Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Analisi di sicurezza per Amazon OpenSearch Service
Security Analytics è una OpenSearch soluzione che offre visibilità sull'infrastruttura dell'organizzazione, monitora le attività anomale, rileva potenziali minacce alla sicurezza in tempo reale e attiva avvisi verso destinazioni preconfigurate. Puoi monitorare le attività dannose dai registri degli eventi di sicurezza valutando continuamente le regole di sicurezza e rivedendo i risultati di sicurezza generati automaticamente. Inoltre, Security Analytics può generare avvisi automatici e inviarli a un canale di notifica specifico, come Slack o e-mail.
Puoi utilizzare il plug-in Security Analytics per rilevare le minacce più comuni out-of-the-box e generare informazioni critiche sulla sicurezza dai registri degli eventi di sicurezza esistenti, come i registri del firewall, i registri di Windows e i registri di controllo dell'autenticazione. Per utilizzare Security Analytics, sul tuo dominio deve essere in esecuzione la OpenSearch versione 2.5 o successiva.
**Nota**
Questa documentazione fornisce una breve panoramica di Security Analytics for Amazon OpenSearch Service. Definisce i concetti chiave e fornisce i passaggi per configurare le autorizzazioni. Per una documentazione completa, tra cui una guida alla configurazione, un riferimento all'API e un riferimento a tutte le impostazioni disponibili, consulta [Security Analytics](https://opensearch.org/docs/latest/security-analytics/) nella OpenSearch documentazione.
## Componenti e concetti di analisi della sicurezza
Numerosi strumenti e funzionalità forniscono le basi per il funzionamento di Security Analytics. I componenti principali che compongono il plug-in includono rilevatori, tipi di registro, regole, risultati e avvisi.
![\[Workflow diagram showing steps from source ingestion to generating findings and alerts.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/sa-diagram.png)
### Tipi di log
OpenSearch supporta diversi tipi di log e fornisce out-of-the-box mappature per ogni tipo. Si specifica il tipo di registro e si configura un intervallo di tempo quando si crea un rilevatore, e da lì Security Analytics attiva automaticamente un set di regole pertinenti che vengono eseguite in quell'intervallo.
### Rilevatori
I rilevatori identificano una serie di minacce alla sicurezza informatica per un tipo di registro nei tuoi indici di dati. È possibile configurare il rilevatore in modo da utilizzare sia regole personalizzate che regole Sigma preconfezionate che valutano gli eventi che si verificano nel sistema. Il rilevatore genera quindi risultati di sicurezza a partire da questi eventi. Per ulteriori informazioni sui rilevatori, vedere [Creazione di rilevatori nella documentazione](https://opensearch.org/docs/latest/security-analytics/sec-analytics-config/detectors-config/). OpenSearch
### Regole
Le regole di rilevamento delle minacce definiscono le condizioni che i rilevatori applicano ai dati di registro acquisiti per identificare un evento di sicurezza. Security Analytics supporta l'importazione, la creazione e la personalizzazione di regole per soddisfare le vostre esigenze e fornisce anche regole Sigma preconfezionate e open source per rilevare le minacce più comuni dai log. [Security Analytics associa molte regole a una base di conoscenze in continua crescita di tattiche e tecniche degli avversari gestita dall'organizzazione MITRE ATT&CK.]() È possibile utilizzare entrambi i OpenSearch dashboard oppure creare e utilizzare regole. APIs Per ulteriori informazioni sulle regole, consulta [Lavorare con le regole](https://opensearch.org/docs/latest/security-analytics/usage/rules/) nella OpenSearch documentazione.
### Esiti
Quando un rilevatore abbina una regola a un evento di registro, genera un risultato. Ogni risultato include una combinazione unica di regole selezionate, un tipo di registro e una gravità della regola. I risultati non indicano necessariamente minacce imminenti all'interno del sistema, ma isolano sempre un evento di interesse. Per ulteriori informazioni sui risultati, consulta [Lavorare con i risultati](https://opensearch.org/docs/latest/security-analytics/usage/findings/) nella OpenSearch documentazione.
### Avvisi
Quando si crea un rilevatore, è possibile specificare una o più condizioni che attivano un avviso. Un avviso è una notifica inviata a un canale preferito, come Slack o e-mail. Puoi impostare l'avviso in modo che venga attivato quando il rilevatore soddisfa una o più regole e puoi personalizzare il messaggio di notifica. Per ulteriori informazioni sugli avvisi, consulta [Lavorare con gli avvisi](https://opensearch.org/docs/latest/security-analytics/usage/alerts/) nella documentazione. OpenSearch
## Esplorazione dell'analisi della sicurezza
Puoi utilizzare OpenSearch le dashboard per visualizzare e ottenere informazioni dettagliate sul tuo plug-in Security Analytics. La visualizzazione **Panoramica** fornisce informazioni quali risultati e conteggio degli avvisi, scoperte e avvisi recenti, regole di rilevamento frequenti e un elenco dei rilevatori. È possibile visualizzare una visualizzazione riepilogativa composta da più visualizzazioni. Il grafico seguente, ad esempio, mostra l'andamento dei risultati e degli avvisi per vari tipi di log in un determinato periodo di tempo.
![\[Chart showing findings and alert trends for network and windows log types over time.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/sa-findings-alerts-chart.png)
Più in basso nella pagina, puoi esaminare i risultati e gli avvisi più recenti.
![\[Recent alerts and findings tables showing security events and their severity levels.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/sa-findings-alerts.png)
Inoltre, puoi vedere una distribuzione delle regole attivate più frequentemente tra tutti i rilevatori attivi. Questo può aiutarti a rilevare e indagare su diversi tipi di attività dannose tra i tipi di registro.
![\[Donut chart showing distribution of four most frequent detection rules in different colors.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/sa-detection-rules.png)
Infine, è possibile visualizzare lo stato dei rilevatori configurati. Da questo pannello, puoi anche accedere al flusso di lavoro per la creazione del rilevatore.
![\[Table showing 6 detectors with their names, status, and log types.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/sa-detectors.png)
Per configurare la configurazione di Security Analytics, crea delle regole con la pagina **Regole** e usale per scrivere i rilevatori nella pagina **Rilevatori**. Per una visualizzazione più mirata dei risultati di Security Analytics, puoi utilizzare le pagine **Risultati** e **Avvisi**.
## Configurazione delle autorizzazioni
Se abiliti Security Analytics su un dominio di OpenSearch servizio preesistente, il `security_analytics_manager` ruolo potrebbe non essere definito nel dominio. Gli utenti senza privilegi di amministratore devono essere mappati a questo ruolo in modo da gestire gli indici a caldo sui domini che utilizzano il controllo granulare degli accessi. Per creare manualmente il ruolo `security_analytics_manager`, procedere nel seguente modo:
1. **In OpenSearch Dashboard, vai su **Sicurezza** e scegli Autorizzazioni.**
1. Scegliere **Crea gruppo di operazioni** e configurare i seguenti gruppi:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/security-analytics.html)
1. Scegliere **Ruoli**, quindi selezionare **Crea ruolo**.
1. **Assegna un nome al ruolo security\$1analytics\$1manager.**
1. Per **Autorizzazioni cluster**, selezionare `security_analytics_full_access` e `security_analytics_read_access`.
1. Per **Indice**, digitare `*`.
1. **Per le autorizzazioni di indicizzazione, seleziona e.** `indices:admin/mapping/put` `indices:admin/mappings/get`
1. Scegli **Create** (Crea).
1. Dopo aver creato il ruolo, [associalo](fgac.md#fgac-mapping) a qualsiasi ruolo utente o di backend che gestirà gli indici di Security Analytics.
## Risoluzione dei problemi
### Nessun errore di indice di questo tipo
Se non hai rilevatori e apri la dashboard di Security Analytics, potresti vedere una notifica in basso a destra che dice`[index_not_found_exception] no such index [.opensearch-sap-detectors-config]`. Puoi ignorare questa notifica, che scompare nel giro di pochi secondi e non verrà più visualizzata una volta creato un rilevatore.