DataSunrise Logra el Estado de Competencia en AWS DevOps en AWS DevSecOps y Monitoreo, Registro, Rendimiento

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

Registro de Auditoría de Datos de Elasticsearch

Registro de Auditoría de Datos de Elasticsearch

Introducción

La tecnología moderna ahora permite motores de búsqueda de texto completo potentes con capacidades avanzadas de visualización en tu escritorio. Las organizaciones que manejan información sensible deben mantener un ojo vigilante sobre el acceso y las modificaciones de sus datos. Aquí es donde entra en juego el registro de auditoría de datos de Elasticsearch. Es una herramienta poderosa que rastrea y registra las actividades de la base de datos, proporcionando una visión integral de quién accedió a qué datos y cuándo.

¿Sabías que el 60% de las brechas de seguridad de datos son causadas por amenazas internas? Esta estadística sorprendente subraya la importancia de contar con registros de auditoría robustos en los sistemas modernos de gestión de datos. Adentrémonos en el mundo de los registros de auditoría de datos de Elasticsearch y exploremos cómo pueden fortalecer tus medidas de seguridad de datos.

Entendiendo el Registro de Auditoría de Datos de Elasticsearch

¿Qué es Elasticsearch?

Elasticsearch es un motor de búsqueda y análisis distribuido y de código abierto. Está diseñado para una escalabilidad horizontal, confiabilidad y capacidades de búsqueda en tiempo real. Muchas organizaciones utilizan Elasticsearch para el análisis de registros, búsquedas de texto completo e inteligencia empresarial.

La Importancia de los Registros de Auditoría

Los registros de auditoría son cruciales para mantener la integridad y seguridad de los datos. Proporcionan un registro cronológico de las actividades del sistema, ayudando a detectar accesos no autorizados, rastrear cambios y garantizar el cumplimiento de los requisitos normativos.

Habilitando el Registro de Auditoría en Elasticsearch Autohospedado

Modo de Prueba para la Capacidad de Auditoría

Es importante tener en cuenta que la capacidad de auditoría en Elasticsearch gratuito está disponible como una función de prueba. Para experimentar su máximo potencial, deberás habilitar la prueba de 30 días con API o archivo de configuración. Esto te permite ver el registro de auditoría en acción y evaluar sus beneficios para tu organización.

Guía Paso a Paso para Habilitar el Registro de Auditoría

Descargué y extraje Elasticsearch 8.15.2 en mi escritorio de Windows. Verifiqué que hubiera suficiente espacio libre en el disco, ya que Elasticsearch puede fallar en la primera ejecución si el almacenamiento es limitado (menos de 10 GB). El inicio de Elasticsearch

Repasemos el proceso de habilitar y utilizar la función de registro de auditoría en Elasticsearch. Usaremos un script que se detiene entre cada acción, permitiéndote revisar cada paso detenidamente.

  1. Inicia Elasticsearch ejecutando el archivo elasticsearch.bat ubicado en el directorio bin de la carpeta extraída (por ejemplo, C:\Users\user\Desktop\elasticsearch-8.15.2-windows-x86_64\elasticsearch-8.15.2\bin). Toma nota de la contraseña del usuario Elastic que se muestra en la salida de inicio. Si se omite, puedes generar una nueva.
  2. Crea un nuevo archivo por lotes con un nombre descriptivo en el directorio de tu preferencia.
  3. Copia el siguiente script en el archivo:
 
@echo off

:: Establecer la URL de Elasticsearch y las credenciales.
:: Encontrar la contraseña (ES_PASS) en la salida del primer inicio.
set ES_URL=https://localhost:9200
set ES_USER=elastic
set ES_PASS=0IC-UMdBZH*euILO3OVw
set INDEX_NAME=my_new_index

echo Creando nuevo índice...
curl -X PUT -u %ES_USER%:%ES_PASS% -k "%ES_URL%/%INDEX_NAME%"
pause

echo Habilitando licencia de prueba...
curl -X POST -u %ES_USER%:%ES_PASS% -k "%ES_URL%/_license/start_trial?acknowledge=true"
pause

echo Creando un documento de ejemplo...
curl -X POST -u %ES_USER%:%ES_PASS% -H "Content-Type: application/json" -d "{\"title\":\"Sample Document\",\"content\":\"This is a sample document for testing purposes.\",\"timestamp\":\"%DATE% %TIME%\"}" -k "%ES_URL%/%INDEX_NAME%/_doc"
pause

echo Recuperando todos los documentos en el índice...
curl -X GET -u %ES_USER%:%ES_PASS% -k "%ES_URL%/%INDEX_NAME%/_search?pretty"
pause

echo Todas las operaciones completadas.
  1. Reemplaza el valor de ES_PASS con tu contraseña actual de Elasticsearch.
  2. Guarda el archivo y ejecútalo haciendo doble clic o mediante la línea de comandos.

Este script habilitará la licencia de prueba, creará un índice de prueba, agregará un documento de ejemplo y recuperará todos los documentos. Entre cada acción, se detendrá, permitiéndote revisar la salida.

Configurando los Ajustes de Auditoría

Para habilitar completamente la auditoría, deberás modificar el archivo de configuración de Elasticsearch. Sigue estos pasos:

  1. Localiza tu archivo elasticsearch.yml en el directorio de configuración de Elasticsearch.
  2. Agrega las siguientes líneas al final del archivo:
 
xpack.security.audit.enabled: true
xpack.security.audit.logfile.events.include: "_all"
  1. Guarda el archivo .yml y reinicia Elasticsearch para aplicar los cambios. Para reiniciar Elasticsearch, mantén presionado Ctrl+C en su consola y luego responde S a la pregunta de si realmente deseas salir. Luego, ejecuta nuevamente el script elasticsearch.bat.

Análisis de los Registros de Auditoría

Una vez habilitada la auditoría, Elasticsearch generará registros de todas las actividades del sistema.

La solicitud de búsqueda se realizó a “/my_new_index/_search” con el parámetro de consulta “pretty”. Y el método de solicitud fue GET. El acceso del sistema se originó desde el nodo local (127.0.0.1:9300). Pero el acceso del usuario provino de [::1]:11342, lo que indica una conexión localhost IPv6.

Estos eventos de registro fueron generados al ejecutar este script (curl está instalado en la máquina con Windows):

@echo off

:: Establecer la URL de Elasticsearch y las credenciales
:: Encontrar la contraseña (ES_PASS) en la salida del primer inicio de Elasticsearch
set ES_URL=https://localhost:9200
set ES_USER=elastic
set ES_PASS=0IC-UMdBZH*euILO3OVw
set INDEX_NAME=my_new_index

echo Recuperando todos los documentos en el índice...
curl -X GET -u %ES_USER%:%ES_PASS% -k "%ES_URL%/%INDEX_NAME%/_search?pretty"
pause

echo Todas las operaciones completadas.

Este sencillo script de acceso a datos muestra datos en json en la consola y desencadena los eventos de auditoría mencionados anteriormente.

Los registros pueden analizarse utilizando las potentes capacidades de búsqueda de Elasticsearch o visualizarse con herramientas como Kibana.

Limitaciones del Registro de Auditoría de Elasticsearch

Aunque la función de registro de auditoría de Elasticsearch es robusta, tiene algunas limitaciones. Las opciones de configuración son algo limitadas en comparación con soluciones de auditoría especializadas. Se centra principalmente en las operaciones de Elasticsearch, sin proporcionar funciones integrales de seguridad de bases de datos.

Mejorando la Seguridad con DataSunrise

Para las organizaciones que buscan soluciones de seguridad de bases de datos más integrales, DataSunrise ofrece una alternativa potente. DataSunrise proporciona una variedad de funciones que van más allá de los registros de auditoría básicos:

  1. Cinco modos de operación para un despliegue flexible
  2. Interfaz web para una gestión sencilla
  3. Asistente de seguridad basado en LLM para la detección inteligente de amenazas
  4. Soporte para múltiples bases de datos en entornos diversos

Aunque DataSunrise es una solución de pago, su extenso conjunto de funciones y su interfaz amigable la convierten en una inversión valiosa para las organizaciones que priorizan la seguridad de los datos.

Flujo de Trabajo de DataSunrise

Las siguientes capturas de pantalla demuestran la auditoría de datos en Elasticsearch. Creamos una instancia para el servidor de Elasticsearch que hemos lanzado.

En este ejemplo, el proxy está configurado en el puerto adyacente 9201.

A continuación, creamos una Regla de Auditoría para capturar consultas. No se especificaron objetos en el filtro, y hemos habilitado el guardado de los resultados de la consulta (casilla de verificación).

Realizamos varias solicitudes, cambiando ES_URL de https://localhost:9200 a https://localhost:9201. Los registros transaccionales ahora aparecen de la siguiente manera:

En los Detalles del Evento, el número de evento es clickeable y muestra los resultados de la consulta (habilitamos esto anteriormente).

Conclusión

El registro de auditoría de datos de Elasticsearch es una herramienta valiosa para mejorar la seguridad en las búsquedas y mantener la integridad de los datos. Al habilitar la función de prueba y seguir los pasos descritos en esta guía, puedes mejorar significativamente tu postura de seguridad de datos.

Sin embargo, para las organizaciones que requieren medidas de seguridad más avanzadas, soluciones como DataSunrise ofrecen protección integral a través de múltiples bases de datos. Estas herramientas proporcionan las funciones de seguridad robustas necesarias en los entornos de datos complejos de hoy.

Recuerda, la seguridad de los datos es un proceso continuo. Revisa y actualiza regularmente tus medidas de seguridad para mantenerte por delante de las amenazas potenciales y garantizar la seguridad de tus valiosos datos.

Nota sobre DataSunrise: DataSunrise ofrece herramientas de vanguardia basadas en IA para la seguridad de bases de datos. Nuestras soluciones flexibles se adaptan a las diversas necesidades organizativas, proporcionando una protección integral para tus valiosos activos de datos. Te invitamos a visitar el sitio web de DataSunrise para agendar una demostración en línea y experimentar de primera mano cómo nuestras avanzadas funciones de seguridad pueden fortalecer tu infraestructura de datos.

Siguiente

Elasticsearch Historial de Actividad de Base de Datos

Elasticsearch Historial de Actividad de Base de Datos

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Ventas:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]