Nawiązywanie połączenia ze źródłem danych Elasticsearch

Połącz źródło danych Elasticsearch z platformą, aby umożliwić aplikacjom i panelom kontrolnym gromadzenie i analizowanie danych bezpieczeństwa Elasticsearch . Konektory Universal Data Insights umożliwiają wyszukiwanie stowarzyszone między produktami zabezpieczeń.

1. Idź do Menu > Połączenia > Źródła danych.
2. Na karcie Źródła danych kliknij opcję Połącz źródło danych.
3. Kliknij opcję Elastic Search (ECS), a następnie kliknij przycisk Next(Dalej).
4. Skonfiguruj połączenie ze źródłem danych.
   1. W polu Nazwa źródła danych przypisz nazwę jednoznacznie identyfikującą połączenie ze źródłem danych.
      Istnieje możliwość utworzenia wielu instancji połączenia ze źródłem danych, aby można było je wyraźnie oddzielić za pomocą nazwy. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
   2. W polu Opis źródła danych wpisz opis wskazujący przeznaczenie połączenia ze źródłem danych.
      Istnieje możliwość utworzenia wielu instancji połączenia ze źródłem danych, dlatego warto wyraźnie wskazać przeznaczenie każdego połączenia za pomocą opisu. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
   3. Jeśli między klastrem a miejscem docelowym źródła danych znajduje się firewall, do udostępniania kontenerów należy użyć Edge Gateway . W polu Brama brzegowa (opcjonalnie) określ, który Edge Gateway ma być używany.
      Wybierz Edge Gateway , aby udostępnić konektor. Wyświetlenie statusu nowo wdrożonych połączeń źródła danych w Edge Gateway może potrwać do pięciu minut.
   4. W polu Adres IP lub nazwa hosta zarządzania ustaw nazwę hosta lub adres IP źródła danych, aby platforma mogła się z nim komunikować.
   5. W polu Port hosta ustaw numer portu, który jest powiązany z hostem źródła danych. Domyślnie jest to port 443.
   6. Aby wyszukiwać określone indeksy Elasticsearch , należy ustawić pojedynczy indeks lub wiele indeksów na liście rozdzielanej przecinkami w polu Indeksy (opcjonalne) . Na przykład: index1,index2. Aby przeszukać wszystkie indeksy, należy pozostawić pole tekstowe puste.
5. Ustaw parametry zapytania, aby kontrolować zachowanie zapytania wyszukiwania w źródle danych.
   1. W polu Limit współbieżnego wyszukiwania ustaw liczbę jednoczesnych połączeń, które można nawiązać ze źródłem danych. Domyślnym limitem liczby połączeń jest 4. Wartość nie może być mniejsza niż 1 i nie może być większa niż 100.
   2. W polu Limit czasu wyszukiwania zapytania ustaw limit czasu (w minutach), przez jaki zapytanie jest uruchamiane w źródle danych. Domyślnym limitem czasu jest 30. Jeśli wartość jest ustawiona na zero, nie ma limitu czasu. Wartość nie może być mniejsza niż 1 i nie może być większa niż 120.
   3. W polu Limit wielkości wyników ustaw maksymalną liczbę pozycji lub obiektów zwracanych przez zapytanie do wyszukania. Domyślnym limitem wielkości wyniku jest 10 000. Wartość nie może być mniejsza niż 1 i nie może być większa niż 500 000.
   4. W polu Zakres czasu zapytania ustaw zakres czasu w minutach dla wyszukiwania, reprezentowany przez ostatnie X minut. Wartością domyślną jest 5 minut. Wartość nie może być mniejsza niż 1 i nie może być większa niż 10 000.
   Ważne: Jeśli zostanie zwiększony limit współbieżnego wyszukiwania i limit wielkości wyników, do źródła danych może zostać wysłana większa ilość danych, co zwiększy obciążenie źródła danych. Zwiększenie zakresu czasu zapytania zwiększa również ilość danych.
6. Opcjonalnie: Jeśli produkt Elasticsearch został skonfigurowany z certyfikatem ośrodka CA, dodaj certyfikat.
   1. Aby potwierdzić, że istnieje certyfikat samopodpisany, można wyszukać w sieci WWW dekodowanie ssl, a następnie skopiować i wkleić certyfikat do dekodera certyfikatów.
      Jeśli nazwa zwykła ma postać localhost.localdomain, oznacza to, że jest to certyfikat samopodpisany. W przeciwnym razie jest to podpisany certyfikat CA.
   2. Jeśli nazwa hosta lub adres IP nie są zgodne z nazwą zwykłą, należy podać indykator nazwy serwera (Server Name Indicator-SNI). Protokół SNI umożliwia podanie oddzielnej nazwy hosta dla uzgadniania TLS (Transport Layer Security) połączenia zasobu.
   3. Skopiuj szczegóły certyfikatu i wklej je w udostępnionym obszarze, a następnie kliknij przycisk Gotowe.
7. Opcjonalnie: Jeśli konieczne jest dostosowanie odwzorowania atrybutów STIX, kliknij opcję Dostosuj odwzorowanie atrybutów i zmodyfikuj obiekt JSON, aby odwzorować nowe lub istniejące właściwości na powiązane z nimi docelowe pola źródła danych.
8. Skonfiguruj tożsamość i dostęp.
   1. Kliknij opcję Dodaj konfigurację.
   2. W polu Nazwa konfiguracji wprowadź unikalną nazwę opisującą konfigurację dostępu i odróżniającą ją od innych konfiguracji dostępu dla tego połączenia źródła danych, które można skonfigurować. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
   3. W polu Opis konfiguracji wprowadź unikalny opis opisujący konfigurację dostępu i odróżniający ją od innych konfiguracji dostępu dla tego połączenia źródła danych, które można skonfigurować. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
   4. Kliknij opcję Edytuj dostęp i wybierz użytkowników, którzy mogą łączyć się ze źródłem danych i typ dostępu.
   5. Aby uzyskać dostęp do interfejsu API Elasticsearch , wybierz jedną z następujących metod uwierzytelniania.
      1. Aby nawiązać połączenie z uwierzytelnianiem podstawowym, wpisz nazwę użytkownika i hasło.
      2. Aby nawiązać połączenie z uwierzytelnianiem opartym na znacznikach, wprowadź Token dostępu (Token Based Access).
      3. Aby nawiązać połączenie z uwierzytelnianiem za pomocą klucza API, wprowadź Klucz API (dostęp oparty na kluczu) i Identyfikator (dostęp oparty na kluczu).
   6. Kliknij przycisk Dodaj.
   7. Aby zapisać konfigurację i nawiązać połączenie, kliknij przycisk Gotowe.
   Na stronie ustawień źródła danych można wyświetlić konfigurację połączenia źródła danych, która została dodana w sekcji Połączenia. Komunikat na karcie wskazuje połączenie ze źródłem danych.

   Po dodaniu źródła danych może upłynąć kilka minut, zanim zostanie ono wyświetlone jako połączone.

   Wskazówka: Po podłączeniu źródła danych pobranie danych może potrwać do 30 sekund. Przed zwróceniem pełnego zestawu danych źródło danych może być wyświetlane jako niedostępne. Po zwróceniu danych źródło danych jest wyświetlane jako połączone i występuje mechanizm odpytywania sprawdzający status połączenia. Status połączenia jest poprawny przez 60 sekund po każdym odpytywaniu.

   Dla tego źródła danych można dodać inne konfiguracje połączeń, które mają różnych użytkowników i różne uprawnienia dostępu do danych.

9. Aby edytować konfiguracje, wykonaj następujące kroki:
   1. Na karcie Źródła danych wybierz połączenie ze źródłem danych, które ma być edytowane.
   2. W sekcji Konfiguracje kliknij opcję Edytuj konfigurację ().
   3. Zmodyfikuj parametry tożsamości i dostępu, a następnie kliknij przycisk Zapisz.