Elasticはこのほど、Elastic Stack7.2に追加された、セキュリティ情報の収集・分析や可視化、イベント管理を行うための機能「Elastic SIEM」に関する説明会を開催した。
Elastic Stackは同社のコアプロダクトのパッケージ名で、主要製品である分散型RESTful検索/分析エンジン「Elasticsearch」をはじめ、Elasticsearchのデータなどを可視化するGUI「Kibaba」、軽量データシッパー「Beats」、サーバーサイドデータ処理パイ プライン「Logstash」などから構成される。
「Elastic SIEM」はElastic Stackのデフォルト配布に含まれる。ElasticのユーザーはElastic Stackの各製品を活用して、セキュリティに関するデータの分析を行っていたが、さまざまなソースからデータを収集してセキュリティ情報のイベント管理に特化した機能が必要であるとして、「Elastic SIEM」がリリースされた。
セキュリティソリューション製品の責任者であるマイク・パケット氏は、「Elastic SIEM」の差別化のポイントとして「スピード」「スケール」「関連性」を挙げた。
「Elastic SIEMでは、セキュリティに関わるデータを一元的に分析することができる。これにより、攻撃者からダメージを受ける前に対処することを可能にする。また、マシンデータは膨大だが、Elastic SIEMでは、オープンなAPIによって他のソースからデータを取得でき、ベンダー・ロックインされない。また、マシンラーニングを活用して、分析結果から異常な状態を検出する。既知のリスクは自動で検出する」
パケット氏は同社独自の活動として、コミュニティ、パートナーと共に開発した「Elastic Common Schema(ECS)」を紹介した。これは、Elasticsearchのデータを一貫した方法で構造化し、カスタマイズにも対応する仕様基準。Elastic SIEMでも、ECSを活用して、多様なソースのデータを一元的に分析することができる。
そして、分析したデータを可視化する手段として、SIEMアプリ(ベータ版)が提供されているが、主要機能として以下を備えている。
- イベントの時系列表示
- ドラッグ&ドロップによる絞り込み
- 複数インデックスでの検索
- 注釈とコメント機能
- イベントビューの定型化
具体的には、次のようなネットワークとホストのデータを収集して、分析が行える。加えて、上述したように、APIを介して、Docker、Nginx、mongoDB、MySQLなどさまざまなデータソースを追加できる。
そして、今年8月にリリースされた「Elastic Stack 7.3」では、SIEMアプリに機械学習の機能を統合することで、脅威検出や脅威ハンティングのワークフローを強化された。
具体的には、特定のサイバーアタックの挙動を検知するためにデザインされた異常検知の機械学習のジョブを実行できる。SIEMアプリから検出された異常は、SIEMアプリのホストビューやネットワークビューで表示できる。
パケット氏は「マシンラーニングによって、MTTR((Mean Time to Remediation:平均修復時間))を短縮することが可能になる」と語った。7.3にはマシンラーニングのジョブが3つ埋め込まれているが、7.4ではもっと増えるという。
ちなみに、Elasticの製品はオープンソース版も提供されているが、マシンラーニングは有償版の機能となる。パケット氏は、オープンソース版のメリットについては「拡張性などを試すことができる」と説明していた。