Elasticセキュリティ7.9をお試しください。この新しいリリースには、アンチマルウェアおよびデータ収集機能が組み込まれたほか、事前構築済みのクラウド保護が付随し、アナリストワークフローが強化され、データ収集・分析機能が拡張されています。

security-blog-banner.jpg

security-blog-thumb.jpg

Elastic Security 7.9 delivers malware prevention for every endpoint, prebuilt cloud protections, and more

アンチマルウェア機能や事前構築済みのクラウド保護機能などが追加されたElasticセキュリティ7.9のご紹介

<p>7.6のElasticセキュリティはElastic Endpoint SecurityとElastic SIEMの機能性を活かし、一元的なインターフェースで卓越した可視性と保護を提供します。今回のリリースではSIEMアプリの一元的な脅威検知を自動化したほか、Windowsホストにおけるエンドポイント検知機能が強化されています。新しいデータソースへのアクセスが可能になり、Elastic SIEMアプリ全体の改良も実施されました。セキュリティ分野での検知や応答業務を、パワフルにサポートします。ここからは、Elasticセキュリティ7.6の改善点を個別にご紹介します。
</p> <strong>
<h2><strong>新登場のSIEM検知エンジンと、MITRE ATT&CK™準拠ルールでゼロドゥエルタイムを目指す</strong></h2></strong>
<p>Elasticセキュリティ7.6より、脅威検知を自動化し、MTTD（Mean Time To Detect、検出までの時間）を最小化する新たな”SIEM検知エンジン”が加わりました。セキュリティチームは、人間ならではの勘やスキルを必要とするタスクに集中することができます。Elasticsearchのパワーを活用するElastic SIEMはこれまでも、数時間を要していたセキュリティ調査の時間を数分にするなど、効率化に貢献してきました。今回の自動検知の導入で、従来は見落とす可能性のあった脅威を把握し、ドゥエルタイム（発生から認知までの時間）をさらに短縮することが可能になります。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt2e23bcb43d16a1e3/5e6288309a536463335f97ae/screenshot-siem-detections.png" data-sys-asset-uid="blt2e23bcb43d16a1e3" alt="screenshot-siem-detections.png" "=""><br>
</p><figcaption>すぐに使えるルールをSIEM検知エンジンが自動で実行し、SIEM検知の結果（シグナル）が表示される</figcaption>
<p>Elasticは、ATT&CKのナレッジベースに準拠した100以上の構成済みルールをリリースしました。他のツールでは見落とされがちな兆候を表面化させる上で役立ちます。一連のルールはElasticのセキュリティエキスパートにより作成／保守され、脅威となるアクティビティを示すツールや戦術、手順を自動で検知します。新たな脅威に対応できるよう、随時アップデートを実施してゆく予定です。検知エンジンがシグナルについて生成するリスク、および重大度のスコアは、アナリストによる迅速なトリアージと、付加価値の高い作業への着目を促します。
</p>
<p>Skytech Communicationsでセキュリティマネージャーを務めるマキシム・ヴェロー氏は次のコメントを寄せています。「Elasticが何百万というログを効率的に検索するために必要なツールを提供し、管理する上で適切な範囲までアラートの数を減らしてくれました。おかげで、セキュリティチームは重要な作業に専念できるようになりました。7.6のリリースで、Elastic SIEMにすぐ使えるシグナル検知ルールが加わります。これによってオブザーバビリティデータ全体にわたる分析を自動化し、脅威が発生した瞬間に検知・応答することが可能になると思います。Elasticセキュリティ7.6は、セキュリティのコミュニティが相互に連携する上でも素晴らしい手法となります。カスタマイズしたシグナル検知ルールを共有できるので、誰もが共有のメリットを享受し、新たに発生しつつある脅威を検知できます」
</p>
<p>各種検知ルールは<a href="/jp/blog/introducing-the-elastic-common-schema">Elastic Common Schema（ECS）</a>対応、つまり、Windows、macOS、Linuxシステムから収集されるデータと、その他のソースから来るネットワーク情報に対応します。セキュリティチームによるルールの作成やカスタマイズも可能ですが、新しいデータソースが環境に追加されても、ECSと互換性があるなら記述を変更する必要はありません。
</p>
<p>Elastic SIEMに内蔵の脅威検知ルールは、Elasticのセキュリティエキスパートにより開発、保守されています。また、SIEMアプリにおける機械学習駆動の異常検知ジョブと、Elastic Endpoint Securityによるホストベースの保護の双方を補完します。エンドポイントの話題が出たところで、次の新機能のご紹介です。
</p> <strong>
<h2><strong>Windowsエンドポイントへの比類ない可視性</strong><strong></strong></h2></strong>
<p>Elasticセキュリティ7.6はWindowsシステムに対し、卓越した水準の可視性を確立します。Windowsシステムは広範に使用され、比較的寛容なユーザー権限モデルを持つことから主要な攻撃対象となっています。7.6のリリースでは、従来は高度な脅威が持つ回避テクニックに脆弱だった場所から、データ収集とエンリッチをレジリエントに行うことが可能になり、Windows上のアクティビティへの可視性が高まります。&nbsp;
</p>
<p>この検知機能はすぐに使いはじめることができ、前述のデータを活用して、キーボード入力を把握しようとする試みや、他のプロセスに悪意のあるコードを読み込ませる試みを検知します。また一連の検知ルールが生成するイベントと、自動化応答（例：プロセスのkill）を組み合わせて、防御をレイヤー化することも可能です。既存のmacOSおよびLinuxシステム向け防御/検知/応答機能と、今回加わった可視性および保護機能を組み合わせて使うことにより、Elastic Endpoint Securityユーザーは環境全体にわたる完全な保護を構築することができます。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt6f0ce2521c2eb9c6/5e3d83145819152bd99ce5b6/screenshot-endpoint-resolver-powershell.jpg" data-sys-asset-uid="blt6f0ce2521c2eb9c6" alt="Elastic Endpoint SecurityのResolverは、エンドツーエンドの攻撃ビューを提供する" "="">
</p><figcaption>Elastic Endpoint SecurityのResolverは、エンドツーエンドの攻撃ビューを提供する</figcaption>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blta6f2dbca4e0eb61e/5e3d834dc77dbe6512a25cd9/screenshot-endpoint-event-powershell.jpg" data-sys-asset-uid="blta6f2dbca4e0eb61e" alt="PowerShellイベントについて、卓越した可視性を提供する" "="">
</p><figcaption>PowerShellイベントについて、卓越した可視性を提供する</figcaption>
<h2><strong>重要な事象をすばやく把握し、MTTDを短縮する</strong></h2>
<p>Elastic SIEMアプリで、概要ページデザインの刷新と、広範なワークフローの強化を実施しました。より高速な脅威追跡と調査を可能にするための改善です。ユーザーは、タイムラインを開く、最新の検知シグナルを確認する、あるいはElastic Endpoint Securityや<a href="/jp/partners/palo-alto-networks/">Palo Alto Networks</a>、Suricata、Zeekほかの外部ソースからのアラートを表示するなど、即座に調査を行うことができます。SIEMアプリのどの画面を開いているときも、1クリックで一元的な脅威検知/異常検知機能にアクセスすることができます。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt1a69951e40bfb131/5e3d839af08ae96b405b2ddc/screenshot-siem-overview-2.jpg" data-sys-asset-uid="blt1a69951e40bfb131" alt="セキュリティ監視の操作性が向上し、より使いやすくなったElastic SIEMアプリの概要ページ" "=""><br>
</p><figcaption>セキュリティ監視の操作性が向上し、より使いやすくなったElastic SIEMアプリの概要ページ</figcaption>
<p>新しくなったイベントやアラート、シグナルのヒストグラムは、アナリストの運用へのアウェアネスを促進します。Hosts および Network 画面では可視化の拡充と強化が実施され、より専門的な分析を実施可能になっています。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt02042cd22f15ff57/5e3d840adb561b2b59d8bc50/screenshot-siem-siem-hosts-authentications-isolated.png" data-sys-asset-uid="blt02042cd22f15ff57" alt="Elastic SIEMの新しいヒストグラムでは、データを一目で把握できる" "="">
</p> <figcaption>Elastic SIEMの新しいヒストグラムでは、データを一目で把握できる</figcaption>
<h2><strong>アプリ監視の手を緩めない</strong></h2>
<p>7.6より、Elastic SIEMはHTTPに対しても洗練された可視性を実現します。これにより、SIEMアプリ内で直接Elastic APMデータを表示できるようになりました。すぐに使える多数のBeatsモジュールは、ECSと互換性のあるHTTPデータに付加的なアクセスを提供します。こうしたBeatsモジュールを使えば、あらゆるWebトランザクションを一元的なビューで簡単に調査、および可視化することができます。ぜひ周囲のあらゆるデータを取り込み、探索してみてください。成果をDevOpsチームにシェアすることも忘れずに。
</p> <strong>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltb6d3595bd204afbe/5e41caaf51dcf72bdad19e9c/APM_in_SIEM.gif" data-sys-asset-uid="bltb6d3595bd204afbe" alt="APM_in_SIEM.gif">
</p>
<h2><strong>クラウドデータを監視する</strong></h2></strong>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt5e0e1c193a28077a/5e3d843b5819152bd99ce5bc/screenshot-siem-hosts-events-grid-isolated.png" data-sys-asset-uid="blt5e0e1c193a28077a" alt="GCPイベントをECS形式で投入し、SIEMアプリで表示する" "="">
</p><figcaption>GCPイベントをECS形式で投入し、SIEMアプリで表示する</figcaption>
<p>かつてないほどシンプルな手順で、Elastic Stackにデータを投入し、一元的な可視化と分析を実行することができます。7.6よりAWS CloudTrailデータのサポートを開始し、Google Cloud Platform向けのサポートも強化されました。最新の攻撃対象領域であるクラウドに欠かせない可視性を築くことができます。Filebeat向けのCEFモジュールもアップデートされました。クラウドから来るデータであるかどうかにかかわらず、CEF形式のデータの可視化がより手軽になりました。
</p> <strong>
<h2><strong>今すぐ使い始めましょう</strong></h2></strong>
<p>Elastic SIEMの立ち上げをご検討中の方は、Elastic Cloudで最新バージョンの<a href="/jp/cloud/elasticsearch-service/signup">Elasticsearch Service</a>に触れていただいたり、<a href="https://demo.elastic.co/app/siem#/overview?_g=()&timerange=(global:(linkTo:!(timeline),timerange:(from:1580667870898,fromStr:now-24h,kind:relative,to:1580754270898,toStr:now)),timeline:(linkTo:!(global),timerange:(from:1580667870898,fromStr:now-24h,kind:relative,to:1580754270898,toStr:now)))">Elastic SIEMデモ</a>でお試しいただくことができます。すでに<a href="/jp/blog/migrating-to-elastic-common-schema-in-beats-environments">ECS</a>でフォーマットした形式のデータをElasticsearchに格納されている場合は、<a href="/jp/downloads/">Elastic Stack</a>を7.6にアップグレードするだけで新機能をお使いいただけます。
</p>

Elastic Security 7.6.0 released

Elasticセキュリティ7.6.0リリース

<p>ECS（Elastic Common Schema）はElasticsearchのデータを一貫した方法で構造化し、カスタマイズにも対応する新しい仕様基準です。ECSの導入で、多様なソースのデータを分析することが可能になります。ECSを使用して、ダッシュボードや機械学習ジョブといった分析コンテンツをより広範に適用したり、検索をより厳密に設定することができ、フィールド名も覚えやすくなります。
</p>
<h2>Common Schemaを使う理由</h2>
<p>インタラクティブな分析（例：検索、ドリルダウン、ピボット、可視化）を行う場合にも、自動化された分析（例：アラート、機械学習による異常検知）を行う場合にも、データは統一された方法で分析する必要があります。しかし同じソースから来るデータでない限り、フォーマットはバラバラになります。具体的には、次のような不統一です。
</p>
<ul>
	<li>異なるデータタイプ（例：ログ、メトリック、APM、フロー、コンテクスチュアルデータ）</li>
	<li>さまざまなベンダーを使う混成環境</li>
	<li>類似しているが異なるデータソース（例：<a href="/jp/beats/auditbeat">Auditbeat</a>、Cylance、Taniumといった複数のエンドポイントデータソース）</li>
</ul>
<p>たとえば「複数のソースから取得されたデータで、特定のユーザーを検索する」という状況を考えてみましょう。たった1つのフィールドを検索するにも、<code>user</code>、<code>username</code>、<code>nginx.access.user_name</code>、<code>login</code>といった複数のフィールド名を考慮する必要が生じます。このデータについてドリルダウンやピボットを実行するとなれば、さらに処理は複雑になります。さらに可視化やアラート、機械学習ジョブといった分析コンテンツを開発するとしたらどうでしょうか？新しいデータソースを取り込むたびに複雑になり、重複も生じてしまいます。
</p>
<h3>Elastic Common Schemaとは？</h3>
<p>ECSはElasticsearchに投入されるデータ用に、一般的なドキュメントフィールドを定義するオープンソースの仕様基準です。ECSはデータモデリングの統一化をサポートし、双方向性と自動化の2つの手法で多様なソースから一元的にデータを分析できるように設計されています。
</p>
<p>ECSの特長として、分類に特化した予測性と、カスタムユースケースに対応する包括的な仕様による汎用性の両方を兼ね備えていることがあります。ECSの分類基準は、フィールドのデータ要素を次の3つのレベルに配置します。
</p>
<table>
<tbody>
<tr>
	<td style="background-color: rgb(223, 223, 223);"><strong>レベル</strong>
	</td>
	<td style="background-color: rgb(223, 223, 223);"><strong>説明</strong>
	</td>
	<td style="background-color: rgb(223, 223, 223);"><strong>おすすめの使い方</strong>
	</td>
</tr>
<tr>
	<td><strong>ECS Core Field</strong>
	</td>
	<td>定義された一連のECSのトップレベルオブジェクトの下にある、完全定義された一連のフィールド名
	</td>
	<td>多くのユースケースに共通するフィールドであり、ここから作業を開始します
	</td>
</tr>
<tr>
	<td><strong>ECS Extended Field</strong>
	</td>
	<td>同じ一連のECSのトップレベルオブジェクトの下にある、部分定義された一連のフィールド名
	</td>
	<td>Extended Fieldはより限定的なユースケースに適用したり、ユースケースに応じて自由に解釈して使用することができます
	</td>
</tr>
<tr>
	<td><strong>Custom Field</strong>
	</td>
	<td>ECSのフィールドやオブジェクトと競合せず、ユーザーが供給する一連の非ECSのトップレベルオブジェクトの下にある、一連の定義されない、かつ無名のフィールド
	</td>
	<td>ECSに一致するフィールドがない場合に追加するフィールドです。データをECSに移行する際などに、元のイベントフィールドのコピーを保持することもできます。
	</td>
</tr>
</tbody>
</table>
<h2>Elastic Common Schemaを活用する</h2>
<h3>活用事例1：パース</h3>
<p>次のApacheログでECSを使用してみます。
</p>
<pre class="prettyprint">10.42.42.42 - - [07/Dec/2018:11:05:07 +0100] "GET /blog HTTP/1.1" 200 2571 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
</pre>
<p>このメッセージをECSにマッピングすると、ログのフィールドは次のように整理されます。
</p>
<table>
<tbody>
<tr>
	<td width="25%" style="background-color: rgb(223, 223, 223);"><strong>フィールド名</strong>
	</td>
	<td width="38%" style="background-color: rgb(223, 223, 223);"><strong>値</strong>
	</td>
	<td width="37%" style="background-color: rgb(223, 223, 223);"><strong>メモ</strong>
	</td>
</tr>
<tr>
	<td>@timestamp
	</td>
	<td><code>2018-12-07T11:05:07.000Z</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>ecs.version
	</td>
	<td><code>1.0.0</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>event.dataset
	</td>
	<td><code>apache.access</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>event.original
	</td>
	<td><code>10.42.42.42 - - [07/Dec ...</code>
	</td>
	<td>監査目的の完全で、無修正のログ&nbsp;
	</td>
</tr>
<tr>
	<td>http.request.method
	</td>
	<td><code>get</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>http.response.body.bytes
	</td>
	<td><code>2571</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>http.response.status_code
	</td>
	<td><code>200</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>http.version
	</td>
	<td><code>1.1</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>host.hostname
	</td>
	<td><code>webserver-blog-prod</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>message
	</td>
	<td><code>"GET /blog HTTP/1.1" 200 2571</code>
	</td>
	<td>ログビューアーに簡潔に表示させる、イベント重要情報のテキスト表現
	</td>
</tr>
<tr>
	<td>service.name
	</td>
	<td><code>Company blog</code>
	</td>
	<td>ユーザーがこのサービスにつけるカスタム名
	</td>
</tr>
<tr>
	<td>service.type
	</td>
	<td><code>apache</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>source.geo.*
	</td>
	<td>
	</td>
	<td>緯度経度情報のためのフィールド
	</td>
</tr>
<tr>
	<td>source.ip
	</td>
	<td><code>10.42.42.42</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>url.original
	</td>
	<td><code>/blog</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>user.name
	</td>
	<td><code>-</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>user_agent.*
	</td>
	<td>
	</td>
	<td>ユーザーエージェントを記述するフィールド
	</td>
</tr>
</tbody>
</table>
<p>上に示されているように、生のログはECSの<code>event.original</code>フィールドに保存されて、監査ユースケースをサポートしています。説明をシンプルにするため、この事例では監視エージェント（ <code>agent.*</code>の下にあります）に関する詳細と、ホスト（<code>host.*</code>の下にあります）、その他いくつかのフィールドの情報の一部を省略しています。より完全な再現については、こちらの<a href="https://gist.github.com/webmat/fc4902a61abf1cacbd5b717f1a3a6935">JSONイベント事例</a>をご覧ください。
</p>
<h3>活用事例2：検索</h3>
<p>特定のIPのアクティビティを、ある完全なWebスタック全体で調査してみます。このWebスタックの構成は、Palo Alto Networks Firewall、HAProxy（Logstashで処理）、Apache（Beatsモジュールを使用）、Elastic APM、さらにSuricata IDS（カスタム、独自のEVE JSONフォーマットを使用）です。
</p>
<p>ECSを使用する前にこのIPを検索すると、次のように表示されるかもしれません。
</p>
<pre class="prettyprint">src:10.42.42.42 OR client_ip:10.42.42.42 OR apache2.access.remote_ip:10.42.42.42 OR context.user.ip:10.42.42.42 OR src_ip:10.42.42.42
</pre>
<p>すべてのソースをECSにマッピングした後のクエリは、ずっとシンプルになります。
</p>
<pre class="prettyprint">source.ip:10.42.42.42
</pre>
<h3>活用事例3：可視化</h3>
<p>ECSの実力は、複数の異なるデータソースからデータを統一された方法で正規化する場面で特に発揮されます。Webスタックの脅威を監視するとき、たいていの場合はネットワークデータの複数のソースを使用します。ここでは境界上のPalo Alto Next-Gen FirewallとSuricata IDSのイベントとアラートを使用しています。Kibanaで一元的に可視化でき、ベンダーを問わずドリルダウンとピボットを実行できるようなやり方で<code>source.ip</code>と<code>network.direction</code>フィールドから各メッセージを抽出するには、どうすればよいでしょうか？もちろん答えはECSです。ECSを使わない場合に比べて、一元化された監視を大幅に簡単に実現できます。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt71256f06dc672546/5c98d595975fd58f4d12646d/ecs-intro-dashboard-1360.jpg" data-sys-asset-uid="blt71256f06dc672546" alt="Elastic Common Schemaを使ったKibanaでのIPアドレス検索" "="">
</p><figcaption>IP 10.42.42.42を検索している</figcaption>
<h2>Elastic Common Schemaのメリット</h2>
<p>ECSの導入により、検索、ドリルダウン、ピボット、データ可視化、機械学習ベースの異常検知、アラートを含む、Elastic Stackの分析全体の様式を統一することができます。完全に組み込めば、非構造化と構造化の両方のクエリパラメーター能力を活用して検索することが可能になります。またECSは、1つのベンダーを異なるデバイスで使用している、あるいはデータソースの種類が全く異なるといった条件にかかわらず、異なるデータソースのデータを自動的に関連付ける機能をスムーズに実現します。
</p>
<p>さらにECSは、分析コンテンツの開発時間も短縮します。組織に新しいデータソースが加わるたびに検索やダッシュボードを新規に作成する必要がなくなり、既存の検索やダッシュボードを使用し続けることができます。ECSを使えば、Elasticやパートナー、オープンソースプロジェクトなど、ECSを使用する他のパーティーから環境に直接分析コンテンツを導入することも簡単になります。
</p>
<p>インタラクティブな分析も手軽になります。ECSでは、データソースごとに異なる設定ではなく、1つの設定だけを使用するため、一般的に使用されるフィールド名を覚えておくことも簡単です。ECSでは（いくつかの例外はありますが）、シンプルで標準的な名付け方法に従った仕様基準なので、フィールド名を忘れる可能性も減少します。
</p>
<p>ECSを導入したくない場合は？問題ありません。必要なときはいつでも使うことができ、必要なければ使わなくても大丈夫です！
</p>
<h2>Elastic Common Schemaを使いはじめる</h2>
<p>ECSは<a href="https://github.com/elastic/ecs">GitHub repo</a>に公開されており、レビュー可能です。現在はBeta2で、まもなく一般公開への移行を予定しています。Apache 2.0オープンソースライセンス下で公開されており、Elasticの広範なコミュニティで幅広く導入できるようになっています。
</p>
<p><strong></strong>
</p>
<p>魔法みたいな機能なの？あらゆるスキーマと同様、ECSの実装も手軽ではありません。もしすでにElasticsearchのインデックステンプレートを設定して、LogstashやElasticsearchのIngestノードでいくつかの機能変換を記述したことがあれば、こちらの作業もイメージできるかもしれません。Elastic Beatsモジュールの今後のバージョンはデフォルトでECSフォーマットのイベントを提供するようになる予定です。これにより、移行もスムーズになります。第一弾として、こちらの新しい<a href="/jp/blog/introducing-auditbeat-system-module">Auditbeat向けのシステムモジュール</a>は新仕様となっています。
</p>
<p>ECSについては、<a href="/jp/webinars/introducing-the-elastic-common-schema">Elastic Common Schema（ECS）ウェビナー</a>でも詳しくご紹介しています。ぜひご覧ください。今後のブログ記事では、データをECS（スキーマに定義されていないフィールドを含む）にマッピングする方法や、ECSの統合戦略についてお伝えする予定です。
</p>
<h2>さらに詳しく</h2>
<ul>
	<li><a href="/jp/blog/migrating-to-elastic-common-schema-in-beats-environments">Beats環境におけるElastic Common Schema（ECS）への移行</a></li>
</ul>

Articles by Mark Settle

アンチマルウェア機能や事前構築済みのクラウド保護機能などが追加されたElasticセキュリティ7.9のご紹介

Elasticセキュリティ7.6.0リリース

Elastic Common Schemaについて

プロダクト

Elasticについて

情報