Sneha Sachidananda

AIエージェントからElastic Securityを使い始めましょう

オープンソースのエージェントスキルを使用することで、IDEから離れることなく、ゼロから完全に構築されたElastic Security環境を構築できます。

3分で読めます製品アップデート有効化生成型AI
AIエージェントからElastic Securityを使い始めましょう

AIエージェントからElastic Securityを使い始めましょう

Elastic Agent Skillsは、AIコーディングエージェントにネイティブなElasticの専門知識を提供するオープンソースパッケージです。既にElastic Agent Builderをご利用の場合は、セキュリティデータとネイティブに連携するAIエージェントが提供されます。エージェントスキルは、もう一方の側面、つまり、Elastic Securityの知識を、Cursor、Claude Code、GitHub Copilotなど、チームが既に利用している外部AIツールにもたらすためのものです。

AIコーディングエージェントを使用しており、Elastic Securityを評価したい場合、またはセットアップドキュメントを参照することなくElastic Securityを迅速に導入して運用を開始したいセキュリティチームの場合は、これらが役立ちます。本日、統合開発環境(IDE)から離れることなく、ゼロから完全に機能するElastic Security環境を構築できるセキュリティスキルをお届けします。

始める前に、これはバージョン0.1.0であることをご承知おきください。リリース。また、開始手順と重要なセキュリティ上の考慮事項については、このドキュメントをご確認ください。

ステップ1:セキュリティプロジェクトを作成する

AI コーディング エージェントを開くと、次のプロンプトが表示されます。 「Elastic Cloud 上にセキュリティ プロジェクトを作成します。」

create-projectスキルは、Elastic Cloud API を介して Elastic Cloud Serverless Security プロジェクトをプロビジョニングし、認証情報を安全に処理し、Elasticsearch と Kibana の URL を返します。

Elastic Cloud Serverlessは、Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Azureの各リージョンをサポートしているため、お客様の環境に最適なリージョンを選択できます。

プロンプトが1つ。プロジェクト準備完了。

ステップ2:サンプルデータを生成する

空のElastic Securityプロジェクトは、あまり説得力に欠ける。アラートも、タイムラインも、プロセスツリーもありません。データは必要だが、探索する機会を得る前に、必ずしも実際のデータソースを有効にしたいとは限らない。

generate-security-sample-dataスキルは、4つの攻撃シナリオにわたる、現実的でElastic Common Schema(ECS)準拠のセキュリティイベントと合成アラートをプロジェクトに生成します。

  • Windowsランサムウェアの感染経路: WordマクロからPowerShell、そしてランサムウェアの展開まで、アナライザービューにプロセスツリーを表示して詳細に解説します。
  • 認証情報へのアクセス: LSASSのメモリダンプと認証情報の収集。
  • AWSクラウドにおける権限昇格: IAMポリシーの操作と不正アクセスキーの作成。
  • OktaのID攻撃:多要素認証(MFA)の要素無効化と不審な認証パターン。

これらは偶然の出来事ではない。すべてのアラートはMITRE ATT&CKの手法に対応しています。プロセスツリーには適切なエンティティIDが設定されているため、アナライザーは実際の親子関係をレンダリングします。攻撃発見機能は、相関関係のある脅威のシナリオを拾い上げます。実際にライブ環境を用意しなくても、ライブ環境のような体験が得られます。

探索が終わったら、AIコーディングエージェントにサンプルデータを削除するように指示してください。サンプルイベント、アラート、およびケースはすべて、お客様の環境の他の部分に影響を与えることなくクリーンアップされます。

ステップ3:サンプルデータの後は何をするべきか

環境が構築されたら、同じAIコーディングエージェントがその環境の操作を支援してくれます。また、アラートのトリアージ(アラートの取得と調査、脅威の分類、アラートの確認)、検出ルールの管理(ノイズの多いルールの検出、例外の追加、新しいカバレッジの作成)、およびケース管理(セキュリティオペレーションセンター(SOC)のケースの作成と追跡、アラートとインシデントのリンク)のためのスキルも提供しています。

なぜ文書だけでなくスキルが重要なのか?

ElasticのAPIドキュメントは公開されています。あなたのAIエージェントは既にそれを読み取ることができます。では、なぜスキルが重要なのでしょうか?

スキルが重要なのは、ドキュメントが個々のエンドポイントを説明し、ワークフローをコード化するからである。POST /api/detection_engine/signals/search存在することを知ることと、最も古い未確認のアラートを取得し、トリガー時刻から 5 分以内のプロセス ツリーと関連するアラートを照会し、新しいケースを作成する前に既存のケースを確認し、アラートをルール UUID で添付し、同じホスト上のすべての関連アラートを正しいフィールド名で、この順序で、3 つの異なる API にわたって確認する必要があることを知ることの間には、大きなギャップがあります。

スキルには、やってはいけないことも含まれています。チャットで認証情報を表示しない、課金対象となるリソースを作成する前に確認する、サーバーレス特有のAPIの癖に対処するなどです。これは、汎用AIエージェントをElasticを真に理解するエージェントへと変える専門知識である。

はじめる

すべてのスキルはオープンソースであり、サポートされているあらゆるAIコーディングエージェントで動作します。

  • カーソル
  • クロード・コード
  • GitHub Copilot
  • ウィンドサーフィン
  • クライン
  • オープンソースコード
  • ジェミニCLI

プロジェクトワークスペースでターミナルを開き、以下を実行します。

または、特定のスキルをインストールする:

github.com/elastic/agent-skillsで全カタログをご覧ください。

この記事を共有する

FacebookLinkedInRedditの