SOARの導入で先進的なセキュリティオペレーションを実現するElastic 8.4

Elasticセキュリティ8.4に新機能、SOARが登場しました。先進的なセキュリティオペレーションセンター（SOC）を支えるアナリストの業務効率化をサポートします。

先進的なSOCも、さまざまな課題に直面しています。セキュリティオペレーションが企業の評判に与える影響は経営陣にとっても無視できない問題となりましたが、セキュリティチームのリソースは依然として限られています。データの量は爆発的に増加し、それに応じて、セキュリティチームの責任も増しています。境目のない分散環境を保護しながら、SaaSプロバイダーや共有サービスのリスクも評価しなければなりません。

このような課題の解決に向けて、各部門が掲げる目標に整合性を持たせ、ベストプラクティスの共有とスキルギャップの解消を図っている組織は少なくありません。この結果、オブザーバビリティ（ビジネスアプリの業務効率と可視性に関する業務）と、セキュリティ（ビジネスアプリの保証と保護に関する業務）を隔てる壁も消滅することとなり、データやワークフロー、チームの専門性も共有されるようになりました。Elasticセキュリティ8.4は、アナリストが業務ワークフローの効率化や、脅威ハンティングと修復作業の時間短縮に取り組む上で欠かせないツール群を提供します。

Elasticセキュリティ8.4の最新情報

先進的なSOCの業務効率を高めるSOAR

最近、Elasticはオープンかつ透明なセキュリティという目標に向けて、さらに施策を強化しました。Elasticセキュリティ8.4でも、アナリスト業務の効率化につながる対応機能を拡張しています。

Elastic 8.4の強化されたワークフローでは、ネイティブの対応機能と設定可能なアラートアクションおよびケースアクションに、SOAR（Security Orchestration, Automation, and Response、セキュリティオーケストレーション、自動化、対応）ベンダーとの双方向統合を組み合わせています。従来のServiceNow、Swimlane、Tinesとの統合機能に加え、新たにパートナーシップを締結したD3およびTorqの統合が可能になりました。

ElasticはSOARについても独自のアプローチを採用しており、この実現に一役買っているのがElastic Agentです。このテクノロジーはElasticセキュリティソリューションの一部であり、数百個のデータソースを扱う業務に加え、Elasticのエンドポイントおよびクラウドのセキュリティ保護ソフトウェアの管理も、1クリックで対応できるユースケースを実現できます。Elastic Agentによって、ネイティブの修復機能をすべてのユーザーが利用できるようになり、他のテクノロジーを追加購入することなく、すべてのユーザーがSOARの活用を開始できるようになります。

修復のユースケースが増加し、高度なオーケストレーション管理の需要が増している中で、ユーザーはElasticセキュリティ内のカスタマイズ可能なオーケストレーション機能や、主要SOARプロバイダーとの1クリック統合機能を活用できます。このようなユーザー本位のアプローチは組織のニーズに合わせて発展してきました。すべてのユーザーにシンプルで一元的な操作性を提供し、ベンダーロックインを発生させません。

Elasticの特長はビジネスの成長に沿ってスケールするモデルです。ユーザーはファーストパーティーとサードパーティの統合機能をAPIファーストなアプローチで使用し、ネイティブな1クリックアクションとオーケストレーションを組み合わせることができます。つまり既存のエコシステムで、ワークフローやプロセスの自動化やオーケストレーションをシンプルに実行することが可能になります。今回のリリースで、アナリストはElasticセキュリティをSOARに利用することが可能になりました。Elasticと提携するSOARベンダーを自由に活用し、Elasticの各種アクションや機能群へのAPIファーストなアプローチを通じてオーケストレーション能力を拡張したり、対応エクスペリエンスを完全にカスタマイズできます。

ElasticはSOARについても“オープン”なビジョンを掲げています。Elastic Security for Endpointなど他の多くのテクノロジーにElasticが適用してきたアプローチと何ら変わりありません。（Elastic Security for Endpointはエンドポイントで防御と検知を実行し、XDR、eXtended Detection and Response、拡張検出および応答をサポートしています。）Elasticは「幅広い選択肢を持つことはユーザーの権利である」という発想に立ち、CrowdStrike、Microsoft Defender、SentinelOneなど多数のエンドポイントベンダーとの統合機能を提供します。Elasticはユーザーコミュニティの利益を最優先に考え、重複する機能を提供するテクノロジーを統合することもあります。

多くの組織はまだ、セキュリティのオーケストレーション、自動化、対応の取り組みを開始してまもない段階にあります。ElasticのSOAR機能は業界を問わず、あらゆる組織でインシデント管理の質的向上をサポートします。ユーザーは、緊密に統合されたSOARパートナーを利用することにより、従来以上に多くのことを実践できます。

専用の対応自動化インターフェース

対応プランを計画し、構築し、実行するためのコアワークフローは、SOARで最も重要な要素です。Elasticセキュリティ8.4で導入されたターミナル型インターフェースでは、担当者が対応アクションを簡単に確認して実行でき、対応を迅速化できます。重要なアナリストワークフローから逸脱することなく1クリックで操作でき、MTTR（Mean Time To Respond、平均復旧時間）が最小限に短縮されます。

ホスト隔離は、以前から搭載されているアクションです。感染したシステムのネットワーク接続をすばやく無効化し、アナリストによるトリアージ、調査が完了するまでの間、水平移動を防ぐことにより対応をサポートします。この機能はOSを問わず、Linux、macOS、Windowsのすべてで動作する点も特長です。今回のバージョン8.4リリースでは、この機能に以下の3つのプロセス操作が追加されました。

• 現在実行中のプロセスの列挙
• プロセスの停止
• プロセスのキル

新しい監査インターフェースには、インシデントレスポンスアクティビティの全記録機能に加えて、厳格な管理機能とレポート機能がサポートされています。

以上の機能は8.4で一般提供（GA）されており、Elasticのエンタープライズのサブスクリプションティアを通じて、セルフマネージド、またはクラウドのデプロイでご利用いただくことができます。今後のリリースでは、対応アクションの一層の拡充を予定しています。

Windowsホストの自己回復機能

攻撃を受けたホストを、正常性が確認できる状態に戻すことも、SOARの大きな目的の1つです。

Elasticセキュリティ8.4では、自己回復機能が導入されました。これは、システムから攻撃アーティファクトを除去する、自動化された修復機能です。悪意のあるアクティビティがホスト上で特定されると、攻撃時に導入された変更が自動的に元に戻され、ホストが攻撃前の状態に復旧されます。今回のリリースでは、ファイルの変更を元に戻し、削除または作成された実行可能ファイルに対処する機能のみが導入されています。その他の修復機能は今後導入される予定です。

Windowsシステムの自己回復モードは8.4で一般提供されており、プラチナサブスクリプションティアを通じてセルフマネージド、およびクラウドのデプロイにご利用いただくことができます。

自動化されたアラートインサイト

セキュリティアナリストは、環境内で発生した無数のアラートの関連性を調べる作業に膨大な労力を費やしています。膨大なアラートと誤検知で生じるアラート疲れに加えて、高いスキルを持つプロフェッショナル人材の不足が多くの組織にとって深刻な問題となっています。新機能のアラートインサイトは、アナリストのワークフローで関連性のあるアラートとケースを発見するために役立ち、影響評価作業の効率化と、アナリストのワークフローおよびエクスペリエンスの最適化を実現します。アナリストは以下の情報を瞬時に確認できます。

• 同じアラートは以前にケース登録されているか
• 主要な侵害指標からみて他のアラートとの関連性があるか
• 同じユーザーセッションにおける、関連するアラートに基づいたElastic独自の分類

さらに、Elasticのドラッグアンドドロップによる調査エクスペリエンスに1クリック機能が組み込まれているため、脅威ハンティングやその他の分析を簡単に実行できます。

アラートインサイトは8.4で一般提供されており、プラチナサブスクリプションティアを通じてご利用いただくことができます。

SOARパートナーシップの拡大

SOARによって、Elasticセキュリティのネイティブとサードパーティの両方のSOAR統合が強化されます。お客様からのリクエストに応えて、新たにD3 SecurityとTorq向けのコネクターが加わりました。Elasticは先駆的なリーダーシップを発揮し、サードパーティのSOARとの統合を加速させています。この2つのコネクターはElasticの検知能力の高める重要な役割を果たし、セキュリティのオーケストレーション、自動化、対応を可能にします。

カスタマイズ可能なオーケストレーション機能の強化

Elasticの幅広い統合に含まれないベンダーまたはアクションがある場合も、ユーザーはElasticの専用インターフェースを使用して、自動化を作成できます。その場合、任意のAPI呼び出しをコネクターとして作成して、それを管理されたアクションとして適用できます。先日、オープンコミュニティから新たに複数のコネクターがリリースされました。ユーザーはこのコネクター群を利用して、多種多様なカスタムコントロールをすばやく開始できます。Elastic 8.4では、この機能をアラート以外にも広げて、ケースアクションも扱えるようになりました。

他には…

Elastic 8.4ではSOAR機能の導入だけでなく、次に示すような検知エンジニアリング拡張機能も追加されています。

• ログデータに新たに出現したエンティティを簡単に検知する機能：データソース内で未知の語句が見つかったときにユーザーにアラートを送る、新しい種類のルールが導入されました。ドキュメントをインジェストしたときに、指定された期間（過去7日間）に出現したものと異なるフィールド値が含まれていた場合、このルールによってアラートが生成されます。新しいホスト、IPアドレス、ユーザー名が見つかることは環境の変化を示唆しており、詳しく調べる必要性があると言えます。
• ワイルドカードのサポートが追加されたルール例外：例外の柔軟性が高まり、設定か簡単になりました。例外を設定する際に新しい演算子（マッチ）を使用できるようになりました。ユーザーはワイルドカード式と、1文字一致を表す「?」を活用できます。
• 主要なセキュリティ製品からのデータコレクションを可能にする機能：Elastic 8.4では、セキュリティデータソースのデータを簡単に取り込んで分析、可視化するためのElastic Agentの1クリック統合が新たに数種類導入されました。新たに対応したのは、Azure Firewall、Cisco Identity Service Engine、Cisco Secure Email Gateway、Citrix Web Application Firewall、Mimecast、Proofpoint TAP、SentinelOneなどです。Elasticの次世代ファイアウォール統合であるPalo Altoがアップデートされ、PAN-OS 10.xおよびすべてのログタイプのサポートが追加されました。

その他の追加機能については、Elasticの詳細なリリースノートを参照してください。

試してみましょう

Elastic Cloudをご利用中のお客様はElastic Cloudコンソールから直接、本記事でご紹介した機能にアクセスできます。Elasticの導入をご検討中の方は、導入に最適な短いトレーニングビデオ「Quick Start guides」（クイックスタートガイド）や、Elasticが提供する無料の基礎コースをご利用いただけます。Elasticは、Elastic Cloudの14日間無料トライアルを常時ご用意しています。また、セルフマネージド版のElastic Stackを無料でダウンロードしてお使いいただくこともできます。

ご紹介した性能向上やその他の機能について詳しくは、Elasticセキュリティ8.4.0リリースノートをご覧ください。Elastic Stackのその他のハイライトについては、Elastic 8.4リリースブログ記事で詳しく取り上げています。

本記事に記述されているあらゆる機能ないし性能のリリースおよびタイミングは、Elasticの単独裁量に委ねられます。現時点で提供されていないあらゆる機能ないし性能は、すみやかに提供されない可能性、または一切の提供が行われない可能性があります。