Elastic SIEM登場
本記事中で“Elastic SIEM”と呼称されているソリューションは、現在“Elasticセキュリティ”の名称で提供されています。Elasticセキュリティは、より広範なソリューションとしてSIEMやエンドポイントセキュリティ、脅威ハンティング、クラウド監視などに対応します。ElasticセキュリティをSIEMに活用するユースケースの具体的な情報については、SIEMのページをご覧ください。
Elastic SIEMがリリースされました。"SIEMはこうあるべき"というElasticのビジョンを実現するプロセスの大きな一歩です。Elastic SIEMは、セキュリティ分析の分野で大きく躍進、普及しているElastic Stack向けに開発されました。初回となる今回のリリースには、セキュリティユースケース向けのデータ統合機能と、一般的なホストやネットワークセキュリティのワークフローで調査やトリアージ作業を最適化するKibana専用アプリケーションが含まれます。
デフォルトの配布に含まれ、ユーザーに無料で提供されます。Elastic Stack 7.2でElastic SIEMはベータリリースとなります。リリース日よりElastic Cloud Elasticsearch Serviceでお使いいただくことができ、ダウンロードもできます。
過去数年間の歩み
Elastic Stackはシステムやデータをサイバー脅威から保護するユースケースでも大きな力を発揮します。ここ数年で、セキュリティ担当者にとって人気の選択肢の1つになりました。たとえばBell CanadaやSlackをはじめとする企業は、セキュリティ分析の目的でElastic Stackを導入しています。Cisco Talosは同社の脅威ハンティングプログラムのコアテクノロジーにElasticsearchを採用しています。Big Ten Academic Allianceが構築した共用のサイバーセキュリティーオペレーションセンター、OmniSOCと米国にあるオークリッジ国立研究所は、Elastic Stackを中心とするSIEMソリューションを構築しています。RockNSMやHELKなどのオープンソースプロジェクトでも、セキュリティ運用の目的でElastic Stackの導入が行われています。
セキュリティデータ分野でElastic Stackの活用が進む様子は見ていてワクワクするものですが、それだけではありません。こうしたユースケースの周辺で活動するコミュニティに触発されて、Elasticはよりすぐれた性能を発揮する基礎的な機能の開発を行ってきました — ロギングや、APMといったソリューションの時と同じです。はじめに着手したのがセキュリティ情報とイベントの収集関連です。FilebeatやWinlogbeat、Auditbeatで収集するホストベースのセキュリティデータの種類を拡充してきました。さらに人気のネットワーク監視とBro/ZeekやSuricataなどの侵入検知システム(Intrusion Detection Systems、IDS)統合機能を追加し、ネットワークベースのセキュリティイベントの収集範囲も拡充しました。
こうしてデータ統合の範囲を拡大させるにつれて改めて浮き彫りになったのは、異なるソースのデータを横断して表現する一般的な方法の重要性でした。そこでElasticとコミュニティ、パートナーが18か月を費やし、開発したのがElastic Common Schema(ECS)です。拡張可能なフィールドマッピング仕様で異なるソースからくるデータの標準化を簡単にし、クロスソースでの相関付けや検索、分析を可能にします。
現在では多数のセキュリティ関連ソースからデータを簡単に収集できるようになり、また格納のための一般的なスキーマも使えるようになりました。となれば、次のステップはユーザーインターフェースです。情報の断片を1か所に集め、セキュリティ担当者特有のニーズにマッチするユーザーエクスペリエンスを提供するべく、開発を進めています。
ぜひElastic SIEMをお試しください。
Elastic SIEM登場
Elastic SIEMの中心となる存在が新しいSIEMアプリです。このアプリは、セキュリティチームがイベントのトリアージや初期調査の作業をインタラクティブに行えるワークスペースとなります。アナリストはアプリの"タイムラインイベントビューアー"に攻撃のエビデンスやピンを収集/格納したり、関連するイベントに注釈をつけたり、把握した情報を共有したりすることができます。こうした作業はすべてKibana上で行えるため、ECSフォーマットに従うあらゆるデータが扱いやすくなります。
従来からKibanaはセキュリティデータの可視化や検索、絞り込みにすぐれた能力を発揮してきました。Elastic SIEMアプリの登場でさらに、セキュリティチームが求めるあらゆる機能 — インタラクティブな操作性やアドホック検索、レスポンシブな詳細表示が加わります。また直感的なプロダクトエクスペリエンスとなるようパッケージ化され、典型的なセキュリティオペレーションセンターのワークフローにマッチするよう設計されています。
SIEMアプリでは、ホスト関連、およびネットワーク関連のセキュリティイベント分析を、通知についての調査や、次に挙げる対応を含むインタラクティブな脅威ハンティングの一環として実施することができます。
ホストのセキュリティイベント分析
Kibanaが備える可視化とダッシュボードの豊富なライブラリが拡充され、SIEMアプリの"ホスト"ビューにホスト関連の主要なセキュリティイベントとデータテーブルが表示されます。データテーブルからは、"タイムラインイベントビューアー"をインタラクティブに操作することができます。また7.2よりWinlogbeatがSysmonをサポートし、収集可能なホストベースのデータが一層充実します。
ネットワークセキュリティイベント分析
同様に"ネットワーク"ビューはネットワークアクティビティの主要なメトリックとネットワークイベントのテーブルを表示し、アナリストの調査をサポートします。テーブルから"タイムラインイベントビューアー"をインタラクティブに操作することができます。また7.2よりCisco ASAとPalo Altoファイアウォールがサポートされます。
タイムラインイベントビューアー
タイムラインイベントビューアーは調査や脅威ハンティングの共同作業スペースとして使えます。気になるオブジェクトをタイムラインイベントビューアーにドラッグして、アラートの元になるデータを取得するのに必要なクエリフィルターを手軽に作成することも可能です。調査作業中に個々のイベントをピン留めしたり、注釈を加える、メモを追加するなどの機能もあり、調査手順を記述する際などに便利です。自動保存機能も搭載し、インシデントレスポンスチームが確実に調査結果を活用することができます。
今後の予定
Elasticはスピード感のある進化を遂げながら、ユーザーにコンスタントなリリースと安定した価値をお届けするべく力を尽くしています。Elastic SIEMは"SIEMはこうあるべき"というElasticのビジョンを実現する大きな一歩となります。そして、初期に寄せられたユーザーやパートナーコミュニティからのフィードバックが大きく寄与したプロジェクトです。
Elastic Stackが自然な形でSIEMのユースケースに普及してゆく様子は、グローバルなシステムインテグレーター企業をはじめとする、Elasticのパートナー各社も注目していました。
セキュリティソリューションインテグレーターであり、Elastic推奨パートナーでもあるOptivで副社長兼サイバーデジタル統括マネージャーを務めるグレッグ・ベイカー氏は次のように述べています。「Elasticが新たにリリースしたSIEM関連機能は、Elastic Stackを使用するクライアントのセキュリティ可視性を最適化し、スケーラブルでエンドツーエンドなセキュリティとデータソリューションを構築する上で役立ちます。今後もElasticと長期的なパートナーシップを育み、セキュリティ機能を求めるクライアントのニーズに協働して応えたいと思います」
今回のリリースはElasticのセキュリティ分野にとって大きなマイルストーンでしたが、チームは現在も全力で楽しみながら開発を継続中です。ロードマップでは、SIEMの検知ルールやユーザー分析、脅威インテリジェンスの統合、対応するデータソースの拡充といった機能の導入が近日中に予定されています。今後も引き続きあらゆることをElasticスタイルで進めていく予定です。従来のSIEMの限界や定義を書き換え、ユーザーのデータやアプリ、ネットワークインフラの保護にますます役立つプロダクトとサービスを提供してまいります。
今すぐ使いはじめる
Elasticsearch Serviceでクラスターを立ち上げて使いはじめることも、Elastic Stackの最新バージョンをインストールして使いはじめることもできます。ElasticsearchにECSデータを投入済みの場合は、お使いのクラスターを7.2にアップグレードするだけでElastic SIEMを使うことができます。
これから導入される方に役立つリソースもあります。併せてご覧ください: