48. 48
Kibana / Elasticsearch Management UI
Empty index patterns
Vega Visualization のためのインスペクター
パネル
Getting
Started & Ease
of Use
49. 49
Kibana / Elasticsearch Management UI
Empty index patterns
Inspector Panel for Vega
Visualizations
構成可能なテンプレートのプレビュー
Getting
Started & Ease
of Use
50. 50
Kibana / Elasticsearch Management UI
Getting
Started & Ease
of Use
• 新しい取り込みノードパイプライン UI
を使⽤
• 取り込みフローを簡単にデバッグ可能
• 追加された視覚的な⼿がかりとパイプ
ラインテストにより、実⾏フローを簡単
にステップスルーできる
• 出⼒からメッセージを表⽰すると、
ドキュメントが取り込みプロセッサで
正しく機能するために必要なアクション
を特定できる
67. 67
EQL Basics
EQL の基本
● シーケンス
○ 脅威ハンティングのためのクエリを順序付け;例︓不明な特権エスカレーションか︖
● システムユーザー以外のユーザーによって作成されたファイルは、最初に⾮システムプロセスと
して実⾏され、後で 1 時間以内にシステム レベルのプロセスとして実⾏されたか︖
sequence with maxspan=10h
[file where file_name == "*.exe"
and user_name != "SYSTEM"] by file_path
[process where user_name == "SYSTEM"] by
process_path
sequence with maxspan=10h
[file where event_subtype_full=="file_create_event" and
user_name!="SYSTEM"] by file_path
[process where user_name!="SYSTEM"] by process_path
[process where user_name=="SYSTEM"] by process_path
Data Analysis
Beta
Basic
75. 75
This is how!
The user is the Workplace Search User. The source_user_id is the Content Source user.
External Identities API
外部 ID API
A と B の間でバインドし、継承する
curl -X POST
http://localhost:3002/api/ws/v1/sources/[CONTENT_SOURCE_KEY]/external_identities ¥
-H "Authorization: Bearer [ACCESS_TOKEN]" ¥
-H "Content-Type: application/json" ¥
-d '{
"user": "jeffery",
"source_user_id": "32ad7bda-3de1-4a77-ee97-f3476c2cf58d”
}'
76. 76
SharePoint and OneDrive DLP
リレーションシップを作成し、ドキュメント レベルのアクセス許可を取得
Batch export groups via spreadsheet or leverage
APIs
Relationships are setup >> per-content
source<<
Recommendation: Create groups in Office
365 Groups. SharePoint Online has
caveats...
Safe search is fun search! Weee!
Life
… is all about relationships.
79. 79
Private Source Access Controls
プライベート ソース アクセス コントロール
リレーションシップを作成し、ドキュメント レベルのアクセス許可を取得
Granularity: choose the content sources to
enable
Remove access to revoke access
Toggle remote sources and org sources
Once enabled, individuals must add the content
source via their personal dashboard.
Private sources...
… are private! Only the individual can see their contents.
81. 81
Slack as a Private Source
プライベート ソースとしての Slack
すべての活気に満ちたチームメッセージがソースに︕
82. 82
Slack as a Private Source
プライベート ソースとしての Slack
リモート ソース (フェデレーション)
結果クラスターは、統合に対して†再スコア付けされる
関連性(弾⼒性検索の礼儀)
エンドユーザーによるプライベート ソースとして接続
コンテンツがインデックス化されていない、クエリが
フェデレーションされる
Slack is a HYBRID connector. We index the USERS,
CHANNELS, and… of course… EMOJIS! For faster search.
🚨
†Slack results are rescored using heuristics and Levenshtein
distance, after which the mean score of the result group is
used to determine position against documents scored as part
of the Elasticsearch-indexed documents query.
Not yet available via the Search
API
84. 84
🐕 Dogfood! … Ew!
We want to enable our internal teams. Remember, do not show internal Workplace Search to customers!
Salesforce Sandbox
セールスフォースサンドボックス
簡単なもの!
別のコネクタではない
少なくとも、内部的に便利!
⼀般的なセールスフォースと同じ⽅法
を追加
91. 91
Add screenshot
See what your users
see
ユーザーに表⽰される内容を確認する
ユーザー エクスペリエンスの監視
Details
パフォーマンスはディストリビューション
ユーザーの⾏動に影響を与えるエクス
ペリエンス(速度)
See what
your users
see
Basic | GA
92. 92
• APM Server
• RUM JS Agent v
5.6.2+
What you
need to get
started
開始する必要があるもの
94. 94
Add screenshot
Find issues before
users do
ユーザーが実⾏する前に問題を⾒つける
ブラウザベースのマルチステップ合成
詳細
可⽤性は単なる到達可能性以上の
問題
観測ソリューションにおける重要な
特徴のギャップに対処
Catch issues
before your
users do
Basic | Experimental
127. 127
By Rule Type
‒ Firewall policies
modifications
‒ Vaults alterations
‒ IAM Role tampering
‒ Storage configurations
Azure, GCP, Zoom
‒ Unusual User/Process
Calling AWS Metadata
Service
‒ Anomalous Kernel
Module Activity
‒ Unusual Linux Network
Connection Discovery
Threat Detection
‒ Command Prompt
Network Connection
‒ Execution of File Written
or Modified by Microsoft
Office
‒ Service Command Lateral
Movement
‒ Windows Suspicious
Script Object Execution
ML for Linux and
AWS
What customers can protect against?
お客様は何から保護できますか?
7.10 の新しいルールをすべて⾒る