Elastic Security Deep Dive

1 Copyright © Acroquest Technology Co., Ltd. All rights reserved.
Elastic Security Deep Dive 2022/10/26 Acroquest Technology株式会社 Senior Consultant / Full stack Elastic Certified 吉岡洋 @Hirosh_Yoshioka 第50回Elasticsearch勉強会

自己紹介 Copyright © Acroquest Technology Co., Ltd. All rights reserved.
• アクロクエストテクノロジー株式会社 • 吉岡洋（@Hirosh_Yoshioka） • 業務：Elastic Stackのコンサルティング全般 (全文検索／ログ分析／セキュリティ分析／可視化) • その他 ◦ 世界初のElastic Certified Engineer (Elastic Certification 3種取得) ◦ 日本初のElastic社認定コンサルタント ◦ Elastic Contributor Silver（日本1位） ◦ Elastic User Group Tokyo運営

目次 Copyright © Acroquest Technology Co., Ltd. All rights reserved.
1. Elastic Securityとは 2. Elastic Securityの特徴 3. まとめ

１．Elastic Securityとは Copyright © Acroquest Technology Co., Ltd. All rights
reserved.

Elastic Search Platform Enterprise Search Observability Security Kibana Explore, Visualize,
Engage Elasticsearch Store, Search, Analyze Integrations Connect, Collect, Alert Public cloud Hybrid On-premises ①Elastic Agent(インテグレーション:300以上) ②Webクローラー／Webサービスコネクタ１．様々なジャンルのデータ収集 ①ペタバイト級のデータストア ②高速な全文検索／集計２．データ蓄積／全文検索／高速集計 ①柔軟な可視化／ダッシュボード ②ログ調査UI、SIEM用調査UI、アラート３．可視化／データ分析／監視

Elastic Search Platform Enterprise Search Observability Security Kibana Explore, Visualize,
Engage Elasticsearch Store, Search, Analyze Integrations Connect, Collect, Alert Public cloud Hybrid On-premises Elastic Security エンドポイントからデータセンターまでリアルタイムのDetect/Protectが容易様々なジャンルのデータ収集高速検索により滞留時間を短縮損害を最小化／回避データ蓄積／全文検索／高速集計すべてのSecOpsをリアルタイム／全体的に可視化可視化／データ分析／監視

Copyright © Acroquest Technology Co., Ltd. All rights reserved. 次世代アンチウイルス
(NGAV) エンドポイント・ディテクション＆レスポンス (EDR) SIEM Endpoint Cloud クラウドワークロードモニタリング＆保護 (CWP) クラウドポスチャマネジメント (K/CSPM) セキュリティ情報管理基盤 (SIEM) 脅威検知、調査、レスポンス (TDIR) 本日のセッションで扱う範囲

２．Elastic Securityの特徴 Copyright © Acroquest Technology Co., Ltd. All rights
reserved.

Elastic Security アーキテクチャ Copyright © Acroquest Technology Co., Ltd. All
rights reserved. 利用者 Process/NW/DNSなど異常検知エンジンプレビルド・検知ルール・機械学習Job インシデント管理ツール起票セキュリティイベント通知インシデント調査ルールカスタマイズ起票調査結果保存 Host(Windows) Agent管理 Agent設定 Host(Linux) Process/NW/File 異常検知連携 Kibana Security App Fleet ネットワーク機器 NW 調査／分析UI 検知ルール管理インシデント管理 Host(Linux) Elasticsearch

利用者 Elasticsearch Process/NW/DNSなど異常検知エンジンプレビルド・検知ルール・機械学習Job インシデント管理ツール起票
セキュリティイベント通知インシデント調査ルールカスタマイズ起票調査結果保存 Host(Windows) Agent管理 Agent設定 Host(Linux) Process/NW/File 異常検知連携 Kibana Security App Fleet ネットワーク機器 NW 調査／分析UI 検知ルール管理インシデント管理 Host(Linux) 特徴①データ収集を一元管理するElastic Agent Copyright © Acroquest Technology Co., Ltd. All rights reserved. Kibana Fleet • Elastic Agentが必要な Agentを自動セットアップ • 300種類以上のデータソースに対応するIntegrationを採用 • Kibanaから設定変更／バージョンアップ／起動・停止の指示が可能 • Elastic Agentで一元管理できるので、セットアップ／運用が簡単 Agent管理

Elastic Agentがデータ収集時の課題を解決 Copyright © Acroquest Technology Co., Ltd. All rights
reserved. 1. セットアップコストが低い ① たった1種類のエージェントで300種類以上のデータを収集可能 ② 1コマンドでセットアップ可能（収集データに合わせて必要ファイルを自動ダウンロード） 2. メンテナンスコストが低い ① 全てのエージェントをKibanaで一元管理可能 ② Kibanaからエージェントのバージョンアップ／設定変更（例：取得データの追加）が可能 3. データ加工処理を自動実行 ① Elastic Agentがデータ送信時にデータの構造／フォーマットを統一 ② 多様なデータソースを横断的に検索可能

セキュリティイベント通知インシデント調査ルールカスタマイズ起票調査結果保存 Host(Windows) Agent管理 Agent設定 Host(Linux) Process/NW/File 異常検知連携 Kibana Security App Fleet ネットワーク機器 NW 調査／分析UI 検知ルール管理インシデント管理 Host(Linux) 利用者特徴②MITRE ATT&CK準拠の検知ルールによる異常検知 Copyright © Acroquest Technology Co., Ltd. All rights reserved. Elasticsearch 異常検知エンジン Kibana Security App 調査／分析UI インシデント管理 • ルールの有効化 • 閾値判定、イベント相関、トレンド異常などの検知ルールを作成可能 • 機械学習を活用した異常検知エンジン • 700以上の検知ルールと機械学習Jobを標準搭載プレビルド・検知ルール・機械学習Job 検知ルール管理

Prebuild Rule セキュリティ専門家によって作成／保守されている脅威の検知ルールプレビルドルール Prebuild Rule 704のうち675が MITRE
ATT&CKに基づき作成された検知ルール Prebuild Job 疑わしいプロセス／通信、侵入試行／拡大を検知する機械学習Job 704 675 47 ※ Elastic Stack Version.8.4.3時点の情報 1. MITRE ATT&CK全域をカバーする704種のプレビルドルール ①Kibanaから有効化するだけですぐに異常検知を開始

プレビルドルール(704種)のサマリ Copyright © Acroquest Technology Co., Ltd. All rights reserved.
不審なプロセス情報／メモリアクセスなどを検知（sysmonを利用） Indicatorチェック（MISP/Abuse.ch等の利用）機械学習を用いたマルウェア検知（DNS Tunnelingなど）特定プロトコル／サーバアクセスに関する特徴を検知マルウェア感染が疑われる活動を検知利用プロセス／ファイルの特徴を検知高度・新規性の高いマルウェアの検知（DGA Attack/LOtL Attack）（Technical Preview）一般的なマルウェア検知クライアントサーバクラウド AWS／Azure／GCPサービスに対する攻撃を検知クラウドサービス(Microsoft365など)に対する攻撃を検知その他その他の検知不審な行動履歴を検知プレビルドルール

セキュリティイベント通知インシデント調査ルールカスタマイズ起票調査結果保存 Host(Windows) Agent管理 Agent設定 Host(Linux) Process/NW/File 異常検知連携 Kibana Security App Fleet ネットワーク機器 NW 調査／分析UI 検知ルール管理インシデント管理 Host(Linux) ③調査／分析UI～専用アプリケーション搭載～ Copyright © Acroquest Technology Co., Ltd. All rights reserved. Kibana 検知ルール管理インシデント管理 Security App • 専用アプリケーションを使用してセキュリティイベントを調査 • 調査結果の保存機能により、チームでの効率的な調査が可能。調査／分析UI 利用者

専用アプリケーションを活用した脅威ハンティング 1. 複数のデータソースを横断的に分析 ① データの構造／フォーマットが統一されているので、異なるデータソースを横断的に分析できる 2. インタラクティブな分析UI ① Timelineと呼ばれる分析専用ワークプレイスと
各種UIを連携して、詳細なリスク調査が可能 3. チームでの調査を効率化 ① 調査結果を保存／共有することで、チームでの調査を効率化。 Copyright © Acroquest Technology Co., Ltd. All rights reserved.

セキュリティイベント通知インシデント調査ルールカスタマイズ起票調査結果保存 Host(Windows) Agent管理 Agent設定 Host(Linux) Process/NW/File 異常検知連携 Kibana Security App Fleet ネットワーク機器 NW 調査／分析UI 検知ルール管理インシデント管理 Host(Linux) ④インシデント管理～外部サービスと連携して対処～ Copyright © Acroquest Technology Co., Ltd. All rights reserved. Kibana 調査／分析UI 検知ルール管理 Security App • 外部のインシデント管理ツールと連携してインシデントの追跡／対処が可能インシデント管理ツールインシデント管理利用者

Elastic Securityのまとめ Copyright © Acroquest Technology Co., Ltd. All rights
reserved. 1. データ収集を一元管理するElastic Agentによって、多様なデータソースから容易にデータ収集 2. 標準搭載された700種類以上の検知ルールと機械学習ジョブを使用して、すぐに異常検知を開始 3. データ収集、異常検知だけでなく、調査／分析までワンストップで対応 4. Caseを外部インシデント管理サービスに転送することで、連携してインシデントの追跡／対処が可能

Copyright © Acroquest Technology Co., Ltd. All rights reserved. Elastic
Security 導入コンサルティングサービス (https://www.endosnipe.com/step-service) 1. 導入に必要な作業を幅広くサポート・現状分析、ログ収集、検知ルールのカスタマイズ、運用支援など幅広くサポート。 2. Elasticエキスパートが対応・Elastic認定資格者が国内最多の9名・充実したサービスを提供可能です。 3. 年度末キャンペーン！・2022年11月～2023年3月まで、導入支援キャンペーンを開催します。

Elastic Security Deep Dive

Elastic Security Deep Dive

Hiroshi Yoshioka

More Decks by Hiroshi Yoshioka

Other Decks in Technology

Featured

Transcript

1 Copyright © Acroquest Technology Co., Ltd. All rights reserved.

自己紹介 Copyright © Acroquest Technology Co., Ltd. All rights reserved.

目次 Copyright © Acroquest Technology Co., Ltd. All rights reserved.

１．Elastic Securityとは Copyright © Acroquest Technology Co., Ltd. All rights

Elastic Search Platform Enterprise Search Observability Security Kibana Explore, Visualize,

Elastic Search Platform Enterprise Search Observability Security Kibana Explore, Visualize,

Copyright © Acroquest Technology Co., Ltd. All rights reserved. 次世代アンチウイルス

２．Elastic Securityの特徴 Copyright © Acroquest Technology Co., Ltd. All rights

Elastic Security アーキテクチャ Copyright © Acroquest Technology Co., Ltd. All

利用者 Elasticsearch Process/NW/DNSなど異常検知エンジンプレビルド・検知ルール・機械学習Job インシデント管理ツール起票

Elastic Agentがデータ収集時の課題を解決 Copyright © Acroquest Technology Co., Ltd. All rights

300以上のインテグレーション Copyright © Acroquest Technology Co., Ltd. All rights reserved.

利用者 Elasticsearch Process/NW/DNSなど異常検知エンジンプレビルド・検知ルール・機械学習Job インシデント管理ツール起票

Prebuild Rule セキュリティ専門家によって作成／保守されている脅威の検知ルールプレビルドルール Prebuild Rule 704のうち675が MITRE

プレビルドルール(704種)のサマリ Copyright © Acroquest Technology Co., Ltd. All rights reserved.

プレビルドルールを可視化 Copyright © Acroquest Technology Co., Ltd. All rights reserved.

利用者 Elasticsearch Process/NW/DNSなど異常検知エンジンプレビルド・検知ルール・機械学習Job インシデント管理ツール起票

利用者 Elasticsearch Process/NW/DNSなど異常検知エンジンプレビルド・検知ルール・機械学習Job インシデント管理ツール起票

３．まとめ Copyright © Acroquest Technology Co., Ltd. All rights reserved.

Elastic Securityのまとめ Copyright © Acroquest Technology Co., Ltd. All rights

Copyright © Acroquest Technology Co., Ltd. All rights reserved. Elastic

ご清聴ありがとうございました。 Evolve the Earth with Emotion of Technology Copyright ©