新しくリリースされたElasticsearch MapsとElastic(ELK)Stackのアップタイム機能によるセキュリティ異常の検出

Maps」と「Uptime」のリリースにより、Elastic Stackユーザーにデータセットの分析と環境内の問題検出の方法がさらに充実しました。これらの機能の利用はネットワークオペレーション、ビジネス分析、オペレーション分析のコンテキストでは理解しやすいと思われますが、セキュリティオペレーションではどうでしょうか。

Elasticの軽量型Heartbeatエージェントは、http(s)、TCP、ICMPエンドポイントといったいくつかのネットワークサービスを定期的に監視できます。わずか数秒でデータがElasticsearchに投入され、新たなキュレートされたアップタイムUIでただちに表示されます。他にも、FilebeatやPacketbeatなどのBeatsおよびLogstashプラグインを使用すると、IPアドレスによってデータソースを収集し、地理的位置情報でエンリッチ化できます。地理的ポイントを持ち、情報集約し、他のメトリックとの相互関係を示したりする異なる複数のデータソースを、Maps向け専用UIによってレイヤー化できるようになりました。

本ウェビナーでは、Elasticのソリューションアーキテクト兼サイバーセキュリティスペシャリストのジェームズ・スピテリとソリューションアーキテクトのニコラス・パルマーが、Mapsおよびアップタイム機能を使ってセキュリティデータセット内で異常を検出するプロセスをご紹介します。

デモの内容:

  • HeartbeatとUptimeを使用して、潜在的セキュリティ異常を検出する方法(WAF障害、TLS証明書期限切れ、イレギュラーなレイテンシーなど)
  • Mapsを使用して、地理的ポイントを持つ複数の異なるセキュリティデータソースをレイヤー化
  • Heartbeatデータセットによる機械学習ジョブとアラートの作成

本動画は英語です。日本語字幕はございません。

参考情報:

James Spiteri

Nic Palmer

ビデオをみる

最新のElastic Stackに関する情報をお送りします。