227 Views
May 18, 22
スライド概要
https://www.elastic.co/jp/virtual-events/whats-new-in-elastic-8-2
Elastic 8.2リリースの新機能をご紹介
FPT ジャパン エグゼクティブエバンジェリスト 独立行政法人 国立印刷局 デジタル統括アドバイザー兼最高情報セキュリティアドバイザー Microsoft で13年間、テクニカルエバンジェリストとして .NET、C#、Visual Studio、Windows、iOS、Android、Microsoft Azure 等の開発者向け技術啓発活動 (DevRel) 。Dell、Accenture、Elastic、VMware 等での DevRel 後、2024年11月1日より現職で DevRel 活動を開始。NVIDIA との戦略的協業 AI GPU クラウド、Azure/AWS/GC 上の AI &データ関連サービスのマーケティング、プリセールス、教育、関連新規サービス開発。元内閣官房 IT 総合戦略室 政府 CIO 補佐官(兼務)、元デジタル庁 ソリューションアーキテクト(兼務)。
Elastic 8.2 リリースの新機能をご紹介 - 検索がもたらすシームレスなユーザーエクスペリエンス 鈴⽊ 章太郎 Elastic テクニカルプロダクトマーケティングマネージャー/エバンジェリスト デジタル庁 省庁業務グループ ソリューションアーキテクト
Shotaro Suzuki Twitter : @shosuz Elastic Technical Product Marketing Manager/Evangelist デジタル庁 省庁業務グループ ソリューションアーキテクト 元 Microsoft Technical Evangelist
l アジェンダ l l l Enterprise Search 8.2 update Observability 8.2 update Security 8.2 update Platform 8.2 update
Enterprise Search 8.2 update
Enterprise Search 8.2 Release Highlights Interoperability Observability Elasticsearch options Audit logs Elasticsearch ユーザーにとっての エンタープライズサーチの価値 変更およびアクセス追跡のための コアガバナンスツール
Interoperability 今、ここにいます 7.16 8.2 8.4 … Enterprise Search in Kibana Elasticsearch Engines and Queries Search Indices コンポーザビリティと インターオペラビリティを 継続的に実現 Dec 2021 Apr 2022 Aug 2022 …以降
Elasticsearch Index Engines なぜそれが重要なのか ユーザーは Elasticsearch のインデックスを ベースにした App Search エンジンを作成 できるようになりました。 Elasticsearch にデータを持つユーザーが簡単 にApp Search を利⽤できるだけでなく、既存の インジェストメカニズムを維持することができます。
Elasticsearch Index Engines 仕組み ユーザは search-* を先頭に持つインデックスまたは エイリアスからしかエンジンを作成できません。 ドキュメントは Elasticsearch で管理されます。App Search API によるドキュメントの書き込み許可はあり ません。 スキーマと検索機能は、フィールドの種類によって推測 されます。 オブジェクトフィールドのサポートは限定的で、ネストした フィールドは未サポートです。 Elasticsearch のインデックスエンジンは、プレシジョン チューニングやメタエンジンとは連動しません。
Elasticsearch _search for App Search なぜそれが重要なのか ユーザーはどの App Search エンジンに対しても Elasticsearch クエリーを発⾏することができる ようになりました。 App Search ユーザーのために _search のすべ ての⼒を解き放ちます。 より深い Elasticsearch の機能を使いたいユーザ は、Enterprise Search でそれを⾏うことができる ようになりました。 # The App Search _search endpoint POST .../api/as/v0/engines/ENGINE_NAME/elasticsearch/_search { "request": { "body": {"query": {"match_all": {}}} } }
Elasticsearch _search for App Search # enterprise_search.yml feature_flag.elasticsearch_search_api: true 仕組み これは、機能フラグによって有効にする必要があります。 このエンドポイントには、プライベート API キーで のみアクセスできます。 # Include analytics { "request": {... }, 検索エンドポイントへの⾃由なアクセスは、クエリの クラスタリングにつながる可能性があります。 "analytics": { "query": "mountains", "tags": ["mountains"] } クエリと必要なタグを含めて、分析を記録します。 }
Bonus: Search Explain App Search の _search と相性が良い App Search から送信された Elasticsearch の クエリを返します。 ユーザがクエリを修正して _search エンドポイントに 渡すことができるため、App Search の関連性設定 を⾼度に変更して利⽤することができます。 # Search Explain for App Search POST .../api/as/v0/engines/ENGINE_NAME/search_explain { "query": “everglade” }
Analytics opt-out クリーナー分析 ユーザーは、⼀部の検索を除外したい場合があります。 ● 初期条件ゼロ件クエリ ● 分離型ファセット 検索 UI を更新し、分離型ファセットが分析結果を記録 しないようにする予定です。 # A search that’s excluded from analytics POST .../api/as/v1/engines/ENGINE_NAME/search { "query": "everglade" "record_analytics": false }
ベーシックで利⽤できる Meta Engines なぜそれが重要なのか Scaffolds for Search Indices を近⽇リリース 予定です。
Search UI support for Elasticsearch なぜそれが重要なのか Search UI 1.10 では Typescript のサポート や全く新しい Elasticsearchコネクタなど、多くの エキサイティングな改善や機能が提供されます。 Search UI によって、Elasticsearch のための 美しくモダンな検索体験を構築することが、これまで 以上に簡単にできるようになりました。 🔖 検索 UI に関するドキュメントの拡張と⼤幅な 改良を近⽇中に⾏います︕
Custom crawls UI for the Web Crawler なぜそれが重要なのか グローバルに設定されたクロールを、⼀度だけカスタ マイズしたクロールで上書きし、範囲を最適化・絞り 込みます。特に、完全な再クロールを⾏わずに Web サイトのサブセットでコンテンツの変更を把握する必要 があるお客様や、サイトマップで⾒つかったリンクのみを クロールする場合に便利です。 設定オプションは以下の通りです。 ● 最⼤クロール深度 ● ドメイン ● エントリーポイント ● サイトマップ
Indexing control UI for connectors なぜそれが重要なのか Enterprise Search UI でインデックスルールを設定 し、インデックス対象物をより深く制御できるようになり ました。 ● デフォルトですべてのドキュメントが含まれます。 ● glob patterns を使⽤して、含まれるファイルタイ ● ● プ/除外されるファイルタイプを検証します。 ルールは上から下へ評価されます。 最初に適⽤されるルールが、オブジェクトの動作を 決定します。
Connector updates なぜそれが重要なのか SharePoint Online コネクターパッケージは GA SharePoint Online コネクターパッケージは、新し いテクニカルプレビューコネクターフレームワークを使⽤ したベータ版です。 どちらの例も完全にカスタマイズ可能なコネクターで、 リリースからすぐに更新でき、⾃⼰管理インフラに導⼊ することができます。 新しいコネクターパッケージは近⽇公開予定 - ネットワークドライブ - Microsoft Teams と Outlook
Audit Logs なぜそれが重要なのか Enterprise Search 導⼊の管理者は、エンジン、 アクセス、および関連性の設定に対する変更を 追跡できるようになりました。 監査ログは、logs-enterprise_search.auditdefault というデータストリームになります。 ユーザーは、既存の Observability ツールを使 ⽤して監視/分析することができます。 デフォルトのILM設定︓少なくとも180⽇。
One-click monitoring on Cloud なぜそれが重要なのか ユーザーは、Cloud 上でワンクリックするだけで、 Enterprise Search の導⼊に対する監視を設定 することができるようになりました。
Observability 8.2 update
Observability 8.2 Release Highlights Making it easier to get started Unified observability Actionable observability Faster onboarding Single pane of glass Accelerated troubleshooting AWS CloudWatch、SQS、 Kinesis Data Streams の サーバレスログインジェスト Elastic Agent Logstashのサポート クラウドテスト基盤のパブリックベータ版 AWS ⽤カスタムログ ルールとアラート管理の強化 (テクニカルプレビュー) テールベースサンプリングでイシューを ⾒逃さない AWS Lambda のトレース 圧縮されたスパン
Synthetics = ブラウザベースのテストによるモニタリング ユーザーがWebアプリを監視したい テストスクリプトの作成︓UI、レコーダー、または JavaScript で⼿書きで作成。 定期的なテスト実⾏のスケジュール 選択された地域からテストする 実施したテスト Canada UK Japan 現在、ほとんどの Observability ベンダーがシンテックを提供しています (トランザクションの監視とパフォーマンスにフォーカスしています) Dynatrace Synthetic Monitoring (合成監視) Datadog ⾃動合成モニタリング New Relic Synthetics ニューレリック・シンセティックス AppDynamics ブラウザ合成モニタリング Splunk Synthetic Monitoring - Rigor その他、多くのSyntheticsベンダー、異なるフォーカス... Speedcurve (ウェブアプリケーションのパフォーマンスにフォーカス) EggPlant(CX、パフォーマンス、負荷にフォーカス) Akamai CloudTest(負荷テストに注⼒) BrowserStack、SauceLabs (QA、クロスブラウザにフォーカス) ... Australia ビルディングブロック︓ヘッドレスブラウザを⾃動化するためのツール Playwright, Puppeteer | historical: Selenium, phantomjs Elastic APM --> ElasticSearch 格納された結果
Infrastructure and Application Monitoring Digital Experience Monitoring Internet Synthetic Monitoring Elastic Observability External Dependencies Real User Monitoring
なぜ、それが重要なのか︖ elastic.co のホームページを読み込み中 365 リクエスト - ファーストパーティがホストするのは73のみ 72 のユニークな接続(DNS + Connect + TLS) - ファーストパーティの URL は3 つだけです。 49 MB のコンテンツ
ブラウザベースの合成エージェント マネージドテスティングインフラ ポイント&クリックスクリプトの収録 レポーティング&アナリティクス Observability との深い融合
v1.0 ローンチタイムライン Now マネージドテスティングインフラ のプライベートベータを開始 マネージドテスティングインフラの パブリックベータを開始 機能フラグの裏で Synthetics UI の初期ビルドを公開 Synthetics UI のデザイン および UX フロー作業 新しい Synthetics UI の開 発を開始 プライベートロケーションの統合 ベータ版 スクリプトレコーダーの機能強化 スクリプトレコーダーの機能強化 継続的なクラウドテストの開発 とフィードバックの収集 スクリプトレコーダーがGAに プライベートロケーションの統合 が GA に 継続的なクラウドテストの開発 とフィードバック収集 クラウドテスティングサービスの 価格決定 スケジュールは変更されることがあります。 Elastic Synthetics の パ ブリック GA を開始 Uptime は機能フラグの後に
Synthetics サービスアーキテクチャ ユーザーの Elastic Cloud Stack PI A N JSO service-us-east Kibana service-eu-central Billing ES ES Do cs ● ● ● ● service-me-south 各サービス拠点は個別の API を提供 ユーザーのモニターは Kibana 保存オブジェクトとして保存され、Kibana バックグラウンドジョブを介して各サービスロケーションと同期される 結果はユーザーのクラスタに直接送信される 課⾦形態はまだ未定だが、クラスタは内部の観測可能なクラスタで使⽤量を追跡する
マネージドテスティングインフラ パブリックベータ版 8.2と同時にリリース ● それは何︖ ○ 新しいモニター管理UI、ポイント&クリックのスクリプトレコーダー、マネージドテスティングインフラを使⽤して、ユーザーがモニター をセットアップして実⾏するためのオープンベータ期間 ● 誰が参加できるのですか︖ ○ Elastic Cloudで動作させる ○ スタックが8.2以上にアップグレードされていること ○ セルフマネジメントのお客様には、Elastic Cloudのトライアル開始をお勧めします。 ● 価格はどのくらいですか︖ ○ フェアユースポリシーに基づき無償で提供 ● サポートされますか︖ ○ Elastic の他のベータ版サービスと同様、このサービスには通常の SLA やサービス契約は適⽤されません。サポートは Synthetics のディスカッションフォーラムを通じて⾏われ、チームはこのフォーラムに参加する⼀部の顧客と直接1対1で対応 します。 Standard/Basic Enterprise Platinum Gold OSS Beta GA
マネージドテスティングインフラ パブリックベータ版 8.2と同時にリリース ● このパブリックベータはいつまで続くのですか︖ ○ Synthetics アプリが 1.0 GA になるまで ○ ベータ版で設定したモニターは、製品版でも引き継がれ、 動作します。 ● ユーザーは何にアクセスできるのですか︖ ○ UI モニター管理 ○ ポイント&クリック スクリプトレコーダー ○ 管理されたテストインフラ ● ユーザーはどこでアクセスでき、どのようにサインアップする のですか︖ ○ Elastic Cloud の 8.2 以降を使⽤しているユーザーは、 "Uptime"を開き"Monitor Management"をクリック します。 ○ その後、ベータ版への "オプトイン "が可能です。 ○ 継続的にユーザーを追加していく予定です
Cloud integrations
AWS サーバーレスログインジェストでインサイトを⾼速化 追加インプットとして、CloudWatch、Kinesis Data Streams、ダイレクト SQS をサポート。 なぜそれが重要なのか ● サーバーレスアーキテクチャが主流に ● 開始時のエクスペリエンスを簡素化しデータオンボーディング の摩擦を軽減します。 ● 継続やリプレイキューなどの機能により、イベントが失われる ことがない ● 顧客が今いる場所で出会う ● Functionbeat の⾮推奨と引退 Standard/Basic Enterprise Platinum Gold OSS Beta GA Making it easier to get started
AWS サーバーレスログインジェストでインサイトを⾼速化 Elastic-serverless-forwarder Standard/Basic Beta
Elastic Agent のカスタム AWS ログ統合 OOTB 統合が存在しない AWS ログの取り込みを簡素化する なぜそれが重要なのか ● Elastic Agent を使⽤して AWS から Elastic にすべて のログを取り込む ● シンプルなデータインジェストエクスペリエンス ● Amazon S3 や CloudWatch のログを⼊⼒ソースとして サポート Standard/Basic Enterprise Platinum Gold OSS GA Making it easier to get started
Elastic Azure 仮想マシンエクステンション すべての Azure VM への Elastic Agent のインストールとオーケストレーションを簡素化します。 なぜそれが重要なのか ● Azure コンソールからワンクリックで Elastic Agent を インストールし、Azure VM のシステムログやメトリックスを 収集します。 ● Azure CLI を使⽤して、1つのコマンドですべての Azure VM に Elastic Agent をインストールし、登録することが できます。 ● Agent のポリシーを個別に作成して、Fleet での管理を 簡素化します。 Standard/Basic Enterprise Platinum Gold OSS GA Making it easier to get started
Elastic Agent enhancements
Elastic Agent の Logstash サポート 既存のアーキテクチャにシームレスにフィットする Fleet Managed Agent • フリートマネージドエージェントでLogstashが利⽤可能 – エージェントポリシーで設定 • 8.2でパブリックベータ版 → 8.4でGA版 – – 案件量と顧客満⾜度を管理するため 2回のイテレーションで GA に移⾏予定 • セキュアな運⽤のための相互 TLS を実施 – – Logstash と会話する Agent の真正性を確保する Logstash への Beats 接続のためのオプションを常備 特定のポリシーに含まれるエージェントは、Elasticsearch または Logstash のいずれかに書き込むように設定すること ができます。 Standard/Basic Enterprise Platinum Gold OSS Beta Making it easier to get started
Logstash の出⼒を作成する Logstash の出⼒フライアウト Logstashの設定変更 Elastic Agent 接続を受け付ける Logstash の設定を容易にします。 新しい API キーを⽣成する - ここで API キーを⽣成することができます。 Elastic Agent に最低限の権限を与える カット&ペーストの設定に⾃動的に挿⼊される サーバーサイドの認証 - • • • Elastic Agent の着信接続をリスンする Logstash を Agent に対して認証する ssl_certificate_authorities → クライアント認証⽤のルート証明書のリスト ssl_certificate → SSL サーバー認証に使う証明書のパス ssl_key → 認証に使⽤するサーバー証明書の鍵
Logstash の出⼒フライアウト Logstash の出⼒を作成する Logstash アドレス - エージェントが接続するために使⽤する URL *要件* Elastic Agent 証明書 - Elastic Agents は Logstash に対して認証を⾏う必要があります。 相互TLSを実施!! - Logstash の出⼒設定が受け付けられない 以下のようなエラーが表⽰されます。
Logstash の出⼒フライアウト Logstash をポリシーに追加する エージェントポリシーに Logstash を追加 エージェントポリシーフライアウト - ⼀度作成した Logstash の出⼒は、ポリシーに追加することができます。 設定された場合、ポリシー内のすべてのエージェントは Logstash にデータを 送信します。 1つのポリシーで複数の出⼒が可能 - エージェントは、1つのポリシーで複数のアウトプットを持つことができるようになり ました。 - 将来的にアウトプットを追加するためのインフラがあります。 この短いデモをご覧ください : Fleet Logstash Demo
...まだあります︕ 新しいプラットフォームへの対応 • • Oracle Linux 8 Google Container Optimized OS 新アーキテクチャーのサポート • • • Mac M1チップセットへの対応追加 MACバイナリ︓x86とarmのオプション ユニバーサルバイナリは検討中
APM enhancements
AWS Lambda の APM 可視化 - GA Elastic APM Agent を使⽤して Lambda 関数からアプリケーショントレースを取得 詳細 なぜそれが重要なのか ● AWS Lambda 関数のエンドツーエンド観測機能で ● ● リリースサイクルを加速 Lambda のトレースと他の Elastic Observability データを関連付け、より迅速かつ包括的な根本原因 分析を実現します。 Node.js、Python、Java のサポート また、OpenTelemetry Agentsで収集したAWS Lambda関数のトレースをバックエンドに表⽰することが できます。 Standard/Basic Enterprise Platinum Gold OSS GA Actionable O11y
AWS Lambda Function 向け Elastic APM ソリューション(GA) Function APM Agent Elastic APM Lambda Extension ● ● APM Server Node.js、Python、Javaで Lambda インストゥルメンテーションが利⽤可能 ○ ○ ○ Lambda 呼び出しのトレース/トランザクション トリガー固有のデータを取得 (API Gateway, SQS, SNS, S3) コールドスタートの取得 Elastic APM Lambda Extension は、Observability データを処理し、APM サーバー /Elastic Cloud に転送するために使⽤される ○ ○ APM データのディスパッチ中に Lambda の実⾏をブロックしないようにする ログと Lambda-Metrics の収集(今後)
コールドスタートがトレースとチャートで ⾒える
お客様の声
Compressed Spans - GA Actionable O11y 外部バックエンド(DB、NoSQL、キャッシュ、ストレージなど)との連携が多いアプリケーションの ストレージを効率的に監視し、最適化することができる 詳細 なぜそれが重要なのか ● バックエンドの呼び出しに特定のパターン(N+1クエリ、 ● ● Cache など)を使⽤するアプリのために設計 ネットワークオーバーヘッドの⼤幅な改善、スパンの ES ストレージ、UI の簡素化 Java、.NET、Python、Go、PHP でサポート (Node.js は今後対応予定) Standard/Basic GA
before after
OpenTelemetry Bridge - Experimental Actionable O11y Elastic APM エージェントは、OTel API を利⽤した⼿動計測スパンをインターセプトできる Details 詳細 Why this matters なぜそれが重要なのか Xxxxx ● bridge in the Elastic APM ● OpenTelemetry Elastic APM エージェントの OpenTelemetry agents to bridgeトレース / intercept the OTel ブリッジにより、Otel API をブリッジ/インター Xxxxx tracing API and capture Elastic APM data セプトし、APM データをキャプチャします。 ● Supported in Java, .NET, Python (Node.js Xxxxx ● &Elastic による OTel API を介した⼿動計測 GO toAgent follow) によるスパンの収集 Xxxxx ● Java、.NET、Pythonでサポート(Node.js と GO も追随予定) ※ 主な利点は、Otel 機能を内蔵したフレームワークを使⽤しているお客様のElastic APMソリューションへのオンボーディング/トランジションが容易になることです。 OTel API ベースのスパンだけでなく、Elastic APM エージェントベースの機能も利⽤することができます。 https://github.com/elastic/apm/issues/524 https://github.com/elastic/apm-dev/issues/683 Standard/Basic Enterprise Platinum Gold OSS Experimental Beta GA
テールベースサンプリング すべてを監視し、最も重要なものを保存する 詳細 すべてのトレース情報を収集し、ポリシー設定に基づいた サンプリングの決定を⾏います。 なぜそれが重要なのか ● サービスコール内でエラーや遅延が発⽣した場合、 ● ● トレースの完全なイベントを取得できる可能性が ⾼まる 異なるアプリケーション(Tier 1 と Tier 2 など)に 対して異なる速度でサンプリングする柔軟性 コストを増やさずに、モニタリングの範囲を広げることが 可能 Platinum OSS GA Actionable O11y
サービスインベントリのパフォーマンス : テクニカルプレビュー 詳細 ML の健全性によるソートに最適化し、ML がない場合 はサービス名によるソートのオプションを提供する なぜそれが重要なのか ● Anomaly Detection が設定されていない場合、 デフォルトのソートをサービス名で⾏う(⾼速、 オプトイン)、スループットで⾏う(現⾏、デフォルト) いずれかを選択することができます。 注 : Kibana Stack Mgmt -> Adv Settings -> Observability -> Optimize Service Inventory page load performance で有効化します。 Standard/Basic Experimental Actionable O11y
APM における Kibana Spaces のサポート ⼤規模な組織で、複数のチームのオンボーディングを⽀援 詳細 APM UI インデックスが Kibana Spaces を尊重する ように設定 なぜそれが重要なのか ● Kibana Spaces を利⽤したマルチテナンシー概念の ● ● 提供 Kibana Spaces を使⽤して、特定の APM データ へのユーザーアクセスを制御する。 APM データを、特定のスペースのコンテキストでレンダ リングする際のパフォーマンスを強化(すべてのデータ をレンダリングするのとは対照的) Standard/Basic Enterprise Platinum Gold OSS GA Actionable O11y
APM Service Groups - Tech Preview ⼤規模な組織で、複数のチームのオンボーディングを⽀援 詳細 サービスの論理的なグループを作成し、Application Observabilityのインコンテキストビューを提供します。 なぜそれが重要なのか ● チームに重要なものへのダイレクトパスを提供する ● 特定のアプリケーションデータへのアクセスと制御を維 ● 持するためのスペース認識 サービスデータのコンテキストを維持することで、UI の パフォーマンスを向上させる 注 : Kibana Stack Mgmt -> Adv Settings -> Observability -> Service Groups Feature で有効化 Standard/Basic Enterprise Platinum Gold OSS Experimental Beta GA Actionable O11y
Alerting enhancements
Alerting Observability ルール専⽤ビュー(テクニカルプレビュー) 詳細 ● 観測可能なルールに専⽤のルールビューを追加 ● アラート理由メッセージ、"View in app" URL を 通知に含める変数として利⽤可能 なぜそれが重要なのか ● 専⽤のルールビューにより、ユーザーが観察可能な ● コンテキストを保持することができる 通知における変数の追加により、採⽤率とエンゲージ メントが向上 Standard/Basic Enterprise Platinum Gold OSS Experimental Beta GA Unified O11y
Security 8.2 update
Limitless XDR SIEM Endpoint Security Cloud Security
Prevent. Detect. Respond. Endpoint security with Agent ● ランサムウェアとマルウェアの防⽌ ● メモリ脅威対策 ● 悪意ある⾏動の防⽌ Cloud:プラットフォーム、アプリケーション、APM Network:ログ、フロー、トラフィック解析 Hosts:OS&セキュリティログ、状態、FIM Users:アクティビティ、コンテキスト IoT & OT:センサー、物理的セキュリティ Threat context: フィード&TIPs、CVEs Prebuilt analytics ML ジョブ、検出ルール、調査ガイド、ダッシュ ボード、検索 Elastic Common Schema Prebuilt data integrations Kibana Prebuilt workflow integrations ダッシュボードの監視、MLと相関による⼤規模な検出、 強⼒なワークフローと統合による調査の合理化 Elasticsearch ● セキュリティオーケストレーション、オートメーション、 レスポンス(SOAR) ● セキュリティインシデント対応ツール ● チケッティング、ケース管理 ● メール、Slack、カスタムツール あらゆる種類のデータを取り込み、何年も保存し、瞬時に検索・分析することが可能 Agent Beats すべてのホストを保護し、 収集する オーバーヘッドを発⽣ させずにデータを出荷 Logstash サーバーサイドの パイプラインでデータを 処理する 脅威ハンティングのために 継続的な監視、⾃動化された脅威防御、調査・対応、 現代のセキュリティの基礎、Observability など Host inspection & response with Agent ● オンデマンドの osquery 検査 ● リモートホストの隔離
Elastic Security 8.1 release highlights Automated Prevention Extended Detection Extended Response エンドポイントアプリケーション制御 悪意のある振る舞いを防⽌し、ユースケース を拡⼤ スレットインテリジェンスを GA 新しいデータ統合 拡張された検知ルールのセット 効率化された検知エンジニアリング ユーザーアクティビティーのキュレーション UI セッションビュー UI + eBPF コレクション より豊かなアラートコンテキスト アラートからの osquery 検査 専⾨家による調査ガイド
ユーザーの⾏動を分析するためのキュレーション UI 概要、詳細ページ、フライアウト ユーザーアクティビティを可視化し、インサイダー脅威、 アカウント乗っ取り、権限乱⽤、および関連ベクトルへ の対処を⽀援します。 ユーザービューでは、環境全体のユーザコンテキストを 精選されたビジュアライゼーションと表で表⽰します。 ユーザーの詳細ページでは、主要な属性、観察され たアクティビティ、関連する異常やアラートなど、個々 のユーザーに関する包括的なビューを提供します。 関連するフライアウトは、追跡や調査のフローにおいて、 アカウント詳細や異常なアクティビティなど、関連する ユーザーコンテキストをアナリストに提供します。 Extended Response
プロセス実⾏を分析するためのセッションビュー Linux サーバーおよびエンドポイント向け調査ツール Linux システムのプロセス実⾏を調査するための新しい インターフェイスであるセッションビューにより、トリアージ、 及び、調査ワークフローを合理化します。 敵の端末を覗き込むようにセッションを再構築することで、 アナリストが、ユーザーとサービスの動作を理解するのに 役⽴ちます。 Linux eBPF で、既存の収集機能を拡張し、⾼い パフォーマンスと安全性を備えたデータ収集⽅法を提供 します。 Extended Response
より豊かなアラートコンテキスト トリアージと調査の迅速化 アラートのトリアージを⾏うアナリストは、影響を受けるユーザー やホストなど、特定の属性を共有するアラートが⼀定期間内に どれだけあるかを迅速に確認することが可能です。 アナリストが調査に値するアラートを特定し、検出ルールを洗練 させることで誤検出を減らす機会を⾒つけることができます。 下流の SecOps プロセスにもメリットがあり、対応担当者は、 優先度の⾼いアラートに集中し、敵の滞留時間を短縮すること ができます。 アナリストは、この同じフライアウトから、アラートがリンクされてい るすべてのケースへのリンクにアクセスでき、トリアージと調査を 加速させることができます。 Extended Response
専⾨家のアドバイス付き調査ガイド セキュリティアナリストが⾏動を起こせるようにする 事前に構築された重要な検出ルールのための新しい調査 ガイドのセット ルール固有の専⾨知識を開発し、関連するアラートとともに 表⽰することで、実務担当者がアラートに対処する⽅法を 決定できるようにします。 アラートが発⽣した理由、真の脅威か誤検出かを判断する ⽅法、調査および修復のために取るべき⼿順などを説明し ます。 Extended Response
脅威インテリジェンス GA 脅威インテリジェンスのフルコマーシャルサポートをお楽しみください︕ 脅威情報機能の⼀般提供、完全な商⽤サポートを開始 8.2は、アラートのトリアージと調査アナリストのワークフローに 焦点を当てたエクスペリエンスを改善します。 組織は、イベントの充実化、⾃動検出、アラートのコンテキスト 化などのために脅威インテリジェンスを活⽤することができます。 Extended Detection
拡張されたデータ統合セット データ収集・準備の効率化 拡張されたデータ統合セットで収集と準備を合理化 電⼦メール、ネットワークセキュリティ、エンドポイントデータ ソースのセキュリティと IT 技術をサポートします。 ネットワークパケットキャプチャーの統合にダッシュボードを 追加 Extended Detection
アプリケーション制御ブロックリスト 決して実⾏してはならない特定のアプリケーションやコードの実⾏をブロックする 管理者は、エンドポイントが悪質とみなすプロセスのリストを拡張する ことで、ホスト環境で決して実⾏すべきでない特定のアプリケーション を実⾏できないようにすることが可能です。 この機能は、クラウドマイクロサービスや物理的な POS 端末など、 アクティビティが予測可能なシステムの保護に特に有効で、エンド ユーザーが誤って悪意のあるファイルを実⾏しないようにすることも 可能です。 ユーザーが「既知の悪意あるもの」を制御できるようにし、既知の 悪意あるプロセスがエンドユーザーによって誤って実⾏されないように します。 Automated Prevention
Osquery と Alerts の統合 ホストインスペクションの効率化 アラートから直接 Osquery を実⾏し、ホストの コンテキストにすぐにアクセスできるようにします。 現在のワークフローを変更することなく、アドホック クエリを作成し、ホストアクティビティと状態データ を収集し、次のステップを準備できます。 アナリストが疑わしい活動を調査し、迅速かつ ⼗分な情報を得た上で対応できるようにします。 Elastic Agent の Osquery Manager 統合 を活⽤し、Windows、macOS、Linux の各 システムで無料かつオープンに利⽤できます。 Extended Response
l Platform 8.2 update
Platform 8.2 Release Highlights Simplicity and Choice ❏ JWT realm ❏ French translation for Elastic Data Management Analytics ❏ Range query latency improvement ❏ Lookup runtime field ❏ HNSW multi-layer hierarchy ❏ Support for filtering ANN ❏ Random Sampler Aggregations & other machine learning features ❏ DBVisualizer ❏ Discover updates - document explorer and field statistics ❏ Visualizations enhancements and new features ❏ Elastic Maps enhancements and new features Workflows & Action ❏ Alerting enhancements ❏ Rule execution history view ❏ Ability to snooze rules ❏ Cases in Kibana ❏ Configurable rule cancellation on timeout ❏ Configurable minimum interval ❏ Cap actions cardinality ❏ xMatters connector
Simplicity and Choice
JWT レルム
Simplicit
Simplicity
y
and
and
Choice
Choice
他の既存の OpenID Connect フローとの統合
JWT(Java Web Tokens)を利⽤することで、
Kibana のログイン画⾯に、ユーザーが認証情報を⼊⼒
することなく、直接 Elasticsearch API に認証させる
ことが可能です。
既存の OpenID Connect 環境は、既存のフローを再利⽤
して、最適なユーザーエクスペリエンスでクラスタと通信すること
ができます。
トークンは検証され、ユーザーを識別するために使⽤されます。
⼀⽅、認証は標準的なロールマッピングによって達成されます。
不正なサービスによるトークンの悪⽤を防ぐために、追加の
(オプションの)クライアントシークレットが使⽤されます。
Platinum
Beta
xpack.security.authc.realms.jwt.jwt1:
client_authentication.type: shared_secret
allowed_issuer: "https://issuer.example.com/"
allowed_audiences: [ "36cf74cdcf99bf8a" ]
allowed_signature_algorithms: [RS256]
pkc_jwkset_path: example.jwkset
claims.principal: sub
$ curl https://es:9200/_security/_authenticate ¥
-H "ES-Client-Authentication: SharedSecret zn6h6xfJnc7TjC4IQwwEbQ" ¥
-H "Authorization: Bearer eyJhbGciOiJUxrtWr1VdAtONxl…"
{
"username": "john.doe",
"email": "[email protected]",
"metadata": {
"jwt_claim_iss": "https://issuer.example.com/",
"jwt_claim_aud": [ "36cf74cdcf99bf8a" ],
"jwt_claim_email": "[email protected]",
"jwt_claim_sub": "john.doe"
},
"enabled": true,
"authentication_realm": {
"name": "jwt1",
"type": "jwt"
},
…
フランス語翻訳 Kibana Voila, une traduction française en Kibana! (Kibana でのフランス語翻訳をご紹介します!) Kibana の公式およびサポートされる翻訳がフランス語 (fr-FR) で利⽤可能になりました。 Kibana でサポートされている他の⾔語、中国語、⽇本語 にフランス語が加わりました。 Standard/Basic Enterprise Platinum Gold OSS GABeta 4/02 Simplicit Simplicity y and and Choice Choice
Analytics
Analytics レンジクエリーのレイテンシー改善 夜間ベンチマークで20%⾼速化! メリット : ソリューションなど、あらゆるところで使われるレンジクエリ ユーザー満⾜度 ハードウェアの必要性を低減⇒ TCO を削減 Lucene に貢献 - オープンソースが⼤好きです 他社よりはるかに早く対応 Standard/Basi Standard/Basic c GA e en c Lu 9. 1
Analytics ルックアップランタイムフィールド クエリタイムジョインのユースケースをサポート Qu er y: F iel d1= ”b b” ルックアップ・インデックスから情報を追加 ルックアップ・データに対するフィルタリングやアグを⾏わない Lookup Index インジェストルックアップに似ているが、クエリ時に⾏う。 メリット : ● 両インデックスとも更新 ● アドホックまたは後付けのルックアップ・インデックス Itʼs complicated Standard/Basic Enterprise Platinum Gold OSS Tech GA Preview Aux. Field-1 Key a 1 b 2 ... ... z 1345 ”, : “b” b : b s ult : “b eld-1 s Re ld-2 . Fi Fie okup Lo Main Index Key Field-1 Field-2 1 aa aaa 2 bb bbb ... ... ... 4368123412 zz zzz
Analytics _source Inverted Index Points (BKD tree) doc_values HNSW Graph Layers direction magnitud e
フィルタリング KNN ベクトル類似度 ブルートフォースと HNSW の⾃動選択 メリット : ワーストケースを2*に束縛する(ブルートフォース) ● ブルートフォースはフィルタリングされたものをO(n)倍する ● HNSWは全てのドキュメントを〜O(log(n))のスケールで 処理する。 基本的な検索機能 コンテキストを提供し、誤検出を減らす 設定不要 - ユーザーにとってよりシンプル Itʼs complicated Standard/Basic Enterprise Platinum Gold OSS Tech GA Preview Elasticsearch の問題: https://github.com/elastic/elasticsearch/issues/81788 Lucene の問題: https://issues.apache.org/jira/browse/LUCENE-10382 フィルタがマッチするドキュメントの数は前もって分かっています。HNSWでグラフを⾛査したときに、フィルタ にマッチする⽂書の数を超えたら、ブルートフォースに移⾏します。つまり、ブルートフォースの時間の2倍が 最悪の場合の境界となります。 Analyti cs
Analyti cs H>1 の HNSW グラフの多層化 - ベクトル探索の⾼速化 メリット: 低クエリレイテンシ(⾼クエリ/秒) 安定したクエリレイテンシ(ばらつきの少なさ) 複数 階層 の追 加 学術論⽂と⽐較可能 Lucene に貢献 Source: Lucene benchmarks https://home.apache.org/~mikemccand/lucenebench/VectorSearch.html Standard/Basic Enterprise Platinum Gold OSS GA
ランダムサンプラー集計 より少ないリソースでより早く、同等の精度で結果を得ることができる メリット : ● 数⼗億のドキュメントをわずかなレイテンシで⾼精度に ● ● 集計します。 同じシャードで⼀貫した結果を得るためにシードを提供 する 集約される⽂書数が少ないほど、提供された確率に 応じて速度が向上する Itʼs complicated Standard/Basic Enterprise Platinum Gold OSS Tech GA Preview Analyti cs
ML モデルが Kibana の空間を意識するように スペース内の ML モデルのアベイラビリティを管理 ● スペース単位での ML モデルの整理と管理 ○ 異常検知・データフレーム解析の求⼈と似ている条 ● ● 件で探す Eland からモデルをインポートする場合、Kibana Space のジョブを「同期」させる必要がある 管理者は「スタック管理 -> 機械学習」から Spaces に ML モデルを割り当てることができる Platinum OSS Tech GA Preview Analyti cs
モデル管理で NLP ML モデルをテストする ML モデルをテストするための新しい UI メリット : ● モデル管理でサンプルテキストをモデルに対してテストする ● ためのシンプルな UI 8.2での NER と⾔語識別モデルのテストアウト ○ テキストフィールドを⼊⼒するだけで、_infer エンド ポイントを使⽤して結果を得ることができます。 ○ 今後のリリースでは、より多くのモデルタイプのテストが 可能になります Platinum OSS Tech GA Preview Analyti cs
DbVisualizer との連携 SQL アクセスの拡⼤ DBVisualizer との統合が完了 なぜそれが重要なのか DbVisualizerは、強⼒で⼈気のあるSQL管理/クエリ ツールです。 SQL Server、MySQL 等と並⾏して Elasticsearch への問い合わせが可能です。 Elasticsearch JDBC ドライバは⾃動的にインストール /アップデートされます。 Elasticsearch の SQL に最適化されています。 Standard/Basic Enterprise Platinum Gold OSS Tech GA Preview Analyti cs
ドキュメントエクスプローラ Discover 結果の密な/柔軟な表⽰ 情報密度向上オプション コンテンツに合わせたカラムのリサイズ ドラッグ&ドロップでソート順を変更できるマルチソート・ カラム ドキュメントフライアウトにより、詳細を簡単に確認するこ とができます レンダリング性能の改善 Standard/Basic Enterprise Platinum Gold OSS GA Analyti cs
フィールド統計 Discover データの形状を視覚的に把握することができる データの分布を⾒て、理解を深める 地理的なデータ分布を地図で⾒る フィールド統計から Lens にドリルインして分析を開始する Standard/Basic Enterprise Platinum Gold OSS Beta Analyti cs
Lens 内での⾃動適⽤ Visualizations Lens エディターでの⾃動適⽤を無効にする Elasticsearch にクエリを送信する前に複数の編集を ⾏うことで時間を節約できます。 設定メニューの⾃動適⽤ ⻑時間実⾏されるクエリを検出して、⾃動適⽤を無効にする ことを提案する Lens 低速のデータ階層を使⽤する⼤規模クラスタのパフォーマンス を向上させます。 Standard/Basic Enterprise Platinum Gold OSS GA Analyti cs
Lens におけるアノテーション Visualizations Lens XY のビジュアライゼーションに直接、独⾃のアノ テーションを作成することができます。 考えられる根本的な原因を伝えるための⽂脈的な情報 を表⽰します。 Lens のレイヤーに ”Annotations” レイヤーを追加 堅牢なスタイルオプション 重なり合う注釈のサポート強化 Standard/Basic Enterprise Platinum Gold OSS TechBeta Preview GA Give us feedback @ discuss Workflows Analyti and cs Actions
注⽬すべき⼩さなアップデート Visualizations Lens メトリクス、レジェンド、TSVBの反復的な改善 Lens Metrics の⽇付フィールドで最⼩/最⼤値および 最終値を使⽤する Lens Metric ⽤のアライメントとサイズコントロール TSVB の複数フィールドによるグループ化(8.1 の Lens に加えて)。 ダッシュボードのレイアウトを垂直⽅向に揃えるための固定 凡例サイズのカスタム化 - 美しいダッシュボードをデフォルトで実現 Standard/Basic Enterprise Platinum Gold OSS GA Workflows Analyti and cs Actions
Lens におけるリージョンマップ Visualizations & Maps Lens から簡単に Choropleth Maps を作成可能 空間データ探索のシンプルな出発点 地域フィールド(国、州、県など)の可視化 もっと機能が必要ですか︖"地図で開く" テクニカルプレビューの現在、予想される地域名を含まない 空間フィールドとは互換性がありません。 Standard/Basic Enterprise Platinum Gold OSS Tech GA Preview Analyti cs
カスタムアイコン Maps SVG 画像をアップロードし、地図上のアイコンとして使 ⽤することができます。 地図レイヤーを編集し、レイヤースタイル>シンボルスタイ ル>アイコン>カスタムアイコンを追加を選択します。 ただし、データドリブン・スタイリングに対応するため、カラー SVG はモノクロに変換されるという制限があります。 Standard/Basic Enterprise Platinum Gold OSS GA Analyti cs
Hexagons Maps 前回リリースでお知らせしたように、Hexagon タイル は Elasticsearch で利⽤可能なところ、Kibana で も利⽤できるようになりました。 マップでは、クラスターを⻑⽅形ではなく六⾓形で表⽰する よう選択することができます。 これにより、geo_point フィールドをより美しく、より正確 に視覚化する⽅法が追加されます。 Basic Cloud / Platinum Self-managed GA Analyti cs
Workflows and action
ルールとアラートの管理 Snoozing スヌーズ動作の時間指定 ノイズをカットする ダウンタイムなどの予期せぬイベントや予定されたイベント の際に、不要な通知を簡単に抑制することができます。 通知を⾒逃さない︓⼿動でミュートを解除する必要は ありません。 ⼀般的に使⽤されているウィンドウの中から選択するか、 カスタムウィンドウを指定することができます。 Standard/Basic Enterprise Platinum Gold OSS Beta GA Workflows Theme and action
ルールとアラートの管理 ルールとアクションの実⾏履歴 ルールやアクションのカスタマイズ可能な実⾏履歴を ⾒ることができる 注意喚起システムの観測性向上 クエリ時間やタイムアウトなど、影響⼒のあるデータポイント を含むようにビューをカスタマイズ可能 パフォーマンスに影響を与える可能性のあるルールを簡単 に特定 ルールの動作の監視と検証 Standard/Basic Enterprise Platinum Gold OSS Beta GA Workflows and action
Workflows Theme and action アラートルールの実⾏ Configurable guardrails 重要な警告システムのパラメータを制御し、警告システ ムのパフォーマンスを保護するガードレールの設定 応答がない状態が⼀定期間続くとタイムアウトするように、 ルールのクエリーを設定する。 ルールの実⾏間隔に最⼩値を設定する。 1つのルールが⽣成できるアクションの最⼤数を設定する Standard/Basic Enterprise Platinum Gold OSS TechBeta GA Preview xpack.alerting.rules.run.timeout xpack.alerting.rules.minimumScheduleInterval xpack.alerting.rules.run.actions.max
新しいコネクター xMatters コミュニティが構築したコネクタを使⽤して、Elastic アラートから xMatters ワークフローをトリガーします。 インシデント管理のためにネイティブサポートされた xMatters との統合により、アラートワークフローを合理化 することができます。 既存の xMatters オートメーションに簡単にプラグイン できます。 Elastic との統合ライブラリは今後も拡張されます。 Enterprise Platinum Gold OSS TechBeta GA Preview Workflows Theme and action
Cases ケースはスタックに Elastic Solutions の外部で問題をオープンにして 追跡する Elastic Solutions と Stack の間でワークフローの 統合が進んでいます。 Stack 管理の新しいビューでケースを管理します。探索、 クローズ、リオープン、タグの追加 マークダウンのサポートによるリンクとコメントの追加 互換性のあるコネクタを使⽤して、外部システムにケースを 送信します。 Standard/Basic Enterprise Platinum Gold OSS TechBeta Preview GA Workflows Theme and action
.NET ラボ 勉強会 2022年5⽉ 2022/5/28 13:30-17:00 https://dotnetlab.connpass.com/event/246279/ 13:35~14:05 Power Apps Mixed Reality コントロール、 Azure SQL Database 等を使⽤した3D モバイル アプリの構築
デベロッパーアドボケート ウェビナーシリーズ (Vol.1) VMware、Microsoft、Elastic - Java 18、Azure Spring Cloud そして Elastic x Azure Spring Cloud コラボレーションの最新技術情報 2022/5/31 13:00-15:00 https://www.elastic.co/jp/virtual-event/developer-advocate-series-1/
IT Media Cloud Native Week 2022 Summer 2022/6/22 https://enq.itmedia.co.jp/on24u/form/cnw2206?partnerref=itm_atit_ev#keynote2 Elastic 最新バージョンを使って Web・モバイルアプリ開発をしてみよう︕ Elastic 8.x を使った Web・モバイルアプリ開発について、各種パブリッククラウドと連携したデモを交えて、ご紹介していきます。
Thank you for your attention!