Hi, there. 本日のトピックは、Elastic Stackです。 ― “検索エンジン”の先にある、監査と可視化の実用ライン Elastic という名前を聞くと、いまでも「Elasticsearch のこと」と受け取られることが少なくありません。たしかに Elasticsearch は Elastic の中核であり、検索と分析を担う重要なエンジンです。けれど、いま実際に手を動かして使う対象は、Elasticsearch 単体ではなく、Elasticsearch、Kibana、そして必要に応じて Elastic Agent や Fleet を含めた Elastic Stack 全体です。Elastic 公式も、Elastic Stack を「データを安全に保存し、検索し、分析し、可視化するために連携する製品群」と説明しています。 この違いは、言葉の問題ではありません。「Elasticsearch で何ができるか」と考えると、どうしても検索エンジンの延長として見てしまいます。ですが、「Elastic Stack で何ができるか」と捉え直すと、話

Hi, there. 本日は、過去に投稿した「Splunkを使用した監査環境の構築」のWazuh版です。 Splunkの環境構築時に作成した監査対象サーバーを流用し、Splunkとの見え方の違いを見ていきたいと思います。 Wazuhには、中央コンポーネントを同一ホストにまとめた all-in-one 構成が案内されています。そのため、Splunk や Elastic と比べると最初から 監査項目の型をかなり持っており、ログを見るだけではなく、ファイル改ざん、設定不備、脆弱性まで含めて「そのホストが今どういう状態か」を見せるのが得意です。 今回の構成 今回の構成もシンプルです。 Wazuhサーバー Ubuntu Server 24.04 LTS Wazuh all-in-one 構成 名前：wazuh タイプ：Linux バージョン：Ubuntu (64-bit) メモリ：4096MB CPU：2 仮想ディスク：20GB 監査対象サーバー 前回の Splunk 編で作成した Ubuntu Server 24.04 LTS ネットワークの構成.

Hi, there. 本日は、過去に投稿したSplunkに引き続きSIEMに関連した内容で、オープンソースのSIEMツールでお馴染みのWazuhについてお話します。 Wazuh を初めて見ると、「SIEMっぽいものをオープンソースで試せる製品」という印象を持つ人が多いと思います。でも、実際に公式資料を読んでみると、思っていた以上に多機能だということがわかります。 Wazuh は free and open source で、中央コンポーネントを同一ホストにまとめた quickstart も用意されており、プラットフォーム全体としては XDR と SIEM を一体化した基盤として案内されています。 つまり Wazuh は、単なるログ集約基盤ではありません。ログ分析、脆弱性検出、ファイル完全性監視、設定評価、アクティブレスポンスまで、かなり監査寄り・運用寄りの機能を最初から持っています。 できることの幅は、かなり広い Wazuh の代表的な機能としてまず挙げられるのは、File Integrity Monitoring（FIM）です。これは監視対象フ