Link Search Menu Expand Document Documentation Menu
文档

入门

要开始使用威胁情报,您需要设置威胁情报源并设置监控器来扫描您的日志源。以下教程展示了如何开始使用 OpenSearch Dashboards。或者,您可以使用 API

威胁情报视图

要访问威胁情报,请登录 OpenSearch Dashboards 并选择 Security Analytics > Threat Intelligence

在威胁情报视图中,您可以访问以下标签页:

  • 威胁情报源:显示所有活跃和非活跃威胁情报源的列表,包括下载 OpenSearch 时预装的默认 IP 信誉源 AlienVault OTX
  • 扫描配置:显示扫描配置的概览,包括已配置的日志源扫描计划告警触发器。从操作下拉列表中,您还可以停止扫描编辑扫描配置删除扫描配置

步骤 1:设置威胁情报源

要添加威胁情报源,请从威胁情报页面选择添加威胁情报源添加自定义威胁情报源页面将显示。

在威胁情报源页面上,添加以下信息:

  • 名称:源的名称。
  • 描述:源的可选描述。
  • 威胁情报源类型:源类型决定了 STIX2 文件的存储位置。您可以选择以下选项之一:
    • 远程数据存储位置:连接到自定义数据存储。截至 OpenSearch 2.16,仅支持 S3_SOURCE 类型。此设置还允许您设置下载计划,OpenSearch 将从数据存储下载最新的 STIX2 文件。有关更多信息,请参阅S3_SOURCE 连接详细信息
    • 本地文件上传:上传自定义威胁情报 IOC 文件。自定义文件无法根据计划下载,必须手动上传才能更新 IOC。有关更多信息,请参阅本地文件上传
  • 恶意指标类型:确定要从 STIX2 文件中提取的恶意 IOC 类型。支持以下 IOC:
    • IPv4-Address
    • IPv6-Address
    • Domains
    • File hash

输入所有相关信息后,选择添加威胁情报源

本地文件上传

作为威胁情报源上传的本地文件必须使用以下规范:

  • STIX2 格式作为 JSON 文件上传。有关 STIX2 文件的示例,请下载此文件,其中包含所有支持的 IOC 类型的示例格式。
  • 小于 500 KB。

S3_SOURCE 连接信息

当使用 S3_SOURCE 作为远程存储时,必须提供以下连接信息:

  • IAM 角色 ARN:AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称 (ARN)。使用 AWS OpenSearch Service 时,角色 ARN 需要与 OpenSearch 域位于同一账户中。有关为 AWS OpenSearch Service 添加新角色的更多信息,请参阅添加服务 ARN
  • S3 存储桶目录:存储 STIX2 文件的 Amazon Simple Storage Service (Amazon S3) 存储桶的名称。要访问不同 AWS 账户中的 S3 存储桶,请参阅跨账户 S3 存储桶连接部分以获取更多详细信息。
  • 指定文件:S3 存储桶中 STIX2 文件的对象键。
  • 区域:S3 存储桶的 AWS 区域。

您还可以设置下载计划,它决定了 OpenSearch 从连接的 S3 存储桶下载更新的 STIX2 文件的位置。默认间隔为每天一次。仅支持每日间隔。

或者,您可以选中按需下载选项,这会阻止桶中的新数据自动下载。

添加 AWS OpenSearch Service ARN

如果您正在使用 AWS OpenSearch Service,请创建一个具有自定义信任策略的新 ARN 角色。有关如何创建角色的说明,请参阅为 AWS 服务创建角色

创建角色时,自定义以下设置:

  • 添加以下自定义信任策略:

    ```bash
{ 
   "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "opensearchservice.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

  • 在权限策略页面上,添加 AmazonS3ReadOnlyAccess 权限。

跨账户 S3 存储桶连接

由于角色 ARN 需要与 OpenSearch 域位于同一账户中,因此需要配置信任策略,以允许 OpenSearch 域从同一账户中的 S3 存储桶下载。

要从另一个账户中的 S3 存储桶下载,该存储桶的信任策略需要授予角色 ARN 从对象读取的权限,如下例所示:

{
    "Version": "2012-10-17",
    "Statement": [
     {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/account-1-threat-intel-role"
            },
          "Action": "s3:*",
            "Resource": "arn:aws:s3:::account-2-threat-intel-bucket/*"
     }
 ]
}

步骤 2:设置日志源扫描

您可以配置威胁情报监控器来扫描您的别名和数据流。监控器会扫描索引中新摄入的数据,并将这些数据与威胁情报源中存在的任何 IOC 进行匹配。此扫描适用于添加到 OpenSearch 的所有威胁情报源。默认情况下,扫描每分钟运行一次。

添加或编辑扫描配置:

  1. 在威胁情报视图中,选择添加扫描配置编辑扫描配置
  2. 选择要扫描的索引或别名。
  3. 根据 IOC 类型选择要扫描的索引或别名中的字段。例如,如果一个别名有两个字段,名为 src_ipdst_ip,它们包含 ipv4 地址,那么这些字段必须输入到监控器请求的 ipv4-addr 部分。
  4. 为指定的索引或别名确定扫描计划。默认情况下,OpenSearch 每分钟扫描一次 IOC。
  5. 设置任何告警触发器和触发条件。您可以添加多个触发器:
    1. 为触发器添加名称。
    2. 选择指标类型。指标类型与 IOC 类型匹配。
    3. 选择告警的严重级别。
    4. 选择是否在告警触发时发送通知。启用后,您可以自定义通知发送到的渠道以及通知消息。通知消息可以使用 Mustache 模板进行自定义。
  6. 输入设置后,选择保存并开始监控

当发现恶意 IOC 时,OpenSearch 会创建发现结果,提供有关威胁的信息。您还可以配置触发器以创建告警,告警会将通知发送到已配置的 Webhook 或端点。

查看告警和发现结果

您可以查看威胁情报监控器生成的告警和发现结果,以分析其安全日志中出现的恶意指标。要查看告警或发现结果,请从威胁情报视图中选择查看发现结果查看告警

剩余 350 字符

有问题?

想要贡献?