关于安全分析
安全分析是 OpenSearch 的安全信息和事件管理 (SIEM) 解决方案,旨在调查、检测、分析和响应可能危及企业、组织及其在线运营成功的安全威胁。这些威胁包括机密数据泄露、网络攻击和其他不良安全事件。安全分析提供了一个开箱即用的解决方案,可随任何 OpenSearch 发行版自动安装。它包含定义检测参数、生成警报以及有效响应潜在威胁所需的工具和功能。
资源和信息
作为 OpenSearch 项目的一部分,安全分析存在于开源社区中,并受益于该社区的反馈和贡献。要了解有关其开发提案、贡献选项以及平台的一般信息,请参阅 GitHub 上的安全分析存储库。
如果您想留下有助于改进安全分析的反馈,请加入 OpenSearch 论坛的讨论。
组件和概念
安全分析包含其运行所需的多种基本工具和功能。构成该插件的主要组件在以下部分中进行了总结。
检测器
检测器是核心组件,配置用于识别与 MITRE ATT&CK 组织维护的不断增长的对抗策略和技术知识库相对应的一系列网络安全威胁。检测器使用日志数据来评估系统中发生的事件。然后,它们应用为检测器指定的一组安全规则,并根据这些事件确定发现结果。
有关配置检测器的信息,请参阅创建检测器。
日志类型
日志类型提供用于评估系统中发生的事件的数据。OpenSearch 支持多种类型的日志,并为最常见的日志源提供开箱即用的映射。
在创建检测器时指定日志类型,包括将日志字段映射到检测器的步骤。安全分析还会根据特定的日志类型自动选择一组适当的规则并将其填充到检测器中。
检测规则
安全规则(或威胁检测规则)定义了应用于摄入日志数据的条件逻辑,允许系统识别感兴趣的事件。安全分析使用预打包的开源 Sigma 规则作为描述相关日志事件的起点。但凭借其固有的灵活格式和易于移植性,Sigma 规则为安全分析用户提供了导入和自定义规则的选项。您可以使用 OpenSearch Dashboards 或 API 来利用这些选项。
有关配置规则的信息,请参阅使用规则。
发现结果
每当检测器将规则与日志事件匹配时,都会生成发现结果。发现结果不一定指向系统中迫在眉睫的威胁,但它们总是分离出感兴趣的事件。由于它们代表了检测器特定定义的结果,因此发现结果包括所选规则、日志类型和规则严重性的独特组合。因此,您可以在“发现结果”窗口中搜索特定的发现结果,并且可以根据严重性和日志类型过滤列表中的发现结果。
要了解有关发现结果的更多信息,请参阅使用发现结果。
警报
在定义检测器时,您可以指定将触发警报的特定条件。当事件触发警报时,系统会将通知发送到首选通道,例如 Amazon Chime、Slack 或电子邮件。当检测器匹配一个或多个规则时,可以触发警报。可以根据规则严重性和标签设置进一步的条件。您还可以创建带有自定义主题行和消息正文的通知消息。
有关设置警报的信息,请参阅创建检测器。有关在“警报”窗口中管理警报的信息,请参阅使用警报。
关联引擎
关联引擎使安全分析能够比较来自不同日志类型的发现结果并在它们之间建立关联。这有助于理解基础设施中不同系统发现结果之间的关系,并增加对事件有意义且需要关注的信心。
关联引擎使用关联规则来定义涉及不同日志类型的威胁场景。然后,它可以在日志上执行查询,以匹配来自这些不同日志源的相关发现结果。为了描绘不同日志中事件之间的关系,关联图提供了发现结果、它们之间的连接以及这些连接的接近度的可视化表示。关联规则定义要查找的威胁场景,而图表则提供可视化,帮助您识别安全事件链中不同发现结果之间的关系。
要了解有关为关联规则定义威胁场景的更多信息,请参阅创建关联规则。要了解有关使用关联图的更多信息,请参阅使用关联图。
第一步
要开始使用安全分析,您需要定义检测器、摄入日志数据、生成发现结果、定义关联规则并配置警报。请参阅设置安全分析以开始配置平台以实现您的目标。