What's New in the Elastic 8.5 Release

Elastic 8.5 リリースの新機能をご紹介
鈴⽊章太郎
Elastic テクニカルプロダクトマーケティングマネージャー/エバンジェリスト
デジタル庁省庁業務サービスグループソリューションアーキテクト

Elastic
Technical Product Marketing
Manager/Evangelist
デジタル庁
省庁業務サービスグループ
ソリューションアーキテクト
元 Microsoft Technical Evangelist
Twitter : @shosuz
Shotaro Suzuki

Transfer of Information 8.5
Enterprise Search

オンボーディングの簡素化
Web クローラー
コネクター
関連性設定ダッシュボード
検索UIライブラリ
検索アナリティクス
キュレーション
⾃動関連性チューニング
密なベクトルフィールド
複合フィールドクエリ
インジェストパイプライン
データ階層
検索可能なスナップショット
ピン留めされた結果クエリ
Kibana レンズ
ランタイムフィールド
via
組み込み型
検索
マーケットプレイス
検索
⼩売・流通
/ Eコマース
カスタマーサービス検
索
ワークプレイス
検索
サイト検
索
検索エンジン搭載
アプリ
あらゆる検索に対応するワンストップサービス
T H E V I S I O N
すべてのインデックスですべての機能を利⽤可能

Optimize
results
View
analytics
Build phase Operate phase
キュレーション
同義語
関連性チューニング
適応的関連性
クエリーのボリューム
クエリキーワードレポート
クリックトラッキング
各ステップには、それぞれ独⾃のツールが必要であり、これらを統合することで、インサイト・トゥ・アクションを促進します。
Configure
relevance
API キー
検索 API
クライアントライブラリ
検索 UI
Build UI /
Integrate
Ingest
インデックス作成 API
クライアントライブラリ
ドラッグドロップアップロード
Web クローラー
データコネクタ
⾔語最適化エンジン
ベースライン関連性チューニング
クエリワークベンチ
学習済みセマンティックモデル

テーマ
Interoperability
スタックとソリューションでパワープレイを作成する
Market-making features
検索を次のレベルに引き上げる機能を構築する
User Experience
Elastic のパワーを⾝近なものにする

Apr 2022 Aug 2022 Oct 2022 …and beyond
8.5
検索エンジン、統⼀された
検索エンドポイント、向上
した分析機能
8.6+
8.4
検索ユースケースのための
アクセス可能な ML ツール
とネイティブコネクタ;
Elasticsearch Engines
と_search GA
検索に最適化された
インデックス︔
Elasticsearchエンジンと
_search (ベータ版)
8.2
Elasticsearchエンジン
と_search（テクニカル
プレビュー）
インターオペラビリティへの旅
7.16 から始まる Kibana でのエンタープライズサーチ

ネイティブコネクタとフレームワーク
MongoDB と MySQL のネイティブコネクタ
● Drivers
○ Elastic Cloud のネイティブコネクタやカスタマイズ可能
なコネクタクライアントで、検索に最適化された
Elasticsearch のインデックスを作成することができる
● Value
○ エンタープライズ・サーチを使⽤して、適切で直感的な
検索体験の構築段階を加速させる
● セルフマネージドでは Platinum+、Elastic Cloud では
Standard
● Technical Preview

Web クローラーおよびネイティブコネクターのライセンスについて
セルフマネージドではプラチナ以上、Elastic Cloud ではスタンダード
● Drivers
○ Web クローラーとネイティブ・コネクタは簡単に利⽤
でき、Elastic Cloud の顧客に最も⼤きな利益を
もたらします。
● Value
○ 直感的で⾼度に最適化された検索ユースケースの
ネイティブ・インテグレーション・カタログを拡充していく
中で、お客様にとってライセンスのアップグレードや、
更新を検討する新たな理由となります。

パイプライン管理/機械学習
マネージドパイプライン、カスタムパイプライン、推論パイプライン
● Drivers
○ お客様は、何を取り込むか、取り込んだデータをどのように
変換するか、⽬的の検索結果に必要な機械学習モデル
を直感的に選択できるパワーと柔軟性を必要としていま
す。
● Value
○ インジェスト時に関連性を調整する機能を簡素化し、エ
ンタープライズ・サーチとパッケージ化しました。
● Platinum
● Generally Available

Elasticsearch によるエンタープライズサーチ
- 検索に関するあらゆることを⼀⼿に引き受けることができる
Elasticsearch インデックスベースのエンジン、App Search の
ための Elasticsearch サーチ、Search Explain API は GA
● Drivers
○ Enterprise Search と Elasticsearch
の深い相互運⽤性のためのこれらの重要な
構成要素は、本番の検索エクスペリエンスで
すぐに使⽤することができます。
● Value
○ Web クローラーやコンテンツソースを必要と
する統合検索体験を構築するお客様は、
ワークプレイスユースケースなどでの適切な
検索に必要なすべてのツールを利⽤すること
ができます。
● Generally Available

Web クローラーの UI アップデート
UI での認証クロールに対応
● Drivers
○ 多くの社内 Wiki やナレッジベースリポジトリでは、保護
されたコンテンツにアクセスするために認証が必要です。
○ Web クローラーのユーザーは技術的にあまり詳しくなく、
API だけでなく UI にも機能を求める傾向があります。
● Value
○ セットアップ時に UI で認証クロールを設定することに
より、オンボーディングを容易にする
● Web クローラーは、セルフマネージドデプロイメントでは
Platinum 以上、Elastic Cloud では Standard が必要
です。

Enterprise Search - 8.5 機能概要
特⻑階層とステータス詳細ビジネス価値
MongoDB native connector Platinum /
Standard
Tech Preview
MongoDB はカスタマイズ可能なコネクタクライアントだ
けでなく、ネイティブコネクタとして利⽤可能になった
スピードレイヤー検索のユースケースは、Enterprise
Search で提供可能
MySQL native connector Platinum /
Standard
Tech Preview
MySQLコネクタは、カスタマイズ可能なコネクタクライアン
トだけでなく、ネイティブコネクタも追加された
スピードレイヤー検索のユースケースは、Enterprise
Searchで提供可能
Pipelines management / ML Platinum /
Standard
Generally Available
Web クローラーとコネクターは、デフォルトおよびカスタマ
イズ可能なインジェストと機械学習パイプラインを利⽤し
ます。
お客様は、デフォルトの取り込みパイプラインを変更するこ
とにより、取り込まれる⽂書をカスタマイズすることができ、
取り込み時に機械学習モデルを適⽤することが可能
Workplace Search Outlook,
Teams and Zoom connector
packages
Basic / Standard
Beta
Workplace Search のコンテンツソースカタログが3つ
のコネクタパッケージで拡張される
お客様は、Microsoft 365 の全製品と Zoom を対象
とした検索エクスペリエンスを構築し、ワークプレイス検索
のユースケースに利⽤することが可能
Web crawler authenticated
crawls in the UI
Platinum /
Standard
Generally Available
保護されたクロールを UI でセットアップ保護されたコンテンツは、ナレッジベースの記事や社内
Wiki の検索体験を構築するお客様にとって⼀般的な
ユースケース。保護されたコンテンツを UI で簡単にクロー
ルすることが可能
Elasticsearch index-based
engines and _search for App
Search
Platinum /
Standard
Generally Available
Elasticsearch インデックスベースエンジンおよび
_search
お客様は、これらのエンジンを利⽤して、本番環境での
検索体験を迷うことなく構築することが可能

技術的詳細
Web クローラーおよびネイティブコネクタのライセンス実施について
● App Search Web クローラーおよび Workplace Search
コンテンツソースのライセンスは、以前のバージョンと同じです。詳細
については、サブスクリプションページの既存のElastic App
SearchおよびElastic Workplace searchのセクションを参照し
てください。
● Web クローラーおよびネイティブコネクタのライセンスは、新しい
Web クローラーおよびネイティブコネクタの作成に強制されます。
詳細については、サブスクリプションページの新しい Elastic
Enterprise Search のセクションを参照してください。
● 8.4 のセルフマネージドデプロイメントからアップグレードするお客様
は、Web クローラーを利⽤している既存の Web クローラーインス
タンスを引き続き使⽤できますが、コンプライアンス違反の場合、
新しい Web クローラーを作成するには、ライセンスのアップグレード
が必要になります。

技術的詳細
Web クローラー、コネクター、オンボーディングのユーザビリティ向上
● UI に、認証済みクロールのサポートを追加しただけでなく、シームレスなオン
ボーディング体験を促進するために、いくつかの⼩さなユーザーエクスペリエンスの
改善を追加しました。
● 注意: 記載されているすべての Web クローラーの UI アップデートは、
Enterprise Search Web クローラーのみに適⽤され、App Search Web
クローラーには適⽤されないことに注意してください。
● ユーザーエージェントの情報は、クローラーの概要タブで確認できます。
● Indices」ページでクローラーインデックスとコネクターインデックスの削除がサポー
トされます
● クローラーやコネクターの詳細ページから “create App Search engine” を
クリックすると、選択ポイントがスキップされ、⾃動的に “Elasticsearch
index based search engine” オプションが選択されます。
● コネクターに編集可能な名前と説明フィールドが追加され、複数のオペレーター
間でのコラボレーションとセットアップを⽀援します
● トップレベルの「設定」で、コンテンツ抽出、ホワイトスペース削減、ML 推論の
有効・無効を設定できるようになりました。

技術的詳細
コネクタクライアントとコネクタパッケージ
● connectors-ruby と connectors-python には、8.4 以降の
検索最適化 Elasticsearch インデックスの⾃⼰管理インフラへの
取り込みメカニズムとして登録できるコネクタクライアント (MySQL
& MongoDB) が含まれています。
● connectors-ruby 8.3 ブランチには、Workplace Search と
互換性のある SharePoint Online、Confluence Cloud、
Custom コネクタパッケージが含まれています。
● Microsoft Outlook、Teams、Zoom コネクタパッケージはセルフ
マネージドインフラが必要で、Workplace Search にのみ使⽤でき、
検索に最適化された Elasticsearch インデックスは使⽤できません。

サポート
コネクタクライアント、コネクタパッケージ、インジェスト⽤サイジングガイダンスの更新
● App Search、Workplace Search、または Enterprise Search
の取り込みメカニズム（Webクローラー、コネクター、コンテンツソース
など）を評価⽬的以外に使⽤する場合は、最低でも 4GB RAM の
インスタンスを導⼊することをお勧めします。
● カスタマイズ可能な Enterprise Search 統合のための、オープン
コードパブリックリポジトリが、さらに4つあります。
○ connectors-ruby (旧名称: connectors)
○ connectors-python (新機能!)
○ Microsoft Outlook (新機能!)
○ Microsoft Teams (新機能!)
○ Zoom (新機能!)

サポート
セルフマネージドデプロイメントのための「コネクターの使⽤
● セルフマネージドデプロイメントでネイティブコネクタを使⽤したい
お客様は、Elasticsearch、Kibana、Enterprise Search
のダウンロード、インストールの追加ステップとして、MySQL
および MongoDB コネクタを確実にデプロイすることが必要で
す。そうでない場合は、「コネクタを使⽤する」をクリックすると、
エラー状態になります。
● セルフマネジメントのお客様は、MySQL または MongoDB
のコネクタクライアントバージョンを、ダウンロードしてインストール
するか、デプロイするかを選択できます。

Observability

APM サービス概要ページで K8s の情報をコンテクスト化
K8s 関連のメタ情報をサービスコンテキストで閲覧可能
● Drivers
○ K8s 環境にデプロイされたサービスのデバッグを、
容易にします。
○ アプリケーションのパフォーマンス問題を、 K8s
プラットフォームの根本的なイベントと関連付ける
● Value
○ アプリケーションのシグナルと K8s プラットフォームの
シグナルの統⼀を改善する。
○ アプリケーションへの影響を理解し、K8s プラット
フォームに関する問題の優先順位を決める
Standard/Basi
c
Standard/Basic GA

.NET エージェントによるノーコード⾃動計測のサポート
.NET APM エージェントのオンボーディングエクスペリエンスの改善
● Drivers
○ .NET Agent v1.18 ではノーコード⾃動計測
機能が GA になります。
○ アプリのバイナリを再コンパイルすることなく、⾃動
計測をサポートします。
● Value
○ 既存の .NET アプリケーションの起動時に動的
にインストゥルメントを実⾏します。
○ Container、IIS、Windows または Linux
サービスで OOTB として動作します。
● https://www.elastic.co/guide/en/apm/agent
/dotnet/current/setup-auto-
instrumentation.html
GA
Standard/Basi
c
Standard/Basic

ストレージエクスプローラー
各インスツルメンテッドサービスにおける APM
ドキュメントのストレージ消費量の表⽰
● Drivers
○ 各インスツルメンテッドサービスにおける APM
ドキュメントの合計および相対的なストレージ
フットプリントを表⽰する機能
○ スマート・サンプリング技術が消費に与える影
響を表⽰
● Value
○ APM のサンプリングレートとストレージの必要
性のトレードオフを理解することができる
○ APM コストの予算編成のための予測精度を
向上させることができる。
Standard/Basi
c
Standard/Basic Beta

AWS Lambda のメトリクス収集
AWS Lambda の実⾏時メトリクスを
APM Lambda 拡張機能で収集できる
● Drivers
○ AWS Lambda 関数の Observability シグナルの
統⼀を改善する
○ AWS Lambda 関数のトレースとメトリクスの相関を
容易にする
● Value
○ お客様はメトリクスを収集するために CloudWatch
API 経由のみに限られない
○ Lambda のメトリクスとトレースを1つのペインで利⽤
可能
Standard/Basi
c
Standard/Basic Tech Preview

サポート性
● この機能はデフォルトで有効になっています
● この機能は、詳細設定によりオフにすること
ができます
Standard/Basi
c
Standard/Basi
c
Tech Preview

バックエンドの依存性の粒度（継続中）
バックエンド依存のインスタンスレベルのブレークダウン
● Drivers
○ アプリケーションのバックエンドをより深く可視化する
ことで、トラブルシューティング能⼒を強化
● Value
○ バックエンドの個々のインスタンスに関連する問題
の具体的な原因を特定する能⼒の向上
○ バックエンドのパフォーマンスをより詳細なレベルで
⼀⽬瞭然に区別することができる
● SQL ベースのデータベースに対応（Ruby エージェントを
除く）
● NoSQL や Messaging 関連のバックエンドは開発中
Standard/Basi
c
Standard/Basic GA

Istio の統合
8.5.0 ログの取り込みに対応
● Drivers
○ この分野ではトップクラスのメッシュソリューション
○ より詳細なログを参照する
● Value
○ Istio Meshと弊社スタックとの容易な連携
○ 8.5.0でのログのサポート
○ 今後の予定
ᐨ メトリクスのサポート
ᐨ 統合による付加的なメリット（ダッシュ
ボード、簡単なインデックス作成、設定
のしやすさ）
B
E
T
A

Istio - 技術的な詳細
● ベータ版 (0.1.0)
○ ログ対応のみ
○ アクセスログ
● エラーログ
● 対応バージョン Istio >= 1.14.3
● ドキュメント Supported versions Istio >= 1.14.3
● ドキュメント
https://docs.elastic.co/integrations/istio
B
E
T
A

Elastic Agent のためのアノテーションベースのモニタリング
[別名︓ヒント・オートディスカバリー］
エージェントスタンドアロンモードで使⽤可能
● Drivers
○ Beats と Agent の連携
○ Elastic Agent の成熟を促進する
○ K8s の世界で広く使われているプラクティス（注釈
をきっかけにアクションを起こす）
● Value
○ Pods のセルフサービスモニタリング
○ 監視を設定するための GitOps フローの有効化
B
E
T
A

技術的詳細
● テクニカルプレビュー
● スタンドアロン -Agent .yaml
○ オン/オフ (#hints.enabled: true)
○ テンプレートのダウンロード [Init Container]
● 対応パッケージの全リスト︓github
● この機能は、オンラインで利⽤可能なビルド前のテンプ
レートをベースにしています。
○ ユーザがテンプレートを編集できる
○ すべてのテンプレートは、Agent 内の
/etc/elastic-agent/inputs.d に配置
● ヒントを使ったポッドの注釈
● ドキュメンテーション :
https://www.elastic.co/guide/en/fleet/master/elastic-agent-
kubernetes-
autodiscovery.html#_hints_annotations_based_autodiscover
テンプレートの
作成・編集
B
E
T
A
ポッド注釈
機能を
有効にする
オペレーター
クラスター
利⽤者

ユニバーサルプロファイリング（プライベートベータ版）
すべてのマシン、すべてのコード、すべての時間を
プロファイルする
● Drivers
○ システム全体の連続プロファイリング
○ 軽量かつ必要な要件としては :
ᐨ アプリのインスツルメンテーションはありません。
ᐨ コード変更なし。
ᐨ 再スタートなし。
ᐨ フレームポインタで再コンパイルする必要がありま
せん。
ᐨ ⾮常に低いオーバーヘッド (<1 % CPU)
● Value
○ 効率的なサービス構築によるクラウド・コストの削減
○ カーネル、ユーザー空間、⾼位コードに⾄るまで、
パフォーマンスのボトルネックを迅速に検出します。
○ 無駄な計算を減らすことで、CO2 排出量を削減します。

技術的詳細
● プライベートベータ版
● Elastic Cloud のみ、かつ≧バージョン8.5の場合
● お客様が明⽰的に有効化する必要があります。セットアップ⽅法はこち
ら（まだ DRAFT です）
● カーネル >= 4.15の Linux でのみ動作します。
● C/C++、Go、Java、Python、Ruby、PHP、Rust、NodeJS/V8
をサポートしています。
● ネイティブコードは現在未シンボル化
● ベータ版へのサインアップは、こちらのリンクから可能です。

サポート性
● SDH のプロセスが確定
● ドキュメントは10⽉18⽇以前に⼀般に公開される予定です。
● profiling-feedback@elastic.co
● Ext-slack チャンネル

対応中の既知の
問題点
GitHub チケット
● 関連するチケットをここにリストアップ
ワークアラウンド
● 回避策のガイダンスを提供する。
● 将来的な制限・問題・⽋陥への対応計画を説
明する。
placeholder
illustrations
placeholder
illustrations
This can be an appendix slide

NO 8.5 UPDATES
Actionable
Observability

Security

Agenda
● 導⼊と8.5の背景
● アナリストのワークフローを合理化
● エンティティアナリティクス
● クラウド向け Elastic Security
● エンドポイント向けエラスティックセキュリティ
● スレットインテリジェンス
● データ統合
● 検知エンジニアリングワークフロー
● 事前構築された検出コンテンツ

The Elastic Security
Solution
Modern Security Operations Platform

現代企業のためのセキュリティ運⽤
1 2 3 4 5
オープン＆トランスペアレント (Actionable)
アナリティクスを駆使した
スピードとスケーラビリティオートメーションマルチクラウドネイティブ

Elastic Security の特⻑
オープン＆統合
柔軟なデータ取り込みと、ベンダー
ロックインのないコミュニティサポート
ネイティブプロテクション
60以上の ML モデルと脅威の
研究により、700以上の MITRE
マップされた防御、検知、応答の
ルールを提供します。
明⽇のスケールに対応
Elasticsearch のメーカーが
提供する、あらゆる規模の組織に
対応する拡張性
⾃動化されたインサイト
専⾨家が構築した Runbook、
⾃動エンリッチメント、プリバレント、
統合リスク
ハイブリッドクラウド
AWS、GCP、Azure、オンプレミス
に対応する単⼀ソリューションで、
データバックホールが不要に

お客様のビジネス規模に合わせたマルチクラウド/ハイブリッド分析
Elastic Security Cloud
Elastic Security Central インスタンス
分散型インスタンス
セントラルインスタンスからの
フェデレートクエリ
クエリ結果をセントラルインスタンスに
効率的に送信
Google cloud Amazon
cloud
Azure On-prem

Elastic Security
Endpoint / XDR
次世代アンチウイルス (NGAV)
エンドポイント検知・応答 (EDR)
Cloud
クラウド・ポスチャー・マネジメント（K/CSPM）
クラウドワークロード監視・保護 (CWP)
SIEM 脅威の検知・調査・対応（TDIR: Threat Detection,
Investigation, and Response）
MODERN SECURITY OPERATIONS
Respond
Protect
Investigate

Elastic Security Labs の専⾨家による研究
● オープンな脅威の研究、マルウェアの解析など :
Blister Loader, Follina CVE, CUBA Ransomware
analysis, BPF door
● 常に更新される脅威検知ルール (約700)
● すぐに適⽤可能な教師なし機械学習モデル (50以上)
● マルウェア、ランサムウェア、メモリなど、キュレーションされた
セキュリティアーティファクト
https://www.elastic.co/security-labs/

アナリストのワークフロー
を合理化
8.5 機能ステータスサブスクリプションクラウド/
セルフマネージド
ケースの割り当て
アラート付きエンティティの詳細
アラート理由調査ピボッティング
オートチューンアナライザー
Standard / Basic
GA
GA
GA
GA
Standard / Basic
Platinum /
Platinum
Standard / Basic

ケース課題
ユーザー割り当てのためのプラットフォーム機能
● Drivers
○ アラートが確認されると、調査や対応などの後続のアク
ションを実⾏する必要がある。
○ 組織は、これらのアクションを、修正する権限を持つ Tier
2 以上のアナリストに割り当てる傾向がある。
● Value
○ アラートやその他の調査結果をケースにエスカレーションし
たユーザーは、そのケースをチームメンバーに割り当てること
ができるようになりました。
○ Elastic User Profiles を活⽤することで、インシデント
対応時の組織間の連携やコラボレーションをより効果的
に⾏うことができます。
GA
OSS
Platinum

● Drivers
○ 脅威の追跡でもアラートの調査でも、時間は本質的
なものであり、⽂脈が重要です。
○ 他の優先情報（アラートなど）とエンティティの関連
付けは必須です。
● Value
○ セキュリティソリューション内の、単⼀のエンティティ
（ホスト、ユーザーなど）を表⽰する際、アナリストは
関連するアラートを迅速に確認できるようになりました。
○ アラートを調査するための迅速なピボットポイントと、
該当するエンティティに対する⾃然な優先順位付け
を提供します。
アラート付きエンティティの詳細
SIEM のアラートを可視化しながらエンティティを調査する
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

アラート理由と調査ピボッティング
● Drivers
○ アラート疲労を軽減するために、アラート理由には各アラートに対する説明が表⽰されます。
○ 多くの列を持つ⼤きな表形式のビューを維持する代わりに、アナリストは調査に迅速にピボットする必要があります。
● Value
○ イベントレンダラーでは、置換された各フィールドのホバーアクションを含めることで、単⼀のログ（イベント）を読み取る
ためのトークナイズされたメソッドが提供されます。
○ 以前は静的なアラート理由には、同じホバーアクション機能が含まれています。
イベントレンダラーの能⼒をアラートに⽣かす
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

オートチューニングアナライザー
● Drivers
○ 以前は、Analyzer がグラフをレンダリングしない場合、
デフォルトのエラーメッセージが表⽰されました。
○ このメッセージは、時間範囲を調査することを推奨して
いますが、何の案内もありません。
● Value
○ グラフが⾃動的に正しい時刻をレンダリングし、プロセス
ツリー全体を表⽰するため、ユーザーは Analyzer で
⼀貫した体験をすることができます。
プロセスツリーを正確に表⽰するための時間幅の調整
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

8.5 Highlights
1.Entity Analytics ライセンス
2.エンティティアナリティクスダッシュボード
3.ホスト/ユーザーのリスクスコアの有効化
4.分析者ワークフロー
5.近⽇公開予定...

Entity Analyticsライセンス
● 8.5でライセンスを強制しています。
○ Entity Analytics の機能を利⽤できるのは、
Platinum またはそれ以上の階層のライセンスの
みです。
○ ベーシックライセンスのセルフマネージドユーザーは、
Entity Analytics のダッシュボードからトライアル
を開始したり、ライセンスをアップグレードすることが
できます。
Platinum + の特⻑

エンティティアナリティクスダッシュボード
● Drivers
○ Elastic Security のエンティティ分析機能を紹介し、異常
⾏動分析やインサイダー脅威を特定するエンティティリスクに
ついて説明します。
● Value
○ アナリストは、新たな脅威、内部脅威、異常を⼀元的に
可視化し、監視対象領域を絞り込みます。
○ 分析者は、これらの分析からトリアージや調査ワークフロー
を開始することができます。
Entity Analytics の⼀元的な表⽰

ホスト／ユーザーリスクスコアの有効化
● Drivers
○ リスクスコア機能搭載のオンボーディング
の改善
● Values
○ ユーザーは、ソリューションのワークフロー
内（Entity Analyticsダッシュボー
ド）から、ホストとユーザーのリスクスコ
ア機能を有効にすることができます。
Kibana から1クリックで有効化
Technical References:
https://www.elastic.co/guide/en/security/8.4/host-risk-score.html
https://www.elastic.co/guide/en/security/8.4/user-risk-score.html
How Risk Transforms work

エンティティリスクとのトリアージ
● Drivers
○ Entity Risk によるアラートの優先
順位付け
● Value
○ アナリストは Entity Risk フィールド
でアラートキューをフィルタリングし、
ホストとユーザーのリスクプロファイル
に基づいてトリアージ活動の優先
順位を決定することができます。
エンティティリスクスコアによるアラートの優先順位付け

Coming Soon…
● エンティティリスクの解放 GA
● エンティティウォッチリスト機能
● データ流出のユースケース

以前
Endpoint and
Cloud Security
として知られていた統合
は、現在
Elastic Defend
と呼ばれています
Elastic Defend Integration

2020
クラウドセキュリ
ティの初期⽴ち
上げ
2021 2022
build.security、
Cmdと⼿を組む。
2019
TODAY
8.5 クラウド
セキュリティの
GA
for Cloud Security

総括とハイライト
1.8.2 と 8.3 では、Elastic Security for Cloudをベータ版として導⼊しま
した。
2.8.2 では、Linux ベースのワークロードに適したセッションビューアや eBPF データ
収集などの機能を備えたクラウドワークロード統合を Endpoint Security と
⼀緒に発表しました。
3.8.3 では、CIS Kubernetes Benchmark と呼ばれる Kubernetes
Posture Management の統合を Tech Previewで開始しました。
4.8.4 では、クラウドワークロードと Kubernetes Posture の両⽅について、
AWS での K8s サポートを開始しました。
5.8.5 では、これらの機能を⼀般的に利⽤できるようにすることができ、⼤変うれ
しく思います。詳細は 8.5 リリースブログでお知らせします。
クラウドセキュリティハイライト
Use Case Self-
Managed
Cloud
Cloud/ Kubernetes
Posture Management
Cloud/Kubernetes
Workload Protection
Standard
Enterprise
Enterprise Enterprise

Elastic Security
for Cloud -
初期の検証と成功
ワークロード - 530のユニークエンドポイント、53のユニークカスタマー、5⼈のカスタマー >
30 VM
ポスチャー - ESSでKSPMを使⽤している39の顧客

Whatʼs GA in 8.5?
● Kubernetes のポスチャーマネジメント
○ セルフマネージド（「バニラ」）k8s
○ Amazon EKS
● ワークロードセキュリティ
○ エンドポイントにおける eBPF ベースのデータ
収集
○ VM のためのセッションビュー
○ ガイド付きオンボーディング
クラウドセキュリティは GA へ!
8.5 で GA になったものは︖まだ GA でないものは︖

価格、パッケージング、フィーチャーゲート
クラウドセキュリティは GA へ︕
サポートが必要?
● ドキュメントを読む:
○ Cloud Native Security
○ Session View
○ KSPM
○ GA Release Blog (coming soon!)
● ウィキを⾒る:
○ CWP Support Wiki
○ CSP Support Wiki
● Slack でご連絡ください。 #cloud-security-
group
8.5 で GA になったものは︖まだ GA でないものは︖
Feature License Support Level
eBPF-based Elastic Defend
Agent on Linux VMs/hosts
Standard/Basic GA
Session View for hosts/VMs Enterprise GA
KSPM (EKS/Self Managed) Standard GA
eBPF-based Elastic Defend
Agent for EKS/GKS nodes
Enterprise BETA
Session View for EKS/GKE Enterprise BETA
Session Output Enterprise BETA
まだ GA じゃないのは...?
• AWS のためのクラウドポスチャー
• Kubernetes のワークロードセキュリティ
• 端末の出⼒

8.4: ガイドなしオンボーディング
Elastic Defend for Endpoints & Cloud の利⽤開始を成功させるために
エンドポイント/ワークロード
の保護はユーザーが設定
Start!

8.5: Elastic Defend のためのガイド付きオンボーディング
Endpoint を
フルコンフィグ!
ワークロード保護
機能をフル装備
Start!

● Drivers
○ クラウドワークロードのための Elastic Defend は8.5で GA!
○ ワークロード保護と EDR は、同じような結果をもたらします。
○ しかし、技術、構成、データ量に違いがあります。
● Value
○ セルフサービスのクラウドおよびエンドポイントユーザーの TTV
を削減します。
○ エンドポイントおよびクラウドのワークロード保護に関する設定
済みのユースケースを理解し、選択できるようにします。
● Standard/Basic
● GA
Elastic Defend の Guided Onboarding - 概要
Elastic Defend for Endpoints & Cloud の利⽤開始を成功させるために

“インタラクティブのみ": お客様がプロセスイベントでクラスタを溢れ
させないようにするために、デフォルトのイベントフィルターを追加します。
“すべてのイベント": フィルターをインストールしない
Elastic Defend の Guided Onboarding︓クラウドワークロードの技術的詳細
クラウドワークロードのエンドポイントプロテクションの設定
Malware Prevention Disabled*
Malicious Behavior Prevention Disabled*
Memory Protection Disabled*
Event Collection All Events/Session Data
* エンドポイントプロテクションはデフォルトでは無効ですが、⼿動で設定することが可能です。

セッションビューでの端末出⼒
Linux 端末のセッションを再⽣するための端末出⼒機能を備えたセッションビュー調査ツールの強化
● Drivers
○ Linux ユーザが⾒たもの、⾃分のコンピュータに
コピーされた可能性のあるものを簡単に確認する
⽅法を必要とする。例えば、TLS に使⽤される
PEM 秘密鍵をキャプチャすることができる。
● Value
○ お客様の監査やコンプライアンス要件に対応する
ために役⽴ちます。
○ ユーザーの⾏動を効果的に分析するための優れ
たツール。
○ 競合他社の状況において、差別化を図ることが
できる。
● Enterprise (Cloud/self-managed)
● Beta

技術的詳細
● 8.5では eBPF インストゥルメンテーションのみサポート。
● Kubernetes と Linux ベアメタル/VM プラットフォームの両⽅をサポートします。
● デフォルトでは無効。Defend 統合設定で有効にするにはトグルする。
● ⾼度な設定オプションに対応
○ linux.advanced.tty_io.max_kilobytes_per_event
ᐨ 1つのイベントで記録する端末出⼒の最⼤キロバイト数。
デフォルト︓512
○ linux.advanced.tty_io.max_kilobytes_per_process
ᐨ 1つのプロセスで記録する端末出⼒の最⼤キロバイト数。
デフォルト: 512
○ linux.advanced.tty_io.max_event_interval_seconds
ᐨ 1つのイベントで端末出⼒をバッチ処理する最⼤時間(秒)を指定し
ます。
デフォルト︓30
● 端末出⼒プレーヤーは、xterm.js によってフード内で動作しています

サポート性
● リリース時には、インストール⽅法とセッションビューのターミナルアウトプットプレーヤーの
新しい UI コンポーネントについて説明した顧客向けドキュメントが提供されます。
● ベータ版のため、公式の Elastic サポートは提供されません

8.5 セッションビューのターミナル出⼒機能の⼀部をご紹介

KSPM – GA 🎉
K8s の設定リスクの特定と修正
● Drivers
○ Kubernetes の構成の柔軟性と動的な性質は、
セキュリティコンプライアンスを満たしコンプライアンス
を維持し、それを証明することを難しくしている
● Value
○ K8s の CIS ベンチマークに対するコンプライアンス
を測定します。
○ 設定リスクの特定と修正による K8s の攻撃対象
範囲の縮⼩
● GA in 8.5
○ スケールアップとプロダクションでの性能アップ⚡
● License level:
○ クラウド (ESS) - スタンダード
○ セルフマネージド - エンタープライズ

KSPM のためのガイド付きオンボーディング

KSPM のためのガイド付きオンボーディング - EKS

KSPM の詳細
● 下記をサポート︓
○ セルフマネージド / バニラ k8s
○ Amazon EKS
● Amazon EKS を使う場合︓
○ EKS の Self-managed nodes と managed node groups の両⽅が
ポスチャー評価に対応している
○ EKS on Fargate はサポートされていません。
ᐨ AWS Fargate 上で Amazon EKS を使⽤するお客様は、ノード管理
の責任を負いません。
○ 複数の認証⽅式に対応
ᐨ AWSアクセスキー
ᐨ AWSの⼀時的なクレデンシャル
ᐨ AWS共有クレデンシャルファイル
ᐨ AWS IAMロール
● 8.5 リリースに伴う⾮常に詳細なドキュメント
○ ステップバイステップの "Getting started with KSPM "ガイドを含む。
● 質問がある⽅、助けが必要な⽅、フィードバックがある⽅! #cloud-security-
posture でお待ちしています。） )

ポジショニング
AV、NGAV、EDR の置き換えや追加、そしてセキュリティ分析をお考え
のお客様には、Elastic Security をお勧めします :
● 機械学習型マルウェアとランサムウェアの対策
● ランサムウェアの予防のための追加レイヤー
● メモリ脅威と悪意のある⾏動の防⽌
● MITRE ATT&CKにマッピングされた数百の検出を持つEDR
他のエンドポイントセキュリティベンダーとは異なり、Elasticはエンドポイント
予防、エンドポイント検出と応答、XDRのユースケースを単⼀エージェント
と単⼀統合セキュリティプラットフォームで解決します。
エンドポイントセキュリティの主な競合製品
● マイクロソフト Defender 365
● クラウドストライク
● Sentinel One シンギュラリティ・コア
● ソフォス
● マルウェアバイト
● ビットディフェンダー
● ブロードコム/VMware - カーボンブラック
● ブラックベリーサイランス
● トレンドマイクロ
● パロアルトネットワークス (Cortex XDR)
Endpoint Security
Use Case
AV/EDR Augmentation with Advanced Data Collection
Anti-Virus
Next Generation Anti-Virus
Endpoint Detection and Response (EDR)
eXtended Detection and Response (XDR)
Standard / Basic
Standard / Basic
Platinum / Platinum
Enterprise / Enterprise
Subscription
Cloud / Self-
Managed

Elastic Security
for Endpoint -
成功事例を⾒る
17,000台のエンドポイントを展開する
MSSP
10,000 台のエンドポイントを導⼊した
MSSP 500台の Endgame センサーを
エージェントに移⾏しました。
8,000 Endpoints
deployed
2,500台の Endgame センサーをエージェント
に移⾏しました。
10,000 エージェントを osquery manager で展開。
80,000 エージェントへの拡張の可能性
McAfee からのリプレース
5,000台のエンドポイントに
導⼊
3,500以上のクラスタに150,000以上のエンドポイントを展開

Protect
Windows macOS Linux
マルウェア対策 ✓ ✓ ✓
検出エンジンのルールによる⼀元的な検出 ✓ ✓ ✓
ブロックリスト ✓ ✓ ✓
メモリー脅威の防⽌ ✓ ✓ ✓
ビヘイビア防⽌（エンドポイントルール上） ✓ ✓ ✓
ビヘイビア、MBR、Canaryファイルによるランサムウェア対策 ✓ Coming Soon Coming Soon
アタックサーフェスの低減（クレデンシャル保護） ✓ ✓* ✓*
機械学習による検知の運⽤と⼀元化 ✓ ✓ ✓
Elastic Security for Endpoint - 8.5
Standard / Basic
Standard / Basic
Standard / Basic
Platinum / Platinum
Platinum / Platinum
Platinum / Platinum
Platinum / Platinum
サブスクリプション
クラウド／セルフマネージド
Platinum / Platinum
* Behavior ルールによって実装される

調査
Windows macOS Linux
⼀元管理・レポーティング ✓ ✓ ✓
⼀元的な調査とスレットハンチング ✓ ✓ ✓
osquery を使ったスレットハンティング ✓ ✓ ✓
ケースマネジメント ✓ ✓ ✓
ユーザーとサービスのセッションを可視化近⽇公開予定近⽇公開予定 ✓
Standard / Basic
Standard / Basic
Standard / Basic
Standard / Basic
サブスクリプション
クラウド／セルフマネージド

応答
Windows macOS Linux
ホストの隔離 ✓ ✓ ✓
エンドポイントセルフヒーリング ✓ - -
レスポンスコンソール ✓ ✓ ✓
- 実⾏中のプロセスの列挙 ✓ ✓ ✓
- プロセスの⼀時停⽌ ✓ ✓ ✓
- キルプロセス ✓ ✓ ✓
- その他のアクション近⽇公開予定近⽇公開予定近⽇公開予定
Platinum / Platinum
Platinum / Platinum
Subscription
Cloud / Self-
Managed

Whatʼs New in 8.5
Elastic Security for Endpoint

Elastic Defend
Guided
Onboarding:
エンドポイント向け
Elastic Security

Elastic Defendのガイド付きオンボーディング:
エンドポイント向け Elastic Security
● Drivers
○ ワークロード保護と EDR は、同じような結果をもたらします。
○ しかし、技術、構成、データ量に違いがあります。
● Value
○ セルフサービス型クラウドおよびエンドポイントユーザーの
TTV を削減
○ エンドポイントおよびクラウドのワークロード保護に関する
設定済みのユースケースを理解し、選択できるようにします。
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic
Onboarding Video

Elastic Defend の Guided Onboarding︓
エンドポイント技術詳細
EDR Essential
Malware Prevention Prevent
Ransomware Prevent
Memory Protection Prevent
Attack Surface Reduction Prevent
Event Collection Process, File, &
Network
Next Generation Antivirus (NGAV)
Ransomware Prevent
Event Collection Process Only
EDR Complete
Ransomware Prevent
Event Collection All events*
* オペレーティングシステムにより異なる
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

エンドポイント向け Elastic Security のユースケース - サイジング

⼀元化されたレスポンス・アクションの履歴
レスポンスアクションの明確な監査を提供
● Drivers
○ ⼤きな⼒には⼤きな責任が伴う - レスポンスコンソールは
強⼒なツールであり、適切な管理が必要である
● Value
○ 監査インターフェースは、すべてのホストにおけるインシデント
対応活動の完全な記録を提供し、厳重な管理とレポー
ティングをサポートします。
● License level:
○ クラウド - 企業向け
○ セルフマネージメント - エンタープライズ
● 機能のリリース状況 : GA
GA
Enterprise

技術的詳細
● レスポンスアクションの履歴を⼀元管理できるのは Enterprise の
機能
○ エンドポイント詳細表⽰によるエンドポイント単位の監査は、
プラチナレベルでも利⽤可能です。
● セキュリティソリューションの Manage セクションにあります
● アクションは以下の条件でフィルタリングすることができます。
○ ホスト名
○ アクション (分離、解放、プロセス、kill-process、
suspend-process)
○ ステータス (失敗、保留、成功)
○ ⽇付/時間
○ アクションを実⾏したユーザー
GA
OSS
Enterprise

サポート
● リリース時にドキュメンテーションを提供
● 短期的（今後数リリース以内）には以下のような機能が予定され
ています。
● RBAC コントロール
● ファイル操作
● ホストアイソレーションレスポンスクイックアクションはプラチナムです。
● レスポンス・コンソールのエクスペリエンスはエンタープライズ
GA
OSS
Enterprise

エンドポイント
プロテクション

Open Protection Artifacts – Yara と Behaviors
エンドポイント保護に透明性を持たせることで、不明瞭さによるセキュリティを排除し、
セキュリティチームがリスクを適切に評価し、プログラムを改善することを可能にします
● Drivers
○ 私たちは、オープンで透明であることがユーザーにとって
最良であり、⻑期的には全員のセキュリティを向上させ
ると信じています。
● Value
○ 組織は、提供されたルールの適⽤範囲を評価し、⾃ら
の保護範囲を評価することができる
○ コミュニティによる導⼊と貢献
○ 組織のセキュリティ態勢が全体的に改善される

Open Protection Artifacts - 技術的詳細
カスタマーサクセス、セールス、マーケティングの技術チームに役⽴つ情報の特定
● Yara Signatures and Endpoint Behavior Protection Rules are now open
● License - Elastic License 2.0
● Repo: https://github.com/elastic/protections-artifacts
● Mark Dufresne Blog: https://www.elastic.co/blog/continued-leadership-in-open-and-
transparent-security
● Tony Meehan Blog: https://www.elastic.co/blog/heres-why-i-know-open-security-is-our-
best-defense
● Santosh Krishnan Blog: https://www.elastic.co/blog/why-the-best-kind-of-cybersecurity-is-
open-security

悪意のある⾏動の防⽌ - カバレッジ
GA
OSS
Platinum
挙動不審防⽌ルールは、スタックリリースから帯域外のアップデートです。最新の情報は open repo をご覧ください。

osquery による
エンドポイント調査

Osquery API（オスクエリー・エーピーアイ）
● Drivers
○ フル機能の API で osquery の完全⾃動化を
可能にする
● Value
○ osquery のアクションを⾃動化したいお客様や
パートナー様に有益です。
○ 使⽤例︓SOAR
● 機能のライセンスレベル︓osquery 機能のミラーリング
● API Documentation

Osquery ルールアクション
● Drivers
○ 検出ルールから osquery で定義された
アクションの完全⾃動化を可能にします。
● Value
○ 重要なセキュリティデータ収集フォームの
⾃動化による MTTR の削減
○ ユースケース例︓SOAR
● Notes:
○ テクニカルプレビュー
○ デフォルトでオン
Tech Preview
OSS
Platinum

ケースで⾒る Osquery
● Drivers
○ ユーザーは、案件をレビューする際に、調査結果
をすぐに利⽤できる必要があります。
○ また、監査やトレーニングのために、ケースに添付
された完全な調査履歴が必要です。
● Value
○ すべての調査結果をケースビューで直接提供する
ことで、MTTR を短縮します。
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

Agent/Osquery FDA macOS 対応
● Drivers
○ mac OSで保護されたテーブルを照会するには、
FDA（Full Disk Access）が必要です。
● Value
○ ユーザーは macOS 上で完全なスレットハントを
実⾏することができます。
● Notes:
○ FDA は Agent に提供され、Osquery は FDA
を継承する。
○ ユーザが⼿動でアクセス権を付与することができる。
○ MDM (例︓JAMF) を利⽤することで、FDA を
⼿動で付与することができる。
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

エンドポイント
パフォーマンスと
トラブルシューティング

エンドポイントパフォーマンス
● Drivers
○ CPU やメモリの使⽤率など、パフォーマンスは
まだ望むところではありません。
○ しかし、統計情報を継続的に監視し、システ
ムパフォーマンスへの影響について報告された
問題に対処します。
○ 現在の数値 :
ᐨ CPU: 平均 1-5%
ᐨ Memory: 100-500MB の間
● 機能のライセンスレベル Basic/Standard
● 機能のリリース状況 GA
●Performance OKR:
○ CPU︓95%のエンドポイントで2%CPU未満
○メモリ︓500MB以下（90%のエンドポイントに
おいて）

エンドポイントパフォーマンス

Fleet / Agent
スケール
Details
フリートマネージドエージェントの8.5倍は5万エージェント
At 50K agent scale
● ユーザーがエージェントを登録することができます
● 代理店の登録を解除することができます。
● エージェントのアップグレード
● 代理店ポリシーの更新
● ユーザーによる統合の更新
● 統合ポリシーの更新
注︓エージェントとフリートスケールの詳細については、
プラットフォームイネーブルメントにご参加ください。
Agent と Fleet Scale の詳細については、
Platform Enablement にご参加ください。

⼀元化された実⽤的な脅威のインテリジェンス
有効化されたすべての Threat Intelligence
フィードからの出⼒を⼀元的に表⽰
● Drivers
○ セキュリティソリューションにスレットインテリジェンス機
能を導⼊する
● Value
○ 脅威インテルと SOC のアナリストに、検索、ソート、
フィルタなどのツールを使⽤して、外部の脅威インテリ
ジェンスデータにアクセスし、分析する⽅法を提供し
ます。
○ IoC をタイムラインで簡単に調査し、環境内で⼀致
するものを⾒つけることができます。
● ライセンスレベル : Enterprise

技術的詳細
● Threat Intelligence モジュールの前提条件
○ ユーザーは、1つ以上の TI フィードを有効にしているか、
他の⼿段でインジケーターデータを取り込んでいる必要が
あります。
○ IoC ドキュメントは、Kibana の
securitySolution:defaultIndex 設定で指定された
インデックスの⼀部である必要があります。
○ 指標⽂書が ECS スキーマに適合していること。
○ バージョン 8.0 以前の Filebeat の統合はサポートされ
ていません。

セキュリティ・インテグレーション
8.5 との新しい統合
● Abuse.ch - ThreatFox
● AWS Security Hub
● Barracuda CloudGen
● Box
● Cisco Aironet
● Cloudflare Log Push
● Cyberark PTA
● Darktrace
● Infoblox BloxOne DDI
● Ping Identity PingOne
● LastPass
● Microsoft Azure WAF
● Trend Micro Vision One

Detection Engineering Workflows

ルール（アクションとスケジュール）の⼀括編集
● Drivers:
○ ほとんどの組織で多数のルールが存在する
○ Elastic のビルド済みルールを使うにせよ、独⾃のルールセット
を管理するにせよ、グループ全体に適⽤できる迅速な⼀括アク
ションが不可⽋です。
● Value:
○ バルク・ルール・アクションには、ルール・スケジュールやルール・ア
クションなどの機能が追加され続けています。
● ライセンスレベル : Standard/Basic
● リリース状況 : GA
● 既知の問題点 : None

保存されたクエリーのUXの更新
● Drivers:
○ ルール作成時に保存された以前のクエリのワークフローでは、ク
エリが変更された場合に誤解を招く動作が発⽣する可能性が
あります。
○ ユーザーは、保存されたクエリが変更されても持続することを期
待しているかもしれませんし、以前のクエリから新しいルールを
開始したいだけかもしれません。
● Value:
○ ユーザーがこのトグルを有効にすると、フィルターやクエリーの⼊
⼒に対してユーザーが⾏ったすべての更新が却下されます。ク
エリは、各ルールの実⾏中に動的にロードされます。
○ これらの設定は、ルールの詳細ページで利⽤でき、保存された
クエリルールに対してより⼀貫したエクスペリエンスを提供します。

その他のバリューリスト例外
● Drivers:
○ 多くの組織において、ルールの例外は⾮常に⼀般的である。
○ 特異な調査ワークフローに含まれない例外は、組織に関する良性の側⾯を表す、あらかじめ考えられたリストになる傾向がある。
● Value:
○ 値の例外リスト (<65k) がすべてのルールタイプでサポートされるようになりました。
○ より⼤きな値リスト (>65k) は、Query、Saved Query、ML、および Threat match ルールタイプにのみ使⽤可能です。
○ 注: 値リストは、キーワード、IP 値、または IP 範囲*タイプのリストとして定義されます (テキストタイプではありません)。

ルールプレビューの更新
● Drivers:
○ ノイズや偽陽性を評価するためのルールのプレビューは、
ルール作成のワークフローにおいて検出エンジニアにとって
強⼒なツールとなります。
● Value:
○ この機能の開発を継続し、ルールプレビュー機能に例外
とフィールドのオーバーライドを追加しました。
○ さらに、ルール作成フロー中、いつでもプレビューを利⽤で
きるように、よりアクセスしやすくしました。

Run Rules Now! (アドホック・ルール・ラン)
● Drivers:
○ ルールのプレビューは素晴らしいが、アナリスト
が実際に今すぐルールを実⾏し、トリアージ
や調査のためにアラートを利⽤したいと思う
こともある。
● Value:
○ 検知エンジニアやアナリストは、ルールを無効
化/有効化したり、設定を変更したりすること
なく、いつでもルールを実⾏することができま
す。
○ ルールのテスト/デバッグ時や、アクティブな
調査時に有効です。
● 既知の問題点 : 注︓この機能を使⽤するには、
ユーザーが Stack Management -> Rules
and Connectors にアクセスし、ルールを有効化
する必要があります。

新しい調査ガイド
調査に関する専⾨的なアドバイスの提供
● Description: MTTD の低減に役⽴つガイド付き
事前構築ルールのカバー率を向上させるための継続的
な取り組み
● Technical Details:
○ トップ有効/警告ルールに対応した新しいガイド
（Win、Linux、クロスプラットフォーム）
○ OOTB in 8.5: 178の堅牢な調査ガイドと22の
短い調査ポインターガイドを追加。
○ has_guide タグによる調査ガイドでルールを⾒つ
けやすい。
● Known Issues: なし
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

検出ルール : WindowsとLinux
● Description: エンドポイントOSの新しい検出ルール
以下の MITRE ATT&CK の技術に着⽬した、 14 の新しい
検出ルール :
○ T1053 - Scheduled task/job
○ T1569 - System services
○ T1110 - Brute force
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

検出ルール : クラウドワークロードの保護
● Description: CWP - 新しい検出ルールの開発とチューニング
複数の戦術・技術にまたがる :
○ 4つの新しいKubernetesルールと1つの包括的なルール
チューニング
○ 8つの新しいGoogle Workspaceルールと2つのルール
チューニング
○ 4つの新しいLinuxルール
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

セキュリティソリューション - 8.5機能概要
特⻑サブスクリプション層
(クラウド/セルフ
マネージド)
ステータス
説明ビジネスバリュー
案件アサインメント Platinum /
Platinum
Generally Available
アラートなどの調査結果を Case にエスカレーションした
ユーザーは、その Case をチームメンバーに割り当てること
ができるようになりました。
Elastic User Profiles を利⽤することで、インシデント
対応時の組織間の連携やコラボレーションをより効果的に
⾏うことができます。
アラートによるエンティティの詳細 Standard / Basic
Generally Available
セキュリティソリューションの単⼀エンティティ（ホスト、ユー
ザーなど）を表⽰する際、関連するアラートをすぐに確認
できるようになりました。
アラートを調査するための迅速なピボットポイントと、該当
するエンティティに対する⾃然な優先順位付けを提供しま
す。
アラート理由と調査ピボッティング Standard / Basic
Generally Available
アラートの理由には、置換された各フィールドのホバーアク
ションを持つ単⼀のアラートを読み取るための（イベントレ
ンダリングのような）トークン化されたメソッドが含まれます。
イベントレンダリングは、1つのログ（イベント）を読むため
のトークン化された⽅法で、ホバー操作によりタイムライン
に簡単にピボッティングして調査することができます。
オートチューンアナライザー Standard / Basic
Generally Available
Analyzer は、プロセスツリー全体を正確に表⽰するため
に時間を⾃動調整します。
グラフが⾃動的に正しい時刻をレンダリングし、プロセスツ
リー全体を表⽰するため、ユーザーはAnalyzerで⼀貫し
た体験をすることができます。

Platform (Stack and Cloud)

What:
• AWS とのパートナーシップを継続し、マーケットプレイスの
新規顧客のサインアップエクスペリエンスを簡素化
• ユーザーは数回のクリックで、AWS から直接 Elastic に
サインアップできる
• AWS CloudFormation (CFT) と Elastic Agent を
使うことで、ワンクリックでデプロイメントを作成し、データの
取り込みが可能となり、初期設定が簡略化
Why:
• これまで、マーケットプレイスのサインアップフローは、複数の
コンソールにまたがっていくつものステップを踏んでいた
• 新しいシンプルな UX は、ユーザーが素早く Elastic に
登録・デプロイできるようにガイドし、以前の複雑さを軽減
Next steps:
• マーケットプレイスの KPI を監視し、インパクトを把握
• CloudFormation のさらなる可能性を追求
AWS Marketplace のワンクリックオンボーディングを開始

What:
今後、ユーザーが Kibana にアクセスすると、ソリューションを選
択するよう求められます。これにより、ソリューションツアーが開始
され、ユーザーがソリューションに精通するのに役⽴ちます。
Why:
これは、8.6 で提供することを⽬標としている、ユースケースに
基づいたガイド付きセットアップの前段階です。このフレームワーク
から構築し、将来的にはユースケースに移⾏して、ユーザーが
データを追加して製品を設定するためのガイド付きセットアップを
体験できるようにする予定です。
Next steps:
• 初期解析のレビュー :
‒ 40% のユーザーが最初にガイドを選択
‒ 70%が検索、28%が観察可能、6%がセキュリティ
‒ ~30% がスキップすることを選択
• ユースケースに合わせたセットアップのための継続的な開発
ガイド付きオンボーディング - 初期リリース

What:
Kibana のサンプルデータページから、ライブデモ環境へ簡単にア
クセスできるようになりました。ライブストリーミングデータで
Elastic がどのような機能を持つのか、簡単に確認できるように
なりました。
Why:
サンプルデータのパッケージは、トライアルユーザーに⼈気がありま
す。しかし、私たちのサンプルデータセットは古く、時代遅れです。
それを維持するのは容易なことではなく、かなりのエンジニアリング
努⼒が必要です。デモ環境は、パワフルで包括的な Elastic の
インスタンスを素早くユーザーに提供し、当社のソリューションと機
能の価値をユーザーに⽰すことができます。.
Next steps:
• 解析結果を確認する
• データセットを追加する︓検索
• ガイドツアーの提供
• デモギャラリーの候補を探索する（例 Airtable)
Kibana のホスティングデモ環境へのアクセス

What:
Elasticsearch health API を使⽤したクラウドでのデプロイ
メントヘルスレポートのエクスペリエンスを改善しました。
Why:
クラスタが不健全になったときにユーザーに提供する情報を改善
することで、クラスタの平均復旧時間を短縮し、お客様のセルフ
サービスを⽀援し、サポートの負担を軽減することができます。
Details:
• ES Health API との統合（8.4+のデプロイメントのみ
• クラウド上のヘルス計算を簡素化し、API を利⽤できる
ようにします。
• 将来的に、他のコンポーネントやクラウド固有の指標に
対する全体的な健全性レポートを改善するための道を
開きます。
ESS のデプロイメントのヘルスレポートを改善

What:
課⾦ UI を更新し、試⽤版のお客様が消費の仕組みと試⽤版導⼊にかか
る費⽤を理解しやすくしました。
Why:
試⽤期間中、お客様は次のようなことに悩まされるかもしれません。
● トライアル終了時に発⽣する可能性のある料⾦の表⽰と理解
● トライアル体験を向上させるために、展開と価格に関する情報を活⽤
する。
● トライアル終了前にコンバージョンが必要なタイミングを理解する
Details:
● トライアルバッジを更新し、トライアルサマリーモーダルを表⽰するようにし
ました。
● トライアルサマリーから、デプロイの編集、詳細な使⽤データの確認、価
格計算機の表⽰、チェックアウトのフローに移動できます。
トライアルユーザー向けの価格明確化
消費の⼀部 - コアテーマ
Gold
GA Enterprise
Platinum

What:
組織の課⾦概要タブで ECU を有効にするためのコードを使⽤します。
Why:
● クレジットの誤使⽤は、最もよくあるお客様の問題の⼀つです。これは、
お客様が年間契約を締結した際に、間違った組織にクレジットが追加
された場合に起こります。
● このようなお客様の問題を解決するには、時間がかかり、複数のチーム
との連携が必要です。
Details:
● ECU クレジットのアクティベート(有効化)が、課⾦ページ内の「概要」
タブで⾏えるようになりました。
● コードは1回限りの GUID で、年間契約時に⾃動的に電⼦メールで
送信されます。
プロビジョニングの強化
Gold
GA Enterprise
Platinum
Standard/Basic

What:
リセラーをサポートする Automated Consumption を追加しました。
Why:
• リセラーが Elastic Prepaid Consumption を販売できるように
なります。
Details:
• Enhanced Provisioning を使⽤して、リセラーの顧客に対して
クレジットを有効にします。
• これまでの利⽤額制限を撤廃（最低5万ドル）
• リセラーへの請求時に顧客から価格を隠すことができます。
リセラーサポート
Gold
GA Enterprise
Platinum

TSID でシャードへのルーティング
TSDB
Shard-1
Shard-2
Shard-3
TSID: 1
TSID: 3
TSID: 5
TSID: 2
TSID: 4
TSID とタイムスタンプでソートする
Tim
e
Dimensions
Timestamp
Metrics
Dimensions
Timestamp
Metrics
Dimensions
Timestamp
Metrics
Dimensions
Timestamp
Metrics
Dimensions
Timestamp
Metrics
時系列で繰り返されるディメンション値
データストリーム
時間
新規データを
受け付ける
インデックス
遅れて到着した
ドキュメントのみ
を受け⼊れる
インデックス
読み取り専⽤
インデックス
読み取り専⽤
インデックス
データストリームのインデックス間に
時間的な重なりがないこと
~インデックスサイズを約30％削減
●マイレージはインデックスごとに異なる場合があります
●時系列でのデリバティブ分析が可能
GA
OSS Beta
Platinum
Enterprise Tech Preview
Gold
Standard/Basic

ダウンサンプリング
TSDB ベースの
●ILM アクションとしてのダウンサンプリング
●ダウンサンプリングされたインデックスをダウンサンプリング
●簡単な設定と管理 - TSDB に基づく
●Lens、TSVB、Agg-based vis、Timelionで完全にサポートされています。
●データストリームを通じたクエリ
○複数のダウンサンプリングインデックスと⽣インデックスをまとめて
○データストリームを簡単にクエリ
The actual metric (gauge) The raw metrics doc - already
samples
Downsampled - statistical
representation
Min, Max,
Sum, Count
GA
OSS Beta
Platinum
Gold
Standard/Basic
3
docs
27
docs
lim➜∞
docs

BM25F =
>
?
●スケールアップしても低いクエリレイテンシー
●トラディショナルとの融合 (リニアコンビネーション)
●フィルタリング（最適化!）
●集計をサポートした_searchで
HNSW ベースのベクトル類似度 GA!
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

Elastic プラットフォームのユーザーの導⼊
MVP︓ユーザー検索 UX を完成させたケース課題
● オートコンプリート、アバター、RBAC を備えた完全な
ユーザー検索 UX
● すべての Kibana ユーザーを含む: 内部 (ネイティブ)
と外部 (SSO)
● ケースの割り当て
● ユーザーファーストのコラボレーションワークフロー
● まだまだ続く...
GA Platinum

機械学習のお知らせページ
すべての ML 資産に対する新しい⼀元化された通知
● 複数の ML ジョブを実⾏すると、通知に
気づかないことがある
● 全ての ML ジョブの通知を⼀元管理
● 重要度や種類でフィルタリング
GA
OSS
Platinum

事例で⾒る異常検知の可視化
Cases で異常を可視化する
● ケース内の異常の表⽰
● ケースに埋め込み可能な異常検知の
ビジュアルを追加し、共有できます。
GA
OSS
Platinum

Lens で ML ジョブを作成する - 簡易版
Lens から直接 Anomaly Detection ジョブを作成可能
● Lens fly out から直接 Anomaly
Detection ジョブを作成できるように
なりました。
● ML ウィザードへのドロップが不要に
● Anomaly Detection ジョブを作成
する際の障壁がさらに減少します。
GA
OSS
Platinum

AIOps - ログパターン解析
● ⾮構造化ログメッセージからパターンを
発⾒する
● 類似したメッセージは、ML 分類と同じ
アルゴリズムでグループ化される
● パターンフィルタでパターンをドリルダウン
し、Discover に戻す
オンデマンドログサマリ
GA
OSS Beta
Platinum Tech Preview

Log Rate Spike のグループ化について説明
頻出項⽬集計によるグループ化
● 「ログレートのスパイクを説明する」の新しい
グループ化オプション
● スパイクの根本的な原因に焦点を当てる
ために、頻出項⽬の集計を利⽤します。
GA
OSS Beta
Platinum Tech Preview

データビューを保存せずに使⽤する
データビューを作成することなく、データを探索することが可能
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic
Why
より速く開始し、混乱を防ぐことができます。1つのビジュアライゼーション
に、カスタムデータビューフォーマットやインデックスパターンのユニークな
選択が必要な場合があります。
ソリューションチームは、プラットフォームアプリケーションの経験をより簡単
に統合することができます。
Details
● データビューの作成」メニューに、ローカルに保存されたデータ
ビューをビジュアライゼーションで使⽤できるオプションが追加され
ました。

Why
時系列の可視化にイベントを重ね合わせることで、根本的な
原因を把握することができます。
Details
● 複数のデータビューから簡単にアノテーションを重ねられる
（Elasticの新機能）。
● レンズアノテーションのオーバーラップアノテーションのサ
ポートが強化されました。
● Elastic のスタイルオプションが増えました。
Lens におけるクエリベースのアノテーション
任意の時系列にイベントを重ね合わせる
GA
OSS Beta
Platinum
Gold
Standard/Basic Give us feedback! #kibana-visualizations or #event-annotations-wg

ダッシュボードのタイムスライダー
時間軸で再⽣・スクラビングが可能なダッシュボードコントロール
Why
⾝近で優れた時間フィルタリング機能を、より広い⾮空間的⽂
脈で実現する。時系列データを持つユーザーから過去に何度か
要望があった。
Details
● 少ないクリック数で時間を刻む
● 曲や映画を再⽣するように⾝近に感じられる時間操作
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

インレンズ⽐率のグラフタイプで折りたたむ
指標をより良くまとめるために便利な2段階計算
Why
Lens で利⽤可能な⼀連の可視化オプションに、特定の統合
ダッシュボード固有の計算を導⼊します。レガシーな視覚化
（TSVB）から乗り換えるもう⼀つの理由
Details
● 正しい最後の値を取得するために分解し、それらを要約
し、結果を可視化するために何か他のもので分解します。
● これを設定するための、よりシンプルなエクスペリエンスを
提供する ESQL のためのストップギャップ
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

アナリティクスの⼩さな注⽬株
● Discover🚀 でヒストグラムのサイズを変更する
● Discover🚀 でのフィールドリストのパフォーマンス向上
● ダッシュボードでパネルレベルのフィルタを表⽰
● マップのツールチップを⾮表⽰に
● レンズテーブルでのクリックによる直接のフィルタリング
● レンズでの可視化レイヤーの複製
GA
OSS
Platinum
Enterprise
Gold
Standard/Basic

ディスク使⽤状況インジケーター
● 新しいHealth API指標
● フィールド API のソースフォールバック
● ILM の安定性
Elasticsearch
Datastore 8.5
"disk": {
"status": "red",
"symptom": "2 indices are not allowed to be updated because 1 node is out of disk or running low on disk space.",
"details": {
"blocked_indices": 2,
"green_nodes": 1,
"unknown_nodes": 0,
"yellow_nodes": 0,
"red_nodes": 1
},
"impacts": [
{
"id": "elasticsearch:health:disk:impact:ingest_capability_unavailable",
"severity": 1,
"description": "Cannot insert or update documents in the affected indices [.geoip_databases, test_index].",
"impact_areas": [
"ingest"
]
},
{
"id": "elasticsearch:health:disk:impact:cluster_stability_at_risk",
"severity": 2,
"description": "Cluster stability might be impaired.",
"impact_areas": [
"deployment_management"
]
}
]
Status 意味
RED データノード︓少なくとも1つのノードでディスクの容量が不⾜しており、このため書き
込みがブロックされています。
その他のノード︓ディスクの容量が不⾜しており、それが問題を引き起こす可能性
があります。
YELLOW 少なくとも1つのノードでディスク使⽤量が増加しています。
GREEN すべて良好です。
UNKNOWN ノードのディスク使⽤量を取得できません。
https://www.elastic.co/guide/en/elasticsearch/reference/8.5/health-api.html
GET /_internal/_health/disk
Standard/Basic Experimental

現在、Painless の Fields API の⼀部として利⽤できる
すべてのフィールドは、ユーザーのためにスクリプトでデータを
取得するために、doc 値の存在に依存しています。
問題点...
解決策...
doc の値がないときに _source から値を読み取ること
を許可する。
これはエンドユーザにとって透明であり、2つのアプローチの
どちらを使⽤するか気にする必要はありません。
Elasticsearch
Datastore 8.5
GA
Standard/Basi
c

例えば、年齢ベースのロールオーバー（つまり1⽇ごと）
で IL Mを使⽤するように設定されたビートが（何らかの
理由で）データの送信を停⽌した場合。
ILM 、その年齢に基づいて（つまり毎⽇）インデックスを
ロールオーバーし続け、期間ごとに（つまり1⽇ごとに）
空のインデックスを作成します。
最⼤シャードの制限に達することで発現。
問題点...
解決策...
インデックスにドキュメントがない場合、フェーズが
“min_age ”をショートすることを許可します。
ロールオーバーアクションは、インデックスに少なくとも
1つのドキュメントがある場合にのみ実⾏されます。
Elasticsearch
Datastore 8.5
https://www.elastic.co/guide/en/elasticsearch/reference/master/
release-highlights.html#ilm_no_longer_rolls_over_empty_indices
GA
Standard/Basi
c

https://events.atlassian.com/teamtourtokyo2022
Atlassian TEAM TOUR TOKYO 2022
11/17
14:15 - 15:00
⾒えない未来の舵を取る – ITと社会が融合
する時代のプロダクトリーダーシップ
株式会社EventHub
葛巻真⼀⽒
三重県
⽥中淳⼀⽒
Elasticsearch株式会社
鈴⽊章太郎⽒
登壇予定は…

.NETラボ勉強会 2022年11⽉ C# Tokyo 合同イベント
https://dotnetlab.connpass.com/event/264192/
11/26
14:45 - 15:15
.NET MAUI
for .NET 7 で
iOS/Android
アプリを開発して
みよう
---
15:25-16:25
.NET 7
テーブルトーク

https://ela.st/icon-tokyo-2022
ElasticON Tokyo
@ Westin Hotels & Resorts Tokyo (2022/11/30)
14:10 - 14:40
Azure Container Apps と Elastic Cloud
で作るマイクロサービスのオブザーバビリティ環境
---
16:50 - 17:20
Elastic と AWS で実現するクラウドネイティブ
アプリケーションの⾼い可視性
登壇予定は…

What's New in the Elastic 8.5 Release

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a What's New in the Elastic 8.5 Release

Semelhante a What's New in the Elastic 8.5 Release (20)

Mais de Shotaro Suzuki

Mais de Shotaro Suzuki (20)

What's New in the Elastic 8.5 Release