>100 Views
August 27, 20
スライド概要
Elastic Meetup vol. 37 2020.8.27
FPT ジャパン エグゼクティブエバンジェリスト 独立行政法人 国立印刷局 デジタル統括アドバイザー兼最高情報セキュリティアドバイザー Microsoft で13年間、テクニカルエバンジェリストとして .NET、C#、Visual Studio、Windows、iOS、Android、Microsoft Azure 等の開発者向け技術啓発活動 (DevRel) 。Dell、Accenture、Elastic、VMware 等での DevRel 後、2024年11月1日より現職で DevRel 活動を開始。NVIDIA との戦略的協業 AI GPU クラウド、Azure/AWS/GC 上の AI &データ関連サービスのマーケティング、プリセールス、教育、関連新規サービス開発。元内閣官房 IT 総合戦略室 政府 CIO 補佐官(兼務)、元デジタル庁 ソリューションアーキテクト(兼務)。
Elastic Stack & Cloud 7.9 概要ご紹介 鈴⽊ 章太郎 テクニカルプロダクトマーケティングマネージャ/エバンジェリスト
Shotaro Suzuki Elastic Technical Product Marketing Manager/Evangelist 内閣官房 IT 総合戦略室 政府 CIO 補佐官 元 Microsoft Technical Evangelist Twitter : @shosuz
3 Solutions. 1 Stack. Deploy Anywhere 3 つのソリューション Elastic エンタープライズサーチ Elastic オブザーバビリティ Elastic セキュリティ Kibana Elastic スタックで実現 Elasticsearch Beats 豊富なデプロイ選択肢 Elastic Cloud SaaS Logstash Elastic Cloud Enterprise Elastic Cloud on Kubernetes オーケストレーション
エンタープライズサーチ、オブザーバビリティ、セキュリティの 各 Elastic ソリューションに多彩な新機能が登場 Elastic ソリューションは Elasticsearch、Kibana、Logstash、Beats で構成される Elastic Stack ベース 7.9 リリースは市場に画期的な新機能を投下 Elastic Stack へのデータ投⼊ ⽅法を⼤きく変える Elastic Agent が登場 Elastic エンタープライズ Elastic セキュリティでは サーチの Elastic Workplace 無料プランで使えるエンド Search が新たに無料プラン ポイントセキュリティを で提供開始 ベータリリース ※ Elastic Stack に直接統合された マルウェア防御機能
Elastic Stack と各種ソリューションのデプロイ に最適な Elastic Cloud も継続的な進化 • AWS PrivateLink 接続のサポートを開始 • FedRAMP Moderate 認証への対応 • 購⼊オプションのシンプル化 • 3つのサポートリージョンを新たに追加 • Elastic 7.9 の新機能はどこでも今すぐ使える • Elasticが提供する唯⼀のマネージドサービス Elastic Cloud • Elastic Stack (ダウンロード) • Elastic Cloud Enterprise や Elastic Cloud for Kubernetes (セルフマネージドでオンプレでもパブリッククラウドでも)
7.9に追加された新機能 詳細は各ソリューションやプロダクトの個別のブログ記事を参照して下さい Elastic のソリューション Elasticエンタープライズサーチ7.9.0の最新情報(ブログ記事) Elasticオブザーバビリティ7.9.0の最新情報(ブログ記事) Elasticセキュリティ7.9.0の最新情報(ブログ記事) • Elastic Stack Elasticsearch7.9.0の最新情報(ブログ記事) Kibana7.9.0の最新情報(ブログ記事) • Elastic Cloud Elastic Cloud 7.9の最新情報(ブログ記事) •
Elastic Enterprise Search 7.9
Elastic Enterprise Search の Workplace Search 無料プランで導⼊可能に • • • • Google Drive, Gmail, Salesforce, SharePoint, Jira をはじめ、幅広いコンテンツプラット フォームを⼀元化してチームの⽣産性を ⾼め、組織向けにパーソナライズされた 検索エクスペリエンスを実現 無料プランには、サポート対象の全コン テンツソースに対応する各種コネクター、 独⾃コネクターを作成するためのカスタ ム API へのアクセス、グループとユーザー 管理機能、最新のユーザーエクスペリエ ンスを叶える検索構築⽤ツールを含む プラチナまたはエンタープライズサブス クリプションでご利⽤の場合追加機能が 提供 Elastic Cloud はもとより Elastic Stackを使う ⾃社インフラに、セルフマネージドオプ ションでデプロイ可能 Add screenshot
Kibana で⾒る Elastic Enterprise Search Elastic Stack への開かれた窓 • • • • • Kibana で Elastic エンタープライズ サーチを操作できるようになった App Search と Workplace Search をお なじみの画⾯で簡単に操作できる Kibana の管理者は space をカスタマ イズして、メインのナビゲーショ ンメニューで Elastic エンタープラ イズサーチの表⽰/⾮表⽰を指定で きる App Search ユーザーは Kibanaで全て の検索エンジンとメタエンジンに アクセスできる Workplace Search ユーザーは、 Kibana からユーザー管理とコンテ ンツソース同期ツールにアクセス できる Add screenshot
Gmailのサポートを開始 Workplace Search Elastic Stack への開かれた窓 • 7.9よりWorkplace Search はコネ クターとして Gmail のサポート を開始 • Gmail ユーザーは、すっきりし たビジュアルで直感的な操作性 を備えた Workplace Search の ユーザーインターフェースで メールを検索したり、検索結果 を他の広範なコンテンツソース と並べて表⽰できる Add screenshot
スケーリングの⾼度な制御・⾃動化と ソースアクティビティログの新たなインサイト • • Elastic Stack のインデックスライフサイクル管理(ILM)ポリシーが App Search と Workplace Search にも組み込まれている ユーザーは ILM ポリシーを設定し独⾃の要件に沿ってインデックス (エンジン)管理を⾃動化できる (設定可能ポリシー例) • 事前定義したサイズに達したときに新規のインデックスを作成する • 1⽇、あるいは1週間、1か⽉単位でインデックスを作成またはアーカイブする • データ保持ルールに基づいてインデックスを削除する • ILM ポリシーは、App Search 内で直接作成、および管理
Kibana 7.9
Kibana ページの読み込み速度が 向上、すばやい操作と⾃然なワーク フローをサポート Kibana の全ての基盤アーキテクチャーを移⾏ • • この18か⽉以上、Kibana の中⼼となるエン ジンのオーバーホールを実施 Kibana の操作エクスペリエンスが劇的に⾼ 速化 • • • APM からダッシュボードへ、さらにマッ プへ、SIEM へと、瞬時に画⾯を切替 ミッションクリティカルなシステムのサ ポートや、セキュリティ脅威からの防御、 データ分析など、あらゆる作業でユー ザーの集中⼒を妨げない Kibana の開発コミュニティにとっても⼤き な進展 • • 各種機能をより早く実⾏できる性能 のおかげで開発作業効率が向上 結果的に⾼品質のコードを⽣み出す ことが可能 Add screenshot
Dashboards 基になるデータ アクションの探索 • パネルのコンテキストメニューのアクション は、インデックスパターン、フィルタ、クエ リ、および時間範囲を使⽤して検出に移動 • チャートアクションでは、トリガーイベント によって作成されたフィルタと時間範囲も適 ⽤される
Dashboards 基になるデータ アクションの探索 • 単⼀のインデックスパターンに 基づいてすべてのビジュアライ ゼーションで使⽤可能 • パネルのコンテキストメニュー から常にアクセス可能 • オプションで、kibana.yml 設定 を介してチャート内コンテキス トメニューとして利⽤ 可能 Add screenshot
Dashboards Kibana の埋め込み:iframe 構成 • Kibana 埋め込み時のユーザー の価値の拡⼤ • タイムピッカー、フィルター、 Add screenshot 検索バーがあり/なしのアプ リに iFrame を埋め込み可能
Kibana Lens レンズは複数の Y 軸を取得 • 1つのグラフ、複数の データスケール Add screenshot
Kibana Lens Y軸カラーセレクタ: • ユーザーの設定に基づいて グラフをカスタマイズする Add screenshot
Kibana Lens レンズのフィッティング機能: • Kibana で初めてより正確 に疎なデータを視覚化 • ユーザーはデータの ギャップを視覚化する ⽅法を構成できる Add screenshot
Canvas Canvas 変数 • キャンバスユーザーの ための膨⼤な時間の節約 • データのブランディング を⾮常に簡単にする Add screenshot
Alerting ServiceNow の警告アクション • ⾼度な統合 • Elastic Stack を今以上に 運⽤系アプリケーションの 中⼼的な部分にし続ける
Elasticsearch 7.9
Elasticsearch 7.9 ̶ Release Overview The Heart of the Elastic Stack • 主要な検索機能と分析機能の改善 ‒ ‒ ‒ ‒ ‒ • クラスター管理機能 ‒ ‒ ‒ • ワイルドカード データ型 可変幅ヒストグラム ヒストグラム集計 (ヒストグラムデータ型) 集計の正規化 パーセンタイル集約の移動 時系列データを簡単に作成するデータストリーム ノード パイプライン ビルダー UI の取り込み (更新) 弾性検索⽤ Tableau コネクタ プレビュー: Event Query Language (EQL)
検索効率を⾼めるワイルドカードデータタイプが登場 ⾃分が何を検索しているのか、その半分もわからないという状況 特にオブザーバビリティとセキュリティにまたがるユースケース • ログはスペースのない⻑い⽂字列を含むことがよくあり、標準的な 反復セクションと変化する情報(名前や、期間、IPアドレスな ど)で構成される • このような⽂字列を⾼パフォーマンスかつ⼩サイズのインデックスで 効率的に検索するため、⽂字列を3⽂字のトークンに分割し、 クエリにも同じテクニックを適⽤ • このメソッドを使うと、パフォーマンスを損なうことなく検索でワイルド カードと正規表現をサポートできる • ワイルドカードデータタイプにワイルドカード演算⼦を使うと、検索 対象を⾒つけるまでの所要時間を劇的に短縮 • Elastic セキュリティソリューションを使うアナリストが脅威ハンティン グを実施するなどの場⾯でワイルドカードデータタイプは特に便利
ワイルドカード データ型 どのようにこれを解析するか?
ワイルドカード データ型 トークン化 / 情報の基本単位の定義 Text Quick brown fox Quick brown fox NodeNotConnectedException:[54b_data_2] NodeNotConnectedException 54b_data_2 Keyword Quick brown fox Quick brown fox NodeNotConnectedException:[54b_data_2] NodeNotConnectedException:[54b_data_2]
ワイルドカード データ型 トークン化 / 情報の基本単位の定義 NodeNotConnectedException:[54b_data_2] nod ode den eno not ... a_2 _2] NodeNotConnectedException:[54b_data_2]
Elasticsearch に Event Query Language (EQL)のプレビューが登場 数年来のリクエストに応えて • 「脅威ハンティングとセキュリティ検知のユースケースをサポートする 相関クエリ⾔語を導⼊してほしい」 • 昨年の Endgame の買収に伴い、この⽬的のために設計され、 過酷なテストを経たパワフルな⾔語である Event Query Language(EQL)を Elastic は継承 • EQL は数年にわたって Endgame のソリューションを実⾏し、 エンドポイントで効率的に脅威をブロック • そして今回、7.9で Elastic 最初の EQL をパブリックプレビュー でリリースされ、今後は Elastic セキュリティと Kibana に堅牢な EQL 向け UI を組み込んでいく予定
プレビュー : Event Query Language (EQL) 相関照会⾔語 GET /sec_logs/_eql/search { "query": """ sequence by process.pid with maxspan=1h [ process where process.name == "regsvr32.exe" ] [ file where stringContains(file.name, "scrobj.dll") ] until [ process where event.type == "termination" ] """ }
Elastic Observability 7.9
• Elastic Agent は、ログ、メトリック、エンドポイントセキュ リティデータをはじめ、広範な種類のデータをホストから 収集する⼀元的な⼿法として使⽤可能 • 今後は APM や、他のデータタイプもサポート予定 • エージェントが1つだけになることで、担当者の作業効率の ⼤幅な向上 • Ingest Manager を使って、投⼊プロセスのあらゆる 側⾯を1か所で制御 • 主要なサービスやプラットフォームの統合機能を追加、 管理できる • 今後数回のリリースにわたって100以上の Beats モジュールをポートする予定 • Fleet はデプロイ済みのすべてのエージェントを⼀元的に 管理する管制塔のような機能 • 典型的な組織は、何万ものホストにエージェントをデプロイ • Fleet を使うと、そのようなエージェントを1か所で簡単に 管理できる データ投⼊を シンプルにする Elastic Agent / Ingest Manager / Fleet 7.9でベータリリース
Agent と Ingest Manager で データインジェストがよりシンプルに
アナリストのエクスペリエンスを向上させる ⼀元的な新しいオブザーバビリティ概要ページ Elastic オブザーバビリティの強みの1つ = ログ、メトリック、トレースをデータレイヤーで統合 • データストリームをスムーズに追跡し、スピーディーな平均復旧時間を達成できる 調査ワークフローを実現するには、すべてのデータを単⼀のデータストアに格納 • Kibana のオブザーバビリティ概要ページを刷新し、⼀元的なデータ基盤上で、 可視化レイヤーのさらなる⼀元化を実現 • ログ、メトリック、APM、アップタイムのあらゆるオブザーバビリティデータから重要な 情報を抽出 ‒ エコシステム全体のヘルスを洗練されたビューで表⽰ ‒ ‒ 設定不要ですぐに使いはじめることができる 新規ユーザーによる、あるいは新規のデプロイからのインサイト取得を⾼速化 ‒ プロダクトのアップデートや最新情報を伝えるニュースフィードも表⽰
オープンスタンダードをサポート Elastic APM の OpenTelemetry 統合 Elastic は各種オープンスタンダードをサポート • OpenTracing、Jaeger、W3C Trace-Context、OpenTelemetry 等 • Cloud Native Computing Foundation(CNCF)のサンドボックスプロジェクト • ‒ 現在はベータ段階 ‒ ベンダーニュートラルかつ⾔語固有なエージェントと SDK、API ‒ 監視するアプリから分散トレース、メトリック、ログのデータを収集可能 Elastic APM exporter (ベータ) ‒ OpenTelemetry collector を使ってトレースデータを収集 Elastic 互換のプロトコルに変換し、データを Elastic APM に送付 ‒ 既存の OpenTelemetry 設定に、Elasticのexporter を追加して、わずか数分でデータの探索を開始 ‒
SecOps と DevOps の連携を強化する 50 以上の検知ルール すぐに使える検知ルールがベータ版で登場 • Elastic セキュリティと Elastic オブザーバビリティの結びつきを⼀層強化 • SecOps と DevOps の双⽅のニーズを満たしながら、コラボレーションの機会を提供 • DevOps チームとセキュリティアナリストの双⽅に役⽴つインサイトを抽出できる • 追加のルールをフレキシブルな検知エンジンに追加することも可能 • リソースベースの料⾦体系を採⽤
Elastic Security 7.9
統合型マルウェア防御でエンドポイントへの攻撃を阻⽌ “世界中の組織のセキュリティに貢献する”という取り組みを進展 • 無料のアンチマルウェア機能(ベータ)が Elastic セキュリティに搭載 • シグネチャーレスメソッドで Windows と macOS ホストからくるマルウェア攻撃を防ぐ • Elastic は MITRE ATT&CK® 準拠のルールで Windows、macOS および Linux ホストの脅威を検知する機能を提供
Elastic セキュリティ7.9の統合型ホスト防御による可視化
クラウドセキュリティの強化を⽀援 Elastic セキュリティ7.9 • クラウドインフラ監視のための事前構築済み防御と、IDおよびアクセス管理テクノロ ジーをリリース • ユーザーは ATT&CK® Matrix に準拠した事前構築済みの機械学習ジョブ (⼀般公開)と脅威検知ルール(ベータ)を使って、重要なクラウドインフラと アプリへの攻撃を検知できる
コミュニティ主導のワークフロー強化で 防御、検知、対応を⼀元的に実施 Elastic セキュリティ7.9で複数のワークフローが強化 • ワークフローを使って、アナリストは攻撃に対して効率的にトリアージ、追跡、調査、 対応可能 ‒ ‒ ‒ • 検知とエンドポイントルールに例外を追加する、効率的なワークフローも追加 ‒ • 内蔵型調査ガイドを追加 アナリストが特定のタイプのアラートを開くときにどの質問をすべきかを把握する ガイドに沿ってタイムラインをカスタマイズし、データプレゼンテーションを最適化することで、 インサイトをすばやく取得 誤検知を最⼩化するために⽣じる作業負荷の軽減 IBM Resilient との統合機能も追加 ‒ セキュリティチームや、その他の範囲にわたってインシデントレスポンスワークフローを最適化
データ統合機能の強化でデータ投⼊がよりシンプルに Elastic セキュリティ7.9で複数のホストやクラウドデータソースを新たにサポート • Microsoft Defender ATP • Windows PowerShell • Google G Suite • セキュリティ運⽤のほか、DevSecOps、その他の⼀般的なユースケースまで広くサ ポート • 20以上の⼀般的なネットワークとアプリのセキュリティテクノロジーについて新たにサ ポートを開始
Elastic Cloud for 7.9
クラウドのリリースに関連するテーマ Security & Compliance Deploy Anywhere Streamlined Purchasing FedRAMP, AWS PrivateLink, IP filtering New Regions + ECE 2.6 & ECK 1.2 Self-Service monthly gold/platinum
AWS PrivateLink & IP filtering 共通の infosec request • AWS PrivateLink は AWS の仮想プライベー トクラウド(VPC)と Elastic Cloud の間を プライベートネットワーク接続 • 複数のパブリッククラウドプロバイダー にわたる IP フィルタリングのサポートも 開始 • Elastic Cloud のデプロイへのネットワークアク セスを IP アドレスに基づいて指定や、アドレ スのブロックや、アドレス範囲の指定が可能 • Google アカウントのサポートも導⼊ • わずか数クリックで、既存の Google の ID を 使った Elastic Cloudア カウントへのアクセスを 設定可能 • 個々の資格情報を維持する必要なし
ECE 2.6 & ECK 1.2 セルフマネー ジド向け新機能が登場 - Elastic Cloud Enterprise 2.6 スタックとソリューションのサポート • Elastic Cloud Enterprise 2.6を⼀般公開 • Elastic 社が Elastic Cloud の運営に⽤いるも のと同⼀の機能を使って複数の Elasticsearch クラスターを⼀元的にオーケ ストレーション可能 • 2.6リリースより、Elastic Cloud Enterprise はElastic Cloud Control (ecctl)CLI のサポートを開始 • これにより、最新の Workplace Search 機能 とインプレースの設定変更のサポートを 含む、新しい⼀元的な Elastic Cloud Enterprise の管理が可能 Deploy Lead with Anywhere cloud
ECE 2.6 & ECK 1.2 セルフマネー ジド向け新機能が登場 - Elastic Cloud on Kubernetes 1.2 スタックとソリューションのサポート • Kubernetes で Elasticsearch と Kibana を使う際の セットアップやアップグレード、バックアップ、 スケール、⾼可⽤性、セキュリティまでをシン プル化 • 最新のバージョン1.2で、Elastic エンタープライ ズサーチのデプロイとオーケストレーションを ⼿軽に実⾏可能 • わずか数⾏の YAML config で App Search や Workplace Search のインスタンスを⽴ち上げ、 Elasticsearch クラスターに接続可能 • バージョン1.2では、最新の Beats Custom Resource Definition(CRD)を使⽤して、Filebeat や Metricbeat、Auditbeat など、ECK のデータ シッパーをデプロイ、および管理可能 Deploy Lead with Anywhere cloud
セルフサービス向け⽉々プレミアムサブスクリプションと 新リージョンの登場でよりフレキシブルになった購⼊オプション ⾼速で透明性の⾼い調達 • Elastic Cloud コンソールで直接 ゴールド、およびプラチナの マンスリーサブスクリプション を購⼊できるように改訂 • わずか数クリックで サポート SLA のほか、エンタープライズ サーチ、オブザーバビリティ、 セキュリティのソリューション をはじめとする、Elastic Stack ならではの機能にアクセス可能 Add screenshot Streamlined Purchasing
複数のクラウドサービスプロバイダーで対応リージョン増⼤ 39 + AWS GovCloud AWS Google Cloud Azure • カナダ中部、パリ、ソウルをはじめ、より多くの都市で近距離から Elastic Cloud にアクセスできる • AWS GovCloud リージョン(FedRAMP Moderate 認証 向け)は⼀般提供に移⾏ Deploy Anywhere
Resources
7.9に追加された新機能 各ソリューションやプロダクトの個別のブログ記事 Elastic のソリューション Elasticエンタープライズサーチ7.9.0の最新情報(ブログ記事) Elasticオブザーバビリティ7.9.0の最新情報(ブログ記事) Elasticセキュリティ7.9.0の最新情報(ブログ記事) • Elastic Stack Elasticsearch7.9.0の最新情報(ブログ記事) Kibana7.9.0の最新情報(ブログ記事) • Elastic Cloud Elastic Cloud 7.9の最新情報(ブログ記事) •
Elastic {ON} Observability on Sept. 9th https://www.elastic.co/elasticon/observability/japan-jp
Thank You for your attention!