Elasticのセキュリティ統合エコシステムを四半期ごとに見ていく
セキュリティチームは、目に見えるものしか保護できない。macOS 群が生成するログが SIEM に届かない、メール ゲートウェイが隔離された状態で稼働している、クラウド環境が生成する検出結果がベンダーのコンソール内に閉じ込められたままになっているなど、監視範囲のギャップは攻撃者によって容易に悪用される可能性があります。
Elasticは、この問題に対し、サードパーティとの統合への継続的かつオープンな投資という形で応えています。これは、強力なセキュリティエコシステムには、スタックのあらゆる部分からのデータを検索可能かつ文脈に沿って整理できるような、高度な統合が必要であるという信念に基づいています。本日、Elastic Security向けに、クラウドセキュリティ、エンドポイント可視化、メール脅威検出、ID管理、SIEMなど、9つの新たな統合機能を発表します。
各統合機能には、データを正規化および構造化する取り込みパイプラインが標準で付属しており、視覚化と分析の出発点としてすぐに使用できる事前構築済みのダッシュボードも含まれているため、チームはパーサーを作成または保守することなく、初日から新しいデータソース全体にわたって検索、相関分析、調査を行うことができます。
macOSセキュリティイベント
Elastic Defendは、Elastic Endpoint Securityを提供するネイティブ統合機能であり、macOS上で豊富なセキュリティテレメトリを収集します。そして、システム全体の監査ではなく、意図的に価値の高い検出シグナルに重点を置いています。ログインとログアウトのイベント、アカウントの作成と削除、サービス登録の変更、アプリケーションの診断ログはすべてその範囲外にあるため、脅威ハンターやインシデント対応チームはmacOSの完全なコンテキストを把握できない。macOSセキュリティイベントとの統合はElastic Defendを補完し、Windowsイベントログとの統合を通じてWindowsデバイスに提供されるのと同等の、OSレベルの詳細な可視性を提供します。
macOSのエンドポイントは、エンドポイントごとに数万件の統合ログエントリを生成します。フィルターをかけずにそのままにしておくと、その音量は信号ではなくノイズを生み出す。この統合機能には、認証アクティビティ、プロセス実行、ネットワーク接続、ファイルシステムの変更、システム構成の変更など、セキュリティ関連のイベントに取り込み範囲を限定する述語ベースのフィルターが付属しています。
これらの述語ベースのフィルタにより、すべてのデータを取り込むコストや複雑さを伴うことなく、macOSを包括的にカバーできます。これらのイベントは、取り込まれるとすぐにElastic SecurityのAIアシスタントで利用可能になります。アナリストは、「過去 24 時間におけるmacOSエンドポイントでの権限昇格試行をすべて表示してください」や「このホストのログイン失敗を要約してください」といった自然言語による質問を行うことで、生の統合ログエントリを、クエリを1つも記述することなく、実用的な調査コンテキストに変換できます。
macOSのセキュリティイベントとの連携機能をチェックしてみてください。
IBM QRadar
IBM QRadarとElastic Securityを並行して運用しているチームにとって、Elasticへのアラート取り込みが容易になりました。QRadarとの連携により、QRadarのオフェンスおよびルールエンドポイントからオフェンス記録が収集され、各アラートにトリガーとなったルールの名前、ID、タイプ、所有者などの情報が付加されるため、アナリストはQRadarに戻ることなくElasticsearchでトリアージを行うことができます。
この統合は、Elastic社のQRadar向けSIEM移行ワークフローの基盤となるものであり、 Splunkですでに利用可能な機能と同様のものです。チームは、QRadarのルールをElasticに移行するために、自動移行機能を使用することもできます。セマンティック検索と生成AIを使用して既存のルールをElasticの1,300以上の事前構築済み検出にマッピングし、直接マッピングできないものはすべてES|QLに変換するため、検出ライブラリ全体を手動で再構築することなくSIEMのフットプリントを統合できます。
IBM QRadarとの連携機能をチェックしてみてください。
Proofpoint Essentials
エンタープライズ顧客向けには、ProofpointのTAP(標的型攻撃対策)がElasticで利用可能になっています。中小企業環境、そしてそれらの企業にサービスを提供するMSPおよびMSSPに対し、同様のメール脅威の可視性を提供するために、Proofpoint Essentialsが利用可能になりました。
Proofpoint Essentialsとの連携により、以下の4種類のイベントがElastic Securityにストリーミングされます。
- ブロックされた悪意のあるURLをクリックした
- 許可されたクリック
- URL防御または添付ファイル防御によって認識された脅威を含むため、メッセージがブロックされました。
- 脅迫が含まれているにもかかわらず、メッセージが配信された
このデータを簡単に表示できるように、2つの既製ダッシュボードが用意されています。
中小企業のSOCチームにとって、これはフィッシング攻撃、マルウェア検出、ポリシー違反が他のセキュリティテレメトリと同じプラットフォームに集約されることを意味し、脅威の全体像を把握するためにプラットフォームを切り替える必要がなくなります。
Proofpoint Essentialsとの連携機能をチェックしてみてください。
AWS Security Hub
AWS Security HubはAWS環境全体にわたる検出結果を集約しますが、それらの検出結果を調査するには、AWSコンソール内にとどまり、チームの他のセキュリティデータとは切り離された状態で作業する必要があります。Elasticとの統合により、Security Hubの検出結果をOpen Cybersecurity Schema Framework(OCSF)形式でElasticに取り込み、ECSに正規化することで、この状況が変わります。これにより、スキーマに一貫性のあるデータがES|QLを介してすぐに検索できるようになります。
発見された脆弱性情報はElastic Vulnerability Findingsページに表示され、AWSクラウドのセキュリティ体制が既存のワークフローに直接統合されます。そこから、Security Hub のデータをエンドポイントアラート、ID イベント、ネットワークテレメトリなどの他のソースからのシグナルと関連付けることで、AWS 環境全体のリスクをより包括的に把握し、ネイティブコンソールよりも迅速に調査を行うことができます。
AWS Security Hubとの連携機能をチェックしてみてください。
Elastic Securityとの新たな連携機能がさらに追加されました。
上記の注目の連携機能に加え、以下の連携機能も利用可能になりました。それぞれにすぐに活用できる事前構築済みのダッシュボードが付属しています。
- JupiterOne :資産インテリジェンスとクラウド攻撃対象領域の監視、ツール間アラート、CVE検出結果、脅威検出結果をMITRE ATT&CKマッピングとCVSSスコア、ホストコンテキストで強化し、統合されたリスク可視化を実現します。
- Airlock Digital :アプリケーションの許可リストと実行制御のテレメトリにより、コマンドライン、ファイルハッシュ、発行元コンテキストを含むブロックされたプロセス実行をキャプチャし、不正な実行試行を可視化して、他のエンドポイント検出結果と関連付けることができます。
- Island Browser :ユーザーのナビゲーション、デバイスの状態、侵害された認証情報の検出、管理者のアクティビティなど、エンタープライズブラウザのセキュリティイベントを網羅し、従来のエンドポイントエージェントを展開できないBYODや管理対象外のデバイスにもElasticの可視性を拡張します。
- Ironscales :AIを活用したフィッシング検出イベント。メールのメタデータ、送信者の評判、影響を受けたメールボックスの数、疑わしいリンクを収集し、エンドポイントおよびIDデータと関連付けることで、迅速な調査と対応を可能にします。
- Cyera :データセキュリティ態勢管理イベントにより、クラウド環境全体にわたる機密データのリスク(漏洩の深刻度、影響を受けたレコード数、コンプライアンスフレームワーク違反、データストアの所有権など)が明らかになり、機密データの漏洩が個別のDSPMコンソールに閉じ込められることがなくなります。
はじめる
これらの統合は、Elasticのセキュリティに対するオープンなアプローチを反映しています。今回ご紹介する9つの統合機能はすべて、事前に構築されたダッシュボードとネイティブのECSマッピングを備えているため、追加の設定やカスタムの視覚化作業を行うことなく、チームはすぐに状況を把握できます。
そこから、発見事項、アラート、ログは、Elasticのより広範な検出および調査機能に即座に利用可能になります。具体的には、多段階の脅威を明らかにするためのAttack Discovery、自然言語による調査とガイド付き対応のためのAI Assistant、そしてカスタム検出およびハンティングクエリのためのES|QLとEQLです。
ご質問やご意見がございましたら、お気軽にお問い合わせください。Elastic StackコミュニティSlackの#security-siemに参加してください。