新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

Cloudflare Zero TrustログとElastic SIEMでセキュリティ分析を強化

2024-02-22

4分で読了
この投稿はEnglish繁體中文한국어简体中文でも表示されます。

本日、Elasticでの新しいCloudflare Zero Trustダッシュボードを発表できることを嬉しく思います。Elasticを使用する共通のお客様は、これらのあらかじめ構築されたダッシュボードを使用して、Zero Trustログを保存、検索、分析することができるようになりました。

Enhancing security analysis with Cloudflare Zero Trust logs and Elastic SIEM

組織がZero Trustアーキテクチャの導入を検討する際、多くのコンポーネントを正しく設定する必要があります。製品に設定ミスがあったり、悪意を持って使用されたり、プロセス中に何らかの形でセキュリティが侵害された場合、データから迅速かつ効率的に知見を得ることができずに、潜在的なセキュリティリスクに企業をさらす可能性があります。

CloudflareのテクノロジーパートナーであるElasticは、アプリケーションをスムーズに稼働させ、サイバー脅威から保護しながら、Cloudflareのお客様が必要なものをより早く見つけることができるよう支援します。Elasticの最高収益責任者であるMark Dodds氏は、「Cloudflareとのコラボレーションにより、ログおよび分析ダッシュボードの展開がさらに容易になったことを嬉しく思います。このパートナーシップは、ElasticのオープンなアプローチとCloudflareの実用的なソリューションを組み合わせたもので、企業の検索、可観測性、セキュリティのデプロイのための分かりやすいツールを提供します」と、説明しています。

ElasticにおけるZero Trustログの価値

この共同ソリューションにより、お客様はLogpushジョブを介してZero TrustログをElasticにシームレスに転送することが簡単にできました。これは、Restful API経由で直接実現することも、AWS S3やGoogle Cloudのような中間ストレージソリューションを通じて実現することもできます。さらに、CloudflareのElasticとの連携機能は、Cloudflareによって生成されたZero Trustログのすべてのカテゴリーを包含するように改善が行われています。

この連携機能によって提供される主な機能を以下に詳しく説明します

  • 包括的な可視性:CloudflareのLogpushをElasticと連携することで、組織はZero Trustに関連するイベントをリアルタイムかつ包括的に見ることができるようになります。これにより、リソースやアプリケーションに誰が、どこから、いつアクセスしているかを詳細に把握することができます。可視性を向上することで、異常な挙動や潜在的なセキュリティ脅威をより効果的に検出し、早期な対応と緩和が可能になります。

  • フィールドの正規化:Zero TrustログからのデータをElasticにまとめることで、Zero Trustログだけでなく他のソースのフィールドも正規化して統一した形式で表示することができます。これにより、検索と分析のプロセスが簡素化されます。正規化により、アラートの作成や、悪意のある、または異常なアクティビティのパターンの特定も容易になります。

  • 効率的な検索と分析:Elasticは強力なデータ検索と分析機能を提供します。ElasticにZero Trustログを入れることで、特定の情報を迅速かつ正確に検索できます。これはセキュリティインシデントの調査、ワークフローの理解、情報に基づいた意思決定を行うために非常に重要です。

  • 相関関係と脅威の検出:Zero Trustデータを他のセキュリティイベントやデータと組み合わせることで、Elasticによる、より深くより効果的な相関関係の検出が可能になります。これは、各データソースを個別に分析することでは気付くことができない可能性のある脅威を検出するために不可欠です。相関関係は、パターン識別と高度な攻撃の検出に役立ちます。

  • 既製のダッシュボード:この連携機能により、主要な指標やパターンを迅速に視覚化できる、すぐに使えるダッシュボードが提供されます。これらのダッシュボードは、セキュリティチームがセキュリティの状態を明確かつ簡潔に可視化するのに役立ちます。この連携機能により、利用者はZero Trustデータセット用に設計された既成のダッシュボードをの利点を利用できますが、独自の可視化を作成することもできます。

ダッシュボードの新機能

この連携の主な特徴の1つは、Zero Trustログの各タイプに専用にカスタマイズされた既成のダッシュボードです。これらのダッシュボードからいくつかをより詳細に取り上げ、可視性の面でどのように役立つかを見てみましょう。

ゲートウェイHTTP

このダッシュボードは、HTTPトラフィックに焦点を当てたもので、CloudflareのセキュアWebゲートウェイを通過するHTTPリクエストを監視、分析することができます。

このダッシュボードでは、トラフィックのパターンを特定し、潜在的な脅威を検出し、ネットワーク内でリソースがどのように使用されているかをより深く理解することができます。

ステージ上のすべての視覚化表現はインタラクティブです。そのため、ダッシュボード全体が有効化されたフィルターに適応し、フィルターはダッシュボード間でピン留めして利用できます。たとえば、アクションを示すドーナツチャートのセクションの1つをクリックすると、その値に自動的にフィルターが適用され、ダッシュボード全体がそれに基づいて更新されます。

CASB

別の視点から説明すると、CASB(クラウドアクセスセキュリティブローカー)ダッシュボードは、ユーザーが利用するクラウドアプリを可視化します。その視覚化は、脅威を効果的に検出することを目的としたもので、リスク管理と規制コンプライアンスに役立ちます。

これらの例は、CloudflareとElasticを連携したダッシュボードによる、Zero Trustの実用的かつ効果的なデータ可視化を示しています。これにより、データに基づいた意思決定を行、行動パターンの特定、脅威に対する積極的な対応が可能になります。これらのダッシュボードで簡単に関連する情報を視覚的に表現できるようになることで、セキュリティ体勢を強化し、Zero Trust環境におけるより効率的なリスク管理が可能になります。

使用開始手順

セットアップと導入は簡単です。CloudflareのダッシュボードまたはAPIを使用して、Elasticに取り込む各データセットに対してすべてのフィールドを有効にしたLogpushジョブを作成します。現在、Elasticに取り込むことができる8つのアカウントスコープのデータセット(アクセス要求、監査ログ、CASBの問題検出機能、DNS、ネットワーク、HTTPを含むゲートウェイログ、Zero Trustセッションログ)が利用可能です。

以下のいずれかの方法で、Elasticの宛先にLogpushのジョブを設定します:

  • HTTPエンドポイントモード:ElasticエージェントがホストするHTTPエンドポイントにCloudflareが直接ログをプッシュします。

  • AWS S3ポーリングモード:CloudflareはS3にデータを書き込み、ElasticエージェントがS3バケットをポーリングしてその内容を一覧表示して新しいファイルを読み取みます。

  • AWS S3 SQSモード:CloudflareはS3にデータを書き込み、データが書き込まれるとS3は新規オブジェクト通知をSQSにプッシュし、続いてElasticエージェントはSQSから通知を受け取るとS3オブジェクトを読み取ります。このモードでは複数のエージェントを使用することができます。

Elasticでこの連携機能を有効にする

  1. Kibanaで、[管理] > [連携] の順に移動します。

  2. 連携の検索バーに「Cloudflare Logpush」と入力します。

  3. 検索結果から「Cloudflare Logpush連携」をクリックします。

  4. 「Cloudflare Logpushの追加」ボタンをクリックして、Cloudflare Logpushの連携を追加します。

  5. HTTPエンドポイント、AWS S3入力、またはGCS入力との連携を有効化します。

  6. AWS S3入力の下には、「AWS S3バケットの使用」と「SQSの使用」の2種類の入力があります。

  7. Cloudflareを、Elasticエージェントにログを送信するように設定します。

今後の展開は?

組織のZero Trustアーキテクチャの採用が進むにつれて、組織のセキュリティ体制を理解することが最重要になっています。ダッシュボードは、可視性、早期検出、効果的な脅威対応を中心とした堅牢なセキュリティ戦略の構築に必要なツールを提供します。データの統合、フィールドの正規化、検索の容易化、カスタムダッシュボードの作成を可能にすることにより、この統合は、セキュリティ体制の強化を目指すサイバーセキュリティチームにとって価値あるアセットになります。

Cloudflareのお客様と当社のテクノロジーパートナーコミュニティをつなぎ、Zero Trustアーキテクチャの導入を支援できることを楽しみにしています。

この新しい連携機能を今すぐご確認ください。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
製品ニュースゼロトラストLogsセキュリティSIEMElasticパートナー

Xでフォロー

Corey Mahan|@coreymahan
Cloudflare|@cloudflare

関連ブログ投稿

2024年11月26日 16:00

Cloudflare incident on November 14, 2024, resulting in lost logs

On November 14, 2024, Cloudflare experienced a Cloudflare Logs outage, impacting the majority of customers using these products. During the ~3.5 hours that these services were impacted, about 55% of the logs we normally send to customers were not sent and were lost. The details of what went wrong and why are interesting both for customers and practitioners....