本日、Elasticでの新しいCloudflare Zero Trustダッシュボードを発表できることを嬉しく思います。Elasticを使用する共通のお客様は、これらのあらかじめ構築されたダッシュボードを使用して、Zero Trustログを保存、検索、分析することができるようになりました。
組織がZero Trustアーキテクチャの導入を検討する際、多くのコンポーネントを正しく設定する必要があります。製品に設定ミスがあったり、悪意を持って使用されたり、プロセス中に何らかの形でセキュリティが侵害された場合、データから迅速かつ効率的に知見を得ることができずに、潜在的なセキュリティリスクに企業をさらす可能性があります。
CloudflareのテクノロジーパートナーであるElasticは、アプリケーションをスムーズに稼働させ、サイバー脅威から保護しながら、Cloudflareのお客様が必要なものをより早く見つけることができるよう支援します。Elasticの最高収益責任者であるMark Dodds氏は、「Cloudflareとのコラボレーションにより、ログおよび分析ダッシュボードの展開がさらに容易になったことを嬉しく思います。このパートナーシップは、ElasticのオープンなアプローチとCloudflareの実用的なソリューションを組み合わせたもので、企業の検索、可観測性、セキュリティのデプロイのための分かりやすいツールを提供します」と、説明しています。
ElasticにおけるZero Trustログの価値
この共同ソリューションにより、お客様はLogpushジョブを介してZero TrustログをElasticにシームレスに転送することが簡単にできました。これは、Restful API経由で直接実現することも、AWS S3やGoogle Cloudのような中間ストレージソリューションを通じて実現することもできます。さらに、CloudflareのElasticとの連携機能は、Cloudflareによって生成されたZero Trustログのすべてのカテゴリーを包含するように改善が行われています。
この連携機能によって提供される主な機能を以下に詳しく説明します:
包括的な可視性:CloudflareのLogpushをElasticと連携することで、組織はZero Trustに関連するイベントをリアルタイムかつ包括的に見ることができるようになります。これにより、リソースやアプリケーションに誰が、どこから、いつアクセスしているかを詳細に把握することができます。可視性を向上することで、異常な挙動や潜在的なセキュリティ脅威をより効果的に検出し、早期な対応と緩和が可能になります。
フィールドの正規化:Zero TrustログからのデータをElasticにまとめることで、Zero Trustログだけでなく他のソースのフィールドも正規化して統一した形式で表示することができます。これにより、検索と分析のプロセスが簡素化されます。正規化により、アラートの作成や、悪意のある、または異常なアクティビティのパターンの特定も容易になります。
効率的な検索と分析:Elasticは強力なデータ検索と分析機能を提供します。ElasticにZero Trustログを入れることで、特定の情報を迅速かつ正確に検索できます。これはセキュリティインシデントの調査、ワークフローの理解、情報に基づいた意思決定を行うために非常に重要です。
相関関係と脅威の検出:Zero Trustデータを他のセキュリティイベントやデータと組み合わせることで、Elasticによる、より深くより効果的な相関関係の検出が可能になります。これは、各データソースを個別に分析することでは気付くことができない可能性のある脅威を検出するために不可欠です。相関関係は、パターン識別と高度な攻撃の検出に役立ちます。
既製のダッシュボード:この連携機能により、主要な指標やパターンを迅速に視覚化できる、すぐに使えるダッシュボードが提供されます。これらのダッシュボードは、セキュリティチームがセキュリティの状態を明確かつ簡潔に可視化するのに役立ちます。この連携機能により、利用者はZero Trustデータセット用に設計された既成のダッシュボードをの利点を利用できますが、独自の可視化を作成することもできます。
ダッシュボードの新機能
この連携の主な特徴の1つは、Zero Trustログの各タイプに専用にカスタマイズされた既成のダッシュボードです。これらのダッシュボードからいくつかをより詳細に取り上げ、可視性の面でどのように役立つかを見てみましょう。
ゲートウェイHTTP
このダッシュボードは、HTTPトラフィックに焦点を当てたもので、CloudflareのセキュアWebゲートウェイを通過するHTTPリクエストを監視、分析することができます。
このダッシュボードでは、トラフィックのパターンを特定し、潜在的な脅威を検出し、ネットワーク内でリソースがどのように使用されているかをより深く理解することができます。
ステージ上のすべての視覚化表現はインタラクティブです。そのため、ダッシュボード全体が有効化されたフィルターに適応し、フィルターはダッシュボード間でピン留めして利用できます。たとえば、アクションを示すドーナツチャートのセクションの1つをクリックすると、その値に自動的にフィルターが適用され、ダッシュボード全体がそれに基づいて更新されます。
CASB
別の視点から説明すると、CASB(クラウドアクセスセキュリティブローカー)ダッシュボードは、ユーザーが利用するクラウドアプリを可視化します。その視覚化は、脅威を効果的に検出することを目的としたもので、リスク管理と規制コンプライアンスに役立ちます。
これらの例は、CloudflareとElasticを連携したダッシュボードによる、Zero Trustの実用的かつ効果的なデータ可視化を示しています。これにより、データに基づいた意思決定を行、行動パターンの特定、脅威に対する積極的な対応が可能になります。これらのダッシュボードで簡単に関連する情報を視覚的に表現できるようになることで、セキュリティ体勢を強化し、Zero Trust環境におけるより効率的なリスク管理が可能になります。
使用開始手順
セットアップと導入は簡単です。CloudflareのダッシュボードまたはAPIを使用して、Elasticに取り込む各データセットに対してすべてのフィールドを有効にしたLogpushジョブを作成します。現在、Elasticに取り込むことができる8つのアカウントスコープのデータセット(アクセス要求、監査ログ、CASBの問題検出機能、DNS、ネットワーク、HTTPを含むゲートウェイログ、Zero Trustセッションログ)が利用可能です。
以下のいずれかの方法で、Elasticの宛先にLogpushのジョブを設定します:
HTTPエンドポイントモード:ElasticエージェントがホストするHTTPエンドポイントにCloudflareが直接ログをプッシュします。
AWS S3ポーリングモード:CloudflareはS3にデータを書き込み、ElasticエージェントがS3バケットをポーリングしてその内容を一覧表示して新しいファイルを読み取みます。
AWS S3 SQSモード:CloudflareはS3にデータを書き込み、データが書き込まれるとS3は新規オブジェクト通知をSQSにプッシュし、続いてElasticエージェントはSQSから通知を受け取るとS3オブジェクトを読み取ります。このモードでは複数のエージェントを使用することができます。
Elasticでこの連携機能を有効にする
Kibanaで、[管理] > [連携] の順に移動します。
連携の検索バーに「Cloudflare Logpush」と入力します。
検索結果から「Cloudflare Logpush連携」をクリックします。
「Cloudflare Logpushの追加」ボタンをクリックして、Cloudflare Logpushの連携を追加します。
HTTPエンドポイント、AWS S3入力、またはGCS入力との連携を有効化します。
AWS S3入力の下には、「AWS S3バケットの使用」と「SQSの使用」の2種類の入力があります。
Cloudflareを、Elasticエージェントにログを送信するように設定します。
今後の展開は?
組織のZero Trustアーキテクチャの採用が進むにつれて、組織のセキュリティ体制を理解することが最重要になっています。ダッシュボードは、可視性、早期検出、効果的な脅威対応を中心とした堅牢なセキュリティ戦略の構築に必要なツールを提供します。データの統合、フィールドの正規化、検索の容易化、カスタムダッシュボードの作成を可能にすることにより、この統合は、セキュリティ体制の強化を目指すサイバーセキュリティチームにとって価値あるアセットになります。
Cloudflareのお客様と当社のテクノロジーパートナーコミュニティをつなぎ、Zero Trustアーキテクチャの導入を支援できることを楽しみにしています。
この新しい連携機能を今すぐご確認ください。