Настройка соединения с источником данных Elasticsearch

Elasticsearch - это служба распределенного хранения, поиска и анализа данных в режиме реального времени. Она может применяться для различных целей, но особенно хорошо работает в тех случаях, когда необходимо индексировать потоки полуструктурированных данных, таких как протоколы или раскодированные сетевые пакеты.

Прежде чем начать

Обратитесь к администратору Elastic Stack, который умеет устанавливать сервер Elasticsearch и задавать настройки безопасности. Для Elastic Stack необходимо настроить базовый уровень безопасности. За дополнительной информацией о том, как это сделать, обратитесь к документу Set up basic security for the Elastic Stack (https://www.elastic.co/guide/en/elasticsearch/reference/current/security-basic-setup.html).

Об этой задаче

Коннектор IBM Cloud Pak® for Security для Elasticsearch предназначен для использования с Elastic Common Schema 1.7.

Процедура

  1. Войдите в IBM Cloud Pak for Security.
  2. На панели навигации щелкните на значке Параметры.
  3. Выберите Соединения > Источники данных.
  4. На вкладке Источники данных выберите Подключиться к источнику данных.
  5. Выберите тип источника данных и нажмите Далее.
  6. Настройте соединение, чтобы IBM Cloud Pak for Security мог подключаться к источнику данных.
    Доступны следующие поля.
    Имя источника данных
    Обязательный
    Укажите имя, однозначно идентифицирующее соединение с источником данных. С одним источником данных можно создать несколько соединений, и их нужно уметь отличать друг от друга по имени. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    Описание источника данных
    Обязательный
    Введите описание, отражающее предназначение соединения с источником данных. С одним источником данных можно создать несколько соединений, поэтому каждое из них рекомендуется сопроводить описанием того, для чего оно используется. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    App Host
    Необязательный

    Для того чтобы разместить контейнеры, необходимые для взаимодействия между источниками данных и IBM Cloud Pak for Security, в Edge Gateway App Host выберите соответствующий App Host. Выбранный Edge Gateway App Host должен иметь версию 1.6 или выше. Дополнительную информацию о компоненте Edge Gateway App Host можно найти в разделе Edge Gateway App Host.

    IP-адрес управления или имя хоста
    Обязательный
    Укажите IP-адрес и имя хоста источника данных, чтобы IBM Cloud Pak for Security мог обращаться к нему.
    Порт хоста
    Необязательный
    Укажите или выберите номер порта, связанный с хостом источника данных. По умолчанию применяется порт 443.
    Индексы (необязательно)
    Для выполнения поиска в определенных индексах Elasticsearch перечислите их через запятую. Например: index1,index2. Для выполнения поиска во всех индексах оставьте поле пустым.
  7. Укажите параметры запроса, управляющие выполнением запроса поиска в источнике данных.
    Доступны следующие поля:
    Максимальное значение одновременно выполняемых операций поиска
    Число одновременных соединений между Cloud Pak for Security и источником данных. По умолчанию максимальное число соединений равно 4.
    Предельное значение тайм-аута запроса
    Максимальное время выполнения запроса в источнике данных в минутах. По умолчанию максимальное время равно 30. Если значение равно нулю, время не ограничено. Если время выполнения запроса составляет более 1 минуты, то это как правило свидетельствует о неполадке.
    Максимальный размер результатов
    Максимальное число записей или объектов, возвращаемых одним запросом поиска. Значение по умолчанию равно 10 000. Допустимы значения от 1 до 10 000.
    Диапазон времени запроса
    Диапазон времени поиска в минутах, определяющий последние X минут. Значение по умолчанию равно 5 минутам.
  8. Необязательно: Если в Elasticsearch настроен сертификат CA, то добавьте сертификат.
    1. Для того чтобы убедиться в том, что вы имеете дело с собственным сертификатом, выполните поиск в Интернете по ключевым словам ssl decode, а затем скопируйте и вставьте сертификат в инструмент раскодирования сертификата.
      Если в поле Common Name указано значение localhost.localdomain, значит это собственный сертификат. В противном случае это подписанный сертификат CA.
    2. Если имя хоста или IP-адрес не соответствуют полю Common Name, то необходимо указать индикатор имени сервера (SNI). SNI позволяет задать отдельное имя хоста при выполнении согласования TLS для соединения с ресурсом.
    3. Скопируйте сведения о сертификате и вставьте их в соответствующее поле, а затем нажмите Готово.
  9. Нажмите Добавить конфигурацию.
  10. Настройте идентификационные данные и доступ.
    1. В поле Имя конфигурации укажите имя, однозначно определяющее конфигурацию доступа и позволяющее отличить ее от других конфигураций доступа, которые могут быть настроены для данного соединения с источником данных. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    2. В поле Описание конфигурации укажите описание, однозначно определяющее конфигурацию доступа и позволяющее отличить ее от других конфигураций доступа, которые могут быть настроены для данного соединения с источником данных. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    3. Нажмите Изменить права доступа и выберите, каким пользователям разрешено подключаться к источнику данных и какой доступ им должен быть предоставлен.
    4. Выберите один из следующих способов идентификации для применения при доступе к API Elasticsearch.
      1. Для подключения с использованием простой идентификации введите Имя пользователя и Пароль.
      2. Для подключения с использованием идентификации на основе маркера введите Маркер доступа (доступ на основе маркеров).
      3. Для подключения с использованием идентификации по ключу API введите Ключ API (доступ на основе ключа) и ИД (доступ на основе ключа).
    5. Нажмите Добавить.
    6. Введите имя и пароль пользователя, которому предоставлен доступ к API поиска.
    7. Для того чтобы сохранить конфигурацию и установить соединение, нажмите Готово.
    Добавленная конфигурация соединения с источником данных будет показана в списке Соединения на странице параметров источника данных. Соединение с источником данных указано в сообщении на карточке.

    При необходимости можно добавить другие конфигурации соединения с тем же источником данных для других пользователей с другими правами доступа.

  11. Протестируйте соединение, отправив запрос через IBM Security Data Explorer.

    Продукт IBM Cloud Pak for Security отображает данные, которые он получает из источника данных. Например, для использования Data Explorer должны быть установлены соединения с источниками данных, для того чтобы приложение могло выполнять запросы и получать результаты из универсального набора источников данных. Поиск будет давать разные результаты в зависимости от данных, содержащихся в настроенных источниках данных.

    За дополнительной информацией о создании запроса в Data Explorer обратитесь к разделу Создание запроса.