翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon OpenSearch Service のセキュリティ分析
<a name="security-analytics"></a>

セキュリティ分析は OpenSearch のソリューションの 1 つで、組織のインフラストラクチャの可視化や異常なアクティビティのモニタリング、潜在的なセキュリティ脅威のリアルタイム検出、事前に設定された宛先へのアラート発行などを行います。セキュリティルールを継続的に評価し、自動生成されたセキュリティ検出結果を確認することにより、セキュリティイベントのログの、悪意のあるアクティビティをモニタリングすることができます。さらにセキュリティ分析では、自動アラートを作成し、これを Slack やメールなどの指定された通知チャネルに送信することができます。

セキュリティ分析のプラグインを使用すれば、一般的な脅威をすぐに検出し、ファイアウォールログや Windows ログ、認証監査ログといった既存のセキュリティイベントログから、重要なセキュリティインサイトを生成することができます。セキュリティ分析を使用するには、ドメインが OpenSearch バージョン 2.5 以降を実行している必要があります。

**注記**  
このドキュメントでは、Amazon OpenSearch Service のセキュリティ分析の概要を説明します。主要な概念を定義し、アクセス許可を設定する手順を提供します。設定ガイド、API リファレンス、使用可能なすべての設定のリファレンスを含む包括的なドキュメントについては、OpenSearch ドキュメントの「[Security Analytics](https://opensearch.org/docs/latest/security-analytics/)」を参照してください。

## セキュリティ分析のコンポーネントと概念
<a name="sa-components"></a>

数多くのツールや機能が、セキュリティ分析のオペレーションの基盤を構成しています。セキュリティ分析のプラグインを構成している主な要素には、ディテクター、ログタイプ、ルール、検出結果、アラートなどがあります。

![ソースの特定、ディテクターの作成、ルールの設定、アラートの設定、検出結果への応答の 5 つのステップを示すワークフロー。](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/images/sa-diagram.png)


### ログタイプ
<a name="log-types"></a>

OpenSearch は複数のログのタイプをサポートしており、各タイプですぐにマッピングを行います。ディテクターを作成するときにログタイプを指定して時間間隔を設定すると、そこから、セキュリティ分析は関連するルールセットを自動的にアクティブ化し、指定された間隔で実行します。

### ディテクター
<a name="detectors"></a>

ディテクターは、ログタイプのさまざまなサイバーセキュリティ脅威を、データインデックス全体で特定します。ユーザーは、カスタムルールと、システムで発生するイベントを評価するパッケージ済みの Sigma ルールの、両方を使用するようにディテクターを設定します。すると、ディテクターがこれらのイベントからセキュリティ検出結果を生成します。ディテクターの詳細については、OpenSearch ドキュメントの「[Creating detectors](https://opensearch.org/docs/latest/security-analytics/sec-analytics-config/detectors-config/)」(ディテクターの作成) を参照してください。

### Rules
<a name="rules"></a>

脅威検出ルールは、ディテクターが、取り込まれたログデータに適用してセキュリティイベントを特定する際の条件を定義します。セキュリティ分析では、ユーザーの要件に合うように、ルールをインポート、作成、カスタマイズすることができます。また、ログから一般的な脅威を検出するための、パッケージ済みの、オープンソースの Sigma ルールも用意されています。セキュリティ分析は、[MITRE ATT&CK]() 組織が管理している、敵対相手の戦術やテクニックに関する、増加を続けるナレッジベースに、数多くのルールをマッピングします。ルールを作成し使用するには、OpenSearch Dashboards と API の両方を使用できます。ルールの詳細については、OpenSearch ドキュメントの「[Working with rules](https://opensearch.org/docs/latest/security-analytics/usage/rules/)」(ルールの使用方法) を参照してください。

### 検出結果
<a name="findings"></a>

ディテクターによって、ルールとログイベントが一致すると、検出結果が生成されます。各検出結果には、選択したルール、ログタイプ、ルールの重要度から成る、一意の組み合わせが含まれています。検出結果に示される脅威は、必ずしも、今すぐ対処しなければならないものではありませんが、常に重要なイベントが取り出されています。検出結果の詳細については、OpenSearch ドキュメントの「[Working with findings](https://opensearch.org/docs/latest/security-analytics/usage/findings/)」(検出結果の使用方法) を参照してください。

### アラート
<a name="alerts"></a>

ディテクターを作成するときは、アラートをトリガーする条件を 1 つ以上指定することができます。アラートは、Slack やメールなど、優先チャンネルに送信される通知です。ディテクターが 1 つまたは複数のルールに一致したときにアラートがトリガーされるように設定します。通知メッセージはカスタマイズできます。アラートの詳細については、OpenSearch ドキュメントの「[Working with alerts](https://opensearch.org/docs/latest/security-analytics/usage/alerts/)」(アラートの使用方法) を参照してください。

## セキュリティ分析を理解する
<a name="sa-dashboards"></a>

OpenSearch Dashboards を使用すれば、Security Analytics のプラグインを視覚化してインサイトを得ることができます。**[概要]** 画面では、検出結果とアラート数、最近の検出結果とアラート、頻出の検出ルール、ディテクターの一覧といった情報を確認できます。複数の画面を、それらをまとめた 1 か所の画面で確認できます。例えば、次のグラフには、特定の期間におけるさまざまなログタイプの検出結果とアラートの傾向が示されています。

![ネットワークログタイプとウィンドウログタイプの検出結果とアラート数を経時的に示すグラフ。](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/images/sa-findings-alerts-chart.png)


ページの下へ進むと、最新の検出結果とアラートを確認できます。

![タイムスタンプ、重要度レベル、ディテクターを含む最近のアラートと最近の検出結果を示す 2 つの表。](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/images/sa-findings-alerts.png)


さらに、最も多くトリガーされたルールが、アクティブなディテクター全体に広がっていることを確認できます。ログタイプ全体でさまざまな種類の悪意あるアクティビティを検出し、調査するのに役立ちます。

![ほぼ等しい割合の 4 つの検出ルールの分布を示すドーナツグラフ。](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/images/sa-detection-rules.png)


最後に、設定済みのディテクターのステータスを確認できます。このパネルからは、ディテクターのワークフローの作成に移動することもできます。

![Windows、Cloudtrail、Network などの名前、ステータス、ログタイプを持つ 6 つのアクティブなディテクターを示すディテクターテーブル。](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/images/sa-detectors.png)


Security Analytics の設定を行うには、**[Rules]** (ルール) ページでルールを作成し、このルールを使って **[Detectors]** (ディテクター) ページにディテクターを記述します。Security Analytics の検出結果に特化した画面を表示するには、**[Findings]** (検出結果) と **[Alerts]** (アラート) のページを使用します。

## アクセス許可の設定
<a name="sa-permissions"></a>

既存の OpenSearch Service ドメインで Security Analytics を有効にした場合、そのドメインで `security_analytics_manager` ロールが定義されていない可能性があります。きめ細かなアクセスコントロールを使用してドメインのウォームインデックスを管理するには、管理者以外のユーザーがこのロールにマッピングされている必要があります。`security_analytics_manager` ロールを手動で作成するには、以下のステップを実行します。

1. OpenSearch Dashboards で、**[セキュリティ]** に進み、**[許可]** を選択します。

1. [**アクショングループの作成**] を選択し、以下のグループを設定します。    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/security-analytics.html)

1. **[ロール]**、**[ロールの作成]** の順に選択します。

1. ロールに **security\_analytics\_manager** という名前を付けます。

1. **クラスターの許可** では、`security_analytics_full_access` および `security_analytics_read_access` を選択します。

1. [**インデックス**] では、`*` と入力します。

1. **[Index permissions]** (インデックスのアクセス許可) で、`indices:admin/mapping/put` と `indices:admin/mappings/get` を選択します。

1. **[作成]** を選択します。

1. ロールを作成したら、任意のユーザーまたは Security Analytics インデックスを管理するバックエンドロールに、[それをマッピング](fgac.md#fgac-mapping)します。

## トラブルシューティング
<a name="sa-troubleshoot"></a>

### そのようなインデックスエラーはありません
<a name="index"></a>

ディテクターがない状態で Security Analytics ダッシュボードを開くと、右下に `[index_not_found_exception] no such index [.opensearch-sap-detectors-config]` と書かれた通知が表示されることがあります。この通知は無視してかまいません。ディテクターを作成すると数秒で消え、再び表示されることはありません。