Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheitsanalysen für Amazon OpenSearch Service
<a name="security-analytics"></a>

Security Analytics ist eine OpenSearch Lösung, die Einblick in die Infrastruktur Ihres Unternehmens bietet, ungewöhnliche Aktivitäten überwacht, potenzielle Sicherheitsbedrohungen in Echtzeit erkennt und Warnmeldungen an vorkonfigurierte Ziele auslöst. Sie können anhand Ihrer Sicherheitsereignisprotokolle nach böswilligen Aktivitäten Ausschau halten, indem Sie die Sicherheitsregeln kontinuierlich auswerten und die automatisch generierten Sicherheitsergebnisse überprüfen. Darüber hinaus kann Security Analytics automatische Warnmeldungen generieren und diese an einen bestimmten Benachrichtigungskanal wie Slack oder E-Mail senden.

Sie können das Security Analytics-Plugin verwenden, um häufig auftretende Bedrohungen zu erkennen out-of-the-box und wichtige Sicherheitsinformationen aus Ihren vorhandenen Sicherheitsereignisprotokollen wie Firewallprotokollen, Windows-Protokollen und Authentifizierungsprotokollen zu gewinnen. Um Security Analytics verwenden zu können, muss auf Ihrer Domain OpenSearch Version 2.5 oder höher ausgeführt werden. 

**Anmerkung**  
Diese Dokumentation bietet einen kurzen Überblick über Security Analytics for Amazon OpenSearch Service. Es definiert wichtige Konzepte und enthält Schritte zur Konfiguration von Berechtigungen. Eine umfassende Dokumentation, einschließlich eines Einrichtungsleitfadens, einer API-Referenz und einer Referenz aller verfügbaren Einstellungen, finden Sie in der OpenSearch Dokumentation unter [Security Analytics](https://opensearch.org/docs/latest/security-analytics/).

## Komponenten und Konzepte der Sicherheitsanalyse
<a name="sa-components"></a>

Eine Reihe von Tools und Funktionen bilden die Grundlage für den Betrieb von Security Analytics. Zu den Hauptkomponenten, aus denen das Plugin besteht, gehören Detektoren, Protokolltypen, Regeln, Ergebnisse und Warnungen.

![Arbeitsablauf mit fünf Schritten: Identifizieren Sie Quellen, erstellen Sie einen Detektor, konfigurieren Sie Regeln, konfigurieren Sie Warnungen und reagieren Sie auf Ergebnisse.](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/sa-diagram.png)


### Typen von Protokollen
<a name="log-types"></a>

OpenSearch unterstützt mehrere Arten von Protokollen und bietet out-of-the-box Zuordnungen für jeden Typ. Sie geben den Protokolltyp an und konfigurieren ein Zeitintervall, wenn Sie einen Detektor erstellen. Von dort aus aktiviert Security Analytics automatisch einen entsprechenden Regelsatz, der in diesem Intervall ausgeführt wird.

### Detektoren
<a name="detectors"></a>

Detektoren identifizieren eine Reihe von Cybersicherheitsbedrohungen für einen Protokolltyp in Ihren Datenindizes. Sie konfigurieren Ihren Detektor so, dass er sowohl benutzerdefinierte Regeln als auch vorgefertigte Sigma-Regeln verwendet, die Ereignisse im System auswerten. Der Detektor generiert dann Sicherheitsergebnisse aus diesen Ereignissen. Weitere Informationen zu Meldern finden Sie in der OpenSearch Dokumentation unter [Melder erstellen](https://opensearch.org/docs/latest/security-analytics/sec-analytics-config/detectors-config/).

### Regeln
<a name="rules"></a>

Regeln zur Bedrohungserkennung definieren die Bedingungen, die Melder auf aufgenommene Protokolldaten anwenden, um ein Sicherheitsereignis zu identifizieren. Security Analytics unterstützt das Importieren, Erstellen und Anpassen von Regeln, um Ihre Anforderungen zu erfüllen, und bietet außerdem vorkonfigurierte Open-Source-Sigma-Regeln, mit denen Sie häufig auftretende Bedrohungen anhand Ihrer Protokolle erkennen können. [Security Analytics ordnet viele Regeln einer ständig wachsenden Wissensbasis über gegnerische Taktiken und Techniken zu, die von der MITRE ATT&CK-Organisation verwaltet werden.]() Sie können beide OpenSearch Dashboards oder die verwenden, um Regeln zu erstellen und zu verwenden. APIs Weitere Informationen zu Regeln finden Sie in der OpenSearch Dokumentation unter [Arbeiten mit Regeln](https://opensearch.org/docs/latest/security-analytics/usage/rules/).

### Ergebnisse
<a name="findings"></a>

Wenn ein Detektor eine Regel mit einem Protokollereignis abgleicht, generiert er einen Befund. Jedes Ergebnis umfasst eine eindeutige Kombination aus ausgewählten Regeln, einem Protokolltyp und einem Regelschweregrad. Die Ergebnisse deuten nicht unbedingt auf unmittelbare Bedrohungen innerhalb des Systems hin, aber sie isolieren immer ein interessierendes Ereignis. Weitere Informationen zu den Ergebnissen finden Sie in der OpenSearch Dokumentation unter [Arbeiten mit Ergebnissen](https://opensearch.org/docs/latest/security-analytics/usage/findings/).

### Benachrichtigungen
<a name="alerts"></a>

Wenn Sie einen Detektor erstellen, können Sie eine oder mehrere Bedingungen angeben, die eine Warnung auslösen. Eine Warnung ist eine Benachrichtigung, die an einen bevorzugten Kanal wie Slack oder E-Mail gesendet wird. Sie legen fest, dass die Warnung ausgelöst wird, wenn der Detektor einer oder mehreren Regeln entspricht, und können die Benachrichtigungsnachricht anpassen. Weitere Informationen zu Warnmeldungen finden Sie in der OpenSearch Dokumentation unter [Arbeiten mit Warnmeldungen](https://opensearch.org/docs/latest/security-analytics/usage/alerts/).

## Erfahren Sie mehr über Sicherheitsanalysen
<a name="sa-dashboards"></a>

Sie können OpenSearch Dashboards verwenden, um Ihr Security Analytics-Plugin zu visualisieren und Einblicke in dieses zu erhalten. Die **Übersichtsansicht** enthält Informationen wie Ergebnisse und Anzahl der Alarme, aktuelle Ergebnisse und Warnungen, Regeln für häufige Erkennungen und eine Liste Ihrer Melder. Sie können eine Übersichtsansicht sehen, die aus mehreren Visualisierungen besteht. Das folgende Diagramm zeigt beispielsweise den Trend der Ergebnisse und Warnmeldungen für verschiedene Protokolltypen über einen bestimmten Zeitraum.

![Diagramm, das die Ergebnisse und die Anzahl der Warnmeldungen für Netzwerk- und Windows-Protokolltypen im Zeitverlauf zeigt.](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/sa-findings-alerts-chart.png)


Weiter unten auf der Seite können Sie Ihre neuesten Ergebnisse und Warnungen überprüfen. 

![Zwei Tabellen mit aktuellen Warnmeldungen und aktuellen Ergebnissen mit Zeitstempeln, Schweregrad und Meldern.](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/sa-findings-alerts.png)


Darüber hinaus können Sie sich eine Verteilung der am häufigsten ausgelösten Regeln auf alle aktiven Melder anzeigen lassen. Dies kann Ihnen helfen, verschiedene Arten bösartiger Aktivitäten in verschiedenen Protokolltypen zu erkennen und zu untersuchen. 

![Ringdiagramm, das die Verteilung der vier Erkennungsregeln mit etwa gleichen Anteilen zeigt.](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/sa-detection-rules.png)


Schließlich können Sie den Status der konfigurierten Melder einsehen. Von diesem Bereich aus können Sie auch zum Workflow zum Erstellen von Meldern navigieren.

![Die Detektortabelle mit sechs aktiven Meldern mit Namen, Status und Protokolltypen wie Windows, Cloudtrail und Network.](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/sa-detectors.png)


Um Ihr Security Analytics-Setup zu konfigurieren, erstellen Sie Regeln auf der Seite „**Regeln**“ und verwenden Sie diese Regeln, um Melder auf der Seite „**Detektoren**“ zu schreiben. Für eine genauere Ansicht Ihrer Security Analytics-Ergebnisse können Sie die Seiten **Ergebnisse** und **Warnungen** verwenden.

## Konfigurieren von -Berechtigungen
<a name="sa-permissions"></a>

Wenn Sie Security Analytics für eine bereits bestehende OpenSearch Dienstdomäne aktivieren, ist die `security_analytics_manager` Rolle möglicherweise nicht für die Domäne definiert. Benutzer ohne Administratorrechte müssen dieser Rolle zugeordnet werden, um Warm-Indizes in Domains mithilfe einer fein abgestuften Zugriffskontrolle zu verwalten. Führen Sie die folgenden Schritte aus, um die `security_analytics_manager`-Rolle manuell zu erstellen:

1. **Gehen Sie in OpenSearch Dashboards zu **Sicherheit** und wählen Sie Berechtigungen aus.**

1. Wählen Sie **Aktionsgruppe erstellen** und konfigurieren Sie die folgenden Gruppen:     
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/security-analytics.html)

1. Wählen Sie **Rollen** und **Rolle erstellen**.

1. Nennen Sie die Rolle **security\_analytics\_manager**.

1. Wählen Sie für **Clusterberechtigungen** `security_analytics_full_access` und `security_analytics_read_access` aus.

1. Geben Sie für **Index** `*` ein.

1. Wählen Sie für **Indexberechtigungen** die Option und aus. `indices:admin/mapping/put` `indices:admin/mappings/get`

1. Wählen Sie **Erstellen** aus.

1. Nachdem Sie die Rolle erstellt haben, [ordnen Sie sie](fgac.md#fgac-mapping) einer beliebigen Benutzer- oder Backend-Rolle zu, die Security Analytics-Indizes verwaltet.

## Fehlerbehebung
<a name="sa-troubleshoot"></a>

### Kein solcher Indexfehler
<a name="index"></a>

Wenn Sie keine Melder haben und das Security Analytics-Dashboard öffnen, sehen Sie möglicherweise unten rechts eine Benachrichtigung mit dem Hinweis`[index_not_found_exception] no such index [.opensearch-sap-detectors-config]`. Sie können diese Benachrichtigung ignorieren. Sie verschwindet innerhalb weniger Sekunden und erscheint nicht mehr, sobald Sie einen Detektor erstellt haben.