検索エンジン「Elasticsearch」を中核とする米Elasticの日本オフィスは2019年9月17日、説明会を開き、同社が提供する統合ソフトウェア「Elastic Stack」の新版(V7.3)で追加したSIEM(セキュリティ情報およびイベント管理)機能について説明した。新版のV7.3は2019年6月から提供している。
写真1:米Elasticでセキュリティ市場の製品ディレクターを務めるMike Paquette(マイク・パケット)氏拡大画像表示
Elastic Stackは、検索エンジンソフトのElasticsearchを中核とするソフトウェアスイートである。オープンソースとして無料で公開しているエディションのほか、マシンラーニング(機械学習)や可視化といった業務に役立つ機能群を追加した有料の多機能エディションなどを用意している。
Elastic Stackの新版では、Elastic StackをSIEM(Security Information and Event Management:セキュリティ情報イベント管理)ソフトとして使えるようにする機能拡張を施した。Elastic Stackの構成要素の1つでデータを可視化するアプリケーションであるKibanaを強化し、Kibanaのコンポーネントの1つとしてSIEM機能を追加した形である。
米Elasticでセキュリティ市場製品ディレクターを務めるMike Paquette(マイク・パケット)氏(写真1)は、Elastic StackにSIEM機能を搭載した理由について「SIEMとセキュリティ分析は、検索が欠かせない分野」と指摘する。米Elasticが得意とする検索技術によってログデータを基にした脅威の検出、分析、対処が容易になるとしている。
SIEM機能では、イベントの収集、検索、関連付け、分析などができる。ホストマシン(WindowsやLinuxなど)のシステムログやネットワーク機器のログなどを取り込んでデータベース化する。SIEMの画面では、イベントデータを時系列で表示できる。注目するIPアドレスやユーザーなどを指定して情報をフィルタリングして監視するといった運用ができる。
SIEMを実現する技術の1つがECS(Elastic Common Schema)である。検索エンジンであるElasticsearchに投入するデータを一貫した方法で構造化する手法であり、多様なデータを検索の対象にできる。
SIEM機能ではさらに、マシンラーニングを使って脅威の検出を自動化している。ログイン認証の異常なイベントを検出するジョブなど、マシンラーニングを使って学習・判定するジョブをあらかじめ3つ登録済みで提供する。
Elastic / SIEM / Elasticsearch / エンタープライズ検索 / Elastic Stack / ログ管理
