リアルタイム検索エンジン、ログ分析などの幅広いユースケースに利用されるソフトウェアを提供するElastic社(本社:オランダ)が先日、「Elastic Stack7.2」をリリース。同製品に追加された新機能「Elastic SIEM」への理解を深めてもらうため、9月17日に都内でメディア向け製品説明会を実施しました。
Elasticは全文検索エンジンを提供する企業。同社の製品である「Elastic Stack」は検索、ログ、セキュリティ、分析などの大規模データをリアルタイムに処理するサービスです。多様なオープンソースツールとして、世界各国の企業や組織が採用しており、日本国内においてはソフトバンク株式会社や株式会社リクルートテクノロジーズ、LINE株式会社、富士通株式会社らが導入しています。
今回、「Elastic Stack」に追加された「Elastic SIEM」は、セキュリティ情報の収集や分析に加え、イベントの一元管理を行うシステム。説明会当日は、セキュリティソリューション製品責任者のマイク・パケット氏がデモプレイなどを交えプレゼンテーションを行いました。
「Elastic SIEM」は不正を検知すると、相関関係を分析しアラートで通知。そのレポートを作成する機能を提供します。従来であれば、セキュリティー・インシデント発生後に原因や分析のために膨大なデータを人手で追うという作業が発生していました。しかし「Elastic SIEM」は、これらの作業をリアルタイムかつ省力化できる仕組みとなっています。
パケット氏は「イベントの時系列表示、ドラッグ&ドロップによる絞り込み、複数インデックスでの検索、イベントビューの定型、永続的なフォレジックデータストレージなどの優れた機能を通して、セキュリティの通知と識別が可能」と話しました。
不審なログインを見える化
また「Elastic SIEM」では、データを可視化するアプリケーション「Kibana」を強化。「Kibana」のインターフェイスでは、一時的に分析を行う「マップ」や見たいデータを絞り込むことができる「キャンバス」、「グラフ」や「カスタムのダッシュボード」などの活用が可能です。
中でも興味深いものが、「時系列データのビュー」。タイムライン上でユーザーがログインした記録を確認した場合、ログインの成功と失敗の数から、外部の悪意をもったアクセスやハッキングを仕掛けている可能性を見極めることができます。不審な挙動が見られるログインを見つけたら、ドラッグ&ドロップで抽出し、経過を監視します。
パケット氏は「セキュリティアナリストは、タイムラインを自由にサーチし、拡張したり狭めたりもできる」と、「Kibana」の優位性についてもアピールしていました。