Logs de Auditoria na Pesquisa com o OpenSearch

Os logs de auditoria capturam um registro abrangente de acesso, operações e alterações em um cluster e nos dados do cluster.

Esse recurso ajuda você a monitorar atividades, solucionar problemas e garantir a conformidade com as políticas de segurança de um cluster. Para obter mais informações, consulte OpenSearch audit logs.

Pré-requisitos

A versão OpenSearch do cluster deve ser 2.11.

Ativando Logs de Auditoria para um Cluster

Para poder usar logs de auditoria, ative a funcionalidade no Painel de Controle OpenSearch do cluster.

Acesse os Painéis de Controle OpenSearch do cluster e selecione Segurança.
Clique em Logs de auditoria no menu de navegação do lado esquerdo.
Alterne Ativar log de auditoria de Desativado para Ativado.

Definições Gerais

As definições gerais são as definições gerais de configuração para os logs de auditoria, incluindo se o recurso está ativado ou desativado para uma definição, juntamente com a granularidade dos dados registrados.

Definições de Camada

Os logs de auditoria podem ser ativados ou desativados para a camada REST e a camada de transporte.

Camada REST: Quando ativada, todas as solicitações REST para o cluster são registradas.

As categorias desativadas para REST são:
- AUTENTICADO: As solicitações autenticadas, mas não necessariamente autorizadas, não são registradas.
- GRANTED_PRIVILEGES: As solicitações autenticadas, mas não necessariamente autorizadas, não são registradas.
Camada de Transporte: Quando ativada, as solicitações de nó para nó em um cluster são registradas.

As categorias de transporte desativadas são:
- AUTENTICADO: As solicitações de nó a nó que são autenticadas, mas não necessariamente autorizadas, não são registradas.
- GRANTED_PRIVILEGES: As solicitações de nó a nó que receberam determinados privilégios não são registradas em log.

Configurações de Atributo

As definições de atributo especificam quais partes de uma solicitação registrar.

Solicitações em massa: se esta opção estiver ativada, as solicitações em massa serão registradas.
Corpo da solicitação: Se ativado, o corpo das solicitações será registrado.
Resolver índices: se esta opção estiver ativada, os nomes reais dos índices acessados na solicitação serão resolvidos e registrados.
Cabeçalhos sensíveis: Se esta opção estiver ativada, os cabeçalhos que podem conter informações confidenciais, como tokens de autenticação, serão registrados.

Ignorar Definições

Especifica se os usuários ou solicitações devem ser excluídos do log.

Usuários ignorados: Especifica uma lista de usuários cujas ações não foram registradas.
Solicitações ignoradas: especifica uma lista de padrões de solicitação que não são registrados.

Configurações de conformidade

Estas são as definições gerais de configuração do recurso de log de conformidade. Eles especificam se o registro em log de conformidade está ativado e a granularidade dos dados registrados.

Modo de Conformidade

Especifica se o cluster opera em um modo em que OpenSearch impõe determinados comportamentos relacionados à conformidade. Se o Compliance Logging estiver ativado, ele poderá impor verificações de segurança mais rigorosas, registro em log etc., com base nas outras definições de conformidade configuradas.

Configuração

Especifica se alguma atualização de configuração do OpenSearch será registrada. Inclui os seguintes:

Log de Configuração Interna: Se ativado, as alterações na configuração interna OpenSearch serão registradas. Isso pode ser útil para rastrear alterações em configurações de segurança, funções, permissões etc.
Log de Configuração Externa: Se ativado, as alterações nas configurações externas, como configurações armazenadas fora de OpenSearch, em um arquivo ou serviço externo, serão registradas.

Leitura

Especifica a configuração de log para operações de leitura.

Ler Metadados: Se ativado, somente os metadados das operações de leitura serão registrados, os dados reais que estão sendo lidos não serão registrados. Isso é útil para monitorar padrões de acesso sem registrar dados confidenciais.
Usuários Ignorados: Especifica uma lista de usuários cujas operações de leitura não foram registradas.
Campos Observados: Especifica os campos nos índices a serem monitorados para operações de leitura.

Gravar

Especifica a configuração de log para operações de gravação.

Gravar Metadados: Se ativado, somente os metadados das operações de gravação serão registrados, os dados reais que estão sendo gravados não serão registrados. Isso é útil para rastrear padrões de modificação de dados sem registrar o conteúdo dos dados.
Difs de Log: Se esta opção estiver ativada, as diferenças entre os dados antigos e os novos dados nas operações de gravação serão registradas. Se desativado, as diferenças não serão registradas, apenas uma operação de gravação será registrada.
Usuários Ignorados: Especifica uma lista de usuários cujas operações de leitura não foram registradas.
Índices Observados: Especifica os índices a serem monitorados para operações de gravação.

Usando Logs de Auditoria

Depois de ativar logs de auditoria para um cluster, o OpenSearch começa a preencher os índices de log de auditoria com dados. Para acessar esses dados, você precisa criar um padrão de índice que aponte para os dados de log. Um padrão de índice faz referência a um ou mais índices, fluxos de dados ou aliases de índice.

Criar Padrão de Índice

Acesse os Painéis de Controle OpenSearch do cluster e selecione Gerenciamento.
Clique em Gerenciamento de Pilhas no menu de navegação no lado esquerdo e selecione Padrões de Índice.
Clique em Criar padrão de índice.
Especifique o Nome do padrão de índice a ser correspondente. Por padrão, os nomes de índice do log de auditoria começam com security, para que você possa especificar security* para incluir todos os logs de auditoria. Se você não estiver usando a configuração padrão, especifique o padrão de índice que corresponde à configuração personalizada.
Clique em Próxima etapa.
Selecione @timestamp para a Etapa 2: Configurar definições e clique em Criar padrão de índice.

Pesquisando Logs de Auditoria

Acesse os Painéis de Controle OpenSearch do cluster e selecione Descobrir.
Selecione o padrão de índice security* ou outro padrão de índice criado para fazer referência aos dados do log de auditoria no menu drop-down superior esquerdo.

Nesse ponto, você pode adicionar, excluir ou alterar os campos de dados para pesquisar os dados de log.

Principais Recursos

Filtrar e pesquisar:
- Intervalo de datas - use o seletor de datas para restringir eventos especificando uma data inicial e uma data final.
- Pesquisa de texto livre - use a barra de pesquisa para procurar termos ou ações específicos.
- Filtros baseados em campo - aplique filtros com base em campos específicos, como audit_category, audit_request_origin e assim por diante.
Exibindo Detalhes do Log
As entradas do log de auditoria geralmente têm o seguinte:
- Marcação de data/hora - quando ocorreu o evento.
- Categoria de auditoria - o tipo de evento, como AUTHENTICATED, FAILED_LOGIN e assim por diante.
- Usuário - detalhes sobre o usuário que acionou o evento.
- Origem da solicitação - de onde a solicitação veio, como REST, TRANSPORT e assim por diante.
- IP remoto: - o endereço IP a partir do qual o evento foi acionado.

Exportando Logs de Auditoria

Para exportar logs de auditoria para análise ou backup externo:

Use as ferramentas de pesquisa e filtro para filtrar os logs que você deseja exportar. Consulte Pesquisando os dados e Filtrando os dados.
Clique em Compartilhar no canto superior direito e selecione o formato de exportação que deseja usar.

Práticas Recomendadas

Política de Retenção: Configure políticas de ciclo de vida de índice para gerenciar a retenção e a exclusão de logs de auditoria antigos.
Monitoramento: revise regularmente os logs de auditoria em busca de padrões incomuns ou atividades suspeitas.
Controle de Acesso: Restrinja o acesso a logs de auditoria somente para pessoal autorizado.

Documentação do Oracle Cloud Infrastructure