DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Auditoría de Datos de Elasticsearch

Auditoría de Datos de Elasticsearch

Introducción

La tecnología moderna ahora permite potentes motores de búsqueda de texto completo con capacidades avanzadas de visualización en tu escritorio. Las organizaciones que manejan información sensible deben mantener una vigilancia constante sobre el acceso y las modificaciones de sus datos. Aquí es donde entra en juego la auditoría de datos de Elasticsearch. Es una herramienta poderosa que rastrea y registra las actividades de la base de datos, proporcionando una visión completa de quién accedió a qué datos y cuándo.

¿Sabías que el 60% de las brechas de datos son causadas por amenazas internas? Esta estadística sorprendente subraya la importancia de tener auditorías robustas en los sistemas modernos de gestión de datos. Vamos a sumergirnos en el mundo de las auditorías de datos de Elasticsearch y a explorar cómo pueden fortalecer tus medidas de seguridad de datos.

Comprendiendo la Auditoría de Datos de Elasticsearch

¿Qué es Elasticsearch?

Elasticsearch es un motor de búsqueda y análisis distribuido y de código abierto. Está diseñado para la escalabilidad horizontal, la fiabilidad y las capacidades de búsqueda en tiempo real. Muchas organizaciones usan Elasticsearch para análisis de registros, búsqueda de texto completo e inteligencia empresarial.

La Importancia de las Auditorías

Las auditorías son cruciales para mantener la integridad y la seguridad de los datos. Proporcionan un registro cronológico de las actividades del sistema, ayudando a detectar accesos no autorizados, rastrear cambios y garantizar el cumplimiento de los requisitos regulatorios.

Habilitando la Auditoría en Elasticsearch Autogestionado

Modo de Prueba para la Capacidad de Auditoría

Es importante señalar que la capacidad de auditoría en Elasticsearch gratuito está disponible como una característica de prueba. Para experimentar todo su potencial, necesitarás habilitar la prueba de 30 días con API o archivo de configuración. Esto te permite ver la auditoría en acción y evaluar sus beneficios para tu organización.

Guía Paso a Paso para Habilitar la Auditoría

Descargué y extraje Elasticsearch 8.15.2 en mi Escritorio de Windows. Verifiqué que había suficiente espacio libre en el disco, ya que Elasticsearch puede fallar en el primer intento si hay almacenamiento limitado (menos de 10 GB). El inicio de elasticsearch

Vamos a recorrer el proceso de habilitar y usar la característica de auditoría en Elasticsearch. Utilizaremos un script que se pausa entre las acciones, permitiendo que revises cada paso cuidadosamente.

  1. Inicia Elasticsearch ejecutando el archivo elasticsearch.bat ubicado en el directorio bin de tu carpeta extraída (por ejemplo, C:\Usuarios\usuario\Escritorio\elasticsearch-8.15.2-windows-x86_64\elasticsearch-8.15.2\bin). Nota la contraseña del usuario Elastic que se muestra en la salida del inicio. Si la pierdes, puedes generar una nueva.
  2. Crea un nuevo archivo batch con un nombre descriptivo en tu directorio preferido.
  3. Copia el siguiente script en el archivo:
 
@echo off

:: Establece URL y credenciales de Elasticsearch.
:: Encuentra la contraseña (ES_PASS) en la primera salida de inicio.
set ES_URL=https://localhost:9200
set ES_USER=elastic
set ES_PASS=0IC-UMdBZH*euILO3OVw
set INDEX_NAME=my_new_index

echo Creando nuevo índice...
curl -X PUT -u %ES_USER%:%ES_PASS% -k "%ES_URL%/%INDEX_NAME%"
pause

echo Habilitando licencia de prueba...
curl -X POST -u %ES_USER%:%ES_PASS% -k "%ES_URL%/_license/start_trial?acknowledge=true"
pause

echo Creando un documento de muestra...
curl -X POST -u %ES_USER%:%ES_PASS% -H "Content-Type: application/json" -d "{\"title\":\"Sample Document\",\"content\":\"This is a sample document for testing purposes.\",\"timestamp\":\"%DATE% %TIME%\"}" -k "%ES_URL%/%INDEX_NAME%/_doc"
pause

echo Recuperando todos los documentos en el índice...
curl -X GET -u %ES_USER%:%ES_PASS% -k "%ES_URL%/%INDEX_NAME%/_search?pretty"
pause

echo Todas las operaciones completadas.
  1. Reemplaza el valor de ES_PASS con tu contraseña actual de Elasticsearch.
  2. Guarda el archivo y ejecútalo haciendo doble clic o ejecutándolo desde la línea de comandos.

Este script habilitará la licencia de prueba, creará un índice de prueba, añadirá un documento de muestra y recuperará todos los documentos. Entre cada acción, se pausará, permitiéndote revisar la salida.

Configurando Configuraciones de Auditoría

Para habilitar completamente la auditoría, necesitarás modificar el archivo de configuración de Elasticsearch. Sigue estos pasos:

  1. Localiza tu archivo elasticsearch.yml en el directorio de configuración de Elasticsearch.
  2. Añade las siguientes líneas al final del archivo:
 
xpack.security.audit.enabled: true
xpack.security.audit.logfile.events.include: "_all"
  1. Guarda el archivo .yml y reinicia Elasticsearch para aplicar los cambios. Para reiniciar Elasticsearch, mantén Ctrl+C en su consola y luego responde Y a la pregunta de si realmente deseas salir. Luego ejecuta el script elasticsearch.bat nuevamente.

Analizando los Registros de Auditoría

Una vez habilitada la auditoría, Elasticsearch generará registros de todas las actividades del sistema.

Se hizo la solicitud de búsqueda a “/my_new_index/_search” con el parámetro de consulta “pretty”. Y el método de solicitud fue GET. El acceso al sistema se originó desde el nodo local (127.0.0.1:9300). Pero el acceso del usuario vino de [::1]:11342, indicando una conexión IPv6 local.

Estos eventos de registro fueron generados al ejecutar este script (curl está instalado en la máquina Windows):

@echo off

:: Establece URL y credenciales de Elasticsearch.
:: Encuentra la contraseña (ES_PASS) en la primera salida de inicio de Elasticsearch.
set ES_URL=https://localhost:9200
set ES_USER=elastic
set ES_PASS=0IC-UMdBZH*euILO3OVw
set INDEX_NAME=my_new_index

echo Recuperando todos los documentos en el índice...
curl -X GET -u %ES_USER%:%ES_PASS% -k "%ES_URL%/%INDEX_NAME%/_search?pretty"
pause

echo Todas las operaciones completadas.

Este sencillo script de acceso a datos imprime datos JSON en la consola y dispara los eventos de auditoría mencionados anteriormente.

Los registros pueden ser analizados usando las potentes capacidades de búsqueda de Elasticsearch o visualizados usando herramientas como Kibana.

Limitaciones de la Auditoría en Elasticsearch

Si bien la característica de auditoría de Elasticsearch es robusta, tiene algunas limitaciones. Las opciones de configuración son algo limitadas en comparación con soluciones de auditoría especializadas. Se enfoca principalmente en las operaciones de Elasticsearch, sin proporcionar características de seguridad de base de datos completas.

Mejorando la Seguridad con DataSunrise

Para organizaciones que buscan soluciones de seguridad de bases de datos más completas, DataSunrise ofrece una poderosa alternativa. DataSunrise proporciona una variedad de características que van más allá de las auditorías básicas:

  1. Cinco modos de operación para un despliegue flexible
  2. Interfaz de usuario basada en web para una gestión fácil
  3. Asistente de seguridad basado en LLM para la detección inteligente de amenazas
  4. Soporte multi-base de datos para entornos diversos

Si bien DataSunrise es una solución de pago, su amplio conjunto de características y su interfaz fácil de usar lo hacen una inversión valiosa para las organizaciones que priorizan la seguridad de los datos.

Flujo de Trabajo de DataSunrise

Las siguientes capturas de pantalla demuestran la auditoría de datos de Elasticsearch. Creamos una Instancia para el servidor de Elasticsearch que hemos lanzado.

En este ejemplo, el proxy se establece en el número de puerto adyacente 9201.

A continuación, creamos una Regla de Auditoría para capturar consultas. No se especifican objetos en el filtro y hemos habilitado el guardado de resultados de consulta (casilla de verificación).

Realizamos varias solicitudes, cambiando ES_URL de https://localhost:9200 a https://localhost:9201. Las Pistas Transaccionales ahora aparecen de la siguiente manera:

En Detalles del Evento, el número del Evento es clicable y muestra los resultados de la consulta (habilitamos esto antes).

Conclusión

La auditoría de datos de Elasticsearch es una herramienta valiosa para mejorar la seguridad de la búsqueda y mantener la integridad de los datos. Al habilitar la característica de prueba y seguir los pasos descritos en esta guía, puedes mejorar significativamente tu postura de seguridad de datos.

Sin embargo, para las organizaciones que requieren medidas de seguridad más avanzadas, soluciones como DataSunrise ofrecen protección integral en múltiples bases de datos. Estas herramientas proporcionan las características de seguridad robustas necesarias en los complejos entornos de datos actuales.

Recuerda, la seguridad de datos es un proceso continuo. Revisa y actualiza regularmente tus medidas de seguridad para adelantarte a posibles amenazas y garantizar la seguridad de tus valiosos datos.

Nota sobre DataSunrise: DataSunrise ofrece herramientas de seguridad de bases de datos de última generación basadas en IA. Nuestras soluciones flexibles atienden las diversas necesidades organizativas, proporcionando protección integral para tus valiosos activos de datos. Te invitamos a visitar el sitio web de DataSunrise para programar una demostración en línea y experimentar de primera mano cómo nuestras avanzadas características de seguridad pueden fortalecer tu infraestructura de datos.

Siguiente

Historial de Actividades de la Base de Datos de Elasticsearch

Historial de Actividades de la Base de Datos de Elasticsearch

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]