JP6824151B2 - インシデント対応支援装置 - Google Patents
インシデント対応支援装置 Download PDFInfo
- Publication number
- JP6824151B2 JP6824151B2 JP2017248921A JP2017248921A JP6824151B2 JP 6824151 B2 JP6824151 B2 JP 6824151B2 JP 2017248921 A JP2017248921 A JP 2017248921A JP 2017248921 A JP2017248921 A JP 2017248921A JP 6824151 B2 JP6824151 B2 JP 6824151B2
- Authority
- JP
- Japan
- Prior art keywords
- incident
- response
- unit
- procedure
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000004044 response Effects 0.000 title claims description 115
- 238000000034 method Methods 0.000 claims description 147
- 238000000605 extraction Methods 0.000 claims description 64
- 230000008569 process Effects 0.000 claims description 33
- 230000009471 action Effects 0.000 claims description 30
- 238000012544 monitoring process Methods 0.000 claims description 21
- 238000001514 detection method Methods 0.000 claims description 16
- 239000000284 extract Substances 0.000 claims description 4
- 230000004913 activation Effects 0.000 claims 1
- 238000004148 unit process Methods 0.000 claims 1
- 238000012545 processing Methods 0.000 description 37
- 230000015654 memory Effects 0.000 description 28
- 238000010586 diagram Methods 0.000 description 24
- 101710112672 Probable tape measure protein Proteins 0.000 description 12
- 101710204224 Tape measure protein Proteins 0.000 description 12
- 230000014509 gene expression Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 241000700605 Viruses Species 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 101150016601 INP2 gene Proteins 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 230000009385 viral infection Effects 0.000 description 3
- 101000911772 Homo sapiens Hsc70-interacting protein Proteins 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 102100035353 Cyclin-dependent kinase 2-associated protein 1 Human genes 0.000 description 1
- 101000710013 Homo sapiens Reversion-inducing cysteine-rich protein with Kazal motifs Proteins 0.000 description 1
- 101000661816 Homo sapiens Suppression of tumorigenicity 18 protein Proteins 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0631—Resource planning, allocation, distributing or scheduling for enterprises or organisations
- G06Q10/06316—Sequencing of tasks or work
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Strategic Management (AREA)
- Operations Research (AREA)
- Physics & Mathematics (AREA)
- Educational Administration (AREA)
- Marketing (AREA)
- Development Economics (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Game Theory and Decision Science (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Description
この発明は、セキュリティインシデント(以下、インシデント)の発生時において対応作業を行うユーザを支援するインシデント対応支援装置に関するものである。
インシデント発生時における主な作業として、検知と対応がある。これらの作業にはセキュリティに関する知識とインシデントが発生した機器やシステムに関する知識の両方が必要となるので、作業を迅速かつ的確に実施するためには十分な要員配置及びユーザに対する教育など高いコストが必要となっていた。また、大規模なシステムにインシデントが発生した場合には、発生したインシデントの種類や発生場所の特定に多くの時間がかかり、インシデント対応にかかるコストをさらに増大させていた。そこで、受付管理システムがインシデント毎にインシデント状態を管理するとともに、ナレッジシステムがエラーコード毎に対応手順を管理し、統合支援システムがインシデント状態と対応手順に基づいてリモート操作システムに監視対象サーバに対して遠隔保守操作させる運用管理システムが提案されている(例えば、特許文献1参照)。
しかしながら、特許文献1の運用管理システムでは、発生したインシデントのエラーコードに対応する対応手順がナレッジシステムに登録されていない場合は手動対応処理を実施するように構成されている。また、手動対応処理を行う場合にユーザに対してどのような指示、支援を行うかについては特許文献1には開示されていない。このため、特許文献1の運用管理システムは、対応可能な範囲が予め対応手順を登録したインシデントに限られており、種々のインシデントに対して柔軟に対応できないという問題点がある。
この発明は、上記のような問題点を解決するためになされたもので、種々のインシデントに対して柔軟に対応できるインシデント対応支援装置を得るものである。
この発明のインシデント対応支援装置は、監視対象にインシデントが発生したことを示すインシデント検知情報を取得するインシデント検知情報取得部と、監視対象のログデータを取得するログデータ取得部と、インシデント検知情報及びログデータに対してインシデント抽出処理を実行して、監視対象に発生したインシデントを特定するインシデント情報を抽出するインシデント抽出部と、インシデント情報及び予め作成された対応手順テンプレートに基づいて、監視対象に発生したインシデントに対応するインシデント対応手順を作成する対応手順作成部と、対応手順作成部により作成されたインシデント対応手順を表示する表示部と
を備え、インシデント抽出処理は、先に行われた比較処理の結果に応じて後に行われる比較処理の内容が変わる一連の比較処理により構成されており、対応手順作成部は、インシデント対応手順のうち表示部に表示させる範囲を監視対象に発生したインシデントへの対応の進捗状況に応じて選定し、表示部は、インシデント対応手順と進捗状況を合わせて表示するものである。
を備え、インシデント抽出処理は、先に行われた比較処理の結果に応じて後に行われる比較処理の内容が変わる一連の比較処理により構成されており、対応手順作成部は、インシデント対応手順のうち表示部に表示させる範囲を監視対象に発生したインシデントへの対応の進捗状況に応じて選定し、表示部は、インシデント対応手順と進捗状況を合わせて表示するものである。
この発明によれば、監視対象に発生したインシデントを特定するインシデント情報に基づいてインシデント対応手順を作成するため、種々のインシデントに対して柔軟に対応することができる。
実施の形態1.
以下に、この発明の実施の形態1を図1から図7に基づいて説明する。図1Aは、実施の形態1におけるインシデント対応支援装置を示すハードウエア構成図であり、SIEM(Security Information and Event Management)が装置外部にある場合のハードウエア構成図である。また図1Bは、SIEMが装置内部にある場合のハードウエア構成図である。インシデント対応支援装置10は、図1A及び図1Bに示すようにプロセッサ81、メモリ82、補助記憶装置であるハードディスク83をシステムバス85により接続して構成したものである。システムバス85には、ネットワークを介して外部の機器と通信する通信入出力回路84、例えば液晶ディスプレイである表示装置94などの外部装置に対して出力を行う出力回路86、例えばキーボード、マウス、タッチパネルである入力装置95からの入力を受け付ける入力回路87がさらに接続されている。通信入出力回路84は、IDS(Intrusion Detection System)91が出力するログを記憶するログDB92と接続されている。ログDB92は、インシデント対応支援装置10から参照可能に設定されている。なお、実施の形態1ではログDB92をインシデント対応支援装置10の外部に設けているが、ハードディスク83を用いてログDB92を構成してもよい。
以下に、この発明の実施の形態1を図1から図7に基づいて説明する。図1Aは、実施の形態1におけるインシデント対応支援装置を示すハードウエア構成図であり、SIEM(Security Information and Event Management)が装置外部にある場合のハードウエア構成図である。また図1Bは、SIEMが装置内部にある場合のハードウエア構成図である。インシデント対応支援装置10は、図1A及び図1Bに示すようにプロセッサ81、メモリ82、補助記憶装置であるハードディスク83をシステムバス85により接続して構成したものである。システムバス85には、ネットワークを介して外部の機器と通信する通信入出力回路84、例えば液晶ディスプレイである表示装置94などの外部装置に対して出力を行う出力回路86、例えばキーボード、マウス、タッチパネルである入力装置95からの入力を受け付ける入力回路87がさらに接続されている。通信入出力回路84は、IDS(Intrusion Detection System)91が出力するログを記憶するログDB92と接続されている。ログDB92は、インシデント対応支援装置10から参照可能に設定されている。なお、実施の形態1ではログDB92をインシデント対応支援装置10の外部に設けているが、ハードディスク83を用いてログDB92を構成してもよい。
IDS91は、監視手段として監視対象の機器又はシステムが接続されたネットワークに設置されたネットワーク型IDSであり、監視対象の機器又はシステムが送信元あるいは送信先となっているパケットに関するログをログDB92に送信する。なお、実施の形態1では一例として監視手段をIDS91とし、IDS91が接続されたネットワーク上の機器を監視対象としているが、監視手段としてはファイアウオール機能を備えたサーバやルーター、IPS(Intrusion Prevention System)や、監視対象の機器あるいは監視対象とネットワークで接続された機器にインストールされたアンチウィルスソフト(AV)や、イベントログを収集可能なOS(Operating System)など、監視対象の機器又はシステムに関するログを収集する機能を備えたものであればよい。
ログDB92に記憶されたログの内容は、SIEM93、すなわちインシデント検知装置によってチェックされる。SIEM93は、図1Aに示すようにインシデント対応支援装置10の外部装置として通信入出力回路84によって通信可能に接続されていてもよいし、図1Bに示すようにインシデント対応支援装置10内部で動作するソフトウエアであってもよい。SIEM93は、予め定義されたルールに従って、例えばIDS91のログの中から不正なパケットの存在を検知した場合など、ログDB92に記憶されているログの内容からインシデントが発生していると判定した場合にインシデント対応支援装置10に対してアラート、すなわちインシデント検知情報を出力する。このように、SIEM93は、IDS91などの監視手段を介して監視対象の機器又はシステムを監視し、インシデントの発生を検知する。
次に、インシデント対応支援装置10の機能について説明する。図2は、実施の形態1におけるインシデント対応支援装置を示す機能ブロック図である。インシデント対応支援装置10は、図2に示すようにSIEM93からのアラートALTを取得するアラート取得部101、すなわちインシデント検知情報取得部と、ユーザに提示される表示対応手順DGDを作成するための手順作成フローFLWを格納する手順作成フロー格納部102と、監視対象の機器又はシステムのログデータLGDを取得するログデータ取得部103と、手順作成フローFLWに従ってアラートALTとログデータLGDからインシデント情報INCを抽出し、SIEM93が検知したインシデントを抽出するインシデント抽出部104と、種々のインシデントに対応するための対応手順テンプレートTMPが格納された対応手順書格納部105、インシデント情報INCと対応手順テンプレートTMPを組み合わせて、ユーザに表示する表示対応手順DGDを作成する対応手順作成部106と、表示対応手順DGDを表示する画面表示部107、すなわち表示部と、ユーザから入力されるインシデント対応の進捗情報を入力INPとして画面表示部に送信する入力部108を備える。これらの機能部は、プロセッサ81がメモリ82またはハードディスク83に記憶されたプログラムを実行することにより実現される。また、複数のプロセッサ81及び複数のメモリ82又はハードディスク83が連携して上記機能部を実現してもよい。以下、より具体的に説明する。
アラート取得部101は、プロセッサ81、通信入出力回路84、及びメモリ82又はハードディスク83によって実現されるもので、SIEM93が外部にある場合はプロセッサ81からの要求に応じて通信入出力回路84によりSIEM93からアラートALTを受信後、受信したアラートALTをメモリ82又はハードディスク83に記憶させる。SIEM93が内部にある場合はプロセッサ81からの要求に応じてアラートALTをメモリ82又はハードディスク83に記憶させる。メモリ82又はハードディスク83に格納されたアラートALTは、手順作成フローFLWに定められたタイミングでインシデント抽出部104に読み出される。なお、アラートALTはSIEM93からインシデントの発生時に出力されるものであるが、所定のタイミングでアラート取得部101からSIEM93に対してアラートALTの有無を確認する構成にしてもよい。
手順作成フロー格納部102は、メモリ82又はハードディスク83により実現されるもので、予め作成された1つ又は複数の手順作成フローFLWを格納している。手順作成フローFLWは、インシデント情報INCを抽出するインシデント抽出処理から表示対応手順DGDの作成までの一連の処理の流れを含んでいる。手順作成フローFLWは、自動又は手動のいずれで作成してもよく、インシデント対応支援装置10又はその他の装置のいずれで作成してもよい。また、手順作成フロー格納部102の機能は、外付けのハードディスクや外部のデータベースなど、インシデント対応支援装置10外部の記憶装置によって実現してもよい。また、手順作成フローFLWは、例えばアラートALTの種類毎に対応させて格納してもよい。
ログデータ取得部103は、プロセッサ81、通信入出力回路84及びメモリ82によって実現されるもので、インシデント抽出部104が必要とするログデータLGDをプロセッサ81からの要求に応じてログDB92から受信し、受信したログデータLGDをメモリ82に記憶させる。メモリ82に記憶されたログデータLGDは、手順作成フローFLWに定められたタイミングでインシデント抽出部104に読み出される。なお、ログデータLGDに含まれる情報としては、例えば監視対象の機器やシステムにログインしたアカウント名や時間、ログインの成功/失敗情報など、監視対象の機器又はシステムによって異なる。
インシデント抽出部104は、プロセッサ81及びメモリ82によって実現されるもので、アラートALT、アラートALTに対応する手順作成フローFLWをメモリ82から読み出し、プロセッサ81により手順作成フローFLWの処理を実行しながら必要となるログデータLGDをメモリ82から適宜読み出して、対応すべきインシデントのインシデント情報INCをアラートALT及びログデータLGDから抽出し、抽出したインシデント情報INCをメモリ82に記憶させる。インシデント情報INCは、インシデントの種類や発生時刻、発生場所など、発生したインシデントを特定する情報である。
対応手順書格納部105は、メモリ82又はハードディスク83により実現されるもので、予め作成された1つ又は複数の対応手順テンプレートTMPを格納している。対応手順テンプレートTMPは、例えば装置の停止及び再起動、ネットワークからの遮断及び再接続、状況確認など、種々のインシデントに対する抽象的一般的なインシデント対応手順を含んでいる。対応手順テンプレートTMPは、自動又は手動のいずれで作成してもよく、インシデント対応支援装置10又はその他の装置のいずれで作成してもよい。また、対応手順書格納部105の機能は、外付けのハードディスクや外部のデータベースなど、インシデント対応支援装置10外部の記憶装置によって実現してもよい。また、対応手順テンプレートTMPは、例えばアラートALTの種類毎に対応させて格納してもよい。
対応手順作成部106は、プロセッサ81及びメモリ82によって実現されるもので、手順作成フローFLW、インシデント情報INC及び対応手順テンプレートTMPをメモリ82から読み出し、手順作成フローFLWに従ってインシデント情報INCと対応手順テンプレートTMPを組み合わせて、監視対象に発生したインシデントに対応するインシデント対応手順を作成する。さらに、対応手順作成部106は作成したインシデント対応手順のうち、ユーザに表示する範囲を選定して表示対応手順DGDを作成しメモリ82に格納する。なお実施の形態1では、表示対応手順DGDがインシデント対応の進捗状況を反映させるように、インシデント対応の進捗状況に応じた表示範囲の選定が行われる。インシデント対応の進捗状況に関するデータは、ユーザからの入力により取得する。
画面表示部107は、出力回路86と表示装置94により実現されるもので、メモリ82に格納されている表示対応手順DGDを読み出して、出力回路86を介して表示装置94に出力し、所定のレイアウトで表示対応手順DGDを表示装置94に表示する。入力部108は、入力回路87と入力装置に95によって実現される。
次に、アラートALTとログデータLGDについて説明する。図3は、実施の形態1に係るアラートの例を示す図であり、図4A、図4B、図4Cは、ログデータの例を示す図である。アラートALTは、図3に示すようにアラートを識別するアラートID、検知結果、関連するログを示す関連ログ対応キー、拡張情報としてのオプションフィールドを含む。オプションフィールドは、インシデントの種類に応じてデータが入力されるものであり、例えばインシデントがウィルス感染であった場合は、感染したウィルスのハッシュ値などが入力される。オプションフィールドへの入力は、ログデータLGDを取得する際などに用いられ、ログデータLGDを検索するためのSQL文で利用可能であれば特に限られるものではない。
図4Aは、実施の形態1に係るログデータの例を示す図であり、IDSのログの例を示す図である。IDSが出力するログは、監視手段を示す「機能名」がIDSであり、不正なパケットの検知日時を示すタイムスタンプ、対応するアラートALTの種類を示すアラートID、脅威レベル、不正なパケットの発信元IP、送信IPなど、検知した不正なパケットに関する情報や、拡張情報としてのオプションフィールドが含まれる。
図4Bは、アンチウィルスソフトのログの例を示す図である。アンチウィルスソフトが出力するログは、監視手段を示す「機能名」がAVであり、ウィルスの兆候の検知日時を示すタイムスタンプ、対応するアラートALTの種類を示すアラートID、脅威レベル、のウィルスの兆候が検知された機器のIPを示すホストIP、プロセスIDなど、検知したウィルスの兆候に関する情報が含まれる。また、拡張情報としてのオプションフィールドには兆候があったウィルスを示すハッシュ値などが入力される。なお、オプションフィールドの入力はシグネチャなどでもよい。
図4Cは、イベントログの例を示す図である。OSが出力するイベントログの場合は「機能名」がイベントログとなり、イベント発生時のタイムスタンプやイベントID、イベントが発生した機器のIPを示すホストIPなどイベントを特定する情報が含まれる。イベントとしては、例えばUSB挿入イベントやログイン/ログオフなどが考えられる。
図4Bは、アンチウィルスソフトのログの例を示す図である。アンチウィルスソフトが出力するログは、監視手段を示す「機能名」がAVであり、ウィルスの兆候の検知日時を示すタイムスタンプ、対応するアラートALTの種類を示すアラートID、脅威レベル、のウィルスの兆候が検知された機器のIPを示すホストIP、プロセスIDなど、検知したウィルスの兆候に関する情報が含まれる。また、拡張情報としてのオプションフィールドには兆候があったウィルスを示すハッシュ値などが入力される。なお、オプションフィールドの入力はシグネチャなどでもよい。
図4Cは、イベントログの例を示す図である。OSが出力するイベントログの場合は「機能名」がイベントログとなり、イベント発生時のタイムスタンプやイベントID、イベントが発生した機器のIPを示すホストIPなどイベントを特定する情報が含まれる。イベントとしては、例えばUSB挿入イベントやログイン/ログオフなどが考えられる。
次に、動作について説明する。図5は、実施の形態1におけるインシデント対応支援装置の動作を示すフロー図、図6は、実施の形態1に係るインシデント抽出処理の例を示す図であり、図7は、実施の形態1に係る表示対応手順の例を示す図である。
まず、アラート取得部101は1つ又は複数のアラートALTをSIEM93から受信する(ステップST11)。アラート取得部101は、受信したアラートALTをメモリ82に記憶させる。
まず、アラート取得部101は1つ又は複数のアラートALTをSIEM93から受信する(ステップST11)。アラート取得部101は、受信したアラートALTをメモリ82に記憶させる。
アラートALTの受信後、手順作成フロー格納部102は手順作成フローFLWをメモリ82に書き込み、インシデント抽出部104はメモリ82に書き込まれた手順作成フローFLWを取得する(ステップST12)。次いで、インシデント抽出部104は手順作成フローFLW中のインシデント抽出処理を読み込み、一連の処理を順次実行する。インシデント抽出処理は、図6に示す例のように、各処理に一意に紐付けられた「処理ID」、変数の比較である比較処理の内容を示す「比較式」、必要なログデータLGDを取得するためのSQL文を示す「参照式」、次に行う処理の処理IDを比較処理の結果に応じて示す「飛び先」の4つの要素を含んでおり、先に行われた比較処理の結果に応じて後に行われる比較処理の内容が変わる一連の比較処理により構成されている。それぞれのSQL文は、同じ処理IDを持つ比較式を実行するのに必要な全てのログデータLGDを取得するように記述されている。図6に示す例の場合、インシデント抽出部104は、まずSQL文Aを実行することでログデータ取得部103に指示を出し、処理ID1の比較式に必要な全てのログデータLGDを取得させる。(ステップST13)。ログデータ取得部103は、取得したログデータLGDをメモリ82に書き込む。
次に、インシデント抽出部104は、処理IDが1の比較式に記述された比較処理を実行する(ステップST14)。この比較処理は、アラートALT及びログデータLGDの情報を比較対象として実行される。ある処理IDにおけるインシデント抽出処理の実行後、インシデント情報INCの作成に必要なインシデント抽出処理が全て実行されたかをチェックする(ステップST15)。ここで、必要なインシデント抽出処理が全て実行されたかの判断は、飛び先の値に基づいて行われる。すなわち、飛び先として別の処理IDが示されている場合は必要なインシデント抽出処理が全て実行されていないと判断し、飛び先の処理IDにおいてステップST13〜ステップST15を実行する。飛び先がない(End)の場合は、必要なインシデント抽出処理が全て実行されたと判断してステップST16に進む。このようにして、1つ1つのインシデント抽出処理を実行していくことにより、発生しているインシデントのインシデント情報INCが作成されていく。なお、比較式はインシデント抽出部104が処理できる形態であればどのように記述してもよく、例えばポーランド記法により記述してよい。また、比較式は参照するログや定数を含んでいてもよい。比較式の変数は、初期の状態では実体が入力されていないため、実際に比較処理を行う際には変数に実体が入力される。
インシデントの例として総当たり攻撃の可能性を考える場合、ホストIPがIDS91のログの宛先IPと同じ機器のイベントログのログデータLGDを取得し、当該機器における所定の期間内のログインの成功/失敗情報について比較処理を行うことにより、総当たり攻撃の発生の有無の判断及び発生場所などの特定を行う。また、インシデントの例としてウィルス感染の可能性を考える場合、アラートALTのオプションフィールドにあるハッシュ値を含むログのログデータLGDを取得し、取得したログデータLGDからウィルスに感染した可能性のある全ての機器やウィルスの詳細な発生源の特定を行う。インシデント情報INCは、それぞれの比較処理に用いたアラートALTの情報やログデータLGDの情報、及び比較処理の内容や結果を含む。
インシデント抽出部104は、インシデント情報INCの作成に必要なインシデント抽出処理を全て実行した後、インシデント情報INCをインシデント抽出処理の結果から取得し(ステップST16)、取得したインシデント情報INCをメモリ82に書き込む。なお、例えばSIEM93からのアラートALTが誤検知によるものだった場合など、対応すべきインシデントを抽出できないときは対応すべきインシデントが無いことを示す情報をメモリ82に書き込む。
インシデント情報INCがメモリ82に書き込まれると、対応手順書格納部105により対応手順テンプレートTMPもメモリ82に書き込まれる。対応手順作成部106は、インシデント情報INC及び対応手順テンプレートTMPを取得し(ステップST17)、手順作成フローFLWに従ってインシデント情報INC及び対応手順テンプレートTMPに基づいて監視対象に発生したインシデントに対応するインシデント対応手順を作成するとともに、作成したインシデント対応手順の中から表示する部分を選定することで表示対応手順DGDを作成する。(ステップST18)。対応手順作成部106は、表示対応手順DGDを画面表示部107に渡す。なお、対応すべきインシデントが抽出されていないときは、対応するインシデントが無いことを示す情報を画面表示部107に渡す。
画面表示部107は、表示装置94の画面に表示対応手順DGDを表示させる(ステップST19)。表示対応手順DGDは、図7に示すように、発生したインシデントの種類や発生場所を表示するインシデント情報表示部GD1、インシデント対応の現在の進捗状況を表示する進捗表示部GD2、大枠の対応手順を表示する対応手順表示部GD3、個々の装置についてなど、より詳細な対応手順を表示する詳細手順表示部GD4を含んでいる。また、それぞれの詳細手順表示部GD4には、対応する詳細手順の完了/未完を示す完了チェックボックスGD5が設けられ、具体的な対応状況をユーザに明示している。なお、表示中の対応手順を表示対応手順として選定した理由等を表示させてもよい。また、対応すべきインシデントが抽出されていないときは、対応すべきインシデントが無い旨を示す文言や説明を表示する。
なお、実施の形態1ではインシデント対応の進捗状況をユーザからの入力により取得して完了チェックボックスGD5に反映させるが、インシデント対応支援装置10側で進捗状況を把握し、進捗状況に応じて完了チェックボックスGD5の入力を制限する構成にしてもよい。この場合、対応する詳細手順が未完である完了チェックボックスGD5についてはユーザがチェックを入れることができないように制限する。進捗状況の把握については、例えばSIEM93からのログにより各装置の起動状況やネットワーク接続状況の情報を取得し、対応する詳細手順の完了/未完を判定する。また、実施の形態1では完了チェックボックスGD5により進捗状況を把握するがこれは一例であり、例えば完了/未完に応じて詳細手順表示部GD4の色を変えるなど、対応の進捗が確認できるものであればチェックボックス以外の方法でもよい。
実施の形態1によれば、監視対象の機器又はシステムで発生したインシデントの内容を容易に把握するとともに、種々のインシデントに対して柔軟に対応することができる。より具体的には、監視対象にインシデントが発生したことを示すアラートと監視対象のログデータを取得し、インシデントを特定するインシデント情報をアラート及びログデータから抽出する構成とした。インシデント情報を抽出するためのインシデント抽出処理は一連の比較処理により構成されており、先に行われた比較処理の結果に応じて処理内容が変わる。これにより、全体としてどのような比較処理が行われ、どのような結果が得られるかは実際に発生しているインシデントの内容に応じて変わるので、最終的に得られるインシデント情報及びこれに基づくインシデント対応手順は実際に発生しているインシデントの内容に即したものとなる。このため、監視対象の機器又はシステムで発生したインシデントの内容を容易に把握するとともに、種々のインシデントに対して柔軟に対応することができる。また、監視対象に発生しているインシデントの内容と対応作業の関係や必要な対応作業をユーザが容易に把握することができるようになり、インシデント対応作業の負荷を軽減することができる
また、インシデント対応の進捗状況に応じて表示範囲を選定した表示対応手順を表示するため、現在行うべき作業を対応手順の中からを見つけることが容易となり、インシデント対応作業の負荷がさらに軽減されるとともに、ユーザがより迅速に対応作業を実施できるようになる。
なお、実施の形態1では表示対応手順DGDを出力回路86から表示装置94に表示させる構成としているが、ネットワークを介して表示対応手順DGDを送信する構成にしてもよい。この場合、専用のアプリケーションが動作するパソコンやタブレットなどのクライアント端末に表示対応手順DGDのデータを送信して、クライアント端末側で表示対応手順DGDを表示させる。このような構成とすれば、監視対象とインシデント対応支援装置10が離れている場合でも、現場のユーザに対して適時にインシデントの対応支援をすることができ、より迅速にインシデント対応することができる。
実施の形態2.
以下に、この発明の実施の形態2を図8に基づいて説明する。図8は、実施の形態2に係るインシデント抽出処理の例を示す図である。実施の形態2では、インシデント抽出処理においてスクリプトで記述された一連の処理式を実行する点が実施の形態1と異なる。実施の形態1と実施の形態2の相違点はインシデント抽出処理のみなので、以下ではインシデント抽出処理について説明する。
以下に、この発明の実施の形態2を図8に基づいて説明する。図8は、実施の形態2に係るインシデント抽出処理の例を示す図である。実施の形態2では、インシデント抽出処理においてスクリプトで記述された一連の処理式を実行する点が実施の形態1と異なる。実施の形態1と実施の形態2の相違点はインシデント抽出処理のみなので、以下ではインシデント抽出処理について説明する。
まず、実施の形態1と同様に、参照式で示されたSQL文により必要なログデータLGDを取得する。次に、インシデント抽出部104は取得したログデータLGDをリスト型の変数であるloglist変数に1行ごとに格納する。loglist変数に全てのログデータLGDを格納した後、loglist変数に格納されたログデータLGD、及びアラートALTが有する情報をもとに、処理式に記述された比較処理を実行して返り値を得る。そして、返り値に応じた飛び先の処理IDにおいて同様の処理を行う。一連の処理は、実施の形態1と同様に飛び先が無くなるまで繰り返す。
処理式は、例えばpythonやrubyといったスクリプト言語など、インシデント抽出部104が実行可能な言語により記述される。処理式は例えば複数の比較式を有しており、処理式の返り値は、例えば結果がTrueであった比較処理の回数など、その処理式内の比較処理の結果に応じたものとなり、実施の形態1の比較式の結果のような2値に限られない。このため、条件に合致するログの個数に応じて処理を変えるなど、より詳細なインシデント抽出処理を行うことが可能である。
その他については実施の形態1と同様であるので、その説明を省略する。
その他については実施の形態1と同様であるので、その説明を省略する。
実施の形態2によれば、実施の形態1と同様の効果を得ることができる。
また、インシデント抽出処理においてスクリプト言語で記述された処理式を実行することで、より詳細なインシデント抽出処理を行うことが可能であるため、監視対象で発生しているインシデントの情報をより詳細に把握することができ、より詳細かつ適切なインシデント対応手順を作成することができる。このため、複雑なインシデントに対応することが可能となり、インシデント対応作業の負荷をより軽減することができる。
実施の形態3.
以下に、この発明の実施の形態3を図9から図12に基づいて説明する。図9は、実施の形態3におけるインシデント対応支援装置を示す機能ブロック図である。図9において、図2と同一または相当部分については同一符号を付している。インシデント対応支援装置30は、実施の形態1の入力部108をデータ入力部308に置き換えたものである。また、ユーザへの指示を示す行動指示テーブルがインシデント抽出処理に組み込まれ、インシデント抽出部304がユーザに対する行動指示AGDを画面表示部107に出力する。データ入力部308は、実施の形態1の入力部108のように入力INPを画面表示部107に送信することに加え、手順作成フローFLWの処理を実行中、すなわちインシデント抽出処理からインシデンント対応手順の作成の間にもユーザからの入力受け付け、入力データINP2としてインシデント抽出部304に送信するものである。入力データINP2は、例えばユーザから追加されたログのデータや、ユーザのインシデント対応の内容を示すデータである。行動指示AGDは、例えば不足しているログデータLGDの追加指示である。
以下に、この発明の実施の形態3を図9から図12に基づいて説明する。図9は、実施の形態3におけるインシデント対応支援装置を示す機能ブロック図である。図9において、図2と同一または相当部分については同一符号を付している。インシデント対応支援装置30は、実施の形態1の入力部108をデータ入力部308に置き換えたものである。また、ユーザへの指示を示す行動指示テーブルがインシデント抽出処理に組み込まれ、インシデント抽出部304がユーザに対する行動指示AGDを画面表示部107に出力する。データ入力部308は、実施の形態1の入力部108のように入力INPを画面表示部107に送信することに加え、手順作成フローFLWの処理を実行中、すなわちインシデント抽出処理からインシデンント対応手順の作成の間にもユーザからの入力受け付け、入力データINP2としてインシデント抽出部304に送信するものである。入力データINP2は、例えばユーザから追加されたログのデータや、ユーザのインシデント対応の内容を示すデータである。行動指示AGDは、例えば不足しているログデータLGDの追加指示である。
図10は、実施の形態3におけるインシデント対応支援装置の動作を示すフロー図、図11は、実施の形態3に係るインシデント抽出処理の例を示す図であり、図12は、実施の形態3に係る行動指示テーブルの例を示す図である。図10において、図5と同一または相当部分については同一符号を付している。図11に示すように、実施の形態3のインシデント抽出処理は「処理ID」、「比較式」、「参照式」及び「飛び先」の4つの要素を含んでいるが、実施の形態3のインシデント抽出処理では、ログが無かった場合などの飛び先として、行動指示テーブルの指示IDも飛び先として設定されている。また、図12に示すように、行動指示テーブルは、「指示ID」、ユーザへの指示として表示される文字列である「表示」、ユーザに期待する行動を示す「行動」、及びユーザの行動後に実行する処理・行動指示の処理IDまたは行動指示IDを示す「飛び先」の3つの要素を含んでいる。
インシデント抽出部104は、実施の形態1と同様に手順作成フローFLWを取得した(ステップST12)後、参照式のSQL文を実行することでログデータ取得部103に指示を出し、必要なログデータLGDが全て取得可能かを確認する(ステップST331)。必要なログデータLGDが全て取得可能であるときはステップST13に進み、以降は実施の形態1と同様の処理を行う。
取得できないログデータLGDがある場合、インシデント抽出部304は不足しているログデータLGDの追加を指示する行動指示AGDを画面表示部107に出力し、行動指示AGDの内容を表示装置94に表示させることでユーザに対してログデータLGDの追加を指示する(ステップST332)。ユーザが指示されたログデータLGDを入力すると、データ入力部308は入力されたログデータLGDを入力データINP2としてインシデント抽出部304に送信する。インシデント抽出部304は、ログデータLGDの追加を確認してステップST13に進む。以降の処理は実施の形態1と同様である。なお、実施の形態3では画面表示部107に行動指示AGDを表示させているが、画面表示部107とは別の表示部を設け、その表示部に行動指示AGDを表示させてもよい。
なお、図12で示した行動指示は一例であり、他にも機器設定の変更指示やデータ入力指示を行動指示AGDとしてもよい。また、図10で示した動作は一例であり、インシデント抽出部304から行動指示AGDを出さなくとも、ユーザからの入力に応じてその後の処理を変えてもよい。また、ユーザが行動指示通りの行動をとらなかった場合(行動指示通りの行動が確認されなかった場合)の処理を追加してもよい。
実施の形態3によれば、実施の形態1と同様の効果を得ることができる。
また、手順作成フローの処理を実行中にユーザからの入力を受け付けるデータ入力部を備えたことにより、ユーザの行動に応じたインシデント対応手順を作成することができ、より柔軟なインシデント対応をすることが可能となる。
また、インシデント抽出処理に行動指示テーブルを組み込み、インシデント情報の抽出に必要な行動を行動指示としてユーザに表示する構成としたので、インシデントの抽出に必要なログが不足している場合や機器設定の変更が必要な場合に、必要な行動をユーザに指示することが可能となった。このため、手順作成フローの開始後にログの不足などの不具合が判明した場合でも対応することができ、より確実にインシデントの抽出及びインシデント対応手順の作成を行うことができる。
なお、この発明は、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略したりすることが可能である。
10、30 インシデント対応支援装置、91 IDS、93 SIEM、101 アラート取得部、103 ログデータ取得部、104、304 インシデント抽出部、105 対応手順書格納部、106 対応手順作成部、107 画面表示部、ALT アラート、AGD 行動指示、LGD ログデータ、INC インシデント情報、INP2 入力データ、TMP 対応手順テンプレート、DGD 表示対応手順
Claims (5)
- 監視対象にインシデントが発生したことを示すインシデント検知情報を取得するインシデント検知情報取得部と、
前記監視対象のログデータを取得するログデータ取得部と、
前記インシデント検知情報及び前記ログデータに対してインシデント抽出処理を実行して、前記監視対象に発生したインシデントを特定するインシデント情報を抽出するインシデント抽出部と、
前記インシデント情報及び予め作成された対応手順テンプレートに基づいて、前記監視対象に発生したインシデントに対応するインシデント対応手順を作成する対応手順作成部と、
前記対応手順作成部により作成された前記インシデント対応手順を表示する表示部と
を備え、
前記インシデント抽出処理は、先に行われた比較処理の結果に応じて後に行われる比較処理の内容が変わる一連の比較処理により構成されており、
前記対応手順作成部は、前記インシデント対応手順のうち前記表示部に表示させる範囲を前記監視対象に発生したインシデントへの対応の進捗状況に応じて選定し、前記表示部は、前記インシデント対応手順と前記進捗状況を合わせて表示することを特徴とするインシデント対応支援装置。 - 前記インシデント抽出処理から前記インシデント対応手順の作成の間にユーザからの入力を受け付けるデータ入力部をさらに備え、前記インシデント抽出部及び前記対応手順作成部は、前記データ入力部からの入力に応じて処理を変更する請求項1に記載のインシデント対応支援装置。
- 前記インシデント抽出部は、前記インシデント情報の抽出に必要な行動をユーザに指示する行動指示を表示させる請求項2に記載のインシデント対応支援装置。
- 前記表示部は、前記インシデント抽出部が前記インシデント情報を抽出できなかった場合に、対応すべきインシデントが無い旨を表示する請求項1から3のいずれか1項に記載のインシデント対応支援装置。
- 前記進捗状況は、前記監視対象の起動状況または前記監視対象のネットワーク接続状況から取得される請求項1から4のいずれか1項に記載のインシデント対応支援装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017248921A JP6824151B2 (ja) | 2017-12-26 | 2017-12-26 | インシデント対応支援装置 |
| US16/017,362 US11244266B2 (en) | 2017-12-26 | 2018-06-25 | Incident response assisting device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017248921A JP6824151B2 (ja) | 2017-12-26 | 2017-12-26 | インシデント対応支援装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019114172A JP2019114172A (ja) | 2019-07-11 |
| JP6824151B2 true JP6824151B2 (ja) | 2021-02-03 |
Family
ID=66951258
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017248921A Active JP6824151B2 (ja) | 2017-12-26 | 2017-12-26 | インシデント対応支援装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11244266B2 (ja) |
| JP (1) | JP6824151B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220349547A1 (en) | 2019-06-20 | 2022-11-03 | Koito Manufacturing Co., Ltd. | Vehicular lamp and vehicular lamp control method |
| JP7385436B2 (ja) * | 2019-11-12 | 2023-11-22 | 株式会社野村総合研究所 | 管理システム |
| US11868865B1 (en) * | 2022-11-10 | 2024-01-09 | Fifth Third Bank | Systems and methods for cash structuring activity monitoring |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7925527B1 (en) * | 2000-08-16 | 2011-04-12 | Sparta Systems, Inc. | Process control system utilizing a database system to monitor a project's progress and enforce a workflow of activities within the project |
| US9027121B2 (en) * | 2000-10-10 | 2015-05-05 | International Business Machines Corporation | Method and system for creating a record for one or more computer security incidents |
| US20020143595A1 (en) * | 2001-02-05 | 2002-10-03 | Frank Theodore W. | Method and system for compliance management |
| JP2006146600A (ja) * | 2004-11-19 | 2006-06-08 | Ntt Docomo Inc | 動作監視サーバ、端末装置及び動作監視システム |
| JP2007207169A (ja) * | 2006-02-06 | 2007-08-16 | Mitsubishi Electric Corp | 運用監視業務支援装置 |
| US8417677B2 (en) * | 2006-06-02 | 2013-04-09 | Duaxes Corporation | Communication management system, communication management method and communication control device |
| JP4313823B2 (ja) * | 2007-02-26 | 2009-08-12 | 株式会社日立情報システムズ | 障害対応システム及び障害対応方法 |
| US7890299B2 (en) * | 2007-05-21 | 2011-02-15 | Qualcomm, Incorporated | Providing event-controlled continuous logging for a mobile operating environment |
| CN101257678A (zh) * | 2008-03-21 | 2008-09-03 | 宇龙计算机通信科技(深圳)有限公司 | 一种实现移动终端软件安全检测的方法、终端及系统 |
| JP2010224829A (ja) | 2009-03-23 | 2010-10-07 | Toshiba It Service Kk | 運用管理システム |
| US8266072B2 (en) * | 2009-04-22 | 2012-09-11 | Bank Of America Corporation | Incident communication interface for the knowledge management system |
| JP2011076161A (ja) * | 2009-09-29 | 2011-04-14 | Nomura Research Institute Ltd | インシデント管理システム |
| JP2013054531A (ja) * | 2011-09-02 | 2013-03-21 | Nomura Research Institute Ltd | インシデント管理システム |
| JP5972401B2 (ja) * | 2013-01-21 | 2016-08-17 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
| US9904893B2 (en) * | 2013-04-02 | 2018-02-27 | Patternex, Inc. | Method and system for training a big data machine to defend |
| US9680858B1 (en) * | 2013-09-09 | 2017-06-13 | BitSight Technologies, Inc. | Annotation platform for a security risk system |
| JP6104149B2 (ja) * | 2013-12-24 | 2017-03-29 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
| US10095866B2 (en) * | 2014-02-24 | 2018-10-09 | Cyphort Inc. | System and method for threat risk scoring of security threats |
| US9396332B2 (en) * | 2014-05-21 | 2016-07-19 | Microsoft Technology Licensing, Llc | Risk assessment modeling |
| JP2015225500A (ja) * | 2014-05-28 | 2015-12-14 | 富士通株式会社 | 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム |
| KR101565942B1 (ko) * | 2014-05-29 | 2015-11-04 | 네이버 주식회사 | 도용id 검출 방법 및 장치 |
| US20160164917A1 (en) * | 2014-12-03 | 2016-06-09 | Phantom Cyber Corporation | Action recommendations for computing assets based on enrichment information |
| US9697352B1 (en) * | 2015-02-05 | 2017-07-04 | Logically Secure Limited | Incident response management system and method |
| US20170076239A1 (en) * | 2015-09-16 | 2017-03-16 | Honeywell International Inc. | Incident management analysis |
| US11785052B2 (en) * | 2016-06-21 | 2023-10-10 | International Business Machines Corporation | Incident response plan based on indicators of compromise |
| US10341377B1 (en) * | 2016-10-13 | 2019-07-02 | Symantec Corporation | Systems and methods for categorizing security incidents |
| US11640434B2 (en) * | 2017-04-19 | 2023-05-02 | Servicenow, Inc. | Identifying resolutions based on recorded actions |
| US20180324207A1 (en) * | 2017-05-05 | 2018-11-08 | Servicenow, Inc. | Network security threat intelligence sharing |
| US10181032B1 (en) * | 2017-07-17 | 2019-01-15 | Sift Science, Inc. | System and methods for digital account threat detection |
| US10841329B2 (en) * | 2017-08-23 | 2020-11-17 | International Business Machines Corporation | Cognitive security for workflows |
| US20190108470A1 (en) * | 2017-10-10 | 2019-04-11 | Microsoft Technology Licensing, Llc | Automated orchestration of incident triage workflows |
-
2017
- 2017-12-26 JP JP2017248921A patent/JP6824151B2/ja active Active
-
2018
- 2018-06-25 US US16/017,362 patent/US11244266B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US11244266B2 (en) | 2022-02-08 |
| JP2019114172A (ja) | 2019-07-11 |
| US20190197452A1 (en) | 2019-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| KR102095334B1 (ko) | 로그 정보 생성장치 및 기록매체와 로그 정보 추출장치 및 기록매체 | |
| US9294486B1 (en) | Malware detection and analysis | |
| US10469531B2 (en) | Fraud detection network system and fraud detection method | |
| US8171406B1 (en) | Automating user interface navigation | |
| JP6824151B2 (ja) | インシデント対応支援装置 | |
| EP3287927A1 (en) | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device | |
| EP3567504A1 (en) | A framework for coordination between endpoint security and network security services | |
| US20150058984A1 (en) | Computer-implemented method for distilling a malware program in a system | |
| US20180357214A1 (en) | Log analysis system, log analysis method, and storage medium | |
| JP6523582B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| CN108228308B (zh) | 虚拟机的监控方法以及装置 | |
| JP2018077607A (ja) | セキュリティルール評価装置およびセキュリティルール評価システム | |
| US20170126715A1 (en) | Detection device, detection method, and detection program | |
| US20180341770A1 (en) | Anomaly detection method and anomaly detection apparatus | |
| JP2008129707A (ja) | プログラム分析装置、プログラム分析方法、及びプログラム | |
| JP2006236199A (ja) | 作業指示リスト印刷方法、および、印刷プログラム | |
| JP6018344B2 (ja) | 動的読み込みコード解析装置、動的読み込みコード解析方法及び動的読み込みコード解析プログラム | |
| KR101042858B1 (ko) | 윈도우즈 커널 변조 탐지방법 | |
| US20210049274A1 (en) | Analysis device, analysis method, and recording medium | |
| EP3504597A1 (en) | Identification of deviant engineering modifications to programmable logic controllers | |
| JP2007317028A (ja) | 情報処理装置、データベース管理システム、情報処理装置の制御方法及びプログラム | |
| JP2007295279A (ja) | 障害管理装置及び障害管理方法及びプログラム | |
| JP5777076B1 (ja) | 検査装置及びその制御プログラム | |
| JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191217 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20191217 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200909 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201013 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201106 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201215 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210112 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6824151 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |