Elasticセキュリティ7.6.0リリース
本記事中で“Elastic Endpoint Security”および“Elastic SIEM”と呼称されているソリューションは、現在“Elasticセキュリティ”の名称で提供されています。Elasticセキュリティは、より広範なソリューションとしてエンドポイントセキュリティやSIEM、脅威ハンティング、クラウド監視などに対応します。
7.6のElasticセキュリティはElastic Endpoint SecurityとElastic SIEMの機能性を活かし、一元的なインターフェースで卓越した可視性と保護を提供します。今回のリリースではSIEMアプリの一元的な脅威検知を自動化したほか、Windowsホストにおけるエンドポイント検知機能が強化されています。新しいデータソースへのアクセスが可能になり、Elastic SIEMアプリ全体の改良も実施されました。セキュリティ分野での検知や応答業務を、パワフルにサポートします。ここからは、Elasticセキュリティ7.6の改善点を個別にご紹介します。
新登場のSIEM検知エンジンと、MITRE ATT&CK™準拠ルールでゼロドゥエルタイムを目指す
Elasticセキュリティ7.6より、脅威検知を自動化し、MTTD(Mean Time To Detect、検出までの時間)を最小化する新たな”SIEM検知エンジン”が加わりました。セキュリティチームは、人間ならではの勘やスキルを必要とするタスクに集中することができます。Elasticsearchのパワーを活用するElastic SIEMはこれまでも、数時間を要していたセキュリティ調査の時間を数分にするなど、効率化に貢献してきました。今回の自動検知の導入で、従来は見落とす可能性のあった脅威を把握し、ドゥエルタイム(発生から認知までの時間)をさらに短縮することが可能になります。
Elasticは、ATT&CKのナレッジベースに準拠した100以上の構成済みルールをリリースしました。他のツールでは見落とされがちな兆候を表面化させる上で役立ちます。一連のルールはElasticのセキュリティエキスパートにより作成/保守され、脅威となるアクティビティを示すツールや戦術、手順を自動で検知します。新たな脅威に対応できるよう、随時アップデートを実施してゆく予定です。検知エンジンがシグナルについて生成するリスク、および重大度のスコアは、アナリストによる迅速なトリアージと、付加価値の高い作業への着目を促します。
Skytech Communicationsでセキュリティマネージャーを務めるマキシム・ヴェロー氏は次のコメントを寄せています。「Elasticが何百万というログを効率的に検索するために必要なツールを提供し、管理する上で適切な範囲までアラートの数を減らしてくれました。おかげで、セキュリティチームは重要な作業に専念できるようになりました。7.6のリリースで、Elastic SIEMにすぐ使えるシグナル検知ルールが加わります。これによってオブザーバビリティデータ全体にわたる分析を自動化し、脅威が発生した瞬間に検知・応答することが可能になると思います。Elasticセキュリティ7.6は、セキュリティのコミュニティが相互に連携する上でも素晴らしい手法となります。カスタマイズしたシグナル検知ルールを共有できるので、誰もが共有のメリットを享受し、新たに発生しつつある脅威を検知できます」
各種検知ルールはElastic Common Schema(ECS)対応、つまり、Windows、macOS、Linuxシステムから収集されるデータと、その他のソースから来るネットワーク情報に対応します。セキュリティチームによるルールの作成やカスタマイズも可能ですが、新しいデータソースが環境に追加されても、ECSと互換性があるなら記述を変更する必要はありません。
Elastic SIEMに内蔵の脅威検知ルールは、Elasticのセキュリティエキスパートにより開発、保守されています。また、SIEMアプリにおける機械学習駆動の異常検知ジョブと、Elastic Endpoint Securityによるホストベースの保護の双方を補完します。エンドポイントの話題が出たところで、次の新機能のご紹介です。
Windowsエンドポイントへの比類ない可視性
Elasticセキュリティ7.6はWindowsシステムに対し、卓越した水準の可視性を確立します。Windowsシステムは広範に使用され、比較的寛容なユーザー権限モデルを持つことから主要な攻撃対象となっています。7.6のリリースでは、従来は高度な脅威が持つ回避テクニックに脆弱だった場所から、データ収集とエンリッチをレジリエントに行うことが可能になり、Windows上のアクティビティへの可視性が高まります。
この検知機能はすぐに使いはじめることができ、前述のデータを活用して、キーボード入力を把握しようとする試みや、他のプロセスに悪意のあるコードを読み込ませる試みを検知します。また一連の検知ルールが生成するイベントと、自動化応答(例:プロセスのkill)を組み合わせて、防御をレイヤー化することも可能です。既存のmacOSおよびLinuxシステム向け防御/検知/応答機能と、今回加わった可視性および保護機能を組み合わせて使うことにより、Elastic Endpoint Securityユーザーは環境全体にわたる完全な保護を構築することができます。
重要な事象をすばやく把握し、MTTDを短縮する
Elastic SIEMアプリで、概要ページデザインの刷新と、広範なワークフローの強化を実施しました。より高速な脅威追跡と調査を可能にするための改善です。ユーザーは、タイムラインを開く、最新の検知シグナルを確認する、あるいはElastic Endpoint SecurityやPalo Alto Networks、Suricata、Zeekほかの外部ソースからのアラートを表示するなど、即座に調査を行うことができます。SIEMアプリのどの画面を開いているときも、1クリックで一元的な脅威検知/異常検知機能にアクセスすることができます。
新しくなったイベントやアラート、シグナルのヒストグラムは、アナリストの運用へのアウェアネスを促進します。Hosts および Network 画面では可視化の拡充と強化が実施され、より専門的な分析を実施可能になっています。
アプリ監視の手を緩めない
7.6より、Elastic SIEMはHTTPに対しても洗練された可視性を実現します。これにより、SIEMアプリ内で直接Elastic APMデータを表示できるようになりました。すぐに使える多数のBeatsモジュールは、ECSと互換性のあるHTTPデータに付加的なアクセスを提供します。こうしたBeatsモジュールを使えば、あらゆるWebトランザクションを一元的なビューで簡単に調査、および可視化することができます。ぜひ周囲のあらゆるデータを取り込み、探索してみてください。成果をDevOpsチームにシェアすることも忘れずに。
クラウドデータを監視する
かつてないほどシンプルな手順で、Elastic Stackにデータを投入し、一元的な可視化と分析を実行することができます。7.6よりAWS CloudTrailデータのサポートを開始し、Google Cloud Platform向けのサポートも強化されました。最新の攻撃対象領域であるクラウドに欠かせない可視性を築くことができます。Filebeat向けのCEFモジュールもアップデートされました。クラウドから来るデータであるかどうかにかかわらず、CEF形式のデータの可視化がより手軽になりました。
今すぐ使い始めましょう
Elastic SIEMの立ち上げをご検討中の方は、Elastic Cloudで最新バージョンのElasticsearch Serviceに触れていただいたり、Elastic SIEMデモでお試しいただくことができます。すでにECSでフォーマットした形式のデータをElasticsearchに格納されている場合は、Elastic Stackを7.6にアップグレードするだけで新機能をお使いいただけます。