DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

Traccia di Audit dei Dati di Elasticsearch

Traccia di Audit dei Dati di Elasticsearch

Introduzione

La tecnologia moderna consente ora potenti motori di ricerca full-text con capacità di visualizzazione avanzate sul tuo desktop. Le organizzazioni che gestiscono informazioni sensibili devono mantenere un occhio vigile sull’accesso e le modifiche ai propri dati. È qui che entra in gioco la traccia di audit dei dati di Elasticsearch. È uno strumento potente che traccia e registra le attività del database, fornendo una visione completa di chi ha accesso a quali dati e quando.

Sapevi che il 60% delle violazioni dei dati è causato da minacce interne? Questa statistica allarmante sottolinea l’importanza di robuste tracce di audit nei moderni sistemi di gestione dei dati. Esploriamo il mondo delle tracce di audit dei dati di Elasticsearch e come possono rafforzare le misure di sicurezza dei tuoi dati.

Comprendere la Traccia di Audit dei Dati di Elasticsearch

Che cos’è Elasticsearch?

Elasticsearch è un motore di ricerca e analisi distribuito e open-source. È progettato per la scalabilità orizzontale, l’affidabilità e le capacità di ricerca in tempo reale. Molte organizzazioni utilizzano Elasticsearch per l’analisi dei log, la ricerca full-text e l’intelligence aziendale.

L’importanza delle Tracce di Audit

Le tracce di audit sono cruciali per mantenere l’integrità e la sicurezza dei dati. Forniscono un registro cronologico delle attività del sistema, aiutando a rilevare accessi non autorizzati, tracciare le modifiche e garantire la conformità ai requisiti normativi.

Abilitare la Traccia di Audit in Elasticsearch Self-Hosted

Modalità Trial per la Capacità di Audit

È importante notare che la capacità di audit in Elasticsearch gratuito è disponibile come funzionalità di prova. Per sfruttare appieno il suo potenziale, è necessario abilitare la versione di prova di 30 giorni con API o file di configurazione. Questo ti permette di vedere in azione la traccia di audit e valutare i suoi benefici per la tua organizzazione.

Guida Passo-Passo per Abilitare la Traccia di Audit

Ho scaricato e estratto Elasticsearch 8.15.2 sul mio Desktop Windows. Ho verificato di avere sufficiente spazio libero su disco, poiché Elasticsearch potrebbe fallire alla prima esecuzione con spazio limitato (meno di 10 GB). L’avvio di elasticsearch

Vediamo insieme il processo per abilitare e utilizzare la funzionalità di traccia di audit in Elasticsearch. Utilizzeremo uno script che si interrompe tra le azioni, consentendo di esaminare ogni passaggio attentamente.

  1. Avvia Elasticsearch eseguendo il file elasticsearch.bat situato nella directory bin della tua cartella estratta (es. C:\Users\user\Desktop\elasticsearch-8.15.2-windows-x86_64\elasticsearch-8.15.2\bin). Annota la password dell’utente Elastic visualizzata nell’output di avvio. Se persa, è possibile generare una nuova.
  2. Crea un nuovo file batch con un nome descrittivo nella tua directory preferita.
  3. Copia lo script seguente nel file:
 
@echo off

:: Imposta URL e credenziali di Elasticsearch
:: Trova la password (ES_PASS) nell'output del primo avvio.
set ES_URL=https://localhost:9200
set ES_USER=elastic
set ES_PASS=0IC-UMdBZH*euILO3OVw
set INDEX_NAME=my_new_index

echo Creating new index...
curl -X PUT -u %ES_USER%:%ES_PASS% -k "%ES_URL%/%INDEX_NAME%"
pause

echo Enabling trial license... 
curl -X POST -u %ES_USER%:%ES_PASS% -k "%ES_URL%/_license/start_trial?acknowledge=true"
pause

echo Creating a sample document...
curl -X POST -u %ES_USER%:%ES_PASS% -H "Content-Type: application/json" -d "{\"title\":\"Sample Document\",\"content\":\"This is a sample document for testing purposes.\",\"timestamp\":\"%DATE% %TIME%\"}" -k "%ES_URL%/%INDEX_NAME%/_doc"
pause

echo Retrieving all documents in the index...
curl -X GET -u %ES_USER%:%ES_PASS% -k "%ES_URL%/%INDEX_NAME%/_search?pretty"
pause

echo All operations completed.
  1. Sostituisci il valore di ES_PASS con la tua password effettiva di Elasticsearch.
  2. Salva il file ed eseguilo facendo doppio clic o eseguendolo dal prompt dei comandi.

Questo script abiliterà la licenza di prova, creerà un indice di test, aggiungerà un documento di esempio e recupererà tutti i documenti. Tra ogni azione, si interrompe, permettendo di esaminare l’output.

Configurazione delle Impostazioni di Audit

Per abilitare completamente l’audit, è necessario modificare il file di configurazione di Elasticsearch. Segui questi passaggi:

  1. Trova il tuo file elasticsearch.yml nella directory di configurazione di Elasticsearch.
  2. Aggiungi le seguenti righe alla fine del file:
 
xpack.security.audit.enabled: true
xpack.security.audit.logfile.events.include: "_all"
  1. Salva il file .yml e riavvia Elasticsearch per applicare le modifiche. Per riavviare Elasticsearch, premi Ctrl+C nella sua console e rispondi Y alla domanda se vuoi veramente uscire. Quindi esegui di nuovo lo script elasticsearch.bat.

Analizzare i Log di Audit

Una volta abilitato l’auditing, Elasticsearch genererà log di tutte le attività del sistema.

La richiesta di ricerca è stata fatta a “/my_new_index/_search” con il parametro di query “pretty”. Il metodo di richiesta era GET. L’accesso al sistema è avvenuto dal nodo locale (127.0.0.1:9300). Ma l’accesso dell’utente è avvenuto da [::1]:11342, indicando una connessione localhost IPv6.

Questi eventi di log sono stati generati eseguendo questo script (curl è installato sul computer Windows):

@echo off

:: Imposta URL e credenziali di Elasticsearch
:: Trova la password (ES_PASS) nell'output del primo avvio di Elasticsearch
set ES_URL=https://localhost:9200
set ES_USER=elastic
set ES_PASS=0IC-UMdBZH*euILO3OVw
set INDEX_NAME=my_new_index

echo Retrieving all documents in the index...
curl -X GET -u %ES_USER%:%ES_PASS% -k "%ES_URL%/%INDEX_NAME%/_search?pretty"
pause

echo All operations completed.

Questo semplice script di accesso ai dati produce dati json sulla console e innesca gli eventi di audit menzionati prima.

I log possono essere analizzati utilizzando le potenti capacità di ricerca di Elasticsearch o visualizzati utilizzando strumenti come Kibana.

Limitazioni della Traccia di Audit di Elasticsearch

Sebbene la funzionalità di traccia di audit di Elasticsearch sia robusta, presenta alcune limitazioni. Le opzioni di configurazione sono piuttosto limitate rispetto a soluzioni di audit specializzate. Si concentra principalmente sulle operazioni di Elasticsearch, non fornendo funzionalità di sicurezza completa per il database.

Migliorare la Sicurezza con DataSunrise

Per le organizzazioni che cercano soluzioni di sicurezza dei database più complete, DataSunrise offre una potente alternativa. DataSunrise fornisce una gamma di funzionalità che vanno oltre le tracce di audit di base:

  1. Cinque modalità operative per un’implementazione flessibile
  2. Interfaccia utente web per una gestione facilitata
  3. Assistente della sicurezza basato su LLM per il rilevamento intelligente delle minacce
  4. Supporto multi-database per ambienti diversificati

Sebbene DataSunrise sia una soluzione a pagamento, la sua vasta gamma di funzionalità e l’interfaccia user-friendly la rendono un investimento prezioso per le organizzazioni che danno priorità alla sicurezza dei dati.

Flusso di Lavoro di DataSunrise

Gli screenshot seguenti dimostrano la traccia di audit dei dati di Elasticsearch. Creiamo un’istanza per il server Elasticsearch che abbiamo avviato.

In questo esempio, il proxy è impostato sul numero di porta adiacente 9201.

Successivamente, creiamo una Regola di Audit per catturare le query. Nessun oggetto è specificato nel filtro e abbiamo abilitato il salvataggio dei risultati delle query (checkbox).

Eseguiamo diverse richieste, cambiando ES_URL da https://localhost:9200 a https://localhost:9201. Ora le Tracce Transazionali appaiono come segue:

Nei Dettagli dell’Evento, il numero di Evento è cliccabile e visualizza i risultati della query (abbiamo abilitato questa opzione prima).

Conclusione

La traccia di audit dei dati di Elasticsearch è uno strumento prezioso per migliorare la sicurezza delle ricerche e mantenere l’integrità dei dati. Abilitare la funzionalità di prova e seguire i passaggi descritti in questa guida può migliorare significativamente la tua difesa dei dati.

Tuttavia, per le organizzazioni che necessitano di misure di sicurezza più avanzate, soluzioni come DataSunrise offrono protezione completa su più database. Questi strumenti forniscono le funzionalità di sicurezza robuste necessarie negli ambienti complessi di oggi.

Ricorda, la sicurezza dei dati è un processo continuo. Rivedi e aggiorna regolarmente le tue misure di sicurezza per rimanere un passo avanti rispetto alle potenziali minacce e garantire la sicurezza dei tuoi dati preziosi.

Nota su DataSunrise: DataSunrise offre strumenti all’avanguardia basati sull’IA per la sicurezza dei database. Le nostre soluzioni flessibili rispondono alle diverse esigenze organizzative, fornendo protezione completa per i tuoi beni di dati preziosi. Ti invitiamo a visitare il sito Web di DataSunrise per programmare una demo online e sperimentare in prima persona come le nostre funzionalità avanzate possano rafforzare la tua infrastruttura dati.

Successivo

Storico delle Attività del Database di Elasticsearch

Storico delle Attività del Database di Elasticsearch

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]