ECSは、一連の一般的なフィールドを定義するオープンソース&コミュニティ主導の規格です。ECSのElasticsearchデータタイプを活用すると、Elasticsearchにインジェストしたデータの値や使用に階層を持たせることが可能となります。ECSを使うことで、検索やドリルダウン、ピボット、データ可視化、機械学習ベースの異常検知、検知ルール、アラートなど、Elasticで実行する分析の様式が一律になります。
Okta Brute Force Attack detection rule based on ECS
Elasticが提供する設定不要の統合機能群を使って、アプリやインフラ、クラウド、ネットワーク、ワークプレイスツール、エコシステム内の一般的な他のソースから、ログやイベント、メトリック、トレース、コンテンツなどをストリーミングして収集できます。Elasticの統合機能群を使って収集したデータは、セキュリティやオブザーバビリティをはじめとするElasticソリューションはもちろん、Elastic Stackを使ったその他のユースケースに確実に活用することができます。
統合機能群を経由してインジェストしたデータは、ECSにマッピングされています。ただ統合機能を有効化するだけでインジェストでき、データをすぐにECSフォーマットで操作し始めることが可能です。
Elastic統合機能群は、データを自動でECSにマッピングします。しかしそれ以外のデータソースにも、ECSでの正規化によるメリットを活かしたいと思うことがあるかもしれません。お手元のデータをECSにマッピングする場合、利用できるオプションは多数存在します。こちらのブログ記事では一例として、セキュリティデータソースをECSにマッピングする事例をご紹介しています。
ECSはコミュニティからのフィードバックに基づく定期的なアップデートを通じて新たなユースケースを解決し、日々進化を遂げているスキーマです。
詳細については、Elastic.coまたはECSレポジトリに公開中のECSのドキュメントをご覧ください。
ご質問やご提案がございましたら、Elasticディスカッションフォーラム、またはSlack ECSコミュニティチャンネルへアクセスしていただくか、ECSレポジトリにissueを投稿してください。