連接至 Elasticsearch 資料來源

線上編輯

Elasticsearch 資料來源連接至平台,讓您的應用程式及儀表板能夠收集並分析 Elasticsearch 安全資料。 Universal Data Insights 連接器可在安全產品之間啟用聯合搜尋。

在開始之前

與可以安裝及配置 Elasticsearch 伺服器安全的 Elastic Stack 管理者分工合作。 您需要設定 Elastic Stack的基本安全。 如需設定 Elastic Stack基本安全的相關資訊,請參閱 設定 Elastic Stack的基本安全 (https://www.elastic.co/guide/en/elasticsearch/reference/current/security-basic-setup.html)。

如果您在叢集與資料來源目標之間有防火牆,請使用 IBM® Security Edge Gateway 來管理儲存器。 Edge Gateway 必須是 V1.6 或更新版本。 如需相關資訊,請參閱 設定 Edge Gateway

關於此作業

Elasticsearch 連接器設計為使用 Elastic Common Schema 1.7

結構化威脅資訊 eXpression (STIX) 是組織用來交換網路威脅情報的語言及序列化格式。 Elasticsearch 連接器會使用 STIX 圖案化來查詢 Elasticsearch 資料,並以 STIX 物件傳回結果。 如需 Elasticsearch 資料綱目如何對映至 STIX的相關資訊,請參閱 Elasticsearch STIX 對映 (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/elastic_ecs_supported_stix.md)。

程序

  1. 跳至 功能表 > 連線 > 資料來源
  2. 在「 資料來源 」標籤上,按一下 連接資料來源
  3. 按一下 Elastic Search (ECS),然後按 下一步
  4. 配置資料來源的連線。
    1. 資料來源名稱 欄位中,指派名稱以唯一識別資料來源連線。
      您可以建立指向資料來源的多個連線實例,因此最好依名稱來清楚區分它們。 僅接受英數字元和下列特殊字元: - . _
    2. 資料來源說明 欄位中,撰寫說明以指出資料來源連線的用途。
      您可以建立指向資料來源的多個連線實例,因此,透過說明明確指出每一個連線的用途會非常有用。 僅接受英數字元和下列特殊字元: - . _
    3. 如果叢集與資料來源目標之間有防火牆,請使用 Edge Gateway 來管理儲存器。 在 Edge 閘道 (選用) 欄位中,指定要使用的 Edge Gateway
      選取 Edge Gateway 以管理連接器。 在 Edge Gateway 上新部署的資料來源連線狀態最多可能需要五分鐘才能顯示為已連接。
    4. 管理 IP 位址或主機名稱 欄位中,設定資料來源的主機名稱或 IP 位址,以便平台可以與它通訊。
    5. 主機埠 欄位中,設定與資料來源主機相關聯的埠號。 依預設,埠為 443。
    6. 若要搜尋特定 Elasticsearch 索引,請在 索引 (選用) 欄位中以逗點區隔清單設定單一索引或多個索引。 例如: index1,index2。 若要搜尋所有索引,請將文字框保留空白。
  5. 設定查詢參數,以控制資料來源上搜尋查詢的行為。
    1. 並行搜尋限制 欄位中,設定可以對資料來源建立的同時連線數。 連線數的預設限制為 4。 該值不得小於 1 且不得大於 100。
    2. 查詢搜尋逾時限制 欄位中,設定在資料來源上執行查詢的時間限制 (分鐘)。 預設時間限制為 30。 當值設為零時,沒有逾時。 該值不得小於 1 且不得大於 120。
    3. 結果大小限制 欄位中,設定搜尋查詢所傳回的項目數或物件數上限。 預設結果大小限制為 10,000。 該值不得小於 1 且不得大於 500,000。
    4. 查詢時間範圍 欄位中,設定搜尋的時間範圍 (分鐘) ,以最後 X 分鐘表示。 預設值為 5 分鐘。 該值不得小於 1 且不得大於 10,000。
    重要事項: 如果您增加並行搜尋限制及結果大小限制,則可以將更多資料傳送至資料來源,這會增加資料來源的壓力。 增加查詢時間範圍也會增加資料量。
  6. 選用項目: 如果您已使用 CA 憑證來配置 Elasticsearch ,請新增憑證。
    1. 若要確認您具有自簽憑證,您可以在 Web 中搜尋 ssl decode,然後複製憑證並貼到「憑證解碼器」。
      如果「通用名稱」顯示 localhost.localdomain,則它是自簽憑證。 否則,它是已簽署的 CA 憑證。
    2. 如果您的主機名稱或 IP 位址不符合通用名稱,則必須提供「伺服器名稱指示器 (SNI)」。 SNI 可將個別主機名稱提供給資源連線的「傳輸層安全 (TLS)」信號交換。
    3. 複製憑證詳細資料並將其貼入所提供的空間,然後按一下 完成
  7. 選用: 如果您需要自訂 STIX 屬性對映,請按一下 自訂屬性對映 ,並編輯 JSON 二進位大型物件,將新的或現有的內容對映至其相關聯的目標資料來源欄位。
  8. 配置身分及存取權。
    1. 按一下 新增配置
    2. 配置名稱 欄位中,輸入唯一名稱來說明存取配置,並將它與您可能設定之此資料來源連線的其他存取配置區分。 僅容許英數字元及下列特殊字元: - . _
    3. 配置說明 欄位中,輸入唯一說明來說明存取配置,並將它與您可能設定之此資料來源連線的其他存取配置區分。 僅容許英數字元及下列特殊字元: - . _
    4. 按一下 編輯存取權 ,然後選擇哪些使用者可以連接至資料來源及存取權類型。
    5. 選擇下列其中一個鑑別方法來存取 Elasticsearch API。
      1. 若要建立與基本鑑別的連線,請輸入 使用者名稱密碼
      2. 若要建立與記號型鑑別的連線,請輸入 存取記號 (記號型存取
      3. 若要建立與「API 金鑰」鑑別的連線,請輸入 API 金鑰 (金鑰型存取)ID (金鑰型存取)
    6. 按一下 新增
    7. 若要儲存配置並建立連線,請按一下 完成
    您可以在資料來源設定頁面上,查看您在連線下新增的資料來源連線配置。 卡片上的訊息指出與資料來源的連線。
    當您新增資料來源時,可能需要幾分鐘,資料來源才會顯示為正在連接。
    提示: 連接資料來源之後,最多可能需要 30 秒才能擷取資料。 在傳回完整資料集之前,資料來源可能會顯示為無法使用。 傳回資料之後,資料來源會顯示為正在連接,且會出現輪詢機制來驗證連線狀態。 每次輪詢之後,連線狀態的有效時間為 60 秒。

    您可以針對此資料來源新增具有不同使用者及不同資料存取權的其他連線配置。

  9. 若要編輯配置,請完成下列步驟:
    1. 資料來源 標籤上,選取您要編輯的資料來源連線。
    2. 在「 配置 」區段中,按一下 編輯配置 (編輯配置圖示)。
    3. 編輯身分及存取參數,然後按一下 儲存

下一步做什麼

透過使用 IBM Security Data Explorer執行查詢來測試連線。 若要使用 Data Explorer,您必須具有已連接的資料來源,以便應用程式可以跨統一資料來源集執行查詢並擷取結果。 搜尋結果會根據所配置資料來源中包含的資料而有所不同。 如需如何在 Data Explorer中建置查詢的相關資訊,請參閱 建置查詢