Elasticsearch データ・ソースへの接続

Elasticsearch データ・ソースをプラットフォームに接続して、アプリケーションおよびダッシュボードが Elasticsearch セキュリティー・データを収集および分析できるようにします。 Universal Data Insights コネクターを使用すると、セキュリティー製品全体でフェデレーテッド検索を行うことができます。

1. メニュー > 「接続」 > 「データ・ソース」に移動します。
2. 「データ・ソース」 タブで、 「データ・ソースの接続」をクリックします。
3. 「Elastic Search (ECS)」をクリックし、 「次へ」をクリックします。
4. データ・ソースへの接続を構成します。
   1. 「データ・ソース名」 フィールドで、データ・ソース接続を一意的に識別する名前を割り当てます。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、名前によって明確に区別することをお勧めします。 英数字と以下の特殊文字のみを使用できます。 - . _
   2. 「データ・ソースの説明」 フィールドに、データ・ソース接続の目的を示す説明を入力します。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、各接続の目的を説明によって明確に示すと便利です。 英数字と以下の特殊文字のみを使用できます。 - . _
   3. クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 Edge Gateway を使用してコンテナーをホストします。 「エッジ・ゲートウェイ (オプション) (Edge gateway (optional))」 フィールドで、使用する Edge Gateway を指定します。
      コネクターをホストする Edge Gateway を選択します。 Edge Gateway で新しくデプロイされたデータ・ソース接続の状況が「接続済み」と表示されるまでに、最大 5 分かかることがあります。
   4. 「管理 IP アドレスまたはホスト名」 フィールドで、データ・ソースのホスト名または IP アドレスを設定して、プラットフォームが通信できるようにします。
   5. 「ホスト・ポート」 フィールドで、データ・ソース・ホストに関連付けられているポート番号を設定します。 ポートは、デフォルトでは 443 です。
   6. 特定の Elasticsearch 索引を検索するには、 「索引 (オプション)」 フィールドに単一の索引または複数の索引をコンマ区切りリストで設定します。 例: index1,index2。 すべての索引を検索するには、テキスト・ボックスを空のままにします。
5. データ・ソースに対する検索照会の動作を制御するための照会パラメーターを設定します。
   1. 「同時検索制限」 フィールドで、データ・ソースに対して実行できる同時接続の数を設定します。 デフォルトの接続数制限は 4 です。 1 より小さい値や 100 より大きい値は使用できません。
   2. 「照会検索タイムアウト制限」 フィールドで、データ・ソースに対して照会を実行する時間制限を分単位で設定します。 デフォルトの制限時間は 30 です。 この値をゼロに設定した場合、タイムアウトはありません。 値は 1 以上、120 以下でなければなりません。
   3. 「結果サイズの制限」 フィールドで、検索照会によって返される項目またはオブジェクトの最大数を設定します。 デフォルトの結果サイズ制限は 10,000 です。 この値は、1 以上、500,000 以下でなければなりません。
   4. 「照会時刻範囲」 フィールドで、検索の時刻範囲を分単位で設定します。これは、最後の X 分として表されます。 デフォルトは 5 分です。 値は 1 以上、10,000 以下でなければなりません。
   重要: 同時検索の制限と結果サイズの制限を増やすと、データ・ソースに送信できるデータ量が増えるため、データ・ソースの負担が大きくなります。 照会の時刻範囲を増やすと、データの量も増えます。
6. オプション: CA 証明書を使用して Elasticsearch を構成した場合は、証明書を追加します。
   1. 自己署名証明書があることを確認するには、Web で ssl decodeを検索し、証明書をコピーして証明書デコーダーに貼り付けることができます。
      共通名として localhost.localdomain が表示される場合、それは自己署名証明書です。 それ以外の場合は、署名 CA 証明書です。
   2. ホスト名または IP アドレスが共通名と一致しない場合は、Server Name Indicator (SNI) を指定する必要があります。 SNI によって、リソース接続の Transport Layer Security (TLS) ハンドシェークに別個のホスト名を提供できるようになります。
   3. 証明書の詳細をコピーして、提供されているスペースに貼り付け、 「完了」をクリックします。
7. オプション: STIX 属性マッピングをカスタマイズする必要がある場合は、 「属性マッピングのカスタマイズ」 をクリックし、JSON Blob を編集して、新規または既存のプロパティーをそれらに関連付けられたターゲット・データ・ソース・フィールドにマップします。
8. ID およびアクセス権限を構成します。
   1. 「構成の追加」をクリックします。
   2. 「構成名」 フィールドに、アクセス構成を記述する固有の名前を入力し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別します。 英数字と特殊文字 - . _ のみを使用できます。
   3. 「構成の説明」 フィールドに、アクセス構成を記述し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別するための固有の説明を入力します。 英数字と特殊文字 - . _ のみを使用できます。
   4. 「アクセス権限の編集」 をクリックし、データ・ソースに接続できるユーザーとアクセス権限のタイプを選択します。
   5. Elasticsearch API にアクセスするには、以下のいずれかの認証方式を選択します。
      1. 基本認証を使用して接続を確立するには、「ユーザー名」と「パスワード」を入力します。
      2. トークン・ベースの認証を使用して接続を確立するには、「アクセス・トークン (トークン・ベースのアクセス)」を入力します。
      3. API キー認証を使用して接続を確立するには、「API キー (キー・ベースのアクセス)」および「ID (キー・ベースのアクセス)を入力します。
   6. 「追加」をクリックします。
   7. 構成を保存して接続を確立するには、 「完了」をクリックします。
   追加したデータ・ソース接続構成は、「データ・ソース設定 (data source settings)」ページの「接続」の下に表示されます。 カード上のメッセージは、データ・ソースとの接続を示します。

   データ・ソースを追加すると、データ・ソースが接続されていると表示されるまでに数分かかる場合があります。

   ヒント: データ・ソースに接続した後、データを取得するのに最大 30 秒かかる場合があります。 データ・セット全体が返される前に、データ・ソースが使用不可として表示される場合があります。 データが返されると、データ・ソースは接続済みとして表示され、接続状況を検証するためのポーリング・メカニズムが発生します。 接続状況は、ポーリングのたびに 60 秒間有効です。

   このデータ・ソースに対して、異なるユーザーおよび異なるデータ・アクセス許可を持つ他の接続構成を追加できます。

9. 構成を編集するには、以下の手順を実行します。
   1. 「データ・ソース」 タブで、編集するデータ・ソース接続を選択します。
   2. 「構成」 セクションで、 「構成の編集」 () をクリックします。
   3. ID およびアクセス・パラメーターを編集し、 「保存」をクリックします。