新しくリリースされたElasticsearch MapsとElastic（ELK）Stackのアップタイム機能によるセキュリティ異常の検出

James Spiteri

Director, product management, security

Elastic

Nic Palmer

「Maps」と「Uptime」のリリースにより、Elastic Stackユーザーにデータセットの分析と環境内の問題検出の方法がさらに充実しました。これらの機能の利用はネットワークオペレーション、ビジネス分析、オペレーション分析のコンテキストでは理解しやすいと思われますが、セキュリティオペレーションではどうでしょうか。

Elasticの軽量型Heartbeatエージェントは、http(s)、TCP、ICMPエンドポイントといったいくつかのネットワークサービスを定期的に監視できます。わずか数秒でデータがElasticsearchに投入され、新たなキュレートされたアップタイムUIでただちに表示されます。他にも、FilebeatやPacketbeatなどのBeatsおよびLogstashプラグインを使用すると、IPアドレスによってデータソースを収集し、地理的位置情報でエンリッチ化できます。地理的ポイントを持ち、情報集約し、他のメトリックとの相互関係を示したりする異なる複数のデータソースを、Maps向け専用UIによってレイヤー化できるようになりました。

本ウェビナーでは、Elasticのソリューションアーキテクト兼サイバーセキュリティスペシャリストのジェームズ・スピテリとソリューションアーキテクトのニコラス・パルマーが、Mapsおよびアップタイム機能を使ってセキュリティデータセット内で異常を検出するプロセスをご紹介します。

デモの内容：

• HeartbeatとUptimeを使用して、潜在的セキュリティ異常を検出する方法（WAF障害、TLS証明書期限切れ、イレギュラーなレイテンシーなど）
• Mapsを使用して、地理的ポイントを持つ複数の異なるセキュリティデータソースをレイヤー化
• Heartbeatデータセットによる機械学習ジョブとアラートの作成

本動画は英語です。日本語字幕はございません。

参考情報：

• ドキュメント
  
  • はじめてのHeartbeat
• ブログ
  
  • Uptime 紹介ブログ
  • Elastic Maps がリリースされました
• ビデオ
  
  • 地理空間分析のためのElastic Maps
  • Elastic Uptime：Actively Monitor the Availability of Your Systems and Services（システムとサービスの可用性をアクティブ監視する）