alerts/get

    • cluster:admin/opensearch/securityanalytics/detector/get

    • cluster:admin/opensearch/securityanalytics/detector/search

    • cluster:admin/opensearch/securityanalytics/findings/get

    • cluster:admin/opensearch/securityanalytics/mapping/get

    • cluster:admin/opensearch/securityanalytics/mapping/view/get

    • cluster:admin/opensearch/securityanalytics/rule/get

    • cluster:admin/opensearch/securityanalytics/rule/search

  3. Pilih Peran dan Buat peran.

  4. Beri nama peran security_analytics_manager.

  5. Untuk Izin klaster, pilih security_analytics_full_access dan security_analytics_read_access.

  6. Untuk Indeks, ketik *.

  7. Untuk izin Indeks, pilih indices:admin/mapping/put danindices:admin/mappings/get.

  8. Pilih Buat.

  9. Setelah Anda membuat peran, petakan ke setiap pengguna atau peran backend yang akan mengelola indeks Analytics Keamanan.

Pemecahan Masalah

Tidak ada kesalahan indeks seperti itu

Jika Anda tidak memiliki detektor dan Anda membuka dasbor Analytics Keamanan, Anda mungkin melihat pemberitahuan di kanan bawah yang bertuliskan[index_not_found_exception] no such index [.opensearch-sap-detectors-config]. Anda dapat mengabaikan pemberitahuan ini, yang menghilang dalam beberapa detik dan tidak akan muncul lagi setelah Anda membuat detektor.