As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Análise de segurança para Amazon OpenSearch Service
O Security Analytics é uma OpenSearch solução que fornece visibilidade da infraestrutura da sua organização, monitora atividades anômalas, detecta possíveis ameaças à segurança em tempo real e aciona alertas para destinos pré-configurados. Você pode monitorar atividades maliciosas nos seus logs de eventos de segurança avaliando continuamente as regras e revisando as descobertas de segurança geradas automaticamente. Além disso, o Security Analytics pode gerar alertas automatizados e enviá-los para um canal de notificação específico, como Slack ou e-mail.
Você pode usar o plug-in Security Analytics para detectar ameaças comuns out-of-the-box e gerar informações críticas de segurança a partir de seus registros de eventos de segurança existentes, como registros de firewall, registros do Windows e registros de auditoria de autenticação. Para usar o Security Analytics, seu domínio deve estar executando a OpenSearch versão 2.5 ou posterior.
**nota**
Esta documentação fornece uma breve visão geral do Security Analytics for Amazon OpenSearch Service. Ele define os principais conceitos e fornece etapas para configurar as permissões. Para obter uma documentação abrangente, incluindo um guia de configuração, uma referência de API e uma referência de todas as configurações disponíveis, consulte [Security Analytics](https://opensearch.org/docs/latest/security-analytics/) na OpenSearch documentação.
## Componentes e conceitos de Security Analytics
Várias ferramentas e atributos fornecem a base para a operação do Security Analytics. Os principais componentes que compõem o plug-in incluem detectores, tipos de log, regras, descobertas e alertas.
### Tipos de log
OpenSearch suporta vários tipos de registros e fornece out-of-the-box mapeamentos para cada tipo. Você especifica o tipo de log e configura um intervalo de tempo ao criar um detector e, a partir daí, o Security Analytics ativa automaticamente um conjunto relevante de regras que são executadas nesse intervalo.
### Detectores
Os detectores identificam uma variedade de ameaças à segurança cibernética para um tipo de log em seus índices de dados. Você configura seu detector para usar regras personalizadas e regras Sigma prontas para uso que avaliam eventos que ocorrem no sistema. O detector então gera descobertas de segurança a partir desses eventos. Para obter mais informações sobre detectores, consulte [Criação de detectores](https://opensearch.org/docs/latest/security-analytics/sec-analytics-config/detectors-config/) na OpenSearch documentação.
### Regras
As regras de detecção de ameaças definem as condições que os detectores aplicam aos dados de log ingeridos para identificar um evento de segurança. O Security Analytics oferece suporte à importação, criação e personalização de regras para atender às suas necessidades e também fornece regras Sigma predefinidas e de código aberto para detectar ameaças comuns em seus logs. O Security Analytics mapeia muitas regras para uma base de conhecimento cada vez maior de táticas e técnicas adversárias mantida pela organização [MITRE]() ATT&CK. Você pode usar os OpenSearch painéis ou o APIs para criar e usar regras. Para obter mais informações sobre regras, consulte Como [trabalhar com regras](https://opensearch.org/docs/latest/security-analytics/usage/rules/) na OpenSearch documentação.
### Conclusões
Quando um detector combina uma regra com um evento de log, ele gera uma descoberta. Cada descoberta inclui uma combinação exclusiva de regras selecionadas, um tipo de log e uma severidade da regra. As descobertas não apontam necessariamente para ameaças iminentes no sistema, mas sempre isolam um evento de interesse. Para obter mais informações sobre descobertas, consulte [Trabalhando com descobertas](https://opensearch.org/docs/latest/security-analytics/usage/findings/) na OpenSearch documentação.
### Alertas
Ao criar um detector, você pode especificar uma ou mais condições que acionam um alerta. Um alerta é uma notificação enviada para um canal preferencial, como Slack ou e-mail. Você configura o alerta para ser acionado quando o detector corresponde a uma ou várias regras e pode personalizar a mensagem de notificação. Para obter mais informações sobre alertas, consulte Como [trabalhar com alertas](https://opensearch.org/docs/latest/security-analytics/usage/alerts/) na OpenSearch documentação.
## Explorando o Security Analytics
Você pode usar OpenSearch painéis para visualizar e obter informações sobre seu plug-in de análise de segurança. O **Visão geral** fornece informações como descobertas e contagens de alertas, descobertas e alertas recentes, regras de detecção frequentes e uma lista de seus detectores. Você pode ver uma exibição resumida composta por várias visualizações. O gráfico a seguir, por exemplo, mostra a tendência de descobertas e alertas para vários tipos de logs em um determinado período de tempo.
Mais abaixo na página, você pode revisar suas descobertas e alertas mais recentes.
Além disso, você pode ver uma distribuição das regras acionadas com mais frequência em todos os detectores ativos. Isso pode ajudar você a detectar e investigar diferentes tipos de atividades maliciosas em todos os tipos de log.
Finalmente, é possível visualizar o status dos detectores configurados. Nesse painel, você também pode navegar até o fluxo de trabalho de criação de detectores.
Para configurar sua configuração do Security Analytics, crie regras com a página **Regras** e use essas regras para escrever detectores na página **Detectors**. Para uma visão mais focada dos resultados do Security Analytics, você pode usar as páginas **Descobertas** e **Alertas**.
## Configurar permissões do
Se você habilitar o Security Analytics em um domínio OpenSearch de serviço preexistente, a `security_analytics_manager` função pode não estar definida no domínio. Os usuários não administradores deverão ser mapeados nessa função para poderem gerenciar índices warm usando o controle de aceso detalhado. Para criar manualmente a função `security_analytics_manager`, faça o seguinte:
1. Em OpenSearch Painéis, acesse **Segurança** e escolha **Permissões**.
1. Escolha **Criar grupo de ações** e configure os seguintes grupos:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/security-analytics.html)
1. Escolha **Funções** e, em seguida, **Criar função**.
1. Nomeie o perfil **security\_analytics\_manager**.
1. Para **Permissões de cluster**, selecione `security_analytics_full_access` e `security_analytics_read_access`.
1. Para **Índice**, digite `*`.
1. Para **Permissões de índice**, selecione `indices:admin/mapping/put` e `indices:admin/mappings/get`,
1. Escolha **Criar**.
1. Depois de criar a função, [mapeie-a](fgac.md#fgac-mapping) em qualquer função de usuário ou de backend que gerencie índices de Security Analytics.
## Solução de problemas
### Esse erro de índice não existe
Se você não tiver detectores e abrir o painel do Security Analytics, verá uma notificação no canto inferior direito que diz `[index_not_found_exception] no such index [.opensearch-sap-detectors-config]`. Você pode ignorar essa notificação, que desaparece em alguns segundos e não aparecerá novamente depois que um detector for criado.