"データ収集および正規化の主要な手法を習得して、環境への可視性を強化しましょう。さらにElasticセキュリティを活用して、問題をすばやく正確にトリアージ、検証、スコープする方法をご紹介します。 "

1. 1
ElasticON Security
Yukiya “Bruce” Shimizu
Solutions Architect
包括的な可視性の確立

2. 死角は至るところに

3. 全ての人と資産が標的に

4. 5 1B 5
データ種別
分析対象は、エンドポイン
ト、クラウド、ネットワーク、
アプリケーション、ユー
ザー、更に増加
イベント数/一日
多くの組織で、一日あたりの
平均イベント数が10億を超え
る
SOCアナリスト
セキュリティオペレーション
センターの規模は様々だ
が、多くの組織ではアナリ
ストは5名以下
データのジレンマ

5. 4つの課題
どんなデータを収集する必要があるのか？1
どのようにデータを管理していくのか？3
どのように実行可能にしていくか？4
どのようにデータを収集するのか？2

6. どんなデータを収集
する必要があるのか？
• MITRE ATT&CK™は、250を超える
攻撃テクニックを検知するのに必要
なデータを提供
• 50を超える固有のデータソース
• 例: “Process Monitoring”, “DNS
Records”, “Authentication Logs”,
など

7. どんなデータを収集
する必要があるのか？
• MITRE ATT&CK™は、250を超える
攻撃テクニックを検知するのに必要
なデータを提供
• 50を超える固有のデータソース
• 例: “Process Monitoring”, “DNS
Records”, “Authentication Logs”,
など

8. 4つの課題
どんなデータを収集する必要があるのか？1
どのようにデータを管理していくのか？3
どのように実行可能にしていくか？4
どのようにデータを収集するのか？2

9. Elastic Agent
• 全てのデータ収集とエンドポイント保
護を集中管理
• データソースとの統合をワンクリック
で
• 完全な構成のコントロールのための
カスタマイズ可能な構成

10. 4つの課題
どんなデータを収集する必要があるのか？1
どのようにデータを管理していくのか？3
どのように実行可能にしていくか？4
どのようにデータを収集するのか？2

11. Elastic Security
• 全てのデータ種別のデータソースを
跨る分析のための単一のアプリケー
ション
• 構成可能なデータ・ライフサイクル・
マネジメント
• データソースやエンドポイントの追
加、データ投入量の増加でライセン
スコストに影響なし
• 柔軟なストレージ階層
• Elastic Common Schema

12. Elastic Common Schema (ECS)
Elasticの中でデータはどのように正規化されるか
Elasticsearchに投入するデータのフィー
ルドとオブジェクトの共通セットを定義
多様なデータのデータソースを跨る分析
を可能に
拡張可能な設計
Elastic Stackのあらゆる所で適用済み
コントリビューションやフィードバックはこ
ちらまで
https://github.com/elastic/ecs
ECSなしの検索
src:10.42.42.42
OR client_ip:10.42.42.42
OR apache2.access.remote_ip:
10.42.42.42
OR context.user.ip:10.42.42.42
OR src_ip:10.42.42.42
ECSありの検索
source.ip:10.42.42.42

13. 4つの課題
どんなデータを収集する必要があるのか？1
どのようにデータを管理していくのか？3
どのように実行可能にしていくか？4
どのようにデータを収集するのか？2

14. 脅威ハンティング
• 埋め込まれた攻撃に対するプロアク
ティブな検索
• 分析結果を統合されたケースマネジ
メントにインシデントを発行
• アナリストをエンパワーするカスタマ
イズ可能なタイムライン・テンプレート

15. 自動化された
脅威検出
• 既知と未知の脅威を検出する
Elasticsearchのスピードとスケー
ル
• クエリKQL/DSLや機械学習、閾値
を使って簡単に脅威検出を自動化
• 200を超える無償かつオープンな検
出ルール

16. 脅威の防御
• カーネルレベルのデータ収集による
深い可視性
• Windows, macOS, Linuxを保護
• マルウェア防御

17. Demo

18. 4つの課題への解
データ収集のための共通のフレームワーク1
データ分析のためのオープンな標準で構成可能なデータマネジメント3
アクションに繋がるデータ - 脅威ハンティング、自動検出、脅威防御4
データコレクションとエンドポイント保護のための単一のエージェント2

19. フリートライアル:
ela.st/security-trial
素早く進む:
demo.elastic.co
Slackに接続:
ela.st/slack
Elasticコミュニティに参加しよう！

20. Thank You
Search. Observe. Protect.

21. 21
Closing slide
This presentation includes forward-looking
statements that are subject to risks and
uncertainties. Actual results may differ materially
as a result of various risk factors included in the
reports on the Forms 10-K, 10-Q, and 8-K, and in
other filings we make with the SEC from time to
time. Elastic undertakes no obligation to update
any of these forward-looking statements.