Documentación de Oracle Cloud Infrastructure

Logs de auditoría en búsqueda con OpenSearch

Los logs de auditoría capturan un registro completo de acceso, operaciones y cambios en un cluster y los datos del cluster.

Esta función le ayuda a supervisar actividades, solucionar problemas y garantizar el cumplimiento de las políticas de seguridad de un cluster. Para obtener más información, consulte OpenSearch audit logs.

Requisitos

  • La versión OpenSearch para el cluster debe ser 2.11.

Activación de logs de auditoría para un cluster

Para poder utilizar logs de auditoría, debe activar la funcionalidad desde el panel de control OpenSearch del cluster.

  1. Conéctese a los paneles de control OpenSearch del cluster y seleccione Seguridad.

  2. Haga clic en Logs de auditoría en el menú de navegación de la parte izquierda.

  3. Cambie Activar registro de auditoría de Desactivado a Activado.

Valores generales

Los valores generales son los valores de configuración generales para los logs de auditoría, incluido si la función está activada o desactivada para un valor, junto con la granularidad de los datos registrados.

Valores del Nivel

Los logs de auditoría se pueden activar o desactivar para la capa REST y la capa de transporte.

  • Capa REST: cuando está activada, se registran las solicitudes REST al cluster.

    Las categorías desactivadas de REST son:

    • AUTHENTICATED: las solicitudes que están autenticadas pero no necesariamente autorizadas no se registran.
    • GRANTED_PRIVILEGES: las solicitudes que están autenticadas pero no necesariamente autorizadas no se registran.

  • Capa de transporte: cuando está activada, las solicitudes de nodo a nodo dentro de un cluster se registran.

    Las categorías de transporte con discapacidad son:

    • AUTHENTICATED: las solicitudes de nodo a nodo que se autentican pero no necesariamente se autorizan no se registran.
    • GRANTED_PRIVILEGES: las solicitudes de nodo a nodo a las que se han otorgado determinados privilegios no se registran.

Configuración de atributo

La configuración de atributos especifica qué partes de una solicitud registrar.

  • Solicitudes masivas: si está activada, se registran las solicitudes masivas.

  • Cuerpo de solicitud: si está activado, se registra el cuerpo de las solicitudes.

  • Resolver índices: si se activa, se resuelven y registran los nombres reales de los índices a los que se accede en la solicitud.

  • Cabeceras confidenciales: si se activa, se registran las cabeceras que pueden contener información confidencial, como tokens de autenticación.

Ignorar configuración

Especifica si se debe excluir cualquier usuario o solicitud del registro.

  • Usuarios ignorados: especifica una lista de usuarios cuyas acciones no se han registrado.

  • Solicitudes ignoradas: especifica una lista de patrones de solicitud que no se registran.

Configuración de conformidad

Estos son los valores de configuración generales para la función de registro de conformidad. Especifican si el registro de conformidad está activado y la granularidad de los datos registrados.

Modo de conformidad

Especifica si el cluster funciona en un modo en el que OpenSearch aplica determinados comportamientos relacionados con el cumplimiento. Si Compliance Logging está activado, podría aplicar comprobaciones de seguridad más estrictas, registros, etc., en función de los demás valores de conformidad configurados.

Configuración

Especifica si se registran las actualizaciones de configuración OpenSearch. Incluye lo siguiente:

  • Registro de configuración interna: si está activado, se registran los cambios en la configuración interna de OpenSearch. Esto puede ser útil para realizar un seguimiento de los cambios en las configuraciones de seguridad, los roles, los permisos, etc.

  • Registro de Configuración Externa: si está activado, se registran los cambios en las configuraciones externas, como las configuraciones almacenadas fuera de OpenSearch, en un archivo o un servicio externo.

Lectura

Especifica la configuración de registro para las operaciones de lectura.

  • Leer metadatos: si se activa, solo se registran los metadatos de las operaciones de lectura, los datos reales que se están leyendo no se registran. Esto resulta útil para supervisar patrones de acceso sin registrar datos confidenciales.

  • Usuarios ignorados: especifica una lista de usuarios cuyas operaciones de lectura no se han registrado.

  • Campos Consultados: especifica los campos de los índices que se deben supervisar para las operaciones de lectura.

Escribir

Especifica la configuración de registro para las operaciones de escritura.

  • Escribir metadatos: si se activa, solo se registran los metadatos de las operaciones de escritura, los datos reales que se escriben no se registran. Esto resulta útil para realizar un seguimiento de los patrones de modificación de datos sin registrar el contenido de los datos.

  • Diferencias de log: si se activa, se registran las diferencias entre los datos antiguos y los nuevos datos en las operaciones de escritura. Si está desactivada, las diferencias no se registran, solo se registra que se ha producido una operación de escritura.

  • Usuarios ignorados: especifica una lista de usuarios cuyas operaciones de lectura no se han registrado.

  • Índices Consultados: especifica los índices que se deben supervisar para las operaciones de escritura.

Uso de logs de auditoría

Después de activar los logs de auditoría para un cluster, OpenSearch comienza a rellenar los índices de log de auditoría con datos. Para acceder a esos datos, debe crear un patrón de índice que apunte a los datos del log. Un patrón de índice hace referencia a uno o más índices, flujos de datos o alias de índice.

Crear patrón de índice

  1. Conéctese a los paneles de control OpenSearch del cluster y seleccione Gestión.

  2. Haga clic en Gestión de pila en el menú de navegación de la parte izquierda y, a continuación, seleccione Patrones de índice.

  3. Haga clic en Crear patrón de índice.

  4. Especifique el nombre de patrón de índice que desea que coincida. Por defecto, los nombres de índice de log de auditoría empiezan por security, por lo que puede especificar security* para incluir todos los logs de auditoría. Si no utiliza la configuración por defecto, especifique el patrón de índice que coincida con la configuración personalizada.
  5. Haga clic en Siguiente paso.
  6. Seleccione @timestamp para el Paso 2: Configurar valores y, a continuación, haga clic en Crear patrón de índice.

Búsqueda de Logs de Auditoría

  1. Conéctese a los paneles de control OpenSearch del cluster y seleccione Detectar.

  2. Seleccione el patrón de índice security* u otro patrón de índice que haya creado para hacer referencia a los datos del log de auditoría en el menú desplegable de la parte superior izquierda.

En este punto, puede agregar, suprimir o cambiar los campos de datos para buscar los datos del log.

Características clave

  • Filtrar y buscar:

    • Rango de fechas: utilice el selector de fechas para acotar eventos especificando una fecha de inicio y una fecha de finalización.
    • Búsqueda de texto libre: utilice la barra de búsqueda para buscar términos o acciones específicos.
    • Filtros basados en campos: aplique filtros basados en campos específicos, como audit_category, audit_request_origin, etc.

  • Visualización de detalles de log

    Las entradas del log de auditoría suelen tener lo siguiente:
    • Registro de hora: momento en el que se produjo el evento.
    • Categoría de auditoría: tipo de evento, como AUTHENTICATED, FAILED_LOGIN, etc.
    • User: detalles sobre el usuario que disparó el evento.
    • Origen de solicitud: de dónde proviene la solicitud, como REST, TRANSPORT, etc.
    • IP remota: dirección IP desde la que se disparó el evento.

Exportación de logs de auditoría

Para exportar logs de auditoría para análisis o copia de seguridad externa:

  1. Utilice las herramientas de búsqueda y filtro para filtrar los logs que desea exportar. Consulte Búsqueda de datos y Filtrado de datos.

  2. Haga clic en Compartir en la parte superior derecha y seleccione el formato de exportación que desea utilizar.

Mejores prácticas

  • Política de retención: configure políticas de ciclo de vida de índice para gestionar la retención y la supresión de logs de auditoría antiguos.
  • Supervisión: revise periódicamente los logs de auditoría para detectar patrones inusuales o actividades sospechosas.
  • Control de acceso: restringe el acceso a los logs de auditoría solo al personal autorizado.