Elastic Security:クラウドセキュリティ態勢管理でクラウドアセットを保護する
概要
Elastic Security入門
ElasticセキュリティがSIEM、エンドポイント、クラウドセキュリティを統合して組織を守るしくみをご覧ください。
Elastic Securityを使いはじめる
このインタラクティブなデモでElasticセキュリティを体験してください。
データを取り込む
Elastic Cloudアカウントを作成する
Elasticのエンドポイントセキュリティを使い始める前に、必ずElasticのSIEMソリューションを設定してください。まだ完了していない場合は、SIEMのスタートガイドをご覧ください。
SIEMの設定が完了している場合は、次の手順に従ってください。
デプロイが完了したら、[セキュリティ]タブで[クラウドセキュリティ態勢(CSPM)でクラウドアセットを保護する]を選択します。
[クラウドセキュリティ態勢管理(CSPM)]を選択すると、ストレージ、コンピューティング、IAMなど、クラウド環境内のサービスの検出と評価を行うための統合を追加するよう求められます。この統合により、クラウド上のデータの機密性、整合性、可用性を損なうおそれのある構成リスクを特定して修正できるようになります。
次に、統合を構成します。まず、次のうちから、監視するクラウドプロバイダーを選択します。
- Amazon Web Services(AWS)
- Google Cloud(GCP)
Elastic Security for CloudのCSPM機能は、全体が対象となるように組織レベルで評価を実行するよう構成することも、組織内の個々のアカウントレベルで評価を実行するよう構成することもできます。CSPMのセットアップを完了するには、組織レベルまたはアカウントレベルのアクセスを対象とした適切な権限が必要であることに注意してください。最初の概念実証と利用開始のために[単一アカウント]を選択します。
名前を付けて説明を入力することもできますが、これは任意です。
Elasticでは、アクセスのセットアップ用に、監視するクラウドプロバイダーに応じて2つのオプションを用意しています。
- AWS Cloud Formation / Google Cloud Shell:このオプションでは、ネイティブの「コードとしてのインフラ(IaC)」ツールを使用して、クラウド環境内にインフラストラクチャーを自動的にプロビジョニングします。このオプションを使用すると、数回のクリックで、クラウド環境のセキュリティ態勢の評価を開始できます。
- 手動:手動オプションでは、環境内でCSPMに使用されるインフラストラクチャーを手動でプロビジョニングする必要があります。
本ガイドでは、インフラストラクチャーを自動的にプロビジョニングするため、AWS Cloud FormationまたはGoogle Cloud Shellを選択してください。
クラウドプロバイダーへのログインを含め、[アクセスのセットアップ]に記載されている一連の手順に従ってください。
これが完了したら、[保存して続行]をクリックします。クリックすると、ポップアップモーダルが表示されます。ポップアップに、お好みのネイティブIaCツールを起動して、クラウド内に必要なインフラストラクチャーを自動的にプロビジョニングできることが表示されます。
新しいウィンドウが開き、選択したクラウドプロバイダーのコンソールが表示されます。[保存して続行]をクリックしてAWSまたはGCPのお好みのIaCツールを起動する手順を実際に体験してみるために、こちらのガイドツアーをご覧ください。
インフラストラクチャーのプロビジョニングには数分かかります。必要なインフラストラクチャーと権限のプロビジョニング中に、クラウドセキュリティ態勢管理(CSPM)統合を追加していたElastic Cloudコンソールに戻ると、[エージェントを追加]が表示されます。
必要なインフラストラクチャーがすべてクラウドにプロビジョニングされると、elastic-agentが登録されて、態勢データが入力されることがわかります。この画面で、[アセットを表示]を選択できます。
Elastic Securityを使用する
では、データを探索してみましょう。[アセットを表示]をクリックすると、次のページが表示されます。ダッシュボード、調査結果、ルールのアセットを一緒に見てみましょう。
[クラウドネイティブ脆弱性管理]を有効にする場合は、追加の構成を行う必要があることに注意してください。これは、利用を始めるにあたって必須ではありません。詳細については、こちらのドキュメントをご覧ください。
クラウド態勢ダッシュボード
クラウド態勢ダッシュボードには、クラウド環境の全体的なセキュリティ態勢が要約されています。
- 登録したアカウントの数
- 評価したリソースの数
- 失敗した調査結果
態勢スコアは、クラウド環境全体がどのくらい安全に構成されているかを示しています。
調査結果とアラート
[調査結果]ページには、CSPM統合によって評価された個々のリソースと、各リソースが安全構成チェックに合格したか否かが表示されます。グループ化やフィルタリングの方法など、調査結果の詳細については、こちらのドキュメントをご覧ください。
ルールの中には、他のルールよりも注意深い監視が必要になるものがあります。そのようなルールに対しては、調査結果を選択して、右下にある[アクションを実行]をクリックします。次に、[検知ルールを作成]をクリックします。
次に、[ルールを表示]をクリックします。
すると、検知ルールが定義とともに表示されます。このルールに対して失敗した調査結果がある場合は、アラートが表示されます。その他のアクションを設定するには、[ルール設定の編集]をクリックします。
次に、[アクション]を選択します。
ここで、アクションを設定できます。たとえば、ルールが失敗した場合、SlackメッセージやJiraチケットなどを設定しておくと、プロアクティブな通知を受け取って、失敗した検出結果を確認し、構成ミスを修正することができます。検知ルールの詳細については、こちらのドキュメントをご覧ください。
次のステップ
これで、Elastic Security for Cloud(CSPM)でElasticセキュリティを活用するための準備が整いました。CSPMの詳細については、製品のドキュメントをご覧ください。活用を始めたら、Elasticの効果を最大限に引き出せるように、お使いの環境に関連する主な運用、セキュリティ、データに関する考慮事項を必ず確認してください。
準備は整いましたか?Elastic Cloudの14日間無料トライアルに登録しましょう。