本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon OpenSearch Service 的安全分析 Security Analytics 是一種 OpenSearch 解決方案,可讓您了解組織的基礎設施、監控異常活動、即時偵測潛在的安全威脅,以及觸發對預先設定目的地的提醒。您可以持續評估安全規則並檢閱自動產生的安全調查結果,以監控安全事件日誌中的惡意活動。此外,Security Analytics 可以產生自動提醒,並將其傳送到指定的通知管道,例如 Slack 或電子郵件。 您可以使用 Security Analytics out-of-the-box 外掛程式,立即偵測常見威脅,並從現有的安全事件日誌產生重要的安全洞見,例如防火牆日誌、Windows 日誌和身分驗證稽核日誌。若要使用 Security Analytics,您的網域必須執行 OpenSearch 2.5 版或更新版本。 **注意** 本文件提供 Security Analytics for Amazon OpenSearch Service 的簡短概觀。它定義了關鍵概念,並提供設定許可的步驟。如需完整的文件,包括設定指南、API 參考和所有可用設定的參考,請參閱 OpenSearch 文件中的 [Security Analytics](https://opensearch.org/docs/latest/security-analytics/)。 ## 安全分析元件和概念 許多工具和功能為 Security Analytics 的操作提供了基礎。構成外掛程式的主要元件包括偵測器、日誌類型、規則、問題清單和提醒。 ![工作流程顯示五個步驟:識別來源、建立偵測器、設定規則、設定提醒和回應問題清單。](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/images/sa-diagram.png) ### 日誌類型 OpenSearch 支援多種類型的日誌,並為每個類型提供out-of-the-box映射。您可以在建立偵測器時指定日誌類型並設定時間間隔,然後 Security Analytics 會自動啟用在該間隔執行的相關規則集。 ### 偵測器 偵測器會識別資料索引中日誌類型的各種網路安全威脅。您可以將偵測器設定為使用自訂規則和預先封裝的 Sigma 規則,以評估系統中發生的事件。然後,偵測器會從這些事件產生安全調查結果。如需偵測器的詳細資訊,請參閱 OpenSearch 文件中的[建立偵測器](https://opensearch.org/docs/latest/security-analytics/sec-analytics-config/detectors-config/)。 ### 規則 威脅偵測規則定義偵測器套用到擷取日誌資料以識別安全事件的條件。Security Analytics 支援匯入、建立和自訂規則以符合您的需求,也提供預先封裝的開放原始碼 Sigma 規則,以偵測日誌中的常見威脅。Security Analytics 將許多規則映射到由 [MITRE ATT&CK]() 組織維護的對手策略和技術不斷增長的知識庫。您可以使用 OpenSearch Dashboards 或 APIs來建立和使用規則。如需規則的詳細資訊,請參閱 OpenSearch 文件中的[使用規則](https://opensearch.org/docs/latest/security-analytics/usage/rules/)。 ### 調查結果 當偵測器比對規則與日誌事件時,會產生問題清單。每個調查結果都包含選取規則、日誌類型和規則嚴重性的唯一組合。調查結果不一定指向系統內的緊迫威脅,但一律會隔離感興趣的事件。如需問題清單的詳細資訊,請參閱 OpenSearch 文件中的[使用問題](https://opensearch.org/docs/latest/security-analytics/usage/findings/)清單。 ### Alerts (提醒) 建立偵測器時,您可以指定一或多個觸發警示的條件。提醒是傳送至偏好管道的通知,例如 Slack 或電子郵件。您可以將警示設定為在偵測器符合一或多個規則時觸發,並且可以自訂通知訊息。如需警示的詳細資訊,請參閱 OpenSearch 文件中的[使用警示](https://opensearch.org/docs/latest/security-analytics/usage/alerts/)。 ## 探索安全分析 您可以使用 OpenSearch Dashboards 視覺化並深入了解 Security Analytics 外掛程式。**概觀**檢視提供調查結果和提醒計數、最近的調查結果和提醒、經常偵測規則,以及偵測器清單等資訊。您可以看到包含多個視覺化效果的摘要檢視。例如,以下圖表顯示特定期間內各種日誌類型的調查結果和提醒趨勢。 ![圖表顯示一段時間內網路和 Windows 日誌類型的調查結果和提醒計數。](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/images/sa-findings-alerts-chart.png) 接下來,您可以檢閱最新的問題清單和提醒。 ![顯示最近提醒和最近調查結果的兩個資料表,其中包含時間戳記、嚴重性等級和偵測器。](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/images/sa-findings-alerts.png) 此外,您可以看到所有作用中偵測器中最常觸發規則的分佈。這可協助您偵測和調查跨日誌類型的不同類型的惡意活動。 ![甜甜圈圖表顯示四個偵測規則的分佈,比例大致相等。](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/images/sa-detection-rules.png) 最後,您可以檢視已設定偵測器的狀態。在此面板中,您也可以導覽至建立偵測器工作流程。 ![偵測器資料表顯示六個作用中偵測器,其中包含名稱、狀態和日誌類型,例如 Windows、Cloudtrail 和 Network。](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/images/sa-detectors.png) 若要設定 Security Analytics 設定,請使用規則頁面建立**規則**,並使用這些規則在偵測器頁面中寫入**偵測器**。如需更聚焦的 Security Analytics 結果檢視,您可以使用**問題清單**和**提醒**頁面。 ## 設定 許可 如果您在預先存在的 OpenSearch Service 網域上啟用 Security Analytics,則可能不會在網域上定義`security_analytics_manager`角色。非系統管理員使用者必須映射至此角色,以便在使用精細存取控制的網域上管理暖索引。若要手動建立 `security_analytics_manager` 角色,請執行以下步驟: 1. 在 OpenSearch Dashboards 中,移至 **Security** (安全性),然後選擇 **Permissions** (許可)。 1. 選擇 **Create action group** (建立動作群組) 並設定下列群組: [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/security-analytics.html) 1. 選擇 **Roles** (角色),然後選擇 **Create role** (建立角色)。 1. 命名角色 **security\_analytics\_manager**。 1. 對於 **Cluster permissions** (叢集許可),選取 `security_analytics_full_access` 和 `security_analytics_read_access`。 1. 對於 **Index** (索引),輸入 `*`。 1. 針對**索引許可**,選取 `indices:admin/mapping/put`和 `indices:admin/mappings/get`。 1. 選擇**建立**。 1. 建立角色之後,[請將其對應](fgac.md#fgac-mapping)至將管理 Security Analytics 索引的任何使用者或後端角色。 ## 疑難排解 ### 沒有此類索引錯誤 如果您沒有偵測器且開啟 Security Analytics 儀表板,您可能會在右下角看到顯示 的通知`[index_not_found_exception] no such index [.opensearch-sap-detectors-config]`。您可以忽略此通知,該通知會在幾秒鐘內消失,一旦建立偵測器就不會再次出現。