454 Views
November 16, 22
スライド概要
Elastic 8.5リリースの新機能をご紹介
https://www.elastic.co/jp/virtual-events/whats-new-in-elastic-8-5
FPT ジャパン エグゼクティブエバンジェリスト 独立行政法人 国立印刷局 デジタル統括アドバイザー兼最高情報セキュリティアドバイザー Microsoft で13年間、テクニカルエバンジェリストとして .NET、C#、Visual Studio、Windows、iOS、Android、Microsoft Azure 等の開発者向け技術啓発活動 (DevRel) 。Dell、Accenture、Elastic、VMware 等での DevRel 後、2024年11月1日より現職で DevRel 活動を開始。NVIDIA との戦略的協業 AI GPU クラウド、Azure/AWS/GC 上の AI &データ関連サービスのマーケティング、プリセールス、教育、関連新規サービス開発。元内閣官房 IT 総合戦略室 政府 CIO 補佐官(兼務)、元デジタル庁 ソリューションアーキテクト(兼務)。
Elastic 8.5 リリースの新機能をご紹介 鈴⽊ 章太郎 Elastic テクニカルプロダクトマーケティングマネージャー/エバンジェリスト デジタル庁 省庁業務サービスグループ ソリューションアーキテクト
Shotaro Suzuki Twitter : @shosuz Elastic Technical Product Marketing Manager/Evangelist デジタル庁 省庁業務サービスグループ ソリューションアーキテクト 元 Microsoft Technical Evangelist
Transfer of Information 8.5 Enterprise Search
THE VISION あらゆる検索に対応するワンストップサービス 検索エンジン搭載 アプリ 組み込み型 検索 マーケットプレイス 検索 ⼩売・流通 / Eコマース ワークプレイス 検索 via すべてのインデックスですべての機能を利⽤可能 密なベクトルフィールド オンボーディングの簡素化 複合フィールドクエリ Web クローラー インジェストパイプライン コネクター データ階層 関連性設定ダッシュボード 検索可能なスナップショット 検索UIライブラリ ピン留めされた結果クエリ 検索アナリティクス Kibana レンズ キュレーション ランタイムフィールド ⾃動関連性チューニング サイト 検 カスタマーサービス 検 索 索
Build phase Ingest インデックス作成 API クライアントライブラリ ドラッグドロップアップロード Web クローラー データコネクタ Operate phase Configure relevance Build UI / Integrate View analytics Optimize results ⾔語最適化エンジン ベースライン関連性チューニング クエリワークベンチ 学習済みセマンティックモデル API キー 検索 API クライアントライブラリ 検索 UI クエリーのボリューム クエリキーワードレポート クリックトラッキング キュレーション 同義語 関連性チューニング 適応的関連性 各ステップには、それぞれ独⾃のツールが必要であり、これらを統合することで、インサイト・トゥ・アクションを促進します。
Interoperability スタックとソリューションでパワープレイを作成する テーマ Market-making features 検索を次のレベルに引き上げる機能を構築する User Experience Elastic のパワーを⾝近なものにする
インターオペラビリティへの旅 7.16 から始まる Kibana でのエンタープライズサーチ 8.2 8.4 8.5 8.6+ Elasticsearchエンジン と_search(テクニカル プレビュー) 検索に最適化された インデックス︔ Elasticsearchエンジンと _search (ベータ版) 検索ユースケースのための アクセス可能な ML ツール とネイティブコネクタ; Elasticsearch Engines と_search GA 検索エンジン、統⼀された 検索エンドポイント、向上 した分析機能 Apr 2022 Aug 2022 Oct 2022 …and beyond
ネイティブコネクタとフレームワーク MongoDB と MySQL のネイティブコネクタ ● Drivers ○ ● Elastic Cloud のネイティブコネクタやカスタマイズ可能 なコネクタクライアントで、検索に最適化された Elasticsearch のインデックスを作成することができる Value ○ エンタープライズ・サーチを使⽤して、適切で直感的な 検索体験の構築段階を加速させる ● セルフマネージドでは Platinum+、Elastic Cloud では Standard ● Technical Preview
Web クローラーおよびネイティブコネクターのライセンスについて セルフマネージドではプラチナ以上、Elastic Cloud ではスタンダード ● Drivers ○ ● Web クローラーとネイティブ・コネクタは簡単に利⽤ でき、Elastic Cloud の顧客に最も⼤きな利益を もたらします。 Value ○ 直感的で⾼度に最適化された検索ユースケースの ネイティブ・インテグレーション・カタログを拡充していく 中で、お客様にとってライセンスのアップグレードや、 更新を検討する新たな理由となります。
パイプライン管理/機械学習 マネージドパイプライン、カスタムパイプライン、推論パイプライン ● Drivers ○ ● Value ○ ● ● お客様は、何を取り込むか、取り込んだデータをどのように 変換するか、⽬的の検索結果に必要な機械学習モデル を直感的に選択できるパワーと柔軟性を必要としていま す。 インジェスト時に関連性を調整する機能を簡素化し、エ ンタープライズ・サーチとパッケージ化しました。 Platinum Generally Available
Elasticsearch による エンタープライズサーチ - 検索に関するあらゆることを⼀⼿に引き受けることができる Elasticsearch インデックスベースのエンジン、App Search の ための Elasticsearch サーチ、Search Explain API は GA ● Drivers ○ ● Value ○ ● Enterprise Search と Elasticsearch の深い相互運⽤性のためのこれらの重要な 構成要素は、本番の検索エクスペリエンスで すぐに使⽤することができます。 Web クローラーやコンテンツソースを必要と する統合検索体験を構築するお客様は、 ワークプレイスユースケースなどでの適切な 検索に必要なすべてのツールを利⽤すること ができます。 Generally Available
Web クローラーの UI アップデート UI での認証クロールに対応 ● ● Drivers ○ 多くの社内 Wiki やナレッジベースリポジトリでは、保護 されたコンテンツにアクセスするために認証が必要です。 ○ Web クローラーのユーザーは技術的にあまり詳しくなく、 API だけでなく UI にも機能を求める傾向があります。 Value ○ ● セットアップ時に UI で認証クロールを設定することに より、オンボーディングを容易にする Web クローラーは、セルフマネージドデプロイメントでは Platinum 以上、Elastic Cloud では Standard が必要 です。
インターオペラビリティへの旅 7.16 から始まる Kibana でのエンタープライズサーチ 8.2 8.4 8.5 8.6+ Elasticsearchエンジン と_search(テクニカル プレビュー) 検索に最適化された インデックス︔ Elasticsearchエンジンと _search (ベータ版) 検索ユースケースのための アクセス可能な ML ツール とネイティブコネクタ; Elasticsearch Engines と_search GA 検索エンジン、統⼀された 検索エンドポイント、向上 した分析機能 Apr 2022 Aug 2022 Oct 2022 …and beyond
Enterprise Search - 8.5 機能概要 特⻑ 階層とステータス 詳細 ビジネス価値 MongoDB native connector Platinum / Standard Tech Preview MongoDB はカスタマイズ可能なコネクタクライアントだ けでなく、ネイティブコネクタとして利⽤可能になった スピードレイヤー検索のユースケースは、Enterprise Search で提供可能 MySQL native connector Platinum / Standard Tech Preview MySQLコネクタは、カスタマイズ可能なコネクタクライアン トだけでなく、ネイティブコネクタも追加された スピードレイヤー検索のユースケースは、Enterprise Searchで提供可能 Pipelines management / ML Platinum / Standard Generally Available Web クローラーとコネクターは、デフォルトおよびカスタマ イズ可能なインジェストと機械学習パイプラインを利⽤し ます。 お客様は、デフォルトの取り込みパイプラインを変更するこ とにより、取り込まれる⽂書をカスタマイズすることができ、 取り込み時に機械学習モデルを適⽤することが可能 Workplace Search Outlook, Teams and Zoom connector packages Basic / Standard Beta Workplace Search のコンテンツソースカタログが3つ のコネクタパッケージで拡張される お客様は、Microsoft 365 の全製品と Zoom を対象 とした検索エクスペリエンスを構築し、ワークプレイス検索 のユースケースに利⽤することが可能 Web crawler authenticated crawls in the UI Platinum / Standard Generally Available 保護されたクロールを UI でセットアップ 保護されたコンテンツは、ナレッジベースの記事や社内 Wiki の検索体験を構築するお客様にとって⼀般的な ユースケース。保護されたコンテンツを UI で簡単にクロー ルすることが可能 Elasticsearch index-based engines and _search for App Search Platinum / Standard Generally Available Elasticsearch インデックスベースエンジンおよび _search お客様は、これらのエンジンを利⽤して、本番環境での 検索体験を迷うことなく構築することが可能
技術的詳細 Web クローラーおよびネイティブコネクタのライセンス実施について ● ● ● App Search Web クローラーおよび Workplace Search コンテンツソースのライセンスは、以前のバージョンと同じです。詳細 については、サブスクリプションページの既存のElastic App SearchおよびElastic Workplace searchのセクションを参照し てください。 Web クローラーおよびネイティブコネクタのライセンスは、新しい Web クローラーおよびネイティブコネクタの作成に強制されます。 詳細については、サブスクリプションページの新しい Elastic Enterprise Search のセクションを参照してください。 8.4 のセルフマネージドデプロイメントからアップグレードするお客様 は、Web クローラーを利⽤している既存の Web クローラーインス タンスを引き続き使⽤できますが、コンプライアンス違反の場合、 新しい Web クローラーを作成するには、ライセンスのアップグレード が必要になります。
技術的詳細 Web クローラー、コネクター、オンボーディングのユーザビリティ向上 ● ● ● ● ● ● ● UI に、認証済みクロールのサポートを追加しただけでなく、シームレスなオン ボーディング体験を促進するために、いくつかの⼩さなユーザーエクスペリエンスの 改善を追加しました。 注意: 記載されているすべての Web クローラーの UI アップデートは、 Enterprise Search Web クローラーのみに適⽤され、App Search Web クローラーには適⽤されないことに注意してください。 ユーザーエージェントの情報は、クローラーの概要タブで確認できます。 Indices」ページでクローラーインデックスとコネクターインデックスの削除がサポー トされます クローラーやコネクターの詳細ページから “create App Search engine” を クリックすると、選択ポイントがスキップされ、⾃動的に “Elasticsearch index based search engine” オプションが選択されます。 コネクターに編集可能な名前と説明フィールドが追加され、複数のオペレーター 間でのコラボレーションとセットアップを⽀援します トップレベルの「設定」で、コンテンツ抽出、ホワイトスペース削減、ML 推論の 有効・無効を設定できるようになりました。
技術的詳細 コネクタクライアントとコネクタパッケージ ● connectors-ruby と connectors-python には、8.4 以降の 検索最適化 Elasticsearch インデックスの⾃⼰管理インフラへの 取り込みメカニズムとして登録できるコネクタクライアント (MySQL & MongoDB) が含まれています。 ● connectors-ruby 8.3 ブランチには、Workplace Search と 互換性のある SharePoint Online、Confluence Cloud、 Custom コネクタパッケージが含まれています。 ● Microsoft Outlook、Teams、Zoom コネクタパッケージはセルフ マネージドインフラが必要で、Workplace Search にのみ使⽤でき、 検索に最適化された Elasticsearch インデックスは使⽤できません。
サポート コネクタクライアント、コネクタパッケージ、インジェスト⽤サイジングガイダンスの更新 ● App Search、Workplace Search、または Enterprise Search の取り込みメカニズム(Webクローラー、コネクター、コンテンツソース など)を評価⽬的以外に使⽤する場合は、最低でも 4GB RAM の インスタンスを導⼊することをお勧めします。 ● カスタマイズ可能な Enterprise Search 統合のための、オープン コードパブリックリポジトリが、さらに4つあります。 ○ ○ ○ ○ ○ connectors-ruby (旧名称: connectors) connectors-python (新機能!) Microsoft Outlook (新機能!) Microsoft Teams (新機能!) Zoom (新機能!)
サポート セルフマネージドデプロイメントのための「コネクターの使⽤ ● セルフマネージドデプロイメントでネイティブコネクタを使⽤したい お客様は、Elasticsearch、Kibana、Enterprise Search のダウンロード、インストールの追加ステップとして、MySQL および MongoDB コネクタを確実にデプロイすることが必要で す。そうでない場合は、「コネクタを使⽤する」をクリックすると、 エラー状態になります。 ● セルフマネジメントのお客様は、MySQL または MongoDB のコネクタクライアントバージョンを、ダウンロードしてインストール するか、デプロイするかを選択できます。
Transfer of Information 8.5 Observability
Application Observability
APM サービス概要ページで K8s の情報をコンテクスト化 K8s 関連のメタ情報をサービスコンテキストで閲覧可能 ● ● Drivers ○ K8s 環境にデプロイされたサービスのデバッグを、 容易にします。 ○ アプリケーションのパフォーマンス問題を、 K8s プラットフォームの根本的なイベントと関連付ける Value ○ アプリケーションのシグナルと K8s プラットフォームの シグナルの統⼀を改善する。 ○ アプリケーションへの影響を理解し、K8s プラット フォームに関する問題の優先順位を決める Standard/Basi Standard/Basic c GA
.NET エージェントによるノーコード⾃動計測のサポート .NET APM エージェントのオンボーディングエクスペリエンスの改善 ● ● ● Drivers ○ .NET Agent v1.18 ではノーコード⾃動計測 機能が GA になります。 ○ アプリのバイナリを再コンパイルすることなく、⾃動 計測をサポートします。 Value ○ 既存の .NET アプリケーションの起動時に動的 にインストゥルメントを実⾏します。 ○ Container、IIS、Windows または Linux サービスで OOTB として動作します。 https://www.elastic.co/guide/en/apm/agent /dotnet/current/setup-autoinstrumentation.html Standard/Basi Standard/Basic c GA
ストレージエクスプローラー 各インスツルメンテッドサービス における APM ドキュメントのストレージ消費量の表⽰ ● ● Drivers ○ 各インスツルメンテッドサービスにおける APM ドキュメントの合計および相対的なストレージ フットプリントを表⽰する機能 ○ スマート・サンプリング技術が消費に与える影 響を表⽰ Value ○ APM のサンプリングレートとストレージの必要 性のトレードオフを理解することができる ○ APM コストの予算編成のための予測精度を 向上させることができる。 Standard/Basi Standard/Basic c Beta
AWS Lambda のメトリクス収集 AWS Lambda の実⾏時メトリクスを APM Lambda 拡張機能で収集できる ● ● Drivers ○ AWS Lambda 関数の Observability シグナルの 統⼀を改善する ○ AWS Lambda 関数のトレースとメトリクスの相関を 容易にする Value ○ ○ Standard/Basi Standard/Basic c お客様はメトリクスを収集するために CloudWatch API 経由のみに限られない Lambda のメトリクスとトレースを1つのペインで利⽤ 可能 Tech Preview
サポート性 ● この機能はデフォルトで有効になっています ● この機能は、詳細設定によりオフにすること ができます Standard/Basi c Tech Preview
バックエンドの依存性の粒度(継続中) バックエンド依存のインスタンスレベルのブレークダウン ● ● ● ● Drivers ○ アプリケーションのバックエンドをより深く可視化する ことで、トラブルシューティング能⼒を強化 Value ○ バックエンドの個々のインスタンスに関連する問題 の具体的な原因を特定する能⼒の向上 ○ バックエンドのパフォーマンスをより詳細なレベルで ⼀⽬瞭然に区別することができる SQL ベースのデータベースに対応(Ruby エージェントを 除く) NoSQL や Messaging 関連のバックエンドは開発中 Standard/Basi Standard/Basic c GA
Infrastructure Observability
8.5.0 ログの取り込みに対応 ● ● Drivers ○ この分野ではトップクラスのメッシュソリューション ○ より詳細なログを参照する Value ○ Istio Meshと弊社スタックとの容易な連携 ○ 8.5.0でのログのサポート ○ 今後の予定 ᐨ メトリクスのサポート ᐨ 統合による付加的なメリット(ダッシュ ボード、簡単なインデックス作成、設定 のしやすさ) TA BE Istio の統合
● ● ● ● ● ベータ版 (0.1.0) ○ ○ ログ対応のみ アクセスログ エラーログ 対応バージョン Istio >= 1.14.3 ドキュメント Supported versions Istio >= 1.14.3 ドキュメント https://docs.elastic.co/integrations/istio TA BE Istio - 技術的な詳細
[別名︓ヒント・オートディスカバリー] エージェントスタンドアロンモードで使⽤可能 ● ● Drivers Beats と Agent の連携 Elastic Agent の成熟を促進する K8s の世界で広く使われているプラクティス(注釈 をきっかけにアクションを起こす) Value Pods のセルフサービスモニタリング 監視を設定するための GitOps フローの有効化 ○ ○ ○ ○ ○ TA BE Elastic Agent のためのアノテーションベースのモニタリング
技術的詳細 ● ● ● ● ● ● テクニカルプレビュー オペレーター スタンドアロン -Agent .yaml ○ オン/オフ (#hints.enabled: true) ○ テンプレートのダウンロード [Init Container] 対応パッケージの全リスト︓github この機能は、オンラインで利⽤可能なビルド前のテンプ レートをベースにしています。 ○ ユーザがテンプレートを編集できる ○ すべてのテンプレートは、Agent 内の /etc/elastic-agent/inputs.d に配置 ヒントを使ったポッドの注釈 ドキュメンテーション : https://www.elastic.co/guide/en/fleet/master/elastic-agentkubernetesautodiscovery.html#_hints_annotations_based_autodiscover 機能を 有効にする ポッド注釈 クラスター 利⽤者 TA BE テンプレートの 作成・編集
Universal Profiling
ユニバーサルプロファイリング(プライベートベータ版) すべてのマシン、すべてのコード、すべての時間を プロファイルする ● ● Drivers システム全体の連続プロファイリング 軽量かつ必要な要件としては : アプリのインスツルメンテーションはありません。 コード変更なし。 再スタートなし。 フレームポインタで再コンパイルする必要がありま せん。 ⾮常に低いオーバーヘッド (<1 % CPU) Value 効率的なサービス構築によるクラウド・コストの削減 カーネル、ユーザー空間、⾼位コードに⾄るまで、 パフォーマンスのボトルネックを迅速に検出します。 無駄な計算を減らすことで、CO2 排出量を削減します。 ○ ○ ᐨ ᐨ ᐨ ᐨ ᐨ ○ ○ ○
技術的詳細 ● ● ● ● ● ● ● プライベートベータ版 Elastic Cloud のみ、かつ≧バージョン8.5の場合 お客様が明⽰的に有効化する必要があります。セットアップ⽅法はこち ら(まだ DRAFT です) カーネル >= 4.15の Linux でのみ動作します。 C/C++、Go、Java、Python、Ruby、PHP、Rust、NodeJS/V8 をサポートしています。 ネイティブコードは現在未シンボル化 ベータ版へのサインアップは、こちらのリンクから可能です。
サポート性 ● SDH のプロセスが確定 ● ドキュメントは10⽉18⽇以前に⼀般に公開される予定です。 ● [email protected] ● Ext-slack チャンネル
GitHub チケット placeholder illustrations ● 関連するチケットをここにリストアップ 対応中の既知の 問題点 placeholder illustrations ワークアラウンド ● 回避策のガイダンスを提供する。 ● 将来的な制限・問題・⽋陥への対応計画を説 明する。 This can be an appendix slide
Actionable Observability NO 8.5 UPDATES
Synthetics NO 8.5 UPDATES
Transfer of Information 8.5 Security
Agenda ● ● ● ● ● ● ● ● ● 導⼊と8.5の背景 アナリストのワークフローを合理化 エンティティ アナリティクス クラウド向け Elastic Security エンドポイント向けエラスティックセキュリティ スレットインテリジェンス データ統合 検知エンジニアリングワークフロー 事前構築された検出コンテンツ
The Elastic Security Solution Modern Security Operations Platform
現代企業のためのセキュリティ運⽤ 1 2 3 4 5 オープン&トランスペアレント (Actionable) アナリティクスを駆使した スピードとスケーラビリティ オートメーション マルチクラウドネイティブ
Elastic Security の特⻑ オープン&統合 ネイティブプロテクション 明⽇のスケールに対応 ⾃動化されたインサイト ハイブリッドクラウド 柔軟なデータ取り込みと、ベンダー ロックインのないコミュニティサポート 60以上の ML モデルと脅威の 研究により、700以上の MITRE マップされた防御、検知、応答の ルールを提供します。 Elasticsearch のメーカーが 提供する、あらゆる規模の組織に 対応する拡張性 専⾨家が構築した Runbook、 ⾃動エンリッチメント、プリバレント、 統合リスク AWS、GCP、Azure、オンプレミス に対応する単⼀ソリューションで、 データバックホールが不要に
お客様のビジネス規模に合わせたマルチクラウド/ハイブリッド分析 Elastic Security Cloud Elastic Security Central インスタンス セントラルインスタンスからの フェデレートクエリ クエリ結果をセントラルインスタンスに 効率的に送信 分散型インスタンス Google cloud Amazon cloud Azure On-prem
The Elastic Security Solution Modern Security Operations Platform
Elastic Security SIEM 脅威の検知・調査・対応(TDIR: Threat Detection, Endpoint / XDR Cloud 次世代アンチウイルス (NGAV) クラウド・ポスチャー・マネジメント(K/CSPM) エンドポイント検知・応答 (EDR) クラウドワークロード監視・保護 (CWP) Investigate MODERN SECURITY OPERATIONS Protect Respond Investigation, and Response)
Elastic Security Labs の専⾨家による研究 ● オープンな脅威の研究、マルウェアの解析など : Blister Loader, Follina CVE, CUBA Ransomware analysis, BPF door ● 常に更新される脅威検知ルール (約700) ● すぐに適⽤可能な教師なし機械学習モデル (50以上) ● マルウェア、ランサムウェア、メモリなど、キュレーションされた セキュリティアーティファクト https://www.elastic.co/security-labs/
8.5 機能 アナリストのワークフロー を合理化 ステータス サブスクリプションクラウド/ セルフマネージド ケースの割り当て GA Platinum / Platinum アラート付きエンティティの詳細 GA Standard / Basic アラート理由調査ピボッティング GA Standard / Basic オートチューンアナライザー GA Standard / Basic
ケース課題 ユーザー割り当てのためのプラットフォーム機能 ● Drivers ○ ○ ● Value ○ ○ Platinum OSS アラートが確認されると、調査や対応などの後続のアク ションを実⾏する必要がある。 組織は、これらのアクションを、修正する権限を持つ Tier 2 以上のアナリストに割り当てる傾向がある。 アラートやその他の調査結果をケースにエスカレーションし たユーザーは、そのケースをチームメンバーに割り当てること ができるようになりました。 Elastic User Profiles を活⽤することで、インシデント 対応時の組織間の連携やコラボレーションをより効果的 に⾏うことができます。 GA
アラート付きエンティティの詳細 SIEM のアラートを可視化しながらエンティティを調査する ● Drivers ○ ○ ● 脅威の追跡でもアラートの調査でも、時間は本質的 なものであり、⽂脈が重要です。 他の優先情報(アラートなど)とエンティティの関連 付けは必須です。 Value ○ ○ Standard/Basic Enterprise Platinum Gold OSS セキュリティソリューション内の、単⼀のエンティティ (ホスト、ユーザーなど)を表⽰する際、アナリストは 関連するアラートを迅速に確認できるようになりました。 アラートを調査するための迅速なピボットポイントと、 該当するエンティティに対する⾃然な優先順位付け を提供します。 GA
アラート理由と調査ピボッティング イベントレンダラーの能⼒をアラートに⽣かす ● Drivers ● Value ○ ○ アラート疲労を軽減するために、アラート理由には各アラートに対する説明が表⽰されます。 多くの列を持つ⼤きな表形式のビューを維持する代わりに、アナリストは調査に迅速にピボットする必要があります。 ○ イベント レンダラーでは、置換された各フィールドのホバー アクションを含めることで、単⼀のログ(イベント)を読み取る ためのトークナイズされたメソッドが提供されます。 以前は静的なアラート理由には、同じホバー アクション機能が含まれています。 ○ Standard/Basic Enterprise Platinum Gold OSS GA
オートチューニングアナライザー プロセスツリーを正確に表⽰するための時間幅の調整 ● Drivers ○ ○ ● 以前は、Analyzer がグラフをレンダリングしない場合、 デフォルトのエラーメッセージが表⽰されました。 このメッセージは、時間範囲を調査することを推奨して いますが、何の案内もありません。 Value Standard/Basic Enterprise Platinum Gold OSS ○ グラフが⾃動的に正しい時刻をレンダリングし、プロセス ツリー全体を表⽰するため、ユーザーは Analyzer で ⼀貫した体験をすることができます。 GA
Entity Analytics
8.5 Highlights 1.Entity Analytics ライセンス 2.エンティティ アナリティクス ダッシュボード 3.ホスト/ユーザーのリスクスコアの有効化 4.分析者ワークフロー 5.近⽇公開予定...
Entity Analyticsライセンス Platinum + の特⻑ ● 8.5でライセンスを強制しています。 ○ Entity Analytics の機能を利⽤できるのは、 Platinum またはそれ以上の階層のライセンスの みです。 ○ ベーシックライセンスのセルフマネージドユーザーは、 Entity Analytics のダッシュボードからトライアル を開始したり、ライセンスをアップグレードすることが できます。
エンティティアナリティクスダッシュボード Entity Analytics の⼀元的な表⽰ ● Drivers ● Value ○ ○ ○ Elastic Security のエンティティ分析機能を紹介し、異常 ⾏動分析やインサイダー脅威を特定するエンティティリスクに ついて説明します。 アナリストは、新たな脅威、内部脅威、異常を⼀元的に 可視化し、監視対象領域を絞り込みます。 分析者は、これらの分析からトリアージや調査ワークフロー を開始することができます。
ホスト/ユーザーリスクスコアの有効化 Kibana から1クリックで有効化 ● Drivers ● Values ● Technical Preview ○ ○ リスクスコア機能搭載のオンボーディング の改善 ユーザーは、ソリューションのワークフロー 内(Entity Analyticsダッシュボー ド)から、ホストとユーザーの リスクスコ ア機能を有効にすることができます。 Technical References: https://www.elastic.co/guide/en/security/8.4/host-risk-score.html https://www.elastic.co/guide/en/security/8.4/user-risk-score.html How Risk Transforms work
エンティティリスクとのトリアージ エンティティリスクスコアによるアラートの優先順位付け ● Drivers ● Value ● Technical Preview ○ ○ Entity Risk によるアラートの優先 順位付け アナリストは Entity Risk フィールド でアラートキューをフィルタリングし、 ホストとユーザーのリスクプロファイル に基づいてトリアージ活動の優先 順位を決定することができます。
Coming Soon… ● エンティティリスクの解放 GA ● エンティティウォッチリスト機能 ● データ流出のユースケース
Elastic Defend Integration 以前 Endpoint and Cloud Security として知られていた統合 は、現在 Elastic Defend と呼ばれています
Cloud Security
TODAY クラウドセキュリ ティの初期⽴ち 上げ for Cloud Security build.security、 Cmdと⼿を組む。 2019 2020 2021 2022 8.5 クラウド セキュリティの GA
クラウドセキュリティハイライト 総括とハイライト 1.8.2 と 8.3 では、Elastic Security for Cloudをベータ版として導⼊しま した。 2.8.2 では、Linux ベースのワークロードに適したセッションビューアや eBPF データ 収集などの機能を備えたクラウドワークロード統合を Endpoint Security と ⼀緒に発表しました。 3.8.3 では、CIS Kubernetes Benchmark と呼ばれる Kubernetes Posture Management の統合を Tech Previewで開始しました。 4.8.4 では、クラウドワークロードと Kubernetes Posture の両⽅について、 AWS での K8s サポートを開始しました。 5.8.5 では、これらの機能を⼀般的に利⽤できるようにすることができ、⼤変うれ しく思います。詳細は 8.5 リリースブログでお知らせします。 Use Case Cloud/ Kubernetes Posture Management Cloud/Kubernetes Workload Protection SelfManaged Enterprise Enterprise Cloud Standard Enterprise
Elastic Security for Cloud 初期の検証と成功 ポスチャー - ESSでKSPMを使⽤している39の顧客 ワークロード - 530のユニークエンドポイント、53のユニークカスタマー、5⼈のカスタマー > 30 VM
クラウドセキュリティは GA へ! 8.5 で GA になったものは︖まだ GA でないものは︖ Whatʼs GA in 8.5? ● ● Kubernetes のポスチャーマネジメント ○ セルフマネージド(「バニラ」)k8s ○ Amazon EKS ワークロードセキュリティ ○ エンドポイントにおける eBPF ベースのデータ 収集 ○ VM のためのセッションビュー ○ ガイド付きオンボーディング
クラウドセキュリティは GA へ︕ 8.5 で GA になったものは︖まだ GA でないものは︖ 価格、パッケージング、フィーチャーゲート サポートが必要? ● ● ● ドキュメントを読む: ○ Cloud Native Security ○ Session View ○ KSPM ○ GA Release Blog (coming soon!) ウィキを⾒る: ○ CWP Support Wiki ○ CSP Support Wiki Slack でご連絡ください。 #cloud-security- Feature Support Level eBPF-based Elastic Defend Agent on Linux VMs/hosts Standard/Basic GA Session View for hosts/VMs Enterprise GA KSPM (EKS/Self Managed) Standard GA eBPF-based Elastic Defend Agent for EKS/GKS nodes Enterprise BETA Session View for EKS/GKE Enterprise BETA Session Output Enterprise BETA group まだ GA じゃないのは...? • • • License AWS のためのクラウドポスチャー Kubernetes のワークロードセキュリティ 端末の出⼒
8.4: ガイドなしオンボーディング Elastic Defend for Endpoints & Cloud の利⽤開始を成功させるために Start! エンドポイント/ワークロード の保護はユーザーが設定
8.5: Elastic Defend のためのガイド付きオンボーディング Endpoint を フルコンフィグ! Start! ワークロード保護 機能をフル装備
Elastic Defend の Guided Onboarding - 概要 Elastic Defend for Endpoints & Cloud の利⽤開始を成功させるために ● Drivers ● Value ○ ○ ○ ○ ○ ● ● クラウドワークロードのための Elastic Defend は8.5で GA! ワークロード保護と EDR は、同じような結果をもたらします。 しかし、技術、構成、データ量に違いがあります。 セルフサービスのクラウドおよびエンドポイントユーザーの TTV を削減します。 エンドポイントおよびクラウドのワークロード保護に関する設定 済みのユースケースを理解し、選択できるようにします。 Standard/Basic GA
Elastic Defend の Guided Onboarding︓クラウドワークロードの技術的詳細 “インタラクティブのみ": お客様がプロセスイベントでクラスタを溢れ させないようにするために、デフォルトのイベントフィルターを追加します。 “すべてのイベント": フィルターをインストールしない クラウドワークロードのエンドポイントプロテクションの設定 Malware Prevention Disabled* Malicious Behavior Prevention Disabled* Memory Protection Disabled* Event Collection All Events/Session Data * エンドポイントプロテクションはデフォルトでは無効ですが、⼿動で設定することが可能です。
セッションビューでの端末出⼒ Linux 端末のセッションを再⽣するための端末出⼒機能を備えたセッションビュー調査ツールの強化 ● Drivers ● Value ○ ○ ○ ○ ● ● Linux ユーザが⾒たもの、⾃分のコンピュータに コピーされた可能性のあるものを簡単に確認する ⽅法を必要とする。例えば、TLS に使⽤される PEM 秘密鍵をキャプチャすることができる。 お客様の監査やコンプライアンス要件に対応する ために役⽴ちます。 ユーザーの⾏動を効果的に分析するための優れ たツール。 競合他社の状況において、差別化を図ることが できる。 Enterprise (Cloud/self-managed) Beta
技術的詳細 ● ● ● ● ● 8.5では eBPF インストゥルメンテーションのみサポート。 Kubernetes と Linux ベアメタル/VM プラットフォームの両⽅をサポートします。 デフォルトでは無効。Defend 統合設定で有効にするにはトグルする。 ⾼度な設定オプションに対応 ○ linux.advanced.tty_io.max_kilobytes_per_event ᐨ 1つのイベントで記録する端末出⼒の最⼤キロバイト数。 デフォルト︓512 ○ linux.advanced.tty_io.max_kilobytes_per_process ᐨ 1つのプロセスで記録する端末出⼒の最⼤キロバイト数。 デフォルト: 512 ○ linux.advanced.tty_io.max_event_interval_seconds ᐨ 1つのイベントで端末出⼒をバッチ処理する最⼤時間(秒)を指定し ます。 デフォルト︓30 端末出⼒プレーヤーは、xterm.js によってフード内で動作しています
サポート性 ● リリース時には、インストール⽅法とセッションビューのターミナルアウトプットプレーヤーの 新しい UI コンポーネントについて説明した顧客向けドキュメントが提供されます。 ● ベータ版のため、公式の Elastic サポートは提供されません
8.5 セッションビューのターミナル出⼒機能の⼀部をご紹介
KSPM – GA 🎉 K8s の設定リスクの特定と修正 ● Drivers ○ Kubernetes の構成の柔軟性と動的な性質は、 セキュリティコンプライアンスを満たしコンプライアンス を維持し、それを証明することを難しくしている ● Value ○ K8s の CIS ベンチマークに対するコンプライアンス を測定します。 ○ 設定リスクの特定と修正による K8s の攻撃対象 範囲の縮⼩ ● GA in 8.5 ○ スケールアップとプロダクションでの性能アップ⚡ ● License level: ○ クラウド (ESS) - スタンダード ○ セルフマネージド - エンタープライズ
KSPM のためのガイド付きオンボーディング
KSPM のためのガイド付きオンボーディング
KSPM のためのガイド付きオンボーディング - EKS
KSPM のためのガイド付きオンボーディング - EKS
KSPM の詳細 ● 下記をサポート︓ ○ セルフマネージド / バニラ k8s ○ Amazon EKS ● ● ● Amazon EKS を使う場合︓ ○ EKS の Self-managed nodes と managed node groups の両⽅が ポスチャー評価に対応している ○ EKS on Fargate はサポートされていません。 ᐨ AWS Fargate 上で Amazon EKS を使⽤するお客様は、ノード管理 の責任を負いません。 ○ 複数の認証⽅式に対応 ᐨ AWSアクセスキー ᐨ AWSの⼀時的なクレデンシャル ᐨ AWS共有クレデンシャルファイル ᐨ AWS IAMロール 8.5 リリースに伴う⾮常に詳細なドキュメント ○ ステップバイステップの "Getting started with KSPM "ガイドを含む。 質問がある⽅、助けが必要な⽅、フィードバックがある⽅! #cloud-securityposture で お待ちしています。) )
Elastic Security for Endpoint
Endpoint Security ポジショニング AV、NGAV、EDR の置き換えや追加、そしてセキュリティ分析をお考え のお客様には、Elastic Security をお勧めします : ● 機械学習型マルウェアとランサムウェアの対策 ● ランサムウェアの予防のための追加レイヤー ● メモリ脅威と悪意のある⾏動の防⽌ ● MITRE ATT&CKにマッピングされた数百の検出を持つEDR 他のエンドポイントセキュリティベンダーとは異なり、Elasticはエンドポイント 予防、エンドポイント検出と応答、XDRのユースケースを単⼀エージェント と単⼀統合セキュリティプラットフォームで解決します。 エンドポイントセキュリティの主な競合製品 ● マイクロソフト Defender 365 ● クラウドストライク ● Sentinel One シンギュラリティ・コア ● ソフォス ● マルウェアバイト ● ビットディフェンダー ● ブロードコム/VMware - カーボンブラック ● ブラックベリー サイランス ● トレンドマイクロ ● パロアルトネットワークス (Cortex XDR) Use Case Subscription Cloud / SelfManaged AV/EDR Augmentation with Advanced Data Collection Standard / Basic Anti-Virus Standard / Basic Next Generation Anti-Virus Platinum / Platinum Endpoint Detection and Response (EDR) Enterprise / Enterprise eXtended Detection and Response (XDR) Enterprise / Enterprise
10,000 台のエンドポイントを導⼊した MSSP 500台の Endgame センサーを エージェントに移⾏しました。 17,000台のエンドポイントを展開する MSSP Elastic Security for Endpoint 成功事例を⾒る 8,000 Endpoints deployed 2,500台の Endgame センサーをエージェント に移⾏しました。 McAfee からのリプレース 5,000台のエンドポイントに 導⼊ 10,000 エージェントを osquery manager で展開。 80,000 エージェントへの拡張の可能性 3,500以上のクラスタに150,000以上のエンドポイントを展開
Elastic Security for Endpoint - 8.5 Protect Windows macOS Linux サブスクリプション クラウド/セルフマネージド マルウェア対策 ✓ ✓ ✓ Standard / Basic 検出エンジンのルールによる⼀元的な検出 ✓ ✓ ✓ Standard / Basic ブロックリスト ✓ ✓ ✓ Standard / Basic メモリー脅威の防⽌ ✓ ✓ ✓ Platinum / Platinum ビヘイビア防⽌(エンドポイントルール上) ✓ ✓ ✓ Platinum / Platinum ビヘイビア、MBR、Canaryファイルによるランサムウェア対策 ✓ Coming Soon Coming Soon Platinum / Platinum アタックサーフェスの低減(クレデンシャル保護) ✓ ✓* ✓* Platinum / Platinum 機械学習による検知の運⽤と⼀元化 ✓ ✓ ✓ Platinum / Platinum * Behavior ルールによって実装される
Elastic Security for Endpoint - 8.5 調査 Windows macOS Linux サブスクリプション クラウド/セルフマネージド ⼀元管理・レポーティング ✓ ✓ ✓ Standard / Basic ⼀元的な調査とスレットハンチング ✓ ✓ ✓ Standard / Basic osquery を使ったスレットハンティング ✓ ✓ ✓ Standard / Basic ケースマネジメント ✓ ✓ ✓ Standard / Basic 近⽇公開予定 近⽇公開予定 ✓ Enterprise / Enterprise ユーザーとサービスのセッションを可視化
Elastic Security for Endpoint - 8.5 Subscription Cloud / SelfManaged 応答 Windows macOS Linux ホストの隔離 ✓ ✓ ✓ Platinum / Platinum エンドポイントセルフヒーリング ✓ - - Platinum / Platinum レスポンスコンソール ✓ ✓ ✓ Enterprise / Enterprise - 実⾏中のプロセスの列挙 ✓ ✓ ✓ Enterprise / Enterprise - プロセスの⼀時停⽌ ✓ ✓ ✓ Enterprise / Enterprise - キルプロセス ✓ ✓ ✓ Enterprise / Enterprise - その他のアクション 近⽇公開予定 近⽇公開予定 近⽇公開予定
Whatʼs New in 8.5 Elastic Security for Endpoint
Elastic Defend Guided Onboarding: エンドポイント向け Elastic Security
Elastic Defendのガイド付きオンボーディング: エンドポイント向け Elastic Security ● Drivers ● Value ○ ○ ○ ○ ワークロード保護と EDR は、同じような結果をもたらします。 しかし、技術、構成、データ量に違いがあります。 セルフサービス型クラウドおよびエンドポイントユーザーの TTV を削減 エンドポイントおよびクラウドのワークロード保護に関する 設定済みのユースケースを理解し、選択できるようにします。 Onboarding Video Standard/Basic Enterprise Platinum Gold OSS GA
Elastic Defend の Guided Onboarding︓ エンドポイント技術詳細 Next Generation Antivirus (NGAV) Malware Prevention Prevent Ransomware Prevent Memory Protection Prevent Attack Surface Reduction Prevent Event Collection Process Only EDR Essential Malware Prevention Prevent Ransomware Prevent Memory Protection Prevent Attack Surface Reduction Prevent Event Collection Process, File, & Network EDR Complete Standard/Basic Enterprise Platinum Gold OSS GA Malware Prevention Prevent Ransomware Prevent Memory Protection Prevent Attack Surface Reduction Prevent Event Collection All events* * オペレーティングシステムにより異なる
エンドポイント向け Elastic Security のユースケース - サイジング
エンドポイント応答
⼀元化されたレスポンス・アクションの履歴 レスポンスアクションの明確な監査を提供 ● Drivers ○ ⼤きな⼒には⼤きな責任が伴う - レスポンスコンソールは 強⼒なツールであり、適切な管理が必要である ● Value ● License level: ○ クラウド - 企業向け ○ セルフマネージメント - エンタープライズ ● 機能のリリース状況 : GA ○ Enterprise 監査インターフェースは、すべてのホストにおけるインシデント 対応活動の完全な記録を提供し、厳重な管理とレポー ティングをサポートします。 GA
技術的詳細 ⼀元化されたレスポンス・アクションの履歴 ● ● ● Enterprise OSS レスポンスアクションの履歴を⼀元管理できるのは Enterprise の 機能 ○ エンドポイント詳細表⽰によるエンドポイント単位の監査は、 プラチナレベルでも利⽤可能です。 セキュリティソリューションの Manage セクションにあります アクションは以下の条件でフィルタリングすることができます。 ○ ホスト名 ○ アクション (分離、解放、プロセス、kill-process、 suspend-process) ○ ステータス (失敗、保留、成功) ○ ⽇付/時間 ○ アクションを実⾏したユーザー GA
サポート ⼀元化されたレスポンス・アクションの履歴 ● リリース時にドキュメンテーションを提供 ● 短期的(今後数リリース以内)には以下のような機能が予定され ています。 ● RBAC コントロール ● ファイル操作 ● ホストアイソレーション レスポンスクイックアクションはプラチナムです。 ● レスポンス・コンソールのエクスペリエンスはエンタープライズ Enterprise OSS GA
エンドポイント プロテクション
Open Protection Artifacts – Yara と Behaviors エンドポイント保護に透明性を持たせることで、不明瞭さによるセキュリティを排除し、 セキュリティチームが リスクを適切に評価し、プログラムを改善することを可能にします ● Drivers ○ 私たちは、オープンで透明であることがユーザーにとって 最良であり、⻑期的には全員のセキュリティを向上させ ると信じています。 ● Value ○ ○ ○ ● 組織は、提供されたルールの適⽤範囲を評価し、⾃ら の保護範囲を評価することができる コミュニティによる導⼊と貢献 組織のセキュリティ態勢が全体的に改善される 機能のリリース状況 : GA
Open Protection Artifacts - 技術的詳細 カスタマーサクセス、セールス、マーケティングの技術チームに役⽴つ情報の特定 ● ● ● ● ● ● Yara Signatures and Endpoint Behavior Protection Rules are now open License - Elastic License 2.0 Repo: https://github.com/elastic/protections-artifacts Mark Dufresne Blog: https://www.elastic.co/blog/continued-leadership-in-open-andtransparent-security Tony Meehan Blog: https://www.elastic.co/blog/heres-why-i-know-open-security-is-ourbest-defense Santosh Krishnan Blog: https://www.elastic.co/blog/why-the-best-kind-of-cybersecurity-isopen-security
悪意のある⾏動の防⽌ - カバレッジ 挙動不審防⽌ルールは、スタックリリースから帯域外のアップデートです。最新の情報は open repo をご覧ください。 Platinum OSS GA
osquery による エンドポイント調査
Osquery API(オスクエリー・エーピーアイ) ● ● ● ● ● Drivers ○ フル機能の API で osquery の完全⾃動化を 可能にする Value ○ osquery のアクションを⾃動化したいお客様や パートナー様に有益です。 ○ 使⽤例︓SOAR 機能のライセンスレベル︓osquery 機能のミラーリング 機能のリリース状況 : GA API Documentation
Osquery ルールアクション ● ● ● Drivers ○ 検出ルールから osquery で定義された アクションの完全⾃動化を可能にします。 Value ○ 重要なセキュリティデータ収集フォームの ⾃動化による MTTR の削減 ○ ユースケース例︓SOAR Notes: ○ テクニカルプレビュー ○ デフォルトでオン Platinum OSS Tech Preview
ケースで⾒る Osquery ● Drivers ユーザーは、案件をレビューする際に、調査結果 をすぐに利⽤できる必要があります。 また、監査やトレーニングのために、ケースに添付 された完全な調査履歴が必要です。 ○ ○ ● Value Standard/Basic Enterprise Platinum Gold OSS ○ すべての調査結果をケースビューで直接提供する ことで、MTTR を短縮します。 GA
Agent/Osquery FDA macOS 対応 ● ● ● Drivers ○ mac OSで保護されたテーブルを照会するには、 FDA(Full Disk Access)が必要です。 Value ○ ユーザーは macOS 上で完全なスレットハントを 実⾏することができます。 Notes: ○ FDA は Agent に提供され、Osquery は FDA を継承する。 ○ ユーザが⼿動でアクセス権を付与することができる。 ○ MDM (例︓JAMF) を利⽤することで、FDA を ⼿動で付与することができる。 Standard/Basic Enterprise Platinum Gold OSS GA
エンドポイント パフォーマンスと トラブルシューティング
エンドポイントパフォーマンス ● Drivers ○ ● ● CPU やメモリの使⽤率など、パフォーマンスは まだ望むところではありません。 ○ しかし、統計情報を継続的に監視し、システ ムパフォーマンスへの影響について報告された 問題に対処します。 ○ 現在の数値 : ᐨ CPU: 平均 1-5% ᐨ Memory: 100-500MB の間 機能のライセンスレベル Basic/Standard 機能のリリース状況 GA ●Performance OKR: ○ CPU︓95%のエンドポイントで2%CPU未満 ○メモリ︓500MB以下(90%のエンドポイントに おいて)
エンドポイントパフォーマンス
Details フリートマネージドエージェントの8.5倍は5万エージェント At 50K agent scale Fleet / Agent スケール ● ユーザーがエージェントを登録することができます ● 代理店の登録を解除することができます。 ● エージェントのアップグレード ● 代理店ポリシーの更新 ● ユーザーによる統合の更新 ● 統合ポリシーの更新 注︓エージェントとフリートスケールの詳細については、 プラットフォームイネーブルメントにご参加ください。 Agent と Fleet Scale の詳細については、 Platform Enablement にご参加ください。
Threat Intelligence
⼀元化された実⽤的な脅威のインテリジェンス 有効化されたすべての Threat Intelligence フィードからの出⼒を⼀元的に表⽰ ● ● Drivers ○ セキュリティソリューションにスレットインテリジェンス機 能を導⼊する Value ○ 脅威インテルと SOC のアナリストに、検索、ソート、 フィルタなどのツールを使⽤して、外部の脅威インテリ ジェンスデータにアクセスし、分析する⽅法を提供し ます。 ○ IoC をタイムラインで簡単に調査し、環境内で⼀致 するものを⾒つけることができます。 ● ライセンスレベル : Enterprise ● 機能のリリース状況 : GA
技術的詳細 ● Threat Intelligence モジュールの前提条件 ○ ユーザーは、1つ以上の TI フィードを有効にしているか、 ○ ○ ○ 他の⼿段でインジケーターデータを取り込んでいる必要が あります。 IoC ドキュメントは、Kibana の securitySolution:defaultIndex 設定で指定された インデックスの⼀部である必要があります。 指標⽂書が ECS スキーマに適合していること。 バージョン 8.0 以前の Filebeat の統合はサポートされ ていません。
Data Integrations
セキュリティ・インテグレーション 8.5 との新しい統合 ● Abuse.ch - ThreatFox ● AWS Security Hub ● Barracuda CloudGen ● Box ● Cisco Aironet ● Cloudflare Log Push ● Cyberark PTA ● Darktrace ● Infoblox BloxOne DDI ● Ping Identity PingOne ● LastPass ● Microsoft Azure WAF ● Trend Micro Vision One
Detection Engineering Workflows
ルール(アクションとスケジュール)の⼀括編集 ● Drivers: ● Value: ● ● ● ライセンスレベル : Standard/Basic リリース状況 : GA 既知の問題点 : None ○ ○ ○ ほとんどの組織で多数のルールが存在する Elastic のビルド済みルールを使うにせよ、独⾃のルールセット を管理するにせよ、グループ全体に適⽤できる迅速な⼀括アク ションが不可⽋です。 バルク・ルール・アクションには、ルール・スケジュールやルール・ア クションなどの機能が追加され続けています。
保存されたクエリーのUXの更新 ● Drivers: ○ ○ ● Value: ○ ○ ● ● ● ルール作成時に保存された以前のクエリのワークフローでは、ク エリが変更された場合に誤解を招く動作が発⽣する可能性が あります。 ユーザーは、保存されたクエリが変更されても持続することを期 待しているかもしれませんし、以前のクエリから新しいルールを 開始したいだけかもしれません。 ユーザーがこのトグルを有効にすると、フィルターやクエリーの⼊ ⼒に対してユーザーが⾏ったすべての更新が却下されます。ク エリは、各ルールの実⾏中に動的にロードされます。 これらの設定は、ルールの詳細ページで利⽤でき、保存された クエリルールに対してより⼀貫したエクスペリエンスを提供します。 ライセンスレベル : Standard/Basic リリース状況 : GA 既知の問題点 : None
その他のバリューリスト例外 ● Drivers: ● Value: ● ● ● ライセンスレベル : Standard/Basic リリース状況 : GA 既知の問題点 : None ○ ○ ○ ○ ○ 多くの組織において、ルールの例外は⾮常に⼀般的である。 特異な調査ワークフローに含まれない例外は、組織に関する良性の側⾯を表す、あらかじめ考えられたリストになる傾向がある。 値の例外リスト (<65k) がすべてのルールタイプでサポートされるようになりました。 より⼤きな値リスト (>65k) は、Query、Saved Query、ML、および Threat match ルールタイプにのみ使⽤可能です。 注: 値リストは、キーワード、IP 値、または IP 範囲*タイプのリストとして定義されます (テキストタイプではありません)。
ルールプレビューの更新 ● Drivers: ● Value: ● ● ● ライセンスレベル : Standard/Basic リリース状況 : GA 既知の問題点 : None ○ ○ ○ ノイズや偽陽性を評価するためのルールのプレビューは、 ルール作成のワークフローにおいて検出エンジニアにとって 強⼒なツールとなります。 この機能の開発を継続し、ルールプレビュー機能に例外 とフィールドのオーバーライドを追加しました。 さらに、ルール作成フロー中、いつでもプレビューを利⽤で きるように、よりアクセスしやすくしました。
Run Rules Now! (アドホック・ルール・ラン) ● Drivers: ● Value: ○ ルールのプレビューは素晴らしいが、アナリスト が実際に今すぐルールを実⾏し、トリアージ や調査のためにアラートを利⽤したいと思う こともある。 ○ 検知エンジニアやアナリストは、ルールを無効 化/有効化したり、設定を変更したりすること なく、いつでもルールを実⾏することができま す。 ルールのテスト/デバッグ時や、アクティブな 調査時に有効です。 ライセンスレベル : Standard/Basic ○ ● ● ● リリース状況 : GA 既知の問題点 : 注︓この機能を使⽤するには、 ユーザーが Stack Management -> Rules and Connectors にアクセスし、ルールを有効化 する必要があります。
Pre-built security content
新しい調査ガイド 調査に関する専⾨的なアドバイスの提供 ● ● ● Description: MTTD の低減に役⽴つガイド付き 事前構築ルールのカバー率を向上させるための継続的 な取り組み Technical Details: ○ トップ有効/警告ルールに対応した新しいガイド (Win、Linux、クロスプラットフォーム) ○ OOTB in 8.5: 178の堅牢な調査ガイドと22の 短い調査ポインターガイドを追加。 ○ has_guide タグによる調査ガイドでルールを⾒つ けやすい。 Known Issues: なし Standard/Basic Enterprise Platinum Gold OSS GA
検出ルール : WindowsとLinux ● Description: エンドポイントOSの新しい検出ルール ● Technical Details: 以下の MITRE ATT&CK の技術に着⽬した、 14 の新しい 検出ルール : ○ ○ ○ ● T1053 - Scheduled task/job T1569 - System services T1110 - Brute force Known Issues: なし Standard/Basic Enterprise Platinum Gold OSS GA
検出ルール : クラウドワークロードの保護 ● Description: CWP - 新しい検出ルールの開発とチューニング ● Technical Details: 複数の戦術・技術にまたがる : ○ 4つの新しいKubernetesルールと1つの包括的なルール チューニング ○ 8つの新しいGoogle Workspaceルールと2つのルール チューニング ○ 4つの新しいLinuxルール ● Known Issues: なし Standard/Basic Enterprise Platinum Gold OSS GA
Appendix
セキュリティソリューション - 8.5機能概要 特⻑ サブスクリプション層 説明 (クラウド/セルフ マネージド) ステータス ビジネスバリュー Platinum / Platinum Generally Available アラートなどの調査結果を Case にエスカレーションした Elastic User Profiles を利⽤することで、インシデント ユーザーは、その Case をチームメンバーに割り当てること 対応時の組織間の連携やコラボレーションをより効果的に ができるようになりました。 ⾏うことができます。 アラートによるエンティティの詳細 Standard / Basic Generally Available セキュリティソリューションの単⼀エンティティ(ホスト、ユー アラートを調査するための迅速なピボットポイントと、該当 ザーなど)を表⽰する際、関連するアラートをすぐに確認 するエンティティに対する⾃然な優先順位付けを提供しま できるようになりました。 す。 アラート理由と調査ピボッティング Standard / Basic Generally Available アラートの理由には、置換された各フィールドのホバーアク イベントレンダリングは、1つのログ(イベント)を読むため ションを持つ単⼀のアラートを読み取るための(イベントレ のトークン化された⽅法で、ホバー操作によりタイムライン ンダリングのような)トークン化されたメソッドが含まれます。 に簡単にピボッティングして調査することができます。 オートチューンアナライザー Standard / Basic Generally Available Analyzer は、プロセスツリー全体を正確に表⽰するため グラフが⾃動的に正しい時刻をレンダリングし、プロセスツ に時間を⾃動調整します。 リー全体を表⽰するため、ユーザーはAnalyzerで⼀貫し た体験をすることができます。 案件アサインメント
Transfer of Information 8.5 Platform (Stack and Cloud)
AWS Marketplace のワンクリックオンボーディングを開始 What: • AWS とのパートナーシップを継続し、マーケットプレイスの 新規顧客のサインアップエクスペリエンスを簡素化 • ユーザーは数回のクリックで、AWS から直接 Elastic に サインアップできる • AWS CloudFormation (CFT) と Elastic Agent を 使うことで、ワンクリックでデプロイメントを作成し、データの 取り込みが可能となり、 初期設定が簡略化 Why: • これまで、マーケットプレイスのサインアップフローは、複数の コンソールにまたがっていくつものステップを踏んでいた • 新しいシンプルな UX は、ユーザーが素早く Elastic に 登録・デプロイできるようにガイドし、以前の複雑さを軽減 Next steps: • マーケットプレイスの KPI を監視し、インパクトを把握 • CloudFormation のさらなる可能性を追求
ガイド付きオンボーディング - 初期リリース What: 今後、ユーザーが Kibana にアクセスすると、ソリューションを選 択するよう求められます。これにより、ソリューションツアーが開始 され、ユーザーがソリューションに精通するのに役⽴ちます。 Why: これは、8.6 で提供することを⽬標としている、ユースケースに 基づいたガイド付きセットアップの前段階です。このフレームワーク から構築し、将来的にはユースケースに移⾏して、ユーザーが データを追加して製品を設定するためのガイド付きセットアップを 体験できるようにする予定です。 Next steps: • 初期解析のレビュー : ‒ 40% のユーザーが最初にガイドを選択 ‒ 70%が検索、28%が観察可能、6%がセキュリティ ‒ ~30% がスキップすることを選択 • ユースケースに合わせたセットアップのための継続的な開発
Kibana のホスティングデモ環境へのアクセス What: Kibana のサンプルデータページから、ライブデモ環境へ簡単にア クセスできるようになりました。ライブストリーミングデータで Elastic がどのような機能を持つのか、簡単に確認できるように なりました。 Why: サンプルデータのパッケージは、トライアルユーザーに⼈気がありま す。しかし、私たちのサンプルデータセットは古く、時代遅れです。 それを維持するのは容易なことではなく、かなりのエンジニアリング 努⼒が必要です。デモ環境は、パワフルで包括的な Elastic の インスタンスを素早くユーザーに提供し、当社のソリューションと機 能の価値をユーザーに⽰すことができます。. Next steps: • 解析結果を確認する • データセットを追加する︓検索 • ガイドツアーの提供 • デモギャラリーの候補を探索する(例 Airtable)
ESS のデプロイメントのヘルスレポートを改善 What: Elasticsearch health API を使⽤したクラウドでのデプロイ メントヘルスレポートのエクスペリエンスを改善しました。 Why: クラスタが不健全になったときにユーザーに提供する情報を改善 することで、クラスタの平均復旧時間を短縮し、お客様のセルフ サービスを⽀援し、サポートの負担を軽減することができます。 Details: • ES Health API との統合(8.4+のデプロイメントのみ • クラウド上のヘルス計算を簡素化し、API を利⽤できる ようにします。 • 将来的に、他のコンポーネントやクラウド固有の指標に 対する全体的な健全性レポートを改善するための道を 開きます。
トライアルユーザー向けの価格明確化 消費の⼀部 - コアテーマ What: 課⾦ UI を更新し、試⽤版のお客様が消費の仕組みと試⽤版導⼊にかか る費⽤を理解しやすくしました。 Why: 試⽤期間中、お客様は次のようなことに悩まされるかもしれません。 ● トライアル終了時に発⽣する可能性のある料⾦の表⽰と理解 ● トライアル体験を向上させるために、展開と価格に関する情報を活⽤ する。 ● トライアル終了前にコンバージョンが必要なタイミングを理解する Details: ● トライアルバッジを更新し、トライアルサマリーモーダルを表⽰するようにし ました。 ● トライアルサマリーから、デプロイの編集、詳細な使⽤データの確認、価 格計算機の表⽰、チェックアウトのフローに移動できます。 GA Gold Platinum Enterprise
プロビジョニングの強化 消費の⼀部 - コアテーマ What: 組織の課⾦概要タブで ECU を有効にするためのコードを使⽤します。 Why: ● クレジットの誤使⽤は、最もよくあるお客様の問題の⼀つです。これは、 お客様が年間契約を締結した際に、間違った組織にクレジットが追加 された場合に起こります。 ● このようなお客様の問題を解決するには、時間がかかり、複数のチーム との連携が必要です。 Details: ● ECU クレジットのアクティベート(有効化)が、課⾦ページ内の「概要」 タブで⾏えるようになりました。 ● コードは1回限りの GUID で、年間契約時に⾃動的に電⼦メールで 送信されます。 GA Standard/Basic Gold Platinum Enterprise
リセラーサポート 消費の⼀部 - コアテーマ What: リセラーをサポートする Automated Consumption を追加しました。 Why: • リセラーが Elastic Prepaid Consumption を販売できるように なります。 Details: • Enhanced Provisioning を使⽤して、リセラーの顧客に対して クレジットを有効にします。 • • これまでの利⽤額制限を撤廃(最低5万ドル) GA リセラーへの請求時に顧客から価格を隠すことができます。 Gold Platinum Enterprise
TSDB TSID でシャードへのルーティング TSID とタイムスタンプでソートする TSID: 1 TSID: 2 Shard-1 TSID: 3 Shard-2 Shard-3 TSID: 4 TSID: 5 Dimensions Timestamp Metrics Dimensions Timestamp Metrics 時系列で繰り返されるディメンション値 データストリームのインデックス間に 時間的な重なりがないこと データストリーム 遅れて到着した 新規データを ドキュメントのみ 読み取り専⽤ 受け付ける を受け⼊れる インデックス インデックス インデックス 時間 Standard/Basic Enterprise Platinum Gold OSS Dimensions Timestamp Metrics Tim e Dimensions Dimensions Timestamp Timestamp Metrics Metrics TechBeta Preview GA 読み取り専⽤ インデックス ~インデックスサイズを約30%削減 ●マイレージはインデックスごとに異なる場合があります ●時系列でのデリバティブ分析が可能
ダウンサンプリング TSDB ベースの ● ILM アクションとしてのダウンサンプリング ● ダウンサンプリングされたインデックスをダウンサンプリング ● 簡単な設定と管理 - TSDB に基づく ● Lens、TSVB、Agg-based vis、Timelionで完全にサポートされています。 ● データストリームを通じたクエリ ○ 複数のダウンサンプリングインデックスと⽣インデックスをまとめて ○ データストリームを簡単にクエリ The actual metric (gauge) The raw metrics doc - already samples Downsampled - statistical representation , ax nt , M ou Min m, C Su lim➜∞ docs Standard/Basic Enterprise Platinum Gold OSS TechBeta Preview GA 27 docs 3 docs
HNSW ベースのベクトル類似度 GA! ● スケールアップしても低いクエリレイテンシー ● トラディショナルとの融合 (リニアコンビネーション) ● フィルタリング(最適化!) BM25F ● 集計をサポートした_searchで Standard/Basic Enterprise Platinum Gold OSS GA ? = >
Elastic プラットフォームのユーザーの導⼊ MVP︓ユーザー検索 UX を完成させたケース課題 ● ケースの割り当て ● ユーザーファーストのコラボレーションワークフロー ● まだまだ続く... ● オートコンプリート、アバター、RBAC を備えた完全な ユーザー検索 UX ● すべての Kibana ユーザーを含む: 内部 (ネイティブ) と外部 (SSO) GA Platinum
機械学習のお知らせページ すべての ML 資産に対する新しい⼀元化された通知 ● 複数の ML ジョブを実⾏すると、通知に 気づかないことがある ● 全ての ML ジョブの通知を⼀元管理 ● 重要度や種類でフィルタリング Platinum OSS GA
事例で⾒る異常検知の可視化 Cases で異常を可視化する ● ● Platinum OSS ケース内の異常の表⽰ ケースに埋め込み可能な異常検知の ビジュアルを追加し、共有できます。 GA
Lens で ML ジョブを作成する - 簡易版 Lens から直接 Anomaly Detection ジョブを作成可能 ● Lens fly out から直接 Anomaly Detection ジョブを作成できるように なりました。 ● ML ウィザードへのドロップが不要に ● Anomaly Detection ジョブを作成 する際の障壁がさらに減少します。 Platinum OSS GA
AIOps - ログパターン解析 オンデマンドログサマリ ● ● ● Platinum OSS ⾮構造化ログメッセージからパターンを 発⾒する 類似したメッセージは、ML 分類と同じ アルゴリズムでグループ化される パターンフィルタでパターンをドリルダウン し、Discover に戻す TechBeta GA Preview
Log Rate Spike のグループ化について説明 頻出項⽬集計によるグループ化 ● ● Platinum OSS 「ログレートのスパイクを説明する」の新しい グループ化オプション スパイクの根本的な原因に焦点を当てる ために、頻出項⽬の集計を利⽤します。 TechBeta GA Preview
データビューを保存せずに使⽤する データビューを作成することなく、データを探索することが可能 Why より速く開始し、混乱を防ぐことができます。1つのビジュアライゼーション に、カスタムデータビューフォーマットやインデックスパターンのユニークな 選択が必要な場合があります。 ソリューションチームは、プラットフォームアプリケーションの経験をより簡単 に統合することができます。 Details ● データビューの作成」メニューに、ローカルに保存されたデータ ビューをビジュアライゼーションで使⽤できるオプションが追加され ました。 Standard/Basic Enterprise Platinum Gold OSS GA
Lens におけるクエリベースのアノテーション 任意の時系列にイベントを重ね合わせる Why 時系列の可視化にイベントを重ね合わせることで、根本的な 原因を把握することができます。 Details ● 複数のデータビューから簡単にアノテーションを重ねられる (Elasticの新機能)。 ● レンズアノテーションのオーバーラップアノテーションのサ ポートが強化されました。 ● Elastic のスタイルオプションが増えました。 Standard/Basic Enterprise Platinum Gold OSS TechBeta Preview GA Give us feedback! #kibana-visualizations or #event-annotations-wg
ダッシュボードのタイムスライダー 時間軸で再⽣・スクラビングが可能なダッシュボードコントロール Why ⾝近で優れた時間フィルタリング機能を、より広い⾮空間的⽂ 脈で実現する。時系列データを持つユーザーから過去に何度か 要望があった。 Details ● ● 少ないクリック数で時間を刻む 曲や映画を再⽣するように⾝近に感じられる時間操作 Standard/Basic Enterprise Platinum Gold OSS GA
インレンズ⽐率のグラフタイプで折りたたむ 指標をより良くまとめるために便利な2段階計算 Why Lens で利⽤可能な⼀連の可視化オプションに、特定の統合 ダッシュボード固有の計算を導⼊します。レガシーな視覚化 (TSVB)から乗り換えるもう⼀つの理由 Details ● 正しい最後の値を取得するために分解し、それらを要約 し、結果を可視化するために何か他のもので分解します。 ● これを設定するための、よりシンプルなエクスペリエンスを 提供する ESQL のためのストップギャップ Standard/Basic Enterprise Platinum Gold OSS GA
アナリティクスの⼩さな注⽬株 ● ● ● ● ● ● Discover🚀 でヒストグラムのサイズを変更する Discover🚀 でのフィールドリストのパフォーマンス向上 ダッシュボードでパネルレベルのフィルタを表⽰ マップのツールチップを⾮表⽰に レンズ テーブルでのクリックによる直接のフィルタリング レンズでの可視化レイヤーの複製 Standard/Basic Enterprise Platinum Gold OSS GA
Elasticsearch - Datastore
Elasticsearch
Datastore 8.5
ディスク使⽤状況インジケーター
GET /_internal/_health/disk
Status
意味
RED
データノード︓少なくとも1つのノードでディスクの容量が不⾜しており、このため書き
込みがブロックされています。
その他のノード︓ディスクの容量が不⾜しており、それが問題を引き起こす可能性
があります。
●
●
●
新しいHealth API指標
YELLOW
少なくとも1つのノードでディスク使⽤量が増加しています。
GREEN
すべて良好です。
UNKNOWN
ノードのディスク使⽤量を取得できません。
フィールド API のソースフォールバック
ILM の安定性
Standard/Basic
"disk": {
"status": "red",
"symptom": "2 indices are not allowed to be updated because 1 node is out of disk or running low on disk space.",
"details": {
"blocked_indices": 2,
"green_nodes": 1,
"unknown_nodes": 0,
"yellow_nodes": 0,
"red_nodes": 1
},
"impacts": [
{
"id": "elasticsearch:health:disk:impact:ingest_capability_unavailable",
"severity": 1,
"description": "Cannot insert or update documents in the affected indices [.geoip_databases, test_index].",
"impact_areas": [
"ingest"
]
},
{
"id": "elasticsearch:health:disk:impact:cluster_stability_at_risk",
"severity": 2,
"description": "Cluster stability might be impaired.",
"impact_areas": [
"deployment_management"
]
}
]
Experimental
https://www.elastic.co/guide/en/elasticsearch/reference/8.5/health-api.html
Elasticsearch Datastore 8.5 ● 新しいHealth API指標 ● ● フィールド API のソースフォールバック ILM の安定性 Standard/Basi c GA 問題点... 現在、Painless の Fields API の⼀部として利⽤できる すべてのフィールドは、ユーザーのためにスクリプトでデータを 取得するために、doc 値の存在に依存しています。 解決策... doc の値がないときに _source から値を読み取ること を許可する。 これはエンドユーザにとって透明であり、2つのアプローチの どちらを使⽤するか気にする必要はありません。
Elasticsearch Datastore 8.5 ● 新しいHealth API指標 ● フィールド API のソースフォールバック ● ILM の安定性 問題点... 例えば、年齢ベースのロールオーバー(つまり1⽇ごと) で IL Mを使⽤するように設定されたビートが(何らかの 理由で)データの送信を停⽌した場合。 ILM 、その年齢に基づいて(つまり毎⽇)インデックスを ロールオーバーし続け、期間ごとに(つまり1⽇ごとに) 空のインデックスを作成します。 最⼤シャードの制限に達することで発現。 解決策... インデックスにドキュメントがない場合、フェーズが “min_age ”をショートすることを許可します。 ロールオーバーアクションは、インデックスに少なくとも 1つのドキュメントがある場合にのみ実⾏されます。 https://www.elastic.co/guide/en/elasticsearch/reference/master/ release-highlights.html#ilm_no_longer_rolls_over_empty_indices Standard/Basi c GA
Atlassian TEAM TOUR TOKYO 2022 https://events.atlassian.com/teamtourtokyo2022 登壇予定は… 11/17 14:15 - 15:00 ⾒えない未来の舵を取る – ITと社会が融合 する時代のプロダクトリーダーシップ 株式会社EventHub 葛巻 真⼀ ⽒ 三重県 ⽥中 淳⼀ ⽒ Elasticsearch株式会社 鈴⽊ 章太郎 ⽒
.NETラボ 勉強会 2022年11⽉ C# Tokyo 合同イベント https://dotnetlab.connpass.com/event/264192/ 11/26 14:45 - 15:15 .NET MAUI for .NET 7 で iOS/Android アプリを開発して みよう --15:25-16:25 .NET 7 テーブルトーク
ElasticON Tokyo @ Westin Hotels & Resorts Tokyo (2022/11/30) https://ela.st/icon-tokyo-2022 登壇予定は… 14:10 - 14:40 Azure Container Apps と Elastic Cloud で作るマイクロサービスのオブザーバビリティ環境 --16:50 - 17:20 Elastic と AWS で実現するクラウドネイティブ アプリケーションの⾼い可視性
Thank you for your attention!