ニュース

Elastic Security Day セミナーレポート: 新登場SIEMと機械学習のご紹介

セキュリティ上の脅威となる様々な攻撃や不正行為などが激増する中、セキュリティ管理者の業務は多忙を極めており、これに伴いSIEM(Security information and event management)への要求も各段に高まってきています。

今回のセミナーでは、Elasticが提供するSIEMと機械学習にフォーカスをして、セキュリティ管理者を支援するこれらの仕組みをご紹介しました。セミナーでは、スライドを使ったプレゼンテーションに加え、約1時間のデモを実施し、仮想シナリオをベースにElastic SIEMの具体的な利用方法が実感できる中身の濃い内容をお届けしました。

Elasticの検索機能によってSIEMおよびセキュリティ分析はさらに進化する

セキュリティ分析では、あらゆるセキュリティ関連データの収集、インデックス化、リアルタイムでの高度な分析などが不可欠ですが、これらは「検索の会社」であるElasticが最も得意とする分野であると言えます。Elasticsearchの検索スピードにより、被害を被る前に脅威を検知して対応し、また、大量のデータに対してアドホックに問い合わせを行い、オープンAPIを使って他システムとの連携を図ることでスケーリング(拡張)を実現。独自のファイルフォーマットに依存しないElasticの特性により、ベンダーロックインも排除できるからです。さらに、機械学習の機能で、動的に潜在的な異常を顕在化し、既知の脅威の検知を自動化することも可能です。これらは、相関関係ベースのアラートを活用することで実現できます。このようにElasticの検索機能によってSIEMおよびセキュリティ分析はさらに進化を遂げることができました。

Elastic SIEMとは:構成要素とその役割

Elastic SIEMは、Elastic Stackを基盤としています。言ってみれば、「全Elastic StackユーザーのためのSIEM」とも言えます。主な構成要素としては、データ統合に携わる軽量のデータシッパーであるBeatsやサーバーサイド処理パイプラインであるLogstashがあり、また、新たに登場したElastic SIEMアプリがこれに加わります。Elastic SIEMアプリは、Kibanaをベースに可視化を行い、Elastic Stackを制御します。取り扱われる全てのデータはECS(Elastic Common Schema)形式にフォーマットされ、セキュリティコンテンツについては、Elasticおよびコミュニティから取り込まれます。これら全ての要素を合わせた形でElastic SIEMが実装されました。

Elastic SIEMの中核となる「Elastic SIEMアプリ」と広範なデータの統合

Elastic SIEMアプリは、Elastic SIEMの中核を成すインタラクティブなワークスペースであり、セキュリティチームはこれを利用してイベントをトリアージし、初期段階で調査を行うことができます。例えばアナリストは、タイムラインイベントビューワを使って攻撃の証拠を収集して格納し、関連イベントを紐付けした上で注釈を付け、これらの情報を共有できます。実際の操作は全てKibana上で実施され、データはECSフォーマットで格納されます。(※Elastic SIEMアプリは、ベータ版としてElastic Stack 7.2で提供され、ベーシックサブスクリプション内で無償利用することができます)

もう1つの重要な構成要素:機械学習

SIEMにおいて重要となるもう1つの構成要素が「機械学習(Machine Learning)」です。Elastic Stackには、機械学習のエンジンが組み込まれていて、“教師なしのアルゴリズム”を採用したこの機械学習では、時系列データの中から異常事態を検出するなど、セキュリティ分析において非常に重要な機能となっています。

セミナーレポート全文にご興味をお持ちの方は

こちらからダウンロードいただけます。またセミナーを録画したビデオは日本語字幕付きで公開を予定しています。

なお、Elastic Stackの製品全体にご興味をお持ちの方は、Elasticのコアプロダクト群をご参照ください。Elasticのセキュリティにご興味のある方はElastic SIEMを、エンドポイントソリューションにご関心のある方はElastic Endpoint Securityをご参照ください。