Elasticsearch veri kaynağına bağlanma

Uygulamalarınızın ve gösterge panolarının Elasticsearch güvenlik verilerini toplamasını ve analiz etmesini sağlamak için Elasticsearch veri kaynağını platforma bağlayın. Universal Data Insights bağlayıcıları, güvenlik ürünleriniz genelinde birleşik aramayı etkinleştirir.

1. Menu > Connections > Veri dön gerekir girin gerekir sağlar sağlar sağlar girin bu..
2. Veri Kaynakları sekmesinde Veri kaynağı bağla' yı tıklatın.
3. Elastic Search (ECS)(Esnek Arama) seçeneğini tıklatın ve Next(İleri) düğmesini tıklatın.
4. Veri kaynağına bağlantıyı yapılandırın.
   1. Veri kaynağı adı alanında, veri kaynağı bağlantısını benzersiz olarak tanımlamak için bir ad atayın.
      Bir veri kaynağı için birden çok bağlantı örneği oluşturabilirsiniz; böylece, bunları ada göre açık bir şekilde ayırmanız iyi olur. Yalnızca alfasayısal karakterlere ve şu özel karakterlere izin verilir: - . _
   2. Veri kaynağı açıklaması alanında, veri kaynağı bağlantısının amacını belirten bir açıklama yazın.
      Bir veri kaynağına birden çok bağlantı eşgörünümü oluşturabilirsiniz; bu nedenle, her bağlantının amacını açıklamaya göre açıkça belirtmeniz yararlı olur. Yalnızca alfasayısal karakterlere ve şu özel karakterlere izin verilir: - . _
   3. Kümeniz ile veri kaynağı hedefi arasında bir güvenlik duvarınız varsa, kapsayıcıları barındırmak için Edge Gateway kullanın. Edge ağ geçidi (isteğe bağlı) alanında hangi Edge Gateway ' in kullanılacağını belirtin.
      Bağlayıcıyı barındırmak için bir Edge Gateway seçin. Edge Gateway üzerinde yeni devreye alınan veri kaynağı bağlantılarının durumunun bağlı olarak gösterilmesi beş dakika kadar sürebilir.
   4. Yönetim IP adresi ya da Anasistem adı alanında, veri kaynağının anasistem adını ya da IP adresini, platformun iletişim kurabilmesi için ayarlayın.
   5. Anasistem kapısı alanında, veri kaynağı anasistemiyle ilişkili kapı numarasını ayarlayın. Kapı varsayılan olarak 443 'tür.
   6. Belirli Elasticsearch dizinlerinde arama yapmak için, Dizinler (İsteğe bağlı) alanında virgülle ayrılmış bir listede tek bir dizin ya da birden çok dizin ayarlayın. Örneğin: index1,index2. Tüm dizinlerde arama yapmak için metin kutusunu boş bırakın.
5. Veri kaynağındaki arama sorgusunun davranışını denetlemek için sorgu değiştirgelerini ayarlayın.
   1. Eşzamanlı arama sınırı alanında, veri kaynağıyla yapılabilecek eşzamanlı bağlantı sayısını ayarlayın. Bağlantı sayısı için varsayılan sınır 4 'tür. Değer 1 'den küçük olmamalı ve 100 'den büyük olmamalıdır.
   2. Sorgu arama zamanaşımı sınırı alanında, sorgunun veri kaynağında ne kadar süreyle çalıştırılacağını dakika cinsinden belirleyin. Varsayılan zaman sınırı 30 'dur. Değer sıfır olarak ayarlandığında, zamanaşımı olmaz. Değer 1 'den küçük olmamalı ve 120 'den büyük olmamalıdır.
   3. Sonuç büyüklüğü sınırı alanında, arama sorgusunun döndürdüğü giriş ya da nesne sayısı üst sınırını belirleyin. Varsayılan sonuç boyutu sınırı 10.000 'dir. Değer 1 'den küçük olmamalı ve 500.000 'den büyük olmamalıdır.
   4. Sorgu zaman aralığı alanında, son X dakika olarak gösterilen, aramanın zaman aralığını dakika cinsinden ayarlayın. Varsayılan değer 5 dakikadır. Değer 1 'den küçük olmamalı ve 10.000 'den büyük olmamalıdır.
   Önemli: Eşzamanlı arama sınırını ve sonuç boyutu sınırını artırırsanız, veri kaynağına daha fazla veri gönderilebilir ve bu da veri kaynağının üzerindeki gerginliğini artırır. Sorgu zaman aralığının artırılması da veri miktarını artırır.
6. İsteğe bağlı: Elasticsearch ' i bir CA sertifikasıyla yapılandırdıysanız, sertifikayı ekleyin.
   1. Kendinden onaylı bir sertifikanız olduğunu doğrulamak için, ssl decodeiçin web 'de arama yapabilir ve daha sonra, sertifikasyonu kopyalayıp bir Sertifika Decoder 'a yapıştırabilirsiniz.
      Ortak Ad localhost.localdomaingösterirse, bu kendinden onaylı bir sertifikaydır. Aksi takdirde, imzalı bir CA sertifikasıdır.
   2. Anasistem adınız ya da IP adresiniz ortak adla eşleşmiyorsa, bir Sunucu Adı Göstergesi (SNI) sağlamanız gerekir. SNI, kaynak bağlantısının TLS (Transport Layer Security; İletim Katmanı Güvenliği) el sıkışmasına ayrı bir anasistem adı sağlanmasını sağlar.
   3. Sertifika ayrıntılarını kopyalayın ve sağlanan alana yapıştırın, ardından Bitti' yi tıklatın.
7. İsteğe bağlı: STIX öznitelik eşlemesini özelleştirmeniz gerekiyorsa, Öznitelik eşlemesini özelleştir seçeneğini tıklatın ve yeni ya da var olan özellikleri ilişkili hedef veri kaynağı alanlarıyla eşlemek için JSON blob 'u düzenleyin.
8. Kimlik ve erişimi yapılandırın.
   1. Add a Configuration(Yapılandırma Ekle) seçeneğini tıklatın.
   2. Yapılandırma adı alanında, erişim yapılandırmasını tanımlamak ve bu veri kaynağı bağlantısına ilişkin diğer erişim yapılandırmalarından ayırmak için benzersiz bir ad girin. Yalnızca alfasayısal karakterlere ve şu özel karakterlere izin verilir: - . _
   3. Yapılandırma açıklaması alanında, erişim yapılandırmasını tanımlamak ve bu veri kaynağı bağlantısına ilişkin ayarlayabileceğiniz diğer erişim yapılandırmalarından ayırmak için benzersiz bir açıklama girin. Yalnızca alfasayısal karakterlere ve şu özel karakterlere izin verilir: - . _
   4. Erişimi düzenle ' yi tıklatın ve hangi kullanıcıların veri kaynağına ve erişim tipine bağlanabileceğini seçin.
   5. Elasticsearch API ' ye erişmek için aşağıdaki kimlik doğrulama yöntemlerinden birini seçin.
      1. Temel kimlik doğrulamasıyla bağlantı kurmak için bir Kullanıcı adı ve Parolagirin.
      2. Belirteç tabanlı kimlik doğrulamayla bağlantı kurmak için bir Erişim Simgesi (Belirteç Tabanlı Erişim) girin.
      3. API Anahtarı kimlik doğrulamasıyla bağlantı kurmak için bir API Anahtarı (Anahtar Tabanlı Erişim) ve Tanıtıcısı (Anahtar Tabanlı Erişim)girin.
   6. Ekledüğmesini tıklatın.
   7. Yapılandırmanızı kaydetmek ve bağlantı kurmak için Bittidüğmesini tıklatın.
   Veri kaynağı ayarları sayfasında Connections altında eklediğiniz veri kaynağı bağlantı yapılandırmasını görebilirsiniz. Karttaki bir ileti veri kaynağıyla bağlantıyı gösteriyor.

   Bir veri kaynağı eklediğinizde, veri kaynağının bağlı olduğunu girişi yerine yerine birkaç dakika sürebilir.

   İpucu: Bir veri kaynağını bağladıktan sonra, verilerin alınması 30 saniye sürebilir. Tam veri kümesi döndürülmeden önce veri kaynağı kullanılamıyor olarak görüntülenebilir. Veriler döndürüldükten sonra, veri kaynağı bağlı olarak gösterilir ve bağlantı durumunu doğrulamak için bir yoklama mekanizması ortaya çıkar. Bağlantı durumu, her yoklamadan sonra 60 saniye geçerlidir.

   Bu veri kaynağı için farklı kullanıcıları ve farklı veri erişimi izinleri olan başka bağlantı yapılandırmaları ekleyebilirsiniz.

9. Yapılanışlarınızı düzenlemek için aşağıdaki adımları izleyin:
   1. Veri Kaynakları sekmesinde düzenlemek istediğiniz veri kaynağı bağlantısını seçin.
   2. Yapılandırmalar bölümünde Yapılandırmayı Düzenle () seçeneğini tıklatın.
   3. Kimlik ve erişim parametrelerini düzenleyin ve Kaydetdüğmesini tıklatın.