osqueryの一元管理機能をElasticセキュリティ7.13でリリースしました。セキュリティチームは、osqueryを使ってホストデータを一元的に管理、分析できます。

<p>Elasticセキュリティ7.13を公開いたしました。7.13は、賢明な判断に必要な情報と、アナリストの間の橋渡し役を担います。今回のリリースでは、osqueryへのサポートが大きく前進し、環境全域からホストデータにスムーズにアクセスできるようになっています。さらに脅威インテリジェンスを表面化させる新手法を導入したほか、新たな検知コンテンツでイベントの関連情報を発見することができます。このリリースで大事なポイントはまだあります。エンドポイント関連の開発成果をいくつか公開しており、またサポート対象のデータソースを新たに追加しました。
</p><h2><strong>osqueryをあらゆる人に</strong></h2><p>Elasticセキュリティ7.13では、オープンソースのホストインストルメンテーションフレームワーク、osqueryのサポートを大幅に強化しました。osqueryは、新技術を積極的に導入する多くのセキュリティチームに採用されています。osqueryはセキュリティからコンプライアンス、運用まで、無数のユースケースを強化しますが、具体的には次のような例があります。
</p><ul>
	<li aria-level="1">ディスク空き容量、またはメモリー使用状況の予期せぬ変化を把握する</li>
	<li aria-level="1">アクティブなアカウントとプロセスに対する可視性の向上</li>
	<li aria-level="1">コンプライアンス要件をサポートする目的で暗号化ストレージの使用状況を検証する</li>
</ul><p>グローバルなオープンソースコミュニティで開発されているosqueryは驚くほどパワフルで、Elasticユーザーにも高い人気を誇ります。しかし実装手順が煩雑で、一般的に相当なDevOps投資を必要することから、導入のハードルが高いことも事実です。そこでElasticは、osqueryの大規模な運用を簡単にはじめるための複数の機能を7.13でリリースすると共に、このリリースを導入支援の第一歩と位置付けています。 
</p><h3>osqueryを一元管理</h3><p>Elastic Agentのosquery管理統合はElasticセキュリティの新機能です。この機能を使うと、管理レイヤーの分離による複雑化を回避しつつ、osqueryのパワーを活用することが可能になります。ユーザーは1クリックでWindows、macOS、Linuxのあらゆるホストに一括でosqueryをインストールでき、スクリプトやプロビジョニングツールを使用する必要がありません。一切の設定を行わなくてもデータがElasticsearchにインジェストされ、さらにKibanaに表示されます。現場担当者は1つ以上のエージェントを使って、またはユーザー定義のエージェントセットを使って、ライブクエリを実行できます。さらに、状態の変化を捉える目的でクエリをスケジュール設定することも可能です。
</p><p>既存のosqueryデプロイからのログ収集にも対応しています。Elastic Agent向けのOsquery Log Collection統合機能に、このジョブを任せることができます。
</p><h3>osqueryのホストデータを一元的に分析</h3><p>Elasticセキュリティ7.13とosqueryを組み合わせて、ホストに関する重要なインサイトをアナリストが日常的に使用するインターフェースに表示できます。アナリストは、OSごとの厳密なコマンドラインを使い分ける必要がなく、SQLでクエリを記述できます。さらに、GitHubのrepoに公開されている既存のクエリを活用して、学習カーブを一層楽にすることも可能です。またElasticセキュリティ7.13より、Kibanaでコード予測やコードヒント表示、コンテンツアシスタンスを活用したクエリ記述の支援を受けることができるようになりました。
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltbc20b3991002e215/60a6bfb0eab8ca74ace851ea/1-blog-elastic-security-7-13.gif" data-sys-asset-uid="bltbc20b3991002e215" alt="" style="display: block; margin: auto;">
</p><p>osqueryデータをElasticセキュリティで分析することにより、一元的なデータ分析を実現できます。1つの画面上にログ/イベントのすべての結果とセキュリティ分析、osqueryのコンテクストが表示され、実行したクエリの履歴から各クエリの結果まで、すべて見ることができます。セキュリティ分析を一元化すると、他のログ/イベントデータや異常、脅威に対するosqueryの結果をコンテクスト化し、そのコンテクストを監視の質の向上に活かすことが可能になります。
</p><p>Elasticセキュリティとosqueryを組み合わせたこのソリューションは、ホストへのすぐれた可視性と分析能力をもたらします。またこのソリューションはosqueryの結果やログイベントなどのあらゆるホストデータを一元的に分析し、サイバー脅威とその周辺の問題解決に貢献します。他のアプローチでは利用できないようなホストの情報も、ぜひ検索してみてください。結果はすぐにElasticsearchにインジェストされ、KibanaのSecurityアプリで可視化できます。機械学習やSIEM検知エンジン、ダッシュボードなども活用し、他のソースのデータと組み合わせて分析してみましょう。
</p> <strong><h2>アナリストのワークフロー上で脅威インテリジェンスを明らかに</h2></strong><h3>［Alert details］パネルに脅威インテリジェンスを表示</h3><p>インジケーター一致ルールにより生成されたアラートを表示する［Alert details］パネルに、関連のある脅威インテリジェンスの詳細が表示されるようになりました。アナリストがコンテクストを追及する際、新規のブラウザータブを開かずに済むというメリットがあります。
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt6cdd5b1eeb5fc8d5/60a6bfc1c8faf774ab45f7d3/2-blog-elasticsecurity-7-13.png" data-sys-asset-uid="blt6cdd5b1eeb5fc8d5" alt="" width="424" height="405" style="display: block; margin: auto; width: 424px; height: 405px;">
</p><h3>一致した脅威インテリジェンスの情報を行レンダラーが要約</h3><p>Elasticセキュリティ7.13に、インジケーター一致ルールにより生成されたアラート用の行レンダラーが登場しました。一致したセキュリティ侵害インジケーター（IoC）の詳細情報をセマンティックな形式で表示し、アナリストの速やかな理解を助けます。
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltb36693923fe20a82/60a6bfd10a03095ac9585a4f/3-blog-elastic-security-7-13.png" data-sys-asset-uid="bltb36693923fe20a82" alt="" style="display: block; margin: auto;">
</p><h3>インジケーター一致ルールにより生成されたアラート用のタイムラインテンプレート</h3><p>7.13で新たに、インジケーター一致ルールにより生成されたアラート用のタイムラインテンプレートを追加しました。［Timeline］ワークスペースで最も関連性の高い詳細情報を明らかにすることで、調査の迅速化に貢献します。
</p><h3>abuse.chのMalwareBazaar脅威フィードをサポート</h3><p>7.13でFilebeat向けの脅威インテリジェンスモジュールが強化され、abuse.chが提供する<a href="https://bazaar.abuse.ch/">MalwareBazaar</a>フィードのインジェストをサポートするようになりました。MalwareBazaarはマルウェアのサンプルをセキュリティコミュニティで共有するための場であり、最前線で安全のために格闘するセキュリティ担当者を支援しています。Elasticセキュリティでは、インジケーター一致ルールタイプを用いてMalwareBazaarのコンテクストデータを自動検知のユースケースに活用できます。またアナリストはElasticセキュリティで、広範なハンティングやインシデントレスポンスのユースケースに有用な情報にダイレクトにアクセスできます。
</p> <strong><h2>高度な脅威を迎撃する最新の検知技術</h2></strong><h3>ネットワークモジュールの機械学習で高度な脅威を検知</h3><p>Elasticのセキュリティリサーチエンジニアチームは、ネットワーク内の振る舞いから異常を検知する新たな一連の機械学習ジョブを開発しました。この機械学習ジョブは、コマンド＆コントロール（C&C）の接続やデータ転送の試行、その他の疑わしい、あるいは悪意のあるアクティビティを検知して高度な脅威を明らかにします。具体的な内容は次の通りです。
</p><ul>
	<li aria-level="1"><span style="font-family: monospace;">high_count_by_destination_country</span>はネットワークログの中で、1か国の送信先に向かう異常に大きなネットワークアクティビティスパイクを検出することにより、偵察や列挙に関わるトラフィックの可能性を識別します</li>
	<li aria-level="1"><span style="font-family: monospace;">high_count_network_denies</span>は、ネットワークACLやファイアウォールにより遮断された異常に大きなネットワークトラフィックスパイクを検出し、一般的に、設定が不適切なデバイスや、疑わしい、あるいは悪意のあるアクティビティを明らかにします</li>
	<li aria-level="1"><span style="font-family: monospace;">high_count_network_events</span>はネットワークトラフィック中の異常に大きなスパイクを検出することにより、疑わしい、あるいは悪意のあるアクティビティにより集中的に発生したトラフィックの存在を明らかにします</li>
	<li aria-level="1"><span style="font-family: monospace;">rare_destination_country</span>はネットワークログから、異常な送信先国名を検出します。この異常の原因として考えられる事象や要素に、初回アクセス、パーシステンス、コマンド＆コントロール（C&C）、転送のアクティビティがあります</li>
</ul><h3>事前構築済み検知ルールを追加</h3><p>Elastic 7.13より、Microsoft 365やmacOS、その他の範囲を保護する新たな一連の事前構築済み検知ルールを導入しました。この検知ルールは広範な攻撃技術に対応し、該当のタイムラインテンプレートと共にシッピングされます。
</p><p>またこのリリースで、管理者はあらかじめインジケーター一致ルールを設定しておき、脅威インテリジェンスソースのデータと一致する場合に狙いを定めて排除することができるようになりました。この機能が対応するソースは、Abuse.ch MalwareBazaar、Abuse.ch URLhaus、Anomali Limo、AlienVault OTX、MalwareBazaar、MISPの6つです。
</p><h3>変則的なペアレント-チャイルド機械学習モデル</h3><p>Elasticのセキュリティリサーチエンジニアチームは先日、教師あり機械学習と教師なし機械学習を併用して、他の手法では一般的なシステムプログラムのノイズに紛れて検知できない<a href="/jp/blog/problemchild-detecting-living-off-the-land-attacks">Living off the Land（​環境寄生型）バイナリ（通称LoLBins）を検知</a>する詳細な手順を公開しました。
</p><h3>通常のリリースサイクル外のルールアップデート</h3><p>新規の検知ルールやアップデートを、Elasticの通常のリリースサイクルと分離して提供する取り組みを開始しました。急増するセキュリティイベントに、Elasticのセキュリティリサーチエンジニアがより機敏に対応します。検知ルールはすべて個別にバージョンコントロールされ、アップデートされます。アップデートの通知が管理者に届いた後、管理者は1クリックでアップデートを承認できます。
</p> <strong><h2>エンドポイントセキュリティの強化</h2></strong><h3>プロセス不正変更検知</h3><p>Elasticはプロセスドッペルギャンギング（Process Doppelgänging）とプロセスハーパダーピング（Process Herpaderping）を含むプロセス不正変更の検知機能の提供を開始しました。ユーザーは使用中のElastic AgentやWinlogbeatで、自動的にプロセス不正変更検知を実行できます。
</p><h3>EICAR検知</h3><p>Elasticセキュリティ7.13で、Elastic Agentが使用するデフォルトの診断用マルウェアシグネチャにEICARシグネチャが加わり、運用がシンプルになりました。Windows、macOS、Linuxのマルウェアシステム向けに自動化テストをサポートします。
</p><h3>Fleet Server</h3><p>バージョン7.13より、Fleet Serverを導入しました。Fleet Serverはエージェント群の管理や、エージェント統合機能の管理の専用インフラストラクチャーコンポーネントであり、Kibanaの負荷を軽減します。Go言語で記述されており、無数のエージェントを扱う目的に特化した設計です。詳しくは、Elastic Cloudリリースブログをご覧ください。
</p> <strong><h2>データ統合機能の拡充</h2></strong><h3>Cyberark Privileged Access Security統合</h3><p>CyberArkとElasticが協働し、Privileged Access Security（PAS）ソリューション向けの堅牢な統合機能を開発しました。CyberArkが手掛ける価値あるデータソースを最適な形でインジェスト、およびパースできます。アナリストはこの統合機能を活かし、Cyberark Privileged Access Securityのイベントを環境に関する他のデータとともに分析することで、特権的アカウントを濫用する脅威を検出しながら、サイバーキルチェーンを推進することができます。この統合機能は、下のスクリーンショットのように隙のない強力なダッシュボードも内蔵しています。
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltc24dde331b6811d7/60a6bfe90a03095ac9585a53/4-blog-elastic-security-7-13.png" data-sys-asset-uid="bltc24dde331b6811d7" alt="" style="display: block; margin: auto;"><br>
</p><h3>Windowsイベント用のスタンドアローンXMLプロセッサー</h3><p>Elasticセキュリティは、非Windowsシステム内のWindowsイベントをXML形式でパースし、インジェストする機能をリリースしました。
</p><h3>レガシーのSIEMからWindowsイベントを転送</h3><p>バージョン7.13より、サードパーティおよびレガシーのSIEMコネクターを経由するWindowsイベントのインジェストがサポートされます。
</p><h3>Sysmonイベント収集のアップデート</h3><p>Winlogbeat向けのSysmonモジュールをアップデートしました。小規模ながら重要なアップデートであり、新たにWindowsイベント24（クリップボード変更）とイベント25（プロセス不正変更）をサポートします。お使いのAgentやWinlogbeatで、プロセス不正変更の兆候を示すイベントを収集することができます。
</p><h3>ECS 1.9のサポート</h3><p>Elastic Agent、およびBeatsのすべての統合モジュールで、ECS 1.9にアップデートしました。
</p> <strong><h2>Elasticセキュリティ7.13を最大に活用する</h2></strong><p>Elasticセキュリティの新機能がもたらすメリットをくまなく体感してみましょう。7.13の全機能は<a href="/jp/cloud/elasticsearch-service/signup">Elastic Cloud</a>でご利用いただけるほか、<a href="https://demo.elastic.co/app/security/overview/?_g=()&timerange=(global:(linkTo:!(timeline),timerange:(from:1580667870898,fromStr:now-24h,kind:relative,to:1580754270898,toStr:now)),timeline:(linkTo:!(global),timerange:(from:1580667870898,fromStr:now-24h,kind:relative,to:1580754270898,toStr:now)))">Elasticセキュリティ</a>のデモでご覧いただくこともできます。Elasticsearchに<a href="/jp/blog/migrating-to-elastic-common-schema-in-beats-environments">ECS</a>形式でデータをインジェストしている、という場合はElastic Stackを7.13にアップグレードするだけで、検知と対応を開始できます。
</p>

blog-banner-release-security.png

blog-thumb-release-security.png

What’s new in Elastic Security 7.13: Equip analysts with vital context

Elasticセキュリティ7.13の最新情報 ― 最前線のアナリストに重要なコンテクストを供給

Elasticセキュリティ7.9をお試しください。この新しいリリースには、アンチマルウェアおよびデータ収集機能が組み込まれたほか、事前構築済みのクラウド保護が付随し、アナリストワークフローが強化され、データ収集・分析機能が拡張されています。

Elastic Security 7.9 delivers malware prevention for every endpoint, prebuilt cloud protections, and more

アンチマルウェア機能や事前構築済みのクラウド保護機能などが追加されたElasticセキュリティ7.9のご紹介

<p>7.6のElasticセキュリティはElastic Endpoint SecurityとElastic SIEMの機能性を活かし、一元的なインターフェースで卓越した可視性と保護を提供します。今回のリリースではSIEMアプリの一元的な脅威検知を自動化したほか、Windowsホストにおけるエンドポイント検知機能が強化されています。新しいデータソースへのアクセスが可能になり、Elastic SIEMアプリ全体の改良も実施されました。セキュリティ分野での検知や応答業務を、パワフルにサポートします。ここからは、Elasticセキュリティ7.6の改善点を個別にご紹介します。
</p> <strong>
<h2><strong>新登場のSIEM検知エンジンと、MITRE ATT&CK™準拠ルールでゼロドゥエルタイムを目指す</strong></h2></strong>
<p>Elasticセキュリティ7.6より、脅威検知を自動化し、MTTD（Mean Time To Detect、検出までの時間）を最小化する新たな”SIEM検知エンジン”が加わりました。セキュリティチームは、人間ならではの勘やスキルを必要とするタスクに集中することができます。Elasticsearchのパワーを活用するElastic SIEMはこれまでも、数時間を要していたセキュリティ調査の時間を数分にするなど、効率化に貢献してきました。今回の自動検知の導入で、従来は見落とす可能性のあった脅威を把握し、ドゥエルタイム（発生から認知までの時間）をさらに短縮することが可能になります。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt2e23bcb43d16a1e3/5e6288309a536463335f97ae/screenshot-siem-detections.png" data-sys-asset-uid="blt2e23bcb43d16a1e3" alt="screenshot-siem-detections.png" "=""><br>
</p><figcaption>すぐに使えるルールをSIEM検知エンジンが自動で実行し、SIEM検知の結果（シグナル）が表示される</figcaption>
<p>Elasticは、ATT&CKのナレッジベースに準拠した100以上の構成済みルールをリリースしました。他のツールでは見落とされがちな兆候を表面化させる上で役立ちます。一連のルールはElasticのセキュリティエキスパートにより作成／保守され、脅威となるアクティビティを示すツールや戦術、手順を自動で検知します。新たな脅威に対応できるよう、随時アップデートを実施してゆく予定です。検知エンジンがシグナルについて生成するリスク、および重大度のスコアは、アナリストによる迅速なトリアージと、付加価値の高い作業への着目を促します。
</p>
<p>Skytech Communicationsでセキュリティマネージャーを務めるマキシム・ヴェロー氏は次のコメントを寄せています。「Elasticが何百万というログを効率的に検索するために必要なツールを提供し、管理する上で適切な範囲までアラートの数を減らしてくれました。おかげで、セキュリティチームは重要な作業に専念できるようになりました。7.6のリリースで、Elastic SIEMにすぐ使えるシグナル検知ルールが加わります。これによってオブザーバビリティデータ全体にわたる分析を自動化し、脅威が発生した瞬間に検知・応答することが可能になると思います。Elasticセキュリティ7.6は、セキュリティのコミュニティが相互に連携する上でも素晴らしい手法となります。カスタマイズしたシグナル検知ルールを共有できるので、誰もが共有のメリットを享受し、新たに発生しつつある脅威を検知できます」
</p>
<p>各種検知ルールは<a href="/jp/blog/introducing-the-elastic-common-schema">Elastic Common Schema（ECS）</a>対応、つまり、Windows、macOS、Linuxシステムから収集されるデータと、その他のソースから来るネットワーク情報に対応します。セキュリティチームによるルールの作成やカスタマイズも可能ですが、新しいデータソースが環境に追加されても、ECSと互換性があるなら記述を変更する必要はありません。
</p>
<p>Elastic SIEMに内蔵の脅威検知ルールは、Elasticのセキュリティエキスパートにより開発、保守されています。また、SIEMアプリにおける機械学習駆動の異常検知ジョブと、Elastic Endpoint Securityによるホストベースの保護の双方を補完します。エンドポイントの話題が出たところで、次の新機能のご紹介です。
</p> <strong>
<h2><strong>Windowsエンドポイントへの比類ない可視性</strong><strong></strong></h2></strong>
<p>Elasticセキュリティ7.6はWindowsシステムに対し、卓越した水準の可視性を確立します。Windowsシステムは広範に使用され、比較的寛容なユーザー権限モデルを持つことから主要な攻撃対象となっています。7.6のリリースでは、従来は高度な脅威が持つ回避テクニックに脆弱だった場所から、データ収集とエンリッチをレジリエントに行うことが可能になり、Windows上のアクティビティへの可視性が高まります。&nbsp;
</p>
<p>この検知機能はすぐに使いはじめることができ、前述のデータを活用して、キーボード入力を把握しようとする試みや、他のプロセスに悪意のあるコードを読み込ませる試みを検知します。また一連の検知ルールが生成するイベントと、自動化応答（例：プロセスのkill）を組み合わせて、防御をレイヤー化することも可能です。既存のmacOSおよびLinuxシステム向け防御/検知/応答機能と、今回加わった可視性および保護機能を組み合わせて使うことにより、Elastic Endpoint Securityユーザーは環境全体にわたる完全な保護を構築することができます。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt6f0ce2521c2eb9c6/5e3d83145819152bd99ce5b6/screenshot-endpoint-resolver-powershell.jpg" data-sys-asset-uid="blt6f0ce2521c2eb9c6" alt="Elastic Endpoint SecurityのResolverは、エンドツーエンドの攻撃ビューを提供する" "="">
</p><figcaption>Elastic Endpoint SecurityのResolverは、エンドツーエンドの攻撃ビューを提供する</figcaption>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blta6f2dbca4e0eb61e/5e3d834dc77dbe6512a25cd9/screenshot-endpoint-event-powershell.jpg" data-sys-asset-uid="blta6f2dbca4e0eb61e" alt="PowerShellイベントについて、卓越した可視性を提供する" "="">
</p><figcaption>PowerShellイベントについて、卓越した可視性を提供する</figcaption>
<h2><strong>重要な事象をすばやく把握し、MTTDを短縮する</strong></h2>
<p>Elastic SIEMアプリで、概要ページデザインの刷新と、広範なワークフローの強化を実施しました。より高速な脅威追跡と調査を可能にするための改善です。ユーザーは、タイムラインを開く、最新の検知シグナルを確認する、あるいはElastic Endpoint Securityや<a href="/jp/partners/palo-alto-networks/">Palo Alto Networks</a>、Suricata、Zeekほかの外部ソースからのアラートを表示するなど、即座に調査を行うことができます。SIEMアプリのどの画面を開いているときも、1クリックで一元的な脅威検知/異常検知機能にアクセスすることができます。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt1a69951e40bfb131/5e3d839af08ae96b405b2ddc/screenshot-siem-overview-2.jpg" data-sys-asset-uid="blt1a69951e40bfb131" alt="セキュリティ監視の操作性が向上し、より使いやすくなったElastic SIEMアプリの概要ページ" "=""><br>
</p><figcaption>セキュリティ監視の操作性が向上し、より使いやすくなったElastic SIEMアプリの概要ページ</figcaption>
<p>新しくなったイベントやアラート、シグナルのヒストグラムは、アナリストの運用へのアウェアネスを促進します。Hosts および Network 画面では可視化の拡充と強化が実施され、より専門的な分析を実施可能になっています。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt02042cd22f15ff57/5e3d840adb561b2b59d8bc50/screenshot-siem-siem-hosts-authentications-isolated.png" data-sys-asset-uid="blt02042cd22f15ff57" alt="Elastic SIEMの新しいヒストグラムでは、データを一目で把握できる" "="">
</p> <figcaption>Elastic SIEMの新しいヒストグラムでは、データを一目で把握できる</figcaption>
<h2><strong>アプリ監視の手を緩めない</strong></h2>
<p>7.6より、Elastic SIEMはHTTPに対しても洗練された可視性を実現します。これにより、SIEMアプリ内で直接Elastic APMデータを表示できるようになりました。すぐに使える多数のBeatsモジュールは、ECSと互換性のあるHTTPデータに付加的なアクセスを提供します。こうしたBeatsモジュールを使えば、あらゆるWebトランザクションを一元的なビューで簡単に調査、および可視化することができます。ぜひ周囲のあらゆるデータを取り込み、探索してみてください。成果をDevOpsチームにシェアすることも忘れずに。
</p> <strong>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltb6d3595bd204afbe/5e41caaf51dcf72bdad19e9c/APM_in_SIEM.gif" data-sys-asset-uid="bltb6d3595bd204afbe" alt="APM_in_SIEM.gif">
</p>
<h2><strong>クラウドデータを監視する</strong></h2></strong>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt5e0e1c193a28077a/5e3d843b5819152bd99ce5bc/screenshot-siem-hosts-events-grid-isolated.png" data-sys-asset-uid="blt5e0e1c193a28077a" alt="GCPイベントをECS形式で投入し、SIEMアプリで表示する" "="">
</p><figcaption>GCPイベントをECS形式で投入し、SIEMアプリで表示する</figcaption>
<p>かつてないほどシンプルな手順で、Elastic Stackにデータを投入し、一元的な可視化と分析を実行することができます。7.6よりAWS CloudTrailデータのサポートを開始し、Google Cloud Platform向けのサポートも強化されました。最新の攻撃対象領域であるクラウドに欠かせない可視性を築くことができます。Filebeat向けのCEFモジュールもアップデートされました。クラウドから来るデータであるかどうかにかかわらず、CEF形式のデータの可視化がより手軽になりました。
</p> <strong>
<h2><strong>今すぐ使い始めましょう</strong></h2></strong>
<p>Elastic SIEMの立ち上げをご検討中の方は、Elastic Cloudで最新バージョンの<a href="/jp/cloud/elasticsearch-service/signup">Elasticsearch Service</a>に触れていただいたり、<a href="https://demo.elastic.co/app/siem#/overview?_g=()&timerange=(global:(linkTo:!(timeline),timerange:(from:1580667870898,fromStr:now-24h,kind:relative,to:1580754270898,toStr:now)),timeline:(linkTo:!(global),timerange:(from:1580667870898,fromStr:now-24h,kind:relative,to:1580754270898,toStr:now)))">Elastic SIEMデモ</a>でお試しいただくことができます。すでに<a href="/jp/blog/migrating-to-elastic-common-schema-in-beats-environments">ECS</a>でフォーマットした形式のデータをElasticsearchに格納されている場合は、<a href="/jp/downloads/">Elastic Stack</a>を7.6にアップグレードするだけで新機能をお使いいただけます。
</p>

Elastic Security 7.6.0 released

Elasticセキュリティ7.6.0リリース

<p>ECS（Elastic Common Schema）はElasticsearchのデータを一貫した方法で構造化し、カスタマイズにも対応する新しい仕様基準です。ECSの導入で、多様なソースのデータを分析することが可能になります。ECSを使用して、ダッシュボードや機械学習ジョブといった分析コンテンツをより広範に適用したり、検索をより厳密に設定することができ、フィールド名も覚えやすくなります。
</p>
<h2>Common Schemaを使う理由</h2>
<p>インタラクティブな分析（例：検索、ドリルダウン、ピボット、可視化）を行う場合にも、自動化された分析（例：アラート、機械学習による異常検知）を行う場合にも、データは統一された方法で分析する必要があります。しかし同じソースから来るデータでない限り、フォーマットはバラバラになります。具体的には、次のような不統一です。
</p>
<ul>
	<li>異なるデータタイプ（例：ログ、メトリック、APM、フロー、コンテクスチュアルデータ）</li>
	<li>さまざまなベンダーを使う混成環境</li>
	<li>類似しているが異なるデータソース（例：<a href="/jp/beats/auditbeat">Auditbeat</a>、Cylance、Taniumといった複数のエンドポイントデータソース）</li>
</ul>
<p>たとえば「複数のソースから取得されたデータで、特定のユーザーを検索する」という状況を考えてみましょう。たった1つのフィールドを検索するにも、<code>user</code>、<code>username</code>、<code>nginx.access.user_name</code>、<code>login</code>といった複数のフィールド名を考慮する必要が生じます。このデータについてドリルダウンやピボットを実行するとなれば、さらに処理は複雑になります。さらに可視化やアラート、機械学習ジョブといった分析コンテンツを開発するとしたらどうでしょうか？新しいデータソースを取り込むたびに複雑になり、重複も生じてしまいます。
</p>
<h3>Elastic Common Schemaとは？</h3>
<p>ECSはElasticsearchに投入されるデータ用に、一般的なドキュメントフィールドを定義するオープンソースの仕様基準です。ECSはデータモデリングの統一化をサポートし、双方向性と自動化の2つの手法で多様なソースから一元的にデータを分析できるように設計されています。
</p>
<p>ECSの特長として、分類に特化した予測性と、カスタムユースケースに対応する包括的な仕様による汎用性の両方を兼ね備えていることがあります。ECSの分類基準は、フィールドのデータ要素を次の3つのレベルに配置します。
</p>
<table>
<tbody>
<tr>
	<td style="background-color: rgb(223, 223, 223);"><strong>レベル</strong>
	</td>
	<td style="background-color: rgb(223, 223, 223);"><strong>説明</strong>
	</td>
	<td style="background-color: rgb(223, 223, 223);"><strong>おすすめの使い方</strong>
	</td>
</tr>
<tr>
	<td><strong>ECS Core Field</strong>
	</td>
	<td>定義された一連のECSのトップレベルオブジェクトの下にある、完全定義された一連のフィールド名
	</td>
	<td>多くのユースケースに共通するフィールドであり、ここから作業を開始します
	</td>
</tr>
<tr>
	<td><strong>ECS Extended Field</strong>
	</td>
	<td>同じ一連のECSのトップレベルオブジェクトの下にある、部分定義された一連のフィールド名
	</td>
	<td>Extended Fieldはより限定的なユースケースに適用したり、ユースケースに応じて自由に解釈して使用することができます
	</td>
</tr>
<tr>
	<td><strong>Custom Field</strong>
	</td>
	<td>ECSのフィールドやオブジェクトと競合せず、ユーザーが供給する一連の非ECSのトップレベルオブジェクトの下にある、一連の定義されない、かつ無名のフィールド
	</td>
	<td>ECSに一致するフィールドがない場合に追加するフィールドです。データをECSに移行する際などに、元のイベントフィールドのコピーを保持することもできます。
	</td>
</tr>
</tbody>
</table>
<h2>Elastic Common Schemaを活用する</h2>
<h3>活用事例1：パース</h3>
<p>次のApacheログでECSを使用してみます。
</p>
<pre class="prettyprint">10.42.42.42 - - [07/Dec/2018:11:05:07 +0100] "GET /blog HTTP/1.1" 200 2571 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
</pre>
<p>このメッセージをECSにマッピングすると、ログのフィールドは次のように整理されます。
</p>
<table>
<tbody>
<tr>
	<td width="25%" style="background-color: rgb(223, 223, 223);"><strong>フィールド名</strong>
	</td>
	<td width="38%" style="background-color: rgb(223, 223, 223);"><strong>値</strong>
	</td>
	<td width="37%" style="background-color: rgb(223, 223, 223);"><strong>メモ</strong>
	</td>
</tr>
<tr>
	<td>@timestamp
	</td>
	<td><code>2018-12-07T11:05:07.000Z</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>ecs.version
	</td>
	<td><code>1.0.0</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>event.dataset
	</td>
	<td><code>apache.access</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>event.original
	</td>
	<td><code>10.42.42.42 - - [07/Dec ...</code>
	</td>
	<td>監査目的の完全で、無修正のログ&nbsp;
	</td>
</tr>
<tr>
	<td>http.request.method
	</td>
	<td><code>get</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>http.response.body.bytes
	</td>
	<td><code>2571</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>http.response.status_code
	</td>
	<td><code>200</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>http.version
	</td>
	<td><code>1.1</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>host.hostname
	</td>
	<td><code>webserver-blog-prod</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>message
	</td>
	<td><code>"GET /blog HTTP/1.1" 200 2571</code>
	</td>
	<td>ログビューアーに簡潔に表示させる、イベント重要情報のテキスト表現
	</td>
</tr>
<tr>
	<td>service.name
	</td>
	<td><code>Company blog</code>
	</td>
	<td>ユーザーがこのサービスにつけるカスタム名
	</td>
</tr>
<tr>
	<td>service.type
	</td>
	<td><code>apache</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>source.geo.*
	</td>
	<td>
	</td>
	<td>緯度経度情報のためのフィールド
	</td>
</tr>
<tr>
	<td>source.ip
	</td>
	<td><code>10.42.42.42</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>url.original
	</td>
	<td><code>/blog</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>user.name
	</td>
	<td><code>-</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>user_agent.*
	</td>
	<td>
	</td>
	<td>ユーザーエージェントを記述するフィールド
	</td>
</tr>
</tbody>
</table>
<p>上に示されているように、生のログはECSの<code>event.original</code>フィールドに保存されて、監査ユースケースをサポートしています。説明をシンプルにするため、この事例では監視エージェント（ <code>agent.*</code>の下にあります）に関する詳細と、ホスト（<code>host.*</code>の下にあります）、その他いくつかのフィールドの情報の一部を省略しています。より完全な再現については、こちらの<a href="https://gist.github.com/webmat/fc4902a61abf1cacbd5b717f1a3a6935">JSONイベント事例</a>をご覧ください。
</p>
<h3>活用事例2：検索</h3>
<p>特定のIPのアクティビティを、ある完全なWebスタック全体で調査してみます。このWebスタックの構成は、Palo Alto Networks Firewall、HAProxy（Logstashで処理）、Apache（Beatsモジュールを使用）、Elastic APM、さらにSuricata IDS（カスタム、独自のEVE JSONフォーマットを使用）です。
</p>
<p>ECSを使用する前にこのIPを検索すると、次のように表示されるかもしれません。
</p>
<pre class="prettyprint">src:10.42.42.42 OR client_ip:10.42.42.42 OR apache2.access.remote_ip:10.42.42.42 OR context.user.ip:10.42.42.42 OR src_ip:10.42.42.42
</pre>
<p>すべてのソースをECSにマッピングした後のクエリは、ずっとシンプルになります。
</p>
<pre class="prettyprint">source.ip:10.42.42.42
</pre>
<h3>活用事例3：可視化</h3>
<p>ECSの実力は、複数の異なるデータソースからデータを統一された方法で正規化する場面で特に発揮されます。Webスタックの脅威を監視するとき、たいていの場合はネットワークデータの複数のソースを使用します。ここでは境界上のPalo Alto Next-Gen FirewallとSuricata IDSのイベントとアラートを使用しています。Kibanaで一元的に可視化でき、ベンダーを問わずドリルダウンとピボットを実行できるようなやり方で<code>source.ip</code>と<code>network.direction</code>フィールドから各メッセージを抽出するには、どうすればよいでしょうか？もちろん答えはECSです。ECSを使わない場合に比べて、一元化された監視を大幅に簡単に実現できます。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt71256f06dc672546/5c98d595975fd58f4d12646d/ecs-intro-dashboard-1360.jpg" data-sys-asset-uid="blt71256f06dc672546" alt="Elastic Common Schemaを使ったKibanaでのIPアドレス検索" "="">
</p><figcaption>IP 10.42.42.42を検索している</figcaption>
<h2>Elastic Common Schemaのメリット</h2>
<p>ECSの導入により、検索、ドリルダウン、ピボット、データ可視化、機械学習ベースの異常検知、アラートを含む、Elastic Stackの分析全体の様式を統一することができます。完全に組み込めば、非構造化と構造化の両方のクエリパラメーター能力を活用して検索することが可能になります。またECSは、1つのベンダーを異なるデバイスで使用している、あるいはデータソースの種類が全く異なるといった条件にかかわらず、異なるデータソースのデータを自動的に関連付ける機能をスムーズに実現します。
</p>
<p>さらにECSは、分析コンテンツの開発時間も短縮します。組織に新しいデータソースが加わるたびに検索やダッシュボードを新規に作成する必要がなくなり、既存の検索やダッシュボードを使用し続けることができます。ECSを使えば、Elasticやパートナー、オープンソースプロジェクトなど、ECSを使用する他のパーティーから環境に直接分析コンテンツを導入することも簡単になります。
</p>
<p>インタラクティブな分析も手軽になります。ECSでは、データソースごとに異なる設定ではなく、1つの設定だけを使用するため、一般的に使用されるフィールド名を覚えておくことも簡単です。ECSでは（いくつかの例外はありますが）、シンプルで標準的な名付け方法に従った仕様基準なので、フィールド名を忘れる可能性も減少します。
</p>
<p>ECSを導入したくない場合は？問題ありません。必要なときはいつでも使うことができ、必要なければ使わなくても大丈夫です！
</p>
<h2>Elastic Common Schemaを使いはじめる</h2>
<p>ECSは<a href="https://github.com/elastic/ecs">GitHub repo</a>に公開されており、レビュー可能です。現在はBeta2で、まもなく一般公開への移行を予定しています。Apache 2.0オープンソースライセンス下で公開されており、Elasticの広範なコミュニティで幅広く導入できるようになっています。
</p>
<p><strong></strong>
</p>
<p>魔法みたいな機能なの？あらゆるスキーマと同様、ECSの実装も手軽ではありません。もしすでにElasticsearchのインデックステンプレートを設定して、LogstashやElasticsearchのIngestノードでいくつかの機能変換を記述したことがあれば、こちらの作業もイメージできるかもしれません。Elastic Beatsモジュールの今後のバージョンはデフォルトでECSフォーマットのイベントを提供するようになる予定です。これにより、移行もスムーズになります。第一弾として、こちらの新しい<a href="/jp/blog/introducing-auditbeat-system-module">Auditbeat向けのシステムモジュール</a>は新仕様となっています。
</p>
<p>ECSについては、<a href="/jp/webinars/introducing-the-elastic-common-schema">Elastic Common Schema（ECS）ウェビナー</a>でも詳しくご紹介しています。ぜひご覧ください。今後のブログ記事では、データをECS（スキーマに定義されていないフィールドを含む）にマッピングする方法や、ECSの統合戦略についてお伝えする予定です。
</p>
<h2>さらに詳しく</h2>
<ul>
	<li><a href="/jp/blog/migrating-to-elastic-common-schema-in-beats-environments">Beats環境におけるElastic Common Schema（ECS）への移行</a></li>
</ul>

AUTHOR

Articles by Mark Settle

Elasticセキュリティ7.13の最新情報 ― 最前線のアナリストに重要なコンテクストを供給

アンチマルウェア機能や事前構築済みのクラウド保護機能などが追加されたElasticセキュリティ7.9のご紹介

Elasticセキュリティ7.6.0リリース

Elastic Common Schemaについて

プロダクト

Elasticについて

情報

ソリューション

Elastic (ELK) Stack

NEW

AUTHOR

Articles by Mark Settle

Elasticセキュリティ7.13の最新情報 ― 最前線のアナリストに重要なコンテクストを供給

アンチマルウェア機能や事前構築済みのクラウド保護機能などが追加されたElasticセキュリティ7.9のご紹介

Elasticセキュリティ7.6.0リリース

Elastic Common Schemaについて