Verbindung zu einer Elasticsearch -Datenquelle herstellen

Verbinden Sie die Elasticsearch -Datenquelle mit der Plattform, damit Ihre Anwendungen und Dashboards Elasticsearch -Sicherheitsdaten erfassen und analysieren können. Universal Data Insights -Connectors ermöglichen die föderierte Suche in Ihren Sicherheitsprodukten.

1. Rufen Sie Menü > Verbindungen > Datenquellenauf.
2. Klicken Sie auf der Registerkarte Datenquellen auf Datenquelle verbinden.
3. Klicken Sie auf Elastic Search (ECS)und anschließend auf Weiter.
4. Konfigurieren Sie die Verbindung zur Datenquelle.
   1. Weisen Sie im Feld Datenquellenname einen Namen zu, der die Datenquellenverbindung eindeutig identifiziert.
      Sie können mehrere Verbindungsinstanzen zu einer Datenquelle erstellen. Daher empfiehlt es sich, diesen Instanzen zur besseren Unterscheidung eindeutige Namen zu geben. Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig: - . _
   2. Geben Sie im Feld Datenquellenbeschreibung eine Beschreibung für den Zweck der Datenquellenverbindung ein.
      Sie können mehrere Verbindungsinstanzen zu einer Datenquelle erstellen. Daher ist es nützlich, den Zweck jeder Verbindung mit einer eindeutigen Beschreibung anzugeben. Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig: - . _
   3. Wenn Sie über eine Firewall zwischen Ihrem Cluster und dem Datenquellenziel verfügen, verwenden Sie Edge Gateway als Host für die Container. Geben Sie im Feld Edge-Gateway (optional) an, welche Edge Gateway verwendet werden soll.
      Wählen Sie ein Edge Gateway als Host für den Connector aus. Es kann bis zu fünf Minuten dauern, bis der Status neu implementierter Datenquellenverbindungen auf dem Edge Gateway als verbunden angezeigt wird.
   4. Legen Sie im Feld Management-IP-Adresse oder Hostname den Hostnamen oder die IP-Adresse der Datenquelle fest, damit die Plattform mit ihr kommunizieren kann.
   5. Legen Sie im Feld Host-Port die Portnummer fest, die dem Datenquellenhost zugeordnet ist. Die Standardeinstellung für den Port lautet 443.
   6. Um bestimmte Elasticsearch -Indizes zu durchsuchen, legen Sie einen oder mehrere Indizes in einer durch Kommas getrennten Liste im Feld Indizes (optional) fest. Beispiel: index1,index2. Wenn Sie alle Indizes durchsuchen möchten, lassen Sie das Textfeld leer.
5. Legen Sie die Abfrageparameter fest, um das Verhalten der Suchabfrage für die Datenquelle zu steuern.
   1. Legen Sie im Feld Grenzwert für gleichzeitige Suche fest, wie viele gleichzeitige Verbindungen zur Datenquelle hergestellt werden können. Der Standardgrenzwert für die Anzahl der Verbindungen ist 4. Der Wert darf nicht kleiner als 1 und nicht größer als 120 sein.
   2. Legen Sie im Feld Zeitlimit für Abfragesuche das Zeitlimit in Minuten für die Ausführung der Abfrage in der Datenquelle fest. Standardzeitlimit ist 30. Wenn der Wert auf 0 gesetzt wird ist, gibst es kein Zeitlimit. Der Wert darf nicht kleiner als 1 und nicht größer als 120 sein.
   3. Legen Sie im Feld Grenzwert für Ergebnisgröße die maximale Anzahl der Einträge oder Objekte fest, die von der Suchabfrage zurückgegeben werden. Die Standardgröße der Ergebnisse ist auf 10.000 begrenzt. Der Wert darf nicht kleiner als 1 und nicht größer als 500.000 sein.
   4. Legen Sie im Feld Abfragezeitbereich den Zeitbereich in Minuten für die Suche fest, der als die letzten X Minuten dargestellt wird. Standard ist 5 Minuten. Der Wert darf weder kleiner als 1 noch größer als 10.000 sein.
   Wichtig: Wenn Sie den Grenzwert für die gleichzeitige Suche und den Grenzwert für die Ergebnisgröße erhöhen, kann eine größere Datenmenge an die Datenquelle gesendet werden, was die Belastung der Datenquelle erhöht. Eine Erhöhung des Abfragezeitbereichs erhöht auch das Datenvolumen.
6. Optional: Wenn Sie Elasticsearch mit einem CA-Zertifikat konfiguriert haben, fügen Sie das Zertifikat hinzu .
   1. Um zu bestätigen, dass Sie über ein selbst signiertes Zertifikat verfügen, können Sie im Web nach ssl decodesuchen und die Zertifizierung anschließend kopieren und in einen Zertifikatsdecoder einfügen.
      Wenn der allgemeine Name localhost.localdomain lautet, handelt es sich um ein selbst signiertes Zertifikat. Andernfalls handelt es sich um ein signiertes CA-Zertifikat.
   2. Wenn der Hostname oder die IP-Adresse nicht mit dem allgemeinen Namen übereinstimmt, müssen Sie einen Servernamensindikator (SNI) angeben. Durch den SNI wird ermöglicht, dass ein separater Hostname beim TLS-Handshake (TLS Transport Layer Security) der Ressourcenverbindung angegeben werden kann.
   3. Kopieren Sie die Zertifikatsdetails und fügen Sie sie in den bereitgestellten Bereich ein. Klicken Sie dann auf Fertig.
7. Optional: Wenn Sie die STIX-Attributzuordnung anpassen müssen, klicken Sie auf Attributzuordnung anpassen und bearbeiten Sie das JSON-BLOB, um den zugehörigen Zieldatenquellenfeldern neue oder vorhandene Eigenschaften zuzuordnen.
8. Konfigurieren Sie Identität und Zugriff.
   1. Klicken Sie auf Konfiguration hinzufügen.
   2. Geben Sie im Feld Konfigurationsname einen eindeutigen Namen ein, um die Zugriffskonfiguration zu beschreiben und von den anderen Zugriffskonfigurationen für diese Datenquellenverbindung zu unterscheiden, die Sie möglicherweise einrichten. Nur alphanumerische Zeichen und die folgenden Sonderzeichen sind zulässig: - . _
   3. Geben Sie im Feld Konfigurationsbeschreibung eine eindeutige Beschreibung ein, um die Zugriffskonfiguration zu beschreiben und von den anderen Zugriffskonfigurationen für diese Datenquellenverbindung zu unterscheiden, die Sie möglicherweise einrichten. Nur alphanumerische Zeichen und die folgenden Sonderzeichen sind zulässig: - . _
   4. Klicken Sie auf Zugriff bearbeiten und wählen Sie die Benutzer aus, die eine Verbindung zur Datenquelle herstellen können, sowie den Zugriffstyp.
   5. Wählen Sie eine der folgenden Authentifizierungsmethoden aus, um auf die Elasticsearch -API zuzugreifen.
      1. Um die Verbindung mithilfe der Basisauthentifizierung herzustellen, geben Sie einen Benutzernamen und ein Kennwort ein.
      2. Um die Verbindung mithilfe der tokenbasierten Authentifizierung herzustellen, geben Sie ein Zugriffstoken (tokenbasierter Zugriff) ein.
      3. Um die Verbindung mithilfe der API-Schlüsselauthentifizierung herzustellen, geben Sie einen API-Schlüssel (schlüsselbasierter Zugriff) und eine ID (schlüsselbasierter Zugriff) ein.
   6. Klicken Sie auf Hinzufügen.
   7. Klicken Sie auf Fertig, um Ihre Konfiguration zu speichern und die Verbindung herzustellen.
   Sie können die Datenquellenverbindungskonfiguration anzeigen, die Sie unter "Verbindungen" auf der Seite mit den Einstellungen für die Datenquelle hinzugefügt haben. Eine Nachricht auf der Karte gibt die Verbindung zu der Datenquelle an.

   Wenn Sie eine Datenquelle hinzufügen, kann es einige Minuten dauern, bis die Datenquelle als verbunden angezeigt wird.

   Tipp: Nachdem Sie eine Datenquelle verbunden haben, kann es bis zu 30 Sekunden dauern, bis die Daten abgerufen werden. Bevor das vollständige Dataset zurückgegeben wird, wird die Datenquelle möglicherweise als nicht verfügbar angezeigt. Nachdem die Daten zurückgegeben wurden, wird die Datenquelle als verbunden angezeigt und ein Abfragemechanismus wird ausgeführt, um den Verbindungsstatus zu validieren. Der Verbindungsstatus ist nach jeder Abfrage 60 Sekunden lang gültig.

   Sie können für diese Datenquelle weitere Verbindungskonfigurationen mit anderen Benutzern und anderen Datenzugriffsberechtigungen hinzufügen.

9. Gehen Sie wie folgt vor, um Ihre Konfigurationen zu bearbeiten:
   1. Wählen Sie auf der Registerkarte Datenquellen die Datenquellenverbindung aus, die Sie bearbeiten möchten.
   2. Klicken Sie im Abschnitt Konfigurationen auf Konfiguration bearbeiten ().
   3. Bearbeiten Sie die Identitäts-und Zugriffsparameter und klicken Sie auf Speichern.