Elastic Security：エンドポイントセキュリティでホストを保護する

Elasticセキュリティは、SIEM、エンドポイント、クラウドセキュリティを1つのプラットフォームに統合した一元的なセキュリティソリューションです。Elasticセキュリティを使えば、環境のあらゆる要素からのセキュリティイベントの保護、調査、対応が簡単になります。次の動画では、Elasticセキュリティを組織の保護に活用するメリットを解説しています。

このインタラクティブなデモでElasticセキュリティを体験してください。

Elastic Security for Endpointを使い始める前に、必ずElastic Security for SIEMソリューションを設定してください。まだ完了していない場合は、Elastic Security for SIEMのスタートガイドをご覧ください。

Elastic Security for SIEMの設定が完了している場合は、次の手順に従ってください。

デプロイの準備ができたら、［セキュリティ］タブで［エンドポイントセキュリティでホストを保護する］を選択します。

Elastic Security for SIEMをまだ使用していない場合は、Elastic Defendが統合されたElastic Agentをインストールする必要があります。Agentには設定せずに使える多数の統合機能が用意されています。Elastic Defendは、ホストベースアクティビティの詳細な可視化と、防御、調査、対応の機能を備えたエンドポイントセキュリティソリューションです。

Elastic DefendとElastic Agentの使用を開始する方法については、こちらのガイドツアーを確認するか、以下の手順に従ってください。

［Elastic Defendを追加］を選択すると、ホストにElastic Agentをインストールするよう求められます。

［Elastic Agentをインストール］をクリックし、適切なオペレーティングシステムを選択して、Elastic Agentをインストール、登録、開始するコマンドを実行します。

Elastic Agentのインストールが完了したら、Agentが正常に登録されたことを示す確認画面が表示されます。

次に、［入力データを確認］を選択します。デフォルトでは、Elastic Defendはイベント収集のみが有効になるように設定されています。

Elasticの包括的なエンドポイント検知と対応（EDR）エクスペリエンスを有効化するためにポリシーでエンドポイント防御を有効にする方法については、この後で説明します。

次に、［アセットを表示］を選択します。

続いて、［ホスト］を選択します。

エンドポイントに対するElasticセキュリティが表示されていることがわかります。次に、［ポリシー］でエンドポイントを選択します。

包括的なエンドポイント検知と対応（EDR）機能を利用するには、ここから右側に沿って、ポリシーで次の保護を有効にします。

• マルウェアからの保護
• ランサムウェアからの保護
• メモリ脅威からの保護
• 悪意ある振る舞いからの保護

Elastic Defendポリシーの構成の詳細については、こちらのドキュメントをご覧ください。

［保存］を選択すると、データの探索を始める準備が整います。

それでは、お使いの環境で何が起こっているかを調べましょう。セキュリティ関連データの包括的な確認やイベントの迅速な調査などが行えます。以下のドキュメントは、インタラクティブなダッシュボードや分析ツールを使用して環境を探索する方法を説明したものです。

• ホストビューでのシステムデータの可視化
• ネットワークビューでのネットワークデータの探索
• タイムライン内のイベントの調査
• アナライザービューでのホストプロセスの探索
• アラートからのosqueryの実行

次は、すぐに使える検知ルールを有効化します。

• 検知ルールの管理
• 対応アクションの設定
• イベントアナライザー
• 対応のレビュー

MLベースの異常検知により、未知の脅威をさらに詳細に明らかにできます。また、マルウェアとランサムウェアの防御をElastic Agent向けのElastic Defend統合を通じて実装し、ホストを保護できます。

Elasticは脅威ハンティングとインシデント調査に適したプラットフォームです。実際のデータでテストしてみましょう。次のリソースを使用することで、最初のトリアージからケースのクロージングまで、独自の調査を実行できます。

• Elastic Agent向けのosqueryマネージャー統合をインストールする

• エンドポイント対応アクションを設定する

Elastic Security for Endpoint活用の準備が整いました。活用を始めたら、Elasticの効果を最大限に引き出せるように、お使いの環境に関連する主な運用、セキュリティ、データに関する考慮事項を必ず確認してください。

• SIEMでデータに潜む脅威の検知を開始する
• クラウドセキュリティ態勢管理でクラウドアセットの保護を開始する
• Elastic Security Labs
• 脅威ハンティングガイド
• SIEMのための大規模データソース活用ガイド
• エンドポイントを最適化する方法