Elastic Meetup vol. 37 2020.8.27

1. Elastic Stack & Cloud 7.9
概要ご紹介
鈴⽊ 章太郎
テクニカルプロダクトマーケティングマネージャ/エバンジェリスト

2. Elastic
Technical Product Marketing
Manager/Evangelist
内閣官房 IT 総合戦略室
政府 CIO 補佐官
元 Microsoft
Technical Evangelist
Twitter : @shosuz
Shotaro Suzuki

3. SaaS オーケストレーション
Elastic Cloud
on Kubernetes
Elastic Cloud Elastic Cloud
Enterprise
Elastic エンタープライズサーチ Elastic セキュリティElastic オブザーバビリティ
Kibana
Elasticsearch
Beats Logstash
3 Solutions. 1 Stack. Deploy Anywhere
Elastic スタックで実現
3 つのソリューション
豊富なデプロイ選択肢

4. エンタープライズサーチ、オブザーバビリティ、セキュリティの
各 Elastic ソリューションに多彩な新機能が登場
7.9 リリースは市場に画期的な新機能を投下
Elastic Stack へのデータ投⼊
⽅法を⼤きく変える Elastic
Agent が登場
Elastic エンタープライズ
サーチの Elastic Workplace
Search が新たに無料プラン
で提供開始
Elastic セキュリティでは
無料プランで使えるエンド
ポイントセキュリティを
ベータリリース
Elastic ソリューションは Elasticsearch、Kibana、Logstash、Beats で構成される Elastic Stack ベース
※ Elastic Stack に直接統合された
マルウェア防御機能

5. Elastic Stack と各種ソリューションのデプロイ
に最適な Elastic Cloud も継続的な進化
• AWS PrivateLink 接続のサポートを開始
• FedRAMP Moderate 認証への対応
• 購⼊オプションのシンプル化
• 3つのサポートリージョンを新たに追加
• Elastic 7.9 の新機能はどこでも今すぐ使える
• Elasticが提供する唯⼀のマネージドサービス Elastic Cloud
• Elastic Stack (ダウンロード)
• Elastic Cloud Enterprise や Elastic Cloud for Kubernetes
(セルフマネージドでオンプレでもパブリッククラウドでも)

6. 7.9に追加された新機能
• Elastic のソリューション
Elasticエンタープライズサーチ7.9.0の最新情報（ブログ記事）
Elasticオブザーバビリティ7.9.0の最新情報（ブログ記事）
Elasticセキュリティ7.9.0の最新情報（ブログ記事）
• Elastic Stack
Elasticsearch7.9.0の最新情報（ブログ記事）
Kibana7.9.0の最新情報（ブログ記事）
• Elastic Cloud
Elastic Cloud 7.9の最新情報（ブログ記事）
詳細は各ソリューションやプロダクトの個別のブログ記事を参照して下さい

7. Elastic Enterprise Search 7.9

8. Add screenshot
Elastic Enterprise Search
の Workplace Search
無料プランで導⼊可能に
• Google Drive, Gmail, Salesforce, SharePoint,
Jira をはじめ、幅広いコンテンツプラット
フォームを⼀元化してチームの⽣産性を
⾼め、組織向けにパーソナライズされた
検索エクスペリエンスを実現
• 無料プランには、サポート対象の全コン
テンツソースに対応する各種コネクター、
独⾃コネクターを作成するためのカスタ
ム API へのアクセス、グループとユーザー
管理機能、最新のユーザーエクスペリエ
ンスを叶える検索構築⽤ツールを含む
• プラチナまたはエンタープライズサブス
クリプションでご利⽤の場合追加機能が
提供
• Elastic Cloud はもとより Elastic Stackを使う
⾃社インフラに、セルフマネージドオプ
ションでデプロイ可能

9. Add screenshot
Kibana で⾒る
Elastic Enterprise Search
Elastic Stack への開かれた窓
• Kibana で Elastic エンタープライズ
サーチを操作できるようになった
• App Search と Workplace Search をお
なじみの画⾯で簡単に操作できる
• Kibana の管理者は space をカスタマ
イズして、メインのナビゲーショ
ンメニューで Elastic エンタープラ
イズサーチの表⽰/⾮表⽰を指定で
きる
• App Search ユーザーは Kibanaで全て
の検索エンジンとメタエンジンに
アクセスできる
• Workplace Search ユーザーは、
Kibana からユーザー管理とコンテ
ンツソース同期ツールにアクセス
できる

10. Add screenshot
Gmailのサポートを開始
Workplace Search
Elastic Stack への開かれた窓
• 7.9よりWorkplace Search はコネ
クターとして Gmail のサポート
を開始
• Gmail ユーザーは、すっきりし
たビジュアルで直感的な操作性
を備えた Workplace Search の
ユーザーインターフェースで
メールを検索したり、検索結果
を他の広範なコンテンツソース
と並べて表⽰できる

11. スケーリングの⾼度な制御・⾃動化と
ソースアクティビティログの新たなインサイト
• Elastic Stack のインデックスライフサイクル管理（ILM）ポリシーが
App Search と Workplace Search にも組み込まれている
• ユーザーは ILM ポリシーを設定し独⾃の要件に沿ってインデックス
（エンジン）管理を⾃動化できる
（設定可能ポリシー例）
• 事前定義したサイズに達したときに新規のインデックスを作成する
• 1⽇、あるいは1週間、1か⽉単位でインデックスを作成またはアーカイブする
• データ保持ルールに基づいてインデックスを削除する
• ILM ポリシーは、App Search 内で直接作成、および管理

12. Kibana 7.9

13. Add screenshot
Kibana ページの読み込み速度が
向上、すばやい操作と⾃然なワーク
フローをサポート
Kibana の全ての基盤アーキテクチャーを移⾏
• この18か⽉以上、Kibana の中⼼となるエン
ジンのオーバーホールを実施
• Kibana の操作エクスペリエンスが劇的に⾼
速化
• APM からダッシュボードへ、さらにマッ
プへ、SIEM へと、瞬時に画⾯を切替
• ミッションクリティカルなシステムのサ
ポートや、セキュリティ脅威からの防御、
データ分析など、あらゆる作業でユー
ザーの集中⼒を妨げない
• Kibana の開発コミュニティにとっても⼤き
な進展
• 各種機能をより早く実⾏できる性能
のおかげで開発作業効率が向上
• 結果的に⾼品質のコードを⽣み出す
ことが可能

14. Dashboards
基になるデータ アクションの探索
• パネルのコンテキストメニューのアクション
は、インデックスパターン、フィルタ、クエ
リ、および時間範囲を使⽤して検出に移動
• チャートアクションでは、トリガーイベント
によって作成されたフィルタと時間範囲も適
⽤される

15. Add screenshot
• 単⼀のインデックスパターンに
基づいてすべてのビジュアライ
ゼーションで使⽤可能
• パネルのコンテキストメニュー
から常にアクセス可能
• オプションで、kibana.yml 設定
を介してチャート内コンテキス
トメニューとして利⽤ 可能
Dashboards
基になるデータ アクションの探索

16. Add screenshot
Dashboards
Kibana の埋め込み:iframe 構成
• Kibana 埋め込み時のユーザー
の価値の拡⼤
• タイムピッカー、フィルター、
検索バーがあり/なしのアプ
リに iFrame を埋め込み可能

17. Add screenshot
Kibana Lens
レンズは複数の Y 軸を取得
• 1つのグラフ、複数の
データスケール

18. Add screenshot
Kibana Lens
Y軸カラーセレクタ:
• ユーザーの設定に基づいて
グラフをカスタマイズする

19. Add screenshot
Kibana Lens
レンズのフィッティング機能:
• Kibana で初めてより正確
に疎なデータを視覚化
• ユーザーはデータの
ギャップを視覚化する
⽅法を構成できる

20. Add screenshot
Canvas
Canvas 変数
• キャンバスユーザーの
ための膨⼤な時間の節約
• データのブランディング
を⾮常に簡単にする

21. Alerting
ServiceNow の警告アクション
• ⾼度な統合
• Elastic Stack を今以上に
運⽤系アプリケーションの
中⼼的な部分にし続ける

22. Elasticsearch 7.9

23. Elasticsearch 7.9 ̶ Release Overview
• 主要な検索機能と分析機能の改善
‒ ワイルドカード データ型
‒ 可変幅ヒストグラム
‒ ヒストグラム集計 (ヒストグラムデータ型)
‒ 集計の正規化
‒ パーセンタイル集約の移動
• クラスター管理機能
‒ 時系列データを簡単に作成するデータストリーム
‒ ノード パイプライン ビルダー UI の取り込み (更新)
‒ 弾性検索⽤ Tableau コネクタ
• プレビュー: Event Query Language (EQL)
The Heart of the Elastic Stack

24. 検索効率を⾼めるワイルドカードデータタイプが登場
• ログはスペースのない⻑い⽂字列を含むことがよくあり、標準的な
反復セクションと変化する情報（名前や、期間、IPアドレスな
ど）で構成される
• このような⽂字列を⾼パフォーマンスかつ⼩サイズのインデックスで
効率的に検索するため、⽂字列を3⽂字のトークンに分割し、
クエリにも同じテクニックを適⽤
• このメソッドを使うと、パフォーマンスを損なうことなく検索でワイルド
カードと正規表現をサポートできる
• ワイルドカードデータタイプにワイルドカード演算⼦を使うと、検索
対象を⾒つけるまでの所要時間を劇的に短縮
• Elastic セキュリティソリューションを使うアナリストが脅威ハンティン
グを実施するなどの場⾯でワイルドカードデータタイプは特に便利
⾃分が何を検索しているのか、その半分もわからないという状況
特にオブザーバビリティとセキュリティにまたがるユースケース

25. ワイルドカード データ型
どのようにこれを解析するか?

26. ワイルドカード データ型
トークン化 / 情報の基本単位の定義
Quick brown fox
NodeNotConnectedException:[54b_data_2]
Quick brown fox
NodeNotConnectedException
Text
Quick brown fox
NodeNotConnectedException:[54b_data_2]
Keyword
Quick brown fox
NodeNotConnectedException:[54b_data_2]
54b_data_2

27. ワイルドカード データ型
トークン化 / 情報の基本単位の定義
NodeNotConnectedException:[54b_data_2] nod ode den eno not ... a_2 _2]
NodeNotConnectedException:[54b_data_2]

28. Elasticsearch に Event Query Language
（EQL）のプレビューが登場
数年来のリクエストに応えて
• 「脅威ハンティングとセキュリティ検知のユースケースをサポートする
相関クエリ⾔語を導⼊してほしい」
• 昨年の Endgame の買収に伴い、この⽬的のために設計され、
過酷なテストを経たパワフルな⾔語である Event Query
Language（EQL）を Elastic は継承
• EQL は数年にわたって Endgame のソリューションを実⾏し、
エンドポイントで効率的に脅威をブロック
• そして今回、7.9で Elastic 最初の EQL をパブリックプレビュー
でリリースされ、今後は Elastic セキュリティと Kibana に堅牢な
EQL 向け UI を組み込んでいく予定

29. プレビュー : Event Query Language (EQL)
相関照会⾔語
GET /sec_logs/_eql/search
{
"query": """
sequence by process.pid with maxspan=1h
[ process where process.name == "regsvr32.exe" ]
[ file where stringContains(file.name, "scrobj.dll") ]
until [ process where event.type == "termination" ]
"""
}

30. Elastic Observability 7.9

31. データ投⼊を
シンプルにする
Elastic Agent / Ingest
Manager / Fleet
7.9でベータリリース
• Elastic Agent は、ログ、メトリック、エンドポイントセキュ
リティデータをはじめ、広範な種類のデータをホストから
収集する⼀元的な⼿法として使⽤可能
• 今後は APM や、他のデータタイプもサポート予定
• エージェントが1つだけになることで、担当者の作業効率の
⼤幅な向上
• Ingest Manager を使って、投⼊プロセスのあらゆる
側⾯を1か所で制御
• 主要なサービスやプラットフォームの統合機能を追加、
管理できる
• 今後数回のリリースにわたって100以上の Beats
モジュールをポートする予定
• Fleet はデプロイ済みのすべてのエージェントを⼀元的に
管理する管制塔のような機能
• 典型的な組織は、何万ものホストにエージェントをデプロイ
• Fleet を使うと、そのようなエージェントを1か所で簡単に
管理できる

32. Agent と Ingest Manager で
データインジェストがよりシンプルに

33. アナリストのエクスペリエンスを向上させる
⼀元的な新しいオブザーバビリティ概要ページ
• データストリームをスムーズに追跡し、スピーディーな平均復旧時間を達成できる
調査ワークフローを実現するには、すべてのデータを単⼀のデータストアに格納
• Kibana のオブザーバビリティ概要ページを刷新し、⼀元的なデータ基盤上で、
可視化レイヤーのさらなる⼀元化を実現
• ログ、メトリック、APM、アップタイムのあらゆるオブザーバビリティデータから重要な
情報を抽出
‒ エコシステム全体のヘルスを洗練されたビューで表⽰
‒ 設定不要ですぐに使いはじめることができる
‒ 新規ユーザーによる、あるいは新規のデプロイからのインサイト取得を⾼速化
‒ プロダクトのアップデートや最新情報を伝えるニュースフィードも表⽰
Elastic オブザーバビリティの強みの1つ = ログ、メトリック、トレースをデータレイヤーで統合

34. オープンスタンダードをサポート
Elastic APM の OpenTelemetry 統合
• OpenTracing、Jaeger、W3C Trace-Context、OpenTelemetry 等
• Cloud Native Computing Foundation（CNCF）のサンドボックスプロジェクト
‒ 現在はベータ段階
‒ ベンダーニュートラルかつ⾔語固有なエージェントと SDK、API
‒ 監視するアプリから分散トレース、メトリック、ログのデータを収集可能
• Elastic APM exporter (ベータ)
‒ OpenTelemetry collector を使ってトレースデータを収集
‒ Elastic 互換のプロトコルに変換し、データを Elastic APM に送付
‒ 既存の OpenTelemetry 設定に、Elasticのexporter を追加して、わずか数分でデータの探索を開始
Elastic は各種オープンスタンダードをサポート

35. SecOps と DevOps の連携を強化する
50 以上の検知ルール
• Elastic セキュリティと Elastic オブザーバビリティの結びつきを⼀層強化
• SecOps と DevOps の双⽅のニーズを満たしながら、コラボレーションの機会を提供
• DevOps チームとセキュリティアナリストの双⽅に役⽴つインサイトを抽出できる
• 追加のルールをフレキシブルな検知エンジンに追加することも可能
• リソースベースの料⾦体系を採⽤
すぐに使える検知ルールがベータ版で登場

36. Elastic Security 7.9

37. 統合型マルウェア防御でエンドポイントへの攻撃を阻⽌
• 無料のアンチマルウェア機能（ベータ）が Elastic セキュリティに搭載
• シグネチャーレスメソッドで Windows と macOS ホストからくるマルウェア攻撃を防ぐ
• Elastic は MITRE ATT&CK® 準拠のルールで Windows、macOS および
Linux ホストの脅威を検知する機能を提供
“世界中の組織のセキュリティに貢献する”という取り組みを進展

38. Elastic セキュリティ7.9の統合型ホスト防御による可視化

39. クラウドセキュリティの強化を⽀援
• クラウドインフラ監視のための事前構築済み防御と、IDおよびアクセス管理テクノロ
ジーをリリース
• ユーザーは ATT&CK® Matrix に準拠した事前構築済みの機械学習ジョブ
（⼀般公開）と脅威検知ルール（ベータ）を使って、重要なクラウドインフラと
アプリへの攻撃を検知できる
Elastic セキュリティ7.9

40. コミュニティ主導のワークフロー強化で
防御、検知、対応を⼀元的に実施
• ワークフローを使って、アナリストは攻撃に対して効率的にトリアージ、追跡、調査、
対応可能
‒ 内蔵型調査ガイドを追加
‒ アナリストが特定のタイプのアラートを開くときにどの質問をすべきかを把握する
‒ ガイドに沿ってタイムラインをカスタマイズし、データプレゼンテーションを最適化することで、
インサイトをすばやく取得
• 検知とエンドポイントルールに例外を追加する、効率的なワークフローも追加
‒ 誤検知を最⼩化するために⽣じる作業負荷の軽減
• IBM Resilient との統合機能も追加
‒ セキュリティチームや、その他の範囲にわたってインシデントレスポンスワークフローを最適化
Elastic セキュリティ7.9で複数のワークフローが強化

41. データ統合機能の強化でデータ投⼊がよりシンプルに
• Microsoft Defender ATP
• Windows PowerShell
• Google G Suite
• セキュリティ運⽤のほか、DevSecOps、その他の⼀般的なユースケースまで広くサ
ポート
• 20以上の⼀般的なネットワークとアプリのセキュリティテクノロジーについて新たにサ
ポートを開始
Elastic セキュリティ7.9で複数のホストやクラウドデータソースを新たにサポート

42. Elastic Cloud for 7.9

43. Streamlined
Purchasing
Security &
Compliance
Deploy
Anywhere
クラウドのリリースに関連するテーマ
FedRAMP,
AWS PrivateLink,
IP filtering
Self-Service
monthly
gold/platinum
New Regions +
ECE 2.6 & ECK 1.2
Streamlined
Purchasing

44. AWS PrivateLink &
IP filtering
共通の infosec request
• AWS PrivateLink は AWS の仮想プライベー
トクラウド（VPC）と Elastic Cloud の間を
プライベートネットワーク接続
• 複数のパブリッククラウドプロバイダー
にわたる IP フィルタリングのサポートも
開始
• Elastic Cloud のデプロイへのネットワークアク
セスを IP アドレスに基づいて指定や、アドレ
スのブロックや、アドレス範囲の指定が可能
• Google アカウントのサポートも導⼊
• わずか数クリックで、既存の Google の ID を
使った Elastic Cloudア カウントへのアクセスを
設定可能
• 個々の資格情報を維持する必要なし

46. ECE 2.6 & ECK 1.2 セルフマネー
ジド向け新機能が登場 - Elastic
Cloud Enterprise 2.6
スタックとソリューションのサポート
Lead with
cloud
• Elastic Cloud Enterprise 2.6を⼀般公開
• Elastic 社が Elastic Cloud の運営に⽤いるも
のと同⼀の機能を使って複数の
Elasticsearch クラスターを⼀元的にオーケ
ストレーション可能
• 2.6リリースより、Elastic Cloud
Enterprise はElastic Cloud Control
（ecctl）CLI のサポートを開始
• これにより、最新の Workplace Search 機能
とインプレースの設定変更のサポートを
含む、新しい⼀元的な Elastic Cloud
Enterprise の管理が可能
Deploy
Anywhere

47. ECE 2.6 & ECK 1.2 セルフマネー
ジド向け新機能が登場 - Elastic
Cloud on Kubernetes 1.2
スタックとソリューションのサポート
Lead with
cloud
• Kubernetes で Elasticsearch と Kibana を使う際の
セットアップやアップグレード、バックアップ、
スケール、⾼可⽤性、セキュリティまでをシン
プル化
• 最新のバージョン1.2で、Elastic エンタープライ
ズサーチのデプロイとオーケストレーションを
⼿軽に実⾏可能
• わずか数⾏の YAML config で App Search や
Workplace Search のインスタンスを⽴ち上げ、
Elasticsearch クラスターに接続可能
• バージョン1.2では、最新の Beats Custom
Resource Definition（CRD）を使⽤して、Filebeat
や Metricbeat、Auditbeat など、ECK のデータ
シッパーをデプロイ、および管理可能
Deploy
Anywhere

48. Add screenshot
• Elastic Cloud コンソールで直接
ゴールド、およびプラチナの
マンスリーサブスクリプション
を購⼊できるように改訂
• わずか数クリックで サポート
SLA のほか、エンタープライズ
サーチ、オブザーバビリティ、
セキュリティのソリューション
をはじめとする、Elastic Stack
ならではの機能にアクセス可能
セルフサービス向け⽉々プレミアムサブスクリプションと
新リージョンの登場でよりフレキシブルになった購⼊オプション
⾼速で透明性の⾼い調達
Streamlined
Purchasing

49. AWS
+ AWS GovCloud
Azure
Google Cloud
3 9
Deploy
Anywhere
複数のクラウドサービスプロバイダーで対応リージョン増⼤
• カナダ中部、パリ、ソウルをはじめ、より多くの都市で近距離から
Elastic Cloud にアクセスできる
• AWS GovCloud リージョン（FedRAMP Moderate 認証
向け）は⼀般提供に移⾏

50. Resources

51. 7.9に追加された新機能
• Elastic のソリューション
Elasticエンタープライズサーチ7.9.0の最新情報（ブログ記事）
Elasticオブザーバビリティ7.9.0の最新情報（ブログ記事）
Elasticセキュリティ7.9.0の最新情報（ブログ記事）
• Elastic Stack
Elasticsearch7.9.0の最新情報（ブログ記事）
Kibana7.9.0の最新情報（ブログ記事）
• Elastic Cloud
Elastic Cloud 7.9の最新情報（ブログ記事）
各ソリューションやプロダクトの個別のブログ記事

52. Elastic {ON} Observability on Sept. 9th
https://www.elastic.co/elasticon/observability/japan-jp

53. Thank You for your attention!