Connexion à une source de données Elasticsearch

Connectez la source de données Elasticsearch à la plateforme pour permettre à vos applications et à vos tableaux de bord de collecter et d'analyser les données de sécurité Elasticsearch . Les connecteurs Universal Data Insights permettent la recherche fédérée dans vos produits de sécurité.

1. Accédez à Menu > Connexions > Sources de données.
2. Dans l'onglet Sources de données , cliquez sur Connecter une source de données.
3. Cliquez sur Elastic Search (ECS), puis sur Suivant.
4. Configurez la connexion à la source de données.
   1. Dans la zone Nom de la source de données , attribuez un nom pour identifier de manière unique la connexion à la source de données.
      Comme vous pouvez créer plusieurs instances de connexion à une source de données, il peut être utile de pouvoir clairement les distinguer par leur nom. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés : - . _
   2. Dans la zone Description de la source de données , écrivez une description pour indiquer l'objectif de la connexion de source de données.
      Vous pouvez créer plusieurs instances de connexion à une source de données. Il est donc judicieux d'indiquer clairement l'objectif de chaque connexion par une description. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés : - . _
   3. Si vous disposez d'un pare-feu entre votre cluster et la cible de la source de données, utilisez le Edge Gateway pour héberger les conteneurs. Dans la zone Passerelle Edge (facultative) , indiquez le Edge Gateway à utiliser.
      Sélectionnez un Edge Gateway pour héberger le connecteur. Le statut des connexions de source de données nouvellement déployées sur le Edge Gateway peut prendre jusqu'à cinq minutes pour s'afficher comme étant connectées.
   4. Dans la zone Adresse IP de gestion ou Nom d'hôte , définissez le nom d'hôte ou l'adresse IP de la source de données de sorte que la plateforme puisse communiquer avec elle.
   5. Dans la zone Port de l'hôte , définissez le numéro de port associé à l'hôte de la source de données. Le port est 443 par défaut.
   6. Pour rechercher des index Elasticsearch spécifiques, définissez un ou plusieurs index dans une liste séparée par des virgules dans la zone Index (facultatif) . Par exemple, index1,index2. Pour rechercher dans tous les index, laissez la zone de texte vide.
5. Définissez les paramètres de requête pour contrôler le comportement de la requête de recherche sur la source de données.
   1. Dans la zone Limite de recherche simultanée , définissez le nombre de connexions simultanées pouvant être établies avec la source de données. La limite par défaut du nombre de connexions est 4. La valeur ne doit pas être inférieure à 1 et ne doit pas être supérieure à 100.
   2. Dans la zone Limite du délai d'attente de la recherche de requête , définissez la limite de temps en minutes pour la durée d'exécution de la requête sur la source de données. La limite de temps par défaut est de 30. Lorsque la valeur est zéro, il n'existe aucun délai d'attente. La valeur ne doit pas être inférieure à 1 et ne doit pas être supérieure à 120.
   3. Dans la zone Limite de taille des résultats , définissez le nombre maximal d'entrées ou d'objets renvoyés par la requête de recherche. La limite par défaut est de 10 000 résultats. La valeur ne doit pas être inférieure à 1 ni supérieure à 500 000.
   4. Dans la zone Plage horaire de la requête , définissez la plage horaire en minutes pour la recherche, représentée par les X dernières minutes. La valeur par défaut est de 5 minutes. La valeur ne doit pas être inférieure à 1 et ne doit pas être supérieure à 10 000.
   Important: Si vous augmentez la limite de recherche simultanée et la limite de taille des résultats, une plus grande quantité de données peut être envoyée à la source de données, ce qui augmente la charge sur la source de données. L'augmentation de l'intervalle de temps de la requête augmente également la quantité de données.
6. Facultatif: Si vous avez configuré Elasticsearch avec un certificat de l'autorité de certification, ajoutez le certificat.
   1. Pour confirmer que vous disposez d'un certificat autosigné, vous pouvez rechercher ssl decodesur le Web, puis copier et coller la certification dans un décodeur de certificat.
      Si le nom commun affiche localhost.localdomain, il s'agit d'un certificat autosigné. Sinon, il s'agit d'un certificat d'autorité de certification signé.
   2. Si votre nom d'hôte ou votre adresse IP ne correspond pas au nom usuel, vous devez fournir un indicateur SNI (Server Name Indicator). Le SNI permet de fournir un nom d'hôte distinct à l'établissement de liaison TLS (Transport Layer Security) de la connexion aux ressources.
   3. Copiez les détails du certificat et collez-les dans l'espace prévu à cet effet, puis cliquez sur Terminé.
7. Facultatif: Si vous devez personnaliser le mappage d'attributs STIX, cliquez sur Personnaliser le mappage d'attributs et éditez l'objet BLOB JSON pour mapper des propriétés nouvelles ou existantes à leurs zones de source de données cible associées.
8. Configurez l'identité et l'accès.
   1. Cliquez sur Ajouter une configuration.
   2. Dans la zone Nom de la configuration , entrez un nom unique pour décrire la configuration d'accès et la distinguer des autres configurations d'accès pour cette connexion de source de données que vous pouvez définir. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés: - . _
   3. Dans la zone Description de la configuration , entrez une description unique pour décrire la configuration d'accès et la distinguer des autres configurations d'accès pour cette connexion de source de données que vous pouvez définir. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés: - . _
   4. Cliquez sur Editer l'accès et choisissez les utilisateurs qui peuvent se connecter à la source de données et le type d'accès.
   5. Choisissez l'une des méthodes d'authentification suivantes pour accéder à l'API Elasticsearch .
      1. Pour établir la connexion avec l'authentification de base, entrez Nom d'utilisateur et Mot de passe.
      2. Pour établir la connexion avec l'authentification par jeton, entrez un jeton d'accès (accès en fonction du jeton.
      3. Pour établir la connexion avec l'authentification de clé d'API, entrez Clé d'API (accès par clé) et ID (accès par clé).
   6. Cliquez sur Ajouter.
   7. Pour sauvegarder votre configuration et établir la connexion, cliquez sur Terminé.
   Vous pouvez voir la configuration de la connexion de la source de données que vous avez ajoutée sous Connexions sur la page Paramètres de la source de données. Un message sur la carte indique la connexion à la source de données.

   Lorsque vous ajoutez une source de données, cela peut prendre quelques minutes avant que la source de données ne s'affiche comme étant connectée.

   Astuce: Une fois que vous avez connecté une source de données, l'extraction des données peut prendre jusqu'à 30 secondes. Avant que le jeu de données complet ne soit renvoyé, la source de données peut s'afficher comme non disponible. Une fois les données renvoyées, la source de données s'affiche comme étant connectée et un mécanisme d'interrogation est mis en place pour valider le statut de la connexion. Le statut de connexion est valide pendant 60 secondes après chaque interrogation.

   Vous pouvez ajouter d'autres configurations de connexion pour cette source de données avec utilisateurs et des droits d'accès aux données différents.

9. Pour éditer vos configurations, procédez comme suit:
   1. Dans l'onglet Sources de données , sélectionnez la connexion de source de données à éditer.
   2. Dans la section Configurations , cliquez sur Editer la configuration ().
   3. Editez les paramètres d'identité et d'accès et cliquez sur Sauvegarder.