CyberScan
Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.
Scopri CyberScan →
Cyber Security
Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.
Scopri →Il fork OpenSearch
Dopo il cambio di licenza di Elastic del gennaio 2021, Amazon Web Services annuncia il fork OpenSearch, basato sulle ultime versioni Apache 2.0 di Elasticsearch 7.10 e Kibana 7.10. La prima release stabile OpenSearch 1.0 è del 12 luglio 2021, sotto licenza Apache 2.0 e governance di una community foundation (dal 2024 OpenSearch Software Foundation sotto Linux Foundation).
Il fork eredita molte funzionalità di Open Distro for Elasticsearch e aggiunge nuovi plugin sviluppati dalla community e da AWS.
Security Analytics plugin
Il 15 novembre 2022 viene rilasciata OpenSearch 2.4, che introduce il plugin Security Analytics: una soluzione SIEM nativa per OpenSearch con approccio detection-as-code.
Caratteristiche della versione iniziale:
- Detector — entità logiche che ingeriscono log di un dominio specifico (network, DNS, Windows, Linux, AD, AWS CloudTrail, Azure, GCP, GitHub)
- Sigma rules — supporto nativo al formato Sigma, standard aperto per regole SIEM
- Findings — risultati delle regole con contesto, severity e timestamp
- Alerts — escalation delle findings tramite Alerting plugin
- Rule editor — creazione e modifica di regole via UI OpenSearch Dashboards
Correlation engine (OpenSearch 2.7)
Nel maggio 2023, con OpenSearch 2.7, viene aggiunto un correlation engine che permette:
- Correlation rules — collegamenti tra findings su detector diversi
- Threat intelligence feed — integrazione con STIX/TAXII e feed commerciali
- Finding graph — visualizzazione di relazioni tra eventi
- Campaign detection — aggregazione di findings correlate
Licenza e governance
- OpenSearch — Apache 2.0 (OSI-approved)
- Security Analytics plugin — Apache 2.0
- Governance — dal settembre 2024 sotto OpenSearch Software Foundation, parte di Linux Foundation, con contributor aziendali (AWS, Uber, SAP, Canonical, Aiven, ByteDance, Oracle, Atlassian)
Questo approccio elimina i dubbi di licenza che affliggono Elasticsearch post-2021.
Integrazione con Sigma
Sigma è uno standard YAML per regole SIEM agnostiche rispetto al backend. Security Analytics può importare regole Sigma e tradurle in query OpenSearch. Il progetto Sigma pubblica regole di community (github.com/SigmaHQ/sigma) che coprono MITRE ATT&CK techniques per Windows, Linux, network, cloud.
Questo rende OpenSearch Security Analytics interoperabile con l’ecosistema detection engineering moderno.
Adozione
- Cloud provider — AWS OpenSearch Service con Security Analytics preconfigurato
- Aziende con vincoli su licenze OSI — alternativa a Elastic Security
- Operatori europei — scenari con sovranità dati e SIEM self-hosted
- Integrazione con OpenSearch esistenti — estensione security di cluster già in uso per log e observability
Nel contesto italiano
OpenSearch Security Analytics è scelto da PA, telco, MSSP che preferiscono licenze OSI-approved e vogliono SIEM su infrastruttura self-hosted o cloud sovrano. La disponibilità di regole Sigma della community riduce lo sforzo iniziale di detection engineering, lasciando spazio al tuning su contesti specifici.
Riferimenti: OpenSearch Security Analytics (OpenSearch 2.4, 15 novembre 2022). Correlation engine (OpenSearch 2.7, maggio 2023). Fork OpenSearch avviato da AWS il 12 aprile 2021; OpenSearch 1.0 rilasciato il 12 luglio 2021. Licenza Apache 2.0. Governance: OpenSearch Software Foundation (Linux Foundation, 2024). Sito: https://opensearch.org