JP2017522653A - 監視対象デバイスの状態のリアルタイムモデル - Google Patents
監視対象デバイスの状態のリアルタイムモデル Download PDFInfo
- Publication number
- JP2017522653A JP2017522653A JP2016571189A JP2016571189A JP2017522653A JP 2017522653 A JP2017522653 A JP 2017522653A JP 2016571189 A JP2016571189 A JP 2016571189A JP 2016571189 A JP2016571189 A JP 2016571189A JP 2017522653 A JP2017522653 A JP 2017522653A
- Authority
- JP
- Japan
- Prior art keywords
- security
- model
- data object
- module
- events
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/34—Signalling channels for network management communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
複数の監視対象デバイスのシステムコンポーネントおよびイベントを表すモデルをデータオブジェクトとして本明細書に説明する。モデルは、セキュリティサービスクラウドに常駐して、システムコンポーネントおよびイベントに関するセキュリティ関連の情報がセキュリティサービスクラウドによって受信される時に実質的にリアルタイムで更新される。モデルの各データオブジェクトは、スコープを有し、異なるデータオブジェクトのスコープに応じて異なるアクションがセキュリティサービスクラウドモジュールによって行われる。さらに、セキュリティサービスクラウドは、その監視対象デバイスからのセキュリティ関連の情報が受信される時に実質的にリアルタイムで構築された各監視対象デバイスに固有のモデルを保持する。セキュリティサービスクラウドは、これらのデバイス固有のモデルを利用してセキュリティ上の懸念を検出して、実質的にリアルタイムでそれらの懸念に応答する。
Description
(関連出願の相互参照)
本出願は、2014年6月6日に出願された米国特許出願第14/297,974号の優先権を主張する。米国特許出願第14/297,974号は、本明細書に参照により完全に組み込まれる。
本出願は、2014年6月6日に出願された米国特許出願第14/297,974号の優先権を主張する。米国特許出願第14/297,974号は、本明細書に参照により完全に組み込まれる。
インターネットの使用が日常生活でますます大きな部分を占めるにつれ、システム資源、データ、および個人情報を盗むか、または破壊するセキュリティエクスプロイトの問題が深刻化している。政府および企業は、これらのセキュリティエクスプロイトに関連する侵入および盗用を防ぐためにかなりの量の資源を費やす。セキュリティエクスプロイトは、コンピュータウイルス、ワーム、トロイの木馬、スパイウェア、キーストロークロガー、アドウェア、およびルートキットなど、さまざまな形で現れる。これらのエクスプロイトは、スピアフィッシュ電子メール、クリッカブルリンク、ドキュメント、実行ファイル、またはアーカイブなど、いくつかの機構に送られるか、またはそれらの機構を介して配信される。セキュリティエクスプロイトによってもたらされる脅威のいくつかは、サイバーテロリズムまたは産業スパイと言われる重大なものである。
これらのセキュリティエクスプロイトによってもたらされる脅威に対処するために、システム性能および状態のレトロスペクティブ分析の能力があるいくつかのツールが開発された。例えば、Samuel T. King氏とPeter M.Chen氏による(ACM SIGOPS Operating Systems Review−SOSP ‘03, Volume 37.Issue 5.December 2003.pgs.223−236)「Backtracking Intrusions」に記載のBackTrackerツールは、システムのアクティビティとデータの包括的なログを分析することによって、侵入で発生したステップの潜在的シーケンスを自動的に特定する。このようなツールは、セキュリティエクスプロイトおよびそれらの操作方法を検出することができるが、遡及的に動作することしかできず、従って不利な立場で攻撃される場所は、常に攻撃者の後手に回る。さらに、これらの技術は典型的には、単独のデバイスの記録にしか動作することができず、従って、新しい振る舞いまたは異常な振る舞いが疑われるかどうかの判定に重要となる、他のデバイス上で発生するアクティビティのコンテキストがない。
Samuel T. King氏とPeter M.Chen氏による(ACM SIGOPS Operating Systems Review−SOSP ‘03, Volume 37.Issue 5.December 2003.pgs.223−236)「Backtracking Intrusions」
詳細な説明は、添付図面を参照して記載されている。図面において、参照番号の一番左の数字(複数)は、参照番号が最初に現れる図面を特定する。異なる図面における同じ参照番号の使用は、同様のまたは同一の項目または特徴を示す。
複数のグループの複数のデバイスを監視してそれらのデバイスのコンポーネントとイベントをモデルのデータオブジェクトとして表すセキュリティサービスクラウドを示す図である。セキュリティサービスクラウドは、デバイスからの情報が受信される時に実質的にリアルタイムでモデルを構築する。
例示的なモデルのデータオブジェクト、それらの関係を例示し、そしてそれらの異なるスコープを描いた図である。
セキュリティ関連の情報を1つまたは複数のイベントとして監視対象デバイスから受信し、それらのイベントをモデルのデータオブジェクトの作成、更新またはリンク設定にマッピングし、そしてモデルを更新する、セキュリティサービスクラウドの例示的なモデル管理モジュール(複数)を例示する図である。
モデル管理モジュール(複数)のイベントを受信するため、およびモデル管理モジュール(複数)から出力を受信するためのメッセージキュー、ならびにモデルの検出イベントおよび検索インデックスを生成するためのモデルワーカモジュール(複数)を例示する図である。
セキュリティサービスクラウドデバイスとして機能する能力があるコンピューティングデバイスのコンポーネントレベルビューを例示する図である。
セキュリティサービスクラウドによって、複数の監視対象デバイスの状態のモデルを実質的にリアルタイムで構築し、そしてモデルのデータオブジェクトのスコープを利用して異なるセキュリティアクションを実行するための例示的なプロセスを例示する図である。
セキュリティサービスクラウドによって、複数の監視対象デバイスの状態のモデルを実質的にリアルタイムで構築し、更新されたモデルに基づいてセキュリティ上の懸念を検出し、そしてそれらのセキュリティ上の懸念を表すモデルに検出データオブジェクトを付加するための例示的なプロセスを例示する図である。
セキュリティサービスクラウドによって、監視対象デバイスに固有のモデルを構築し、そして実質的にリアルタイムでデバイス固有のモデルに基づいてセキュリティ上の懸念を検出して、それらの懸念に応答するための例示的なプロセスを例示する図である。
概要
本開示は、一部は、複数の監視対象デバイスのシステムコンポーネントおよびイベントを表すモデルをデータオブジェクトとして説明する。このようなシステムコンポーネントの例は、プロセスおよびモジュールを含み、イベントの例は、実行連鎖、イベント検出、およびパターンヒットを含む。エージェントは、監視対象デバイスのそれぞれに常駐することができ、そしてイベントをリモートセキュリティサービスクラウドに出力することができ、出力イベントは、そのデバイスのシステムコンポーネントおよびイベントに関するセキュリティ関連の情報を伝える。セキュリティサービスクラウドは、それらの出力イベントを受信し、そして実質的にリアルタイムで出力イベントに基づいてモデルを更新する。グラフモデルとなるモデルは、セキュリティサービスクラウドに常駐して、監視対象デバイスのシステムコンポーネントおよびイベントをモデルの頂点として機能するデータオブジェクトとして表す。それらの頂点を接続するエッジは、システムコンポーネントまたはイベント間の関係を表すことができる。例えば、プロセスを表す2つの頂点を接続するエッジは、それらのプロセス間の親−子関係を表すことができる。セキュリティサービスクラウドは、出力イベントが受信される時にリアルタイムでモデルを構築する、モデル管理モジュール(複数)を含むことができる。
本開示は、一部は、複数の監視対象デバイスのシステムコンポーネントおよびイベントを表すモデルをデータオブジェクトとして説明する。このようなシステムコンポーネントの例は、プロセスおよびモジュールを含み、イベントの例は、実行連鎖、イベント検出、およびパターンヒットを含む。エージェントは、監視対象デバイスのそれぞれに常駐することができ、そしてイベントをリモートセキュリティサービスクラウドに出力することができ、出力イベントは、そのデバイスのシステムコンポーネントおよびイベントに関するセキュリティ関連の情報を伝える。セキュリティサービスクラウドは、それらの出力イベントを受信し、そして実質的にリアルタイムで出力イベントに基づいてモデルを更新する。グラフモデルとなるモデルは、セキュリティサービスクラウドに常駐して、監視対象デバイスのシステムコンポーネントおよびイベントをモデルの頂点として機能するデータオブジェクトとして表す。それらの頂点を接続するエッジは、システムコンポーネントまたはイベント間の関係を表すことができる。例えば、プロセスを表す2つの頂点を接続するエッジは、それらのプロセス間の親−子関係を表すことができる。セキュリティサービスクラウドは、出力イベントが受信される時にリアルタイムでモデルを構築する、モデル管理モジュール(複数)を含むことができる。
さまざまな実施形態において、モデルに含まれるデータオブジェクトはそれぞれ、スコープと関連付けることができる。例えば、モジュールに関するセキュリティ関連の情報を提供する出力イベントを監視対象デバイスから受信することができる。そのイベントがその監視対象デバイスから受信したモジュールと関係付けられた最初の情報であれば、モデル管理モジュール(複数)は、データオブジェクトを、そのデータオブジェクトのデバイス固有のスコープを示すプロパティを用いてモデルに付加する。グループ固有のスコープまたはグローバルスコープのデータオブジェクトがそのモジュールに存在しなければ、モデル管理モジュール(複数)は、1つのオブジェクトがグループ固有のスコープを有してもう1つのオブジェクトがグローバルスコープを有する、モジュールのデータオブジェクトを作成する。同じモジュールに複数のデータオブジェクトを有するので、異なるスコープを有する各データオブジェクトは、セキュリティ上の懸念に対してよりインテリジェントな応答が可能になる。例えば、特定のデバイス上のモジュールと最初に関連付けられた新しい振る舞いが観察されると、それが懸念である場合もあるし懸念でない場合もある。しかしその振る舞いがまだグローバルに観察されてなければ、関心のあるまたは懸念である可能性がずっと高い。従って、データオブジェクトの異なるスコープによって、いくつかの異なるセキュリティアクションから選択できるようになる。
さらに、セキュリティサービスクラウドは、その監視対象デバイスからのセキュリティ関連の情報が受信される時に実質的にリアルタイムで構築された各監視対象デバイスに固有のモデルを保持する。セキュリティサービスクラウドは、これらのデバイス固有のモデルを利用してセキュリティ上の懸念を検出して、実質的にリアルタイムでそれらの懸念に応答する。
例示的なネットワーク
図1は、複数のグループの複数のデバイスを監視してそれらのデバイスのコンポーネントとイベントをモデルのデータオブジェクトとして表すセキュリティサービスクラウドを示している。セキュリティサービスクラウドは、デバイスからの情報が受信される時に実質的にリアルタイムでモデルを構築する。図1で例示されるように、セキュリティサービスクラウドデバイス102(「セキュリティサービスクラウド102」とも呼ばれる)は、複数の監視対象デバイス104から、さらに複数の監視対象デバイス106からネットワーク108経由でセキュリティ関連の情報を監視および受信することができる。監視対象デバイス104は、監視対象デバイス104をグループネットワーク110経由でネットワーク108に接続することができる顧客または他のエンティティなどのグループの一部になり得る。監視対象デバイス106もまた、監視対象デバイス106をグループネットワーク112経由でネットワーク108に接続することができるグループの一部になり得る。監視対象デバイス104と106はそれぞれ、セキュリティ関連の情報を含むイベントをセキュリティサービスクラウド102に提供することができるエージェント114を構成することができる。次にセキュリティサービスクラウド102は、エージェント114と対話するセキュリティモジュール116、監視対象デバイス104と106の状態を表すグラフモデル118、エージェント114によって出力されるイベントに基づいてグラフモデル118を更新するモデル管理モジュール(複数)120、およびグラフモデル118に基づいてアクションを行うモデルワーカモジュール(複数)122を含むことができる。
図1は、複数のグループの複数のデバイスを監視してそれらのデバイスのコンポーネントとイベントをモデルのデータオブジェクトとして表すセキュリティサービスクラウドを示している。セキュリティサービスクラウドは、デバイスからの情報が受信される時に実質的にリアルタイムでモデルを構築する。図1で例示されるように、セキュリティサービスクラウドデバイス102(「セキュリティサービスクラウド102」とも呼ばれる)は、複数の監視対象デバイス104から、さらに複数の監視対象デバイス106からネットワーク108経由でセキュリティ関連の情報を監視および受信することができる。監視対象デバイス104は、監視対象デバイス104をグループネットワーク110経由でネットワーク108に接続することができる顧客または他のエンティティなどのグループの一部になり得る。監視対象デバイス106もまた、監視対象デバイス106をグループネットワーク112経由でネットワーク108に接続することができるグループの一部になり得る。監視対象デバイス104と106はそれぞれ、セキュリティ関連の情報を含むイベントをセキュリティサービスクラウド102に提供することができるエージェント114を構成することができる。次にセキュリティサービスクラウド102は、エージェント114と対話するセキュリティモジュール116、監視対象デバイス104と106の状態を表すグラフモデル118、エージェント114によって出力されるイベントに基づいてグラフモデル118を更新するモデル管理モジュール(複数)120、およびグラフモデル118に基づいてアクションを行うモデルワーカモジュール(複数)122を含むことができる。
さまざまな実施形態において、セキュリティサービスクラウド102は、エージェント114の保守および構成、エージェント114が構成された監視対象デバイス104と106の状態をグラフモデル118経由で追跡すること、脅威モデリング、および/または修復などの、個々のユーザおよび加入者エンティティに対する情報セキュリティサービスのプロバイダであってよい。例示的なセキュリティサービスクラウド102は、2012年12月27日に出願された「Real−Time Reprensentation of Security−Relevant System State」と題する米国特許出願第13/728,746号においてより詳細に説明されており、その開示内容は、この参照によりそのすべてが本明細書に組み込まれる。
セキュリティサービスクラウド102を実装するデバイスはそれぞれ、サーバまたはサーバファーム、複数の分散サーバファーム、メインフレーム、ワークステーション、パーソナルコンピュータ(PC)、ラップトップコンピュータ、タブレットコンピュータ、携帯情報端末(PDA)、携帯電話、メディアセンター、組み込みシステム、またはその他の種類のデバイスまたはデバイス群にするか、または含むことができる。一実装において、セキュリティサービスクラウド102を実装するデバイスは、クラウドコンピューティングネットワークのノードなど、通信中に作業する複数のコンピューティングデバイスを表す。複数のコンピューティングデバイスに実装される場合、セキュリティサービスクラウド102は、セキュリティサービスクラウド102のモジュールおよびデータ116−126を複数のコンピューティングデバイスに分散することができる。いくつかの実装において、セキュリティサービスクラウド102を実装するデバイスのうちの1または複数は、1つまたは複数のコンピューティングデバイスに実装される1つまたは複数の仮想マシンを表す。セキュリティサービスクラウド102を実装するデバイスとして機能する能力がある例示的なコンピューティングデバイスを図5に例示し、その図面を参照して以下に説明する。
いくつかの実施形態において、監視対象デバイス104と106はそれぞれ、サーバまたはサーバファーム、複数の分散サーバファーム、メインフレーム、ワークステーション、PC、ラップトップコンピュータ、タブレットコンピュータ、PDA、携帯電話、メディアセンター、組み込みシステム、またはその他の種類のデバイスまたはデバイス群になり得る。複数のコンピューティングデバイスに実装される場合、監視対象デバイス104/106は、エージェント114を複数のコンピューティングデバイスに分散することができる。いくつかの実装において、監視対象デバイス104/106は、1つまたは複数のコンピューティングデバイスに実装される1つまたは複数の仮想マシンを表す。
さまざまな実施形態において、ネットワーク108とグループネットワーク110および112はそれぞれ、有線ネットワーク、無線ネットワーク、および有線ネットワークと無線ネットワークの組み合わせなど、1つまたは複数の任意のネットワークを含むことができる。さらに、ネットワーク108とグループネットワーク110および112は、複数の異なるタイプのパブリックまたはプライベートネットワーク(例えば、ケーブルネットワーク、インターネット、無線ネットワークなど)のいずれか1つまたはその組み合わせを含むことができる。例えば、ネットワーク108は、パブリックネットワークである場合もあり、グループネットワーク110および112のうちの1つまたは両方は、プライベートネットワークである場合もある。場合によっては、コンピューティングデバイスは、セキュアなプロトコル(例えば、https)および/またはその他のプロトコルまたはトランスミッションコントロールプロトコル/インターネットプロトコル(TCP/IP)などのプロトコルのセットを使用してネットワーク108とグループネットワーク110および112上で通信する。
さまざまな実施形態において、監視対象デバイス104とグループネットワーク110は、第1のエンティティと関連付けることができ、監視対象デバイス106とグループネットワーク112は、第2のエンティティと関連付けることができる。第1のエンティティと第2のエンティティはそれぞれ、企業、政府、または他の団体などのエンティティの例にすることができるか、または単独のユーザまたはユーザのグループと関連付けることができる。そのエンティティまたはそれらのユーザ(複数)は、エンティティ/ユーザ(複数)の監視対象デバイス104と106のアクティビティを監視することができるセキュリティサービスクラウド102にセキュリティサービスを予約することができる。いくつかの実施形態において、その監視は、監視対象デバイス104と106の実行アクティビティを監視して、セキュリティ関連の情報をセキュリティサービスクラウド102に提供することを監視対象デバイス104と106上のエージェント114にインストールすることに関与し得る。
エージェント114は、いくつかの実施形態において、カーネルレベルセキュリティエージェントになり得る。このようなカーネルレベルセキュリティエージェントはそれぞれ、監視対象デバイス104/106のそれぞれの実行アクティビティと関連付けられたイベントの通知を受信するイベントコンシューマ、フィルタ、イベントを他のエージェントモジュール(複数)に経路指定するイベントバス、イベントのタイプを追跡する相関器、状態情報を集めてイベントを作動させるアクタ、および状況モデルを含むことができる。カーネルレベルセキュリティエージェントはそれぞれ、セキュリティサービスクラウド102によってインストールされて構成可能にすることができ、エージェントのモジュール(複数)とエージェントの状況モデルの再構成が、動作(live)中に受信され、適用される。さらに、カーネルレベルセキュリティエージェントはそれぞれ、イベントをリモートセキュリティサービスクラウド102に出力することができ、イベントは、そのエージェント114によって判定されるセキュリティ関連の情報を含む。例示的なカーネルレベルセキュリティエージェントは、2012年6月8日に出願された「Kernel−Level Security Agent」と題する米国特許出願第13/492,672号明細書においてより詳細に説明されており、この参照によりそのすべてが本明細書に組み込まれる。
いくつかの実施形態において、エージェント114は、仮想プライベートネットワーク(VPN)トンネルなどのセキュアなチャネルまたは他の種類のセキュアなチャネル経由でセキュリティサービスクラウド102に接続され、そしてセキュリティ関連の情報を伝えるイベントをセキュアなチャネルを介してセキュリティサービスクラウド102に提供することができる。エージェント114はまた、セキュリティサービスクラウド102からセキュアなチャネル経由で構成の更新、命令、修復などを受信することもできる。例示的なセキュアなチャネルを図4に示し、その図面を参照して以下に説明する。
さまざまな実施形態において、図1に示すように、セキュリティサービスクラウド102は、監視対象デバイス104と106がエージェント114によって出力されるイベント経由でどんなセキュリティ関連の情報をセキュリティサービスクラウド102に提供すべきかを指定するように監視対象デバイス104と106を構成するセキュリティモジュール116を含む。このようなセキュリティ関連の情報は、単独の監視対象デバイス104と106上での分離が重要であるなしに関わらず、複数の監視対象デバイス104/106からいつ受信されるかが重要である情報である。代替として、セキュリティ関連の情報は、システムコンポーネントまたは監視対象デバイス104と106の実行アクティビティと関連付けられた監視対象デバイス104と106のイベントに関する任意の情報を含むことができる。
さらなる実施形態において、セキュリティサービスクラウド102は、監視対象デバイス104と106の状態を表すグラフモデル118を構築して保持することができる。このような状態は、現在の状態、過去の状態、またはその両方を含むことができる。セキュリティサービスクラウド102は、監視対象デバイス104と106の構成に応答して、グラフモデル118を構築するために使用されるイベントのセキュリティ関連の情報を監視対象デバイス104と106から受信することができる。このようなセキュリティ関連の情報は、セキュリティ関連の情報と関連付けられる実行アクティビティが観察された時に実質的にリアルタイムで受信することができる。セキュリティ関連の情報は、プロセスおよびモジュールなどの監視対象デバイスのシステムコンポーネントを、アクティビティの検出、実行パターン(パターンヒット)、または実行アクティビティの連鎖の認識、またはその両方などの監視対象デバイス104と106のイベントに関係付けることができる。これらのシステムコンポーネントまたはイベントは、グラフモデル118の頂点を形成することができるデータオブジェクトとして表され、これらのシステムコンポーネントまたはイベント間の関係(例えば、プロセス間の親−子関係)は、グラフモデル118のエッジとして表される。
さまざまな実施形態において、グラフモデル118は、任意の種類のデータベース、ファイル、または情報を格納する能力があるデータのコレクションに格納することができる。データベースは、グラフモデル118を形成するテーブルなどの、データオブジェクトの構成可能なセットを有するストアである。各データオブジェクトは、データベースがデータを格納するオブジェクトのタイプを表すことができ、識別子によってインデックス化され得る。各データオブジェクトは、インデックスフィールド、オブジェクトタイプ(例えば、プロセスオブジェクト、モデルオブジェクト、ツリーオブジェクト、検出オブジェクト、パターンヒットオブジェクトなど)、データオブジェクトと関係のある他のオブジェクトの表示、ならびにそれらの関係のタイプの表示、データオブジェクトのスコープ(例えば、デバイス固有のスコープ、グループ固有のスコープ、グローバルスコープ)、他のモデル化されたデータ属性(例えば、セキュリティ関連の情報)などを含むことができる。いくつかのオブジェクトタイプ(例えば、検出オブジェクトまたはパターンヒットオブジェクト)では、データオブジェクトのスコープは、暗黙的(例えば、デバイス固有のスコープに暗黙的)となり、このようなデータオブジェクトは、スコープのプロパティまたはフィールドを含まない。他のオブジェクトタイプでは、スコープは、データオブジェクトのフィールドまたはプロパティに明示的に宣言される。
データオブジェクトはまた、データオブジェクトのラベルまたは分類子として機能するデータオブジェクトのメタデータである、タグを含むこともできる。タグは、文字列、整数、ハッシュ、バイナリフラグ、またはその他の効率的な表現であってよい。タグは、報告、意思決定、およびイベント生成のためにデータオブジェクトのフィルタリングを可能にして、再符号化または再コンパイルを必要とせずにデータオブジェクトの再分類ができるようにする。データオブジェクトのプロパティおよびフィールドは、タグの例である。2014年1月31日に出願された「Tagging Security−Relevant System Objects」と題する米国特許出願第14/169,401号においてタグがより詳細に説明されている。米国特許出願第14/169,401号は、この参照により本明細書に組み込まれる。
グラフモデル118のデータベースのデータオブジェクトの例を図2で例示する。図2は、複数のデータオブジェクトをグラフモデル118の頂点として例示し、データオブジェクトによって表されるシステムコンポーネントまたはイベントの関係を示し、そしてデータオブジェクトのスコープを示す。図示されたように、各データオブジェクトは、デバイス固有のスコープ202、グループ固有のスコープ204、またはグローバルスコープ206を有することができる。例えば、グラフモデル118のデータベースは、3つのプロセスオブジェクト208を含むことができる。これらのプロセスオブジェクト208の2つの間のエッジは、それらのプロセスオブジェクト208によって表されるプロセス間の親−子関係を表すことができる。プロセスオブジェクト208とツリーオブジェクト210の2つの間のエッジは、それらのプロセスオブジェクトと関連付けられたプロセスがツリーオブジェクト210と関連付けられたツリーによって表される実行連鎖の一部であることを表すことができる。デバイス固有のスコープ202を有するモジュールオブジェクト212と関連付けられたモジュールは、そのモジュールオブジェクト212のエッジで接続されているプロセスオブジェクト208と関連付けられたプロセスのモジュールとすることができる。モジュールオブジェクト212は次に、グループ固有のスコープ204を有する対応するモジュールオブジェクト212のエッジで接続され、そしてグループ固有のスコープ204を有する対応するモジュールオブジェクト212は、グローバルスコープ206を有する対応するモジュールオブジェクト212のエッジで接続される。
「グループ固有の」スコープ204は、そのスコープを有するデータオブジェクトが単独のグループ/エンティティに属する監視対象デバイスのコレクションと関連付けられていることを意味する。例えば、グループ固有のスコープ204を有するモジュールオブジェクト212は、グループネットワーク112と監視対象デバイス106を有するグループと関連付けることができる。「グローバルな」スコープ206は、そのスコープを有するデータオブジェクトがグラフモデル118で表されるすべての監視対象デバイス104および106と関連付けられることを意味する。グループ固有のスコープ204またはグローバルスコープ206を有するデータオブジェクトは、さまざまな条件に応答してモデル管理モジュール(複数)120によって作成され得る。モデル管理モジュール(複数)120によるこのようなデータオブジェクトの作成は、図3に関連してさらに詳細に説明されている。
さまざまな実施形態において、セキュリティモジュール116は、グラフモデル118が構築される時に実質的にリアルタイムでグラフモデル118の異なるデータオブジェクトのスコープに応じて異なるアクションを行う。例えば、コンポーネントまたは振る舞いは、最初はいずれの監視対象デバイス104/106にもグローバルに観察され、デバイス固有のスコープを有するデータオブジェクトのみのプロパティとして表されるが、対応するグループ固有のスコープまたはグローバルスコープのデータオブジェクトで表されない。これは、モデル管理モジュール(複数)120によって通知されて、疑わしいコンポーネント/振る舞いを有する監視対象デバイス104/106からさらなる情報を収集すること、その監視対象デバイス104/106のエージェント114を再構成すること、または監視対象デバイス104/106に修復/回復を実行することなどの、セキュリティモジュール116によるアクションをトリガすることができる。
別の例において、コンポーネントまたは振る舞いは、他の監視対象デバイス(複数)104/106上ですでに観察された固有の監視対象デバイス104/106上で最初に観察することができる。これもまたモデル管理モジュール(複数)120によって通知されて、セキュリティモジュール116によってアクションをトリガすることができる。このようなアクションは、コンポーネントまたは振る舞いが最初にグローバルにまたは固有のグループに遭遇すれば、異なるアクション(例えば、ある期間まで待機して再チェックする)になる。
いくつかの実施形態において、モデル管理モジュール(複数)120のトリガに応答するよりはむしろ、セキュリティモジュール116は、グラフモデル118に固有のパターン、検出などのクエリを行い、関連するスコープを判定し、そして読み出された情報を含むデータオブジェクトのスコープの少なくとも一部に基づいてアクションを行うことができる。
モデル管理モジュール(複数)120は、エージェント114がイベントを出力する時に実質的にリアルタイムでイベントを受信し、それらのイベントに基づいてグラフモデル118を更新し、そしてグラフモデル118からの情報を探索するクエリに応答することもできる。モデル管理モジュール(複数)120の例を図3に例示し、その図面を参照して以下により詳細に説明する。
モデルワーカモジュール(複数)122は、グラフモデル118が構築される時に実質的にリアルタイムで、グラフモデル118の検索インデックスを生成すること、グラフモデル118の分析および脅威の検出を実行することなどの、グラフモデル118に関係する付加的な処理を実行できる。モデルワーカモジュール(複数)122の例を図4に例示し、その図面を参照して以下により詳細に説明する。
さまざまな実施形態において、セキュリティサービスクラウド102はまた、各監視対象デバイス104/106のグラフモデル124などの、インメモリデバイス固有のグラフモデル124に格納することもできる。各グラフモデル124は、それぞれのグラフモデル124の構築に関与することができる、セキュリティサービスクラウド102のアクタモジュールと関連付けることができる。アクタモジュールは、実質的にリアルタイムでモデル管理モジュール(複数)120のルーティングモジュールからイベントを受信することができる。これらのイベントは、そのアクタモジュールのグラフモデル124に固有である、監視対象デバイス104/106と関連付けられたすべてのイベントを包含することができる。アクタモジュールは次に、イベントを受信する時に実質的にリアルタイムで、およびモデル管理モジュール(複数)がグラフモデル118を構築するやり方と同様のやり方でグラフモデル124を構築することができる。グラフモデル118と同様に、グラフモデル124もまた、エッジとして表されるそれらのコンポーネント/イベントとの間/における関係の頂点として表されるシステムコンポーネントおよびイベントのデータオブジェクトを包含することができる。しかしながら、グラフモデル124のデータオブジェクトは、スコープのプロパティがない場合もある。
さらなる実施形態において、セキュリティサービスクラウド102はまた、グラフモデル124が構築される時に実質的にリアルタイムでグラフモデル124によって表される情報を検査して反応するデバイスモデルモジュール126を含むこともできる。各デバイスモデルモジュール126は、固有のパターンまたは検出のために(本明細書では「セキュリティ上の懸念」と呼ぶ)グラフモデル124を検査し、それに応じてアクションを行うことができる。異なるデバイスモデルモジュール126は、異なるセキュリティ上の懸念に固有にすることができる。それに応じて行われるアクションは、エージェント114の再構成、監視対象デバイス104/106の修復などを含むことができる。デバイスモデルモジュール126はまた、グラフモデル118、セキュリティ上の懸念を提示しているグラフモデルとは異なるグラフモデル124、またはリモートソースなどの、他のソースから情報を読み出し、そしてその情報をセキュリティ上の懸念の分析に使用することもできる。デバイスモデルモジュール126は次に、セキュリティ上の懸念と関連付けられた情報と他のソースから読み出された情報との両方に基づいて反応することができる。
例示的なモデル管理モジュール(複数)
図3は、セキュリティ関連の情報を1つまたは複数のイベントとして監視対象デバイスから受信し、それらのイベントをモデルのデータオブジェクトの作成、更新またはリンク設定にマッピングし、そしてモデルを更新する、セキュリティサービスクラウドの例示的なモデル管理モジュール(複数)を例示する。図示されたように、モデル管理モジュール(複数)120は、イベントをメッセージキュー302から受信するか、または読み出すことができる。モデル管理モジュール(複数)120のルーティングモジュール304は、受信された/読み出されたイベントをグラフモデル118のデータオブジェクトの作成、更新またはリンク設定にマッピングし、そしてイベントをイベントバス306経由でモデルインタフェースモジュール(複数)308に出力する。モデルインタフェースモジュール(複数)308は次に、グラフモデル118を更新し、モデルワーカモジュール(複数)122によって利用されるようにイベントをメッセージキュー310に出力することができる。モデル管理モジュール(複数)120はまた、リクエスタシステム(複数)314からクエリを受信してモデルインタフェースモジュール(複数)308を介してグラフモデル118にクエリを行うクエリインタフェース312を含むこともできる。
図3は、セキュリティ関連の情報を1つまたは複数のイベントとして監視対象デバイスから受信し、それらのイベントをモデルのデータオブジェクトの作成、更新またはリンク設定にマッピングし、そしてモデルを更新する、セキュリティサービスクラウドの例示的なモデル管理モジュール(複数)を例示する。図示されたように、モデル管理モジュール(複数)120は、イベントをメッセージキュー302から受信するか、または読み出すことができる。モデル管理モジュール(複数)120のルーティングモジュール304は、受信された/読み出されたイベントをグラフモデル118のデータオブジェクトの作成、更新またはリンク設定にマッピングし、そしてイベントをイベントバス306経由でモデルインタフェースモジュール(複数)308に出力する。モデルインタフェースモジュール(複数)308は次に、グラフモデル118を更新し、モデルワーカモジュール(複数)122によって利用されるようにイベントをメッセージキュー310に出力することができる。モデル管理モジュール(複数)120はまた、リクエスタシステム(複数)314からクエリを受信してモデルインタフェースモジュール(複数)308を介してグラフモデル118にクエリを行うクエリインタフェース312を含むこともできる。
さまざまな実施形態において、監視対象デバイス104と106からの出力イベントは、セキュリティサービスクラウド102によって受信され、そしてメッセージキュー302に格納される。メッセージキュー302は、保証された配信レイヤとして使用される分散トピックキューシステムにすることができる。このようなメッセージキュー302の例は、Apache(商標)のKafkaクラスタである。
いくつかの実施形態において、イベントのドメイン固有言語(DSL)を含むルーティングモジュール304は、イベントをメッセージキュー302から受信するか、または読み出して、受信されたイベントを処理することができる。ルーティングモジュール304は、受信された/読み出されたイベントを評価するためにDSLを利用して、DSLに基づいてどんなイベントのセットがデータオブジェクト(例えば、ツリーオブジェクト)の固有のタイプの作成、更新、またはリンク設定にマッピングするかを判定する。ルーティングモジュール304は次に、トリガイベントをイベントバス306経由で1つまたは複数のモデルインタフェースモジュール(複数)308に出力する。さまざまな実施形態において、ルーティングモジュール304は、トリガイベントの固有のタイプ(例えば、プロセスオブジェクトの作成をトリガするイベント)をモデルインタフェースモジュール(複数)308の固有のモジュール(複数)に向けることができる。いくつかの実施形態において、ルーティングモジュール304はまた、モデルワーカモジュール(複数)122によって生成される検出イベントなどのイベントをメッセージキュー310から受信するか、または読み出すこともできる。
さらに、さまざまな実施形態において、ルーティングモジュール304は、受信された/読み出されたイベントがデータオブジェクトの作成、更新、またはリンク設定にマッピングするのではなく、むしろデータオブジェクトのうちの1または複数と関連付けられた付加的な参照データであるセキュリティ関連の情報を含むことを判定することができる。ルーティングモジュール304は、付加的な参照データを二次的なストレージデバイスに格納するためにトリガイベントをモデルワーカモジュール(複数)122に放出することができる。これらの放出されたイベントをメッセージキュー310に格納してそこから読み出すことができる。
さらなる実施形態において、モデルインタフェースモジュール(複数)308は、グラフモデル118を更新する1つまたは複数のアクタモジュールを含むことができる。例えば、モデルインタフェースモジュール(複数)308は、トリガイベントをイベントバス306経由で受信して、受信されたイベントに基づいてグラフモデル118を更新する、各オブジェクトタイプの1つまたは複数のアクタモジュール(例えば、プロセスオブジェクトアクタモジュール)を含むことができる。アクタモジュールは、データオブジェクトをグラフモデル118の頂点として作成して、それをデータオブジェクトによって表されるシステムコンポーネント/イベント間の関係に基づいて他のデータオブジェクトにリンクすることが可能である。アクタモジュールはまた、データオブジェクトを例えば、タグ、フィールド、またはプロパティを付加するまたは変更することによって更新することも可能である。さらに、アクタモジュールは、すでにリンクが外れた2つのデータオブジェクト間のリンクを付加することも可能である。
さらに、デバイス固有のスコープを有するコンポーネント/イベントのデータオブジェクトが作成されると、モデルインタフェースモジュール(複数)308は、そのコンポーネント/イベントのグループ固有またはグローバルなスコープを有するデータオブジェクトが存在するかどうかを判定することができる。存在しなければ、モデルインタフェースモジュール(複数)308は、グループ固有またはグローバルなスコープを有するデータオブジェクトを作成することができる。いくつかの実施形態において、グループ固有またはグローバルなスコープを有するこのようなデータオブジェクトは、モデルインタフェースモジュール(複数)308によって非同期的に作成され得る。
グループ固有またはグローバルなスコープを有するデータオブジェクトの作成に加えて、モデルインタフェースモジュール(複数)308は、コンポーネント/イベントを表すデータオブジェクトのタグ、プロパティまたはフィールドを、同じコンポーネント/イベントを表す異なるスコープを有する他のデータオブジェクトに伝播することができる。例えば、タグが固有の振る舞いを示すデバイス固有のスコープを有するデータオブジェクトに付加されると、そのタグは、グループ固有および/またはグローバルなスコープを有するカウンターパートのデータオブジェクトに伝播され得る。いくつかの実施形態において、この伝播は、セキュリティサービスクラウド102の構成のモデル、閾値などに基づいて条件付けることができる。さらに、同じコンポーネント/イベントを表す異なるスコープを有する他のデータオブジェクトへの新しいタグの伝播により、さらなる分析、監視、修復などのアクションをトリガすることができる。
さまざまな実施形態において、モデルインタフェースモジュール(複数)308はまた、クエリインタフェース312による呼び出しに応答してグラフモデル118にクエリを行うアクタモジュール(複数)を含むこともできる。このようなモデルインタフェースモジュール(複数)308は、モデルワーカモジュール(複数)122によって構築される検索インデックスを利用して、よりコストがかかるグラフモデル118の完全なトラバーサルを回避することができる。
さらなる実施形態において、モデルインタフェースモジュール(複数)308は、モデルワーカモジュール(複数)122によって処理されるためのイベントをメッセージキュー310に放出することができる。モデルインタフェースモジュール(複数)308は、例えば、グラフモデル118に行われる更新が示されたイベントを放出することができる。メッセージキュー302と同様に、メッセージキュー310は、保証された配信レイヤとして使用される分散トピックキューシステムにすることができる。このようなメッセージキュー310の例は、Apache(商標)のKafkaクラスタである。モデルワーカモジュール(複数)122は次に、それらのアクティビティを調整するためにメッセージキュー310のトピックを使用することができる。
さまざまな実施形態において、モデル管理モジュール(複数)120は、リクエスタシステム314からクエリを受信するクエリインタフェース312をさらに含む。リクエスタシステム314は、セキュリティモジュール316、他のモデル管理モジュール(複数)120、モデルワーカモジュール(複数)122、またはデバイスモデルモジュール126など、セキュリティサービスクラウド102の他のコンポーネントを含むことができる。代替的または付加的には、リクエスタシステム314は、サードパーティーまたはアフィリエイトシステムを含むことができる。
クエリインタフェース312は、リクエスタシステム314がいくつかのパラメータから指定するか、または選択することを可能にするAPIを含むことができる。例えば、リクエスタシステム314は、グループネットワーク110と関連付けられたグループの監視対象デバイス104が固有の悪意のあるアクティビティをいくつ提示しているかを知りたい場合がある。別の例において、グループ内の固有の悪意のあるアクティビティの拡がり(prevalence)を判定するよりはむしろ、クエリは、グループ間のアクティビティの拡がりを特定することに努める。クエリインタフェース312は次に、クエリで探索されたセキュリティ関連の情報をグラフモデル118から読み出すためにモデルインタフェースモジュール(複数)308を呼び出すことができる。クエリ結果をモデルインタフェースモジュール(複数)308から受信すると、クエリインタフェース312は、メタデータまたは他の情報を付加して結果をリクエスタシステム314に提供することができる。いくつかの実施形態において、セキュリティ関連の情報をグラフモデル118から読み出すことに加えて、クエリインタフェース312は、グラフモデル118のデータオブジェクトと関連付けられているがグラフモデル118に格納されていない付加的な参照情報を読み出すことができる。付加的な参照情報は次に、クエリインタフェース312によってモデルインタフェースモジュール(複数)308から取得されたクエリ結果に含められ得る。
例示的なモデルワーカモジュール(複数)
図4は、モデル管理モジュール(複数)のイベントを受信するため、およびモデル管理モジュール(複数)から出力を受信するためのメッセージキュー、ならびにモデルの検出イベントおよび検索インデックスを生成するためのモデルワーカモジュール(複数)を例示する。図示されたように、メッセージキュー302は、監視対象デバイス104と106からセキュアなチャネル402経由で出力イベントを受信することができる。モデル管理モジュール(複数)120は、グラフモデル118の更新をそれらのイベントに基づいて行って、イベントをメッセージキュー310に出力する。検索インデックスモジュール(複数)404または検出プロセッサモジュール(複数)406などのモデルワーカモジュール(複数)122は、イベントをメッセージキュー310から受信するか、または読み出すことができ、グラフモデル118と関連付けられたいくつかの機能を実行することができる。例えば、検索インデックスモジュール(複数)404は、グラフモデル118の検索インデックス408を構築することができる。
図4は、モデル管理モジュール(複数)のイベントを受信するため、およびモデル管理モジュール(複数)から出力を受信するためのメッセージキュー、ならびにモデルの検出イベントおよび検索インデックスを生成するためのモデルワーカモジュール(複数)を例示する。図示されたように、メッセージキュー302は、監視対象デバイス104と106からセキュアなチャネル402経由で出力イベントを受信することができる。モデル管理モジュール(複数)120は、グラフモデル118の更新をそれらのイベントに基づいて行って、イベントをメッセージキュー310に出力する。検索インデックスモジュール(複数)404または検出プロセッサモジュール(複数)406などのモデルワーカモジュール(複数)122は、イベントをメッセージキュー310から受信するか、または読み出すことができ、グラフモデル118と関連付けられたいくつかの機能を実行することができる。例えば、検索インデックスモジュール(複数)404は、グラフモデル118の検索インデックス408を構築することができる。
さまざまな実施形態において、監視対象デバイス104/106からのイベントは、その監視対象デバイス104/106のエージェント114とセキュリティサービスクラウド102との間の双方向イベントチャネルなど、セキュアなチャネル402経由で受信され得る。それぞれのエージェント114の終端レイヤとセキュリティサービスクラウド102は、そのエージェント114とセキュリティサービスクラウド102との間の通信の暗号化の何らかの形式のうちTLS暗号化を実行できる。セキュリティサービスクラウド102上の終端レイヤはまた、受信されたイベントがメッセージキュー302まで持続するエージェントを含むこともできる。
メッセージキュー302からのイベントに基づいてグラフモデル118がモデル管理モジュール(複数)120によって更新された後、およびイベントをメッセージキュー310に出力した後、モデルワーカモジュール(複数)122は、イベントをメッセージキュー310から読み出すか、または受信することができる。これらのモデルワーカモジュール(複数)122は、メッセージキュー310を介して出力されるイベントに基づいてグラフモデル118の検索インデックス408を構築する検索インデックスモジュール(複数)404を含むことができる。検索インデックスモジュール(複数)404は、メッセージキュー310のイベントをリッスンして、それらのイベントに基づいて検索インデックス408の融通性のある(elastic)検索クラスタを構築する。検索インデックス408は次に、グラフモデル118から情報を読み出す時にモデルインタフェースモジュール(複数)308によって使用され得る。
さまざまな実施形態において、検出プロセッサモジュール(複数)406は、イベントをメッセージキュー310から受信するか、または読み出して、それらのイベントに含まれている情報が検出イベントにマッピングされるかどうかを判定することができる。情報が検出イベントにマッピングされると、検出プロセッサモジュール(複数)406は、検出イベントを生成して、メッセージキュー310を介して検出イベントをモデル管理モジュール(複数)120に提供する。例えば、メッセージキュー310からの受信イベントは、「ProcessCreated」イベントにすることができ、検出プロセッサモジュール(複数)406は、「ProcessCreated」イベントに応答して検出イベントを生成することができる。モデル管理モジュール(複数)120のモデルインタフェースモジュール(複数)308は次に、検出イベントに基づいて検出オブジェクトをグラフモデル118に付加することができる。
例示的なシステム
図5は、セキュリティサービスクラウドデバイスとして機能する能力があるコンピューティングデバイスのコンポーネントレベルビューを例示する。図示されたように、コンピューティングデバイス500は、モジュールとデータ504を格納するシステムメモリ502を備える。また、コンピューティングデバイス500は、プロセッサ(複数)506、取外し可能記憶装置508および取外し不能記憶装置510、入力デバイス(複数)512、出力デバイス(複数)514および他のコンピューティングデバイス518と通信する通信接続516を含む。
図5は、セキュリティサービスクラウドデバイスとして機能する能力があるコンピューティングデバイスのコンポーネントレベルビューを例示する。図示されたように、コンピューティングデバイス500は、モジュールとデータ504を格納するシステムメモリ502を備える。また、コンピューティングデバイス500は、プロセッサ(複数)506、取外し可能記憶装置508および取外し不能記憶装置510、入力デバイス(複数)512、出力デバイス(複数)514および他のコンピューティングデバイス518と通信する通信接続516を含む。
さまざまな実施形態において、システムメモリ502は、揮発性(RAMなど)、不揮発性(ROM、フラッシュメモリその他など)または2つのある組み合わせである。システムメモリ502に格納されたモジュールまたはデータ504は、方法、スレッド、プロセス、アプリケーション、または(セキュリティサービスクラウド102が複数のデバイスを含む例にある)セキュリティサービスクラウド102の他のデバイスと共にセキュリティサービスクラウド102のオペレーションを実行するために利用される命令など、その他の種類の実行可能命令を備えることができる。モジュールおよびデータ504はまた、ファイルおよびデータベースを含むこともできる。
いくつかの実施形態において、プロセッサ(複数)506は、中央処理装置(CPU)、グラフィック処理装置(GPU)、またはCPUとGPUの両方、または当技術分野で周知である他の処理装置またはコンポーネントである。
コンピューティングデバイス500はまた、例えば、磁気ディスク、光ディスク、またはテープなど、付加的なデータストレージデバイス(取外し可能および/または取外し不能)も含む。このような付加的なストレージは、図5の取外し可能記憶装置508および取外し不能記憶装置510で例示される。非一時的なコンピュータ可読媒体は、情報を格納するための任意の方法または技術で実装される揮発性および不揮発性、取外し可能および取外し不能な媒体を含むことができる。システムメモリ502、取外し可能記憶装置508および取外し不能記憶装置510はすべて、コンピュータ可読記憶媒体の例である。非一時的なコンピュータ可読媒体は、限定されないが、RAM、ROM、EEPROM、フラッシュメモリまたは他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)または他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージまたは他の磁気ストレージデバイス、または所望の情報を格納するために使用することができ、コンピューティングデバイス500によってアクセスすることができるその他の物理的、有形媒体を含む。このような非一時的なコンピュータ可読媒体のいずれもコンピューティングデバイス500の一部にすることができる。
コンピューティングデバイス500はまた、キーボード、マウス、タッチセンサー式ディスプレイ、音声入力デバイスなどの入力デバイス(複数)512、およびディスプレイ、スピーカ、プリンタなどの出力デバイス(複数)514も有する。これらのデバイスは、当業者には周知であり、本明細書では詳しく論じる必要はない。
コンピューティングデバイス500はまた、コンピューティングデバイス500が、監視対象デバイス104または106の一部またはすべてなど、他のコンピューティングデバイス518との通信を可能にさせる通信接続516も包含する。
例示的なプロセス
図6−図8は、例示的なプロセス600、700、および800を例示する。これらのプロセスは、論理フローグラフとして例示され、グラフの各オペレーションは、ハードウェア、ソフトウェア、またはその組み合わせで実装することができるオペレーションのシーケンスを表す。ソフトウェアのコンテキストにおいて、オペレーションは、1つまたは複数のプロセッサによって実行されると、列挙されたオペレーションを実行する1つまたは複数のコンピュータ可読記憶媒体に格納されたコンピュータ実行可能命令を表す。一般に、コンピュータ実行可能命令は、特定の機能を実行するか、または特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。オペレーションが説明されている順序は、限定と解釈されることを意図せず、説明されているオペレーションの任意の番号は、任意の順序で組み合わされ、および/または並行してプロセスを実装することができる。
図6−図8は、例示的なプロセス600、700、および800を例示する。これらのプロセスは、論理フローグラフとして例示され、グラフの各オペレーションは、ハードウェア、ソフトウェア、またはその組み合わせで実装することができるオペレーションのシーケンスを表す。ソフトウェアのコンテキストにおいて、オペレーションは、1つまたは複数のプロセッサによって実行されると、列挙されたオペレーションを実行する1つまたは複数のコンピュータ可読記憶媒体に格納されたコンピュータ実行可能命令を表す。一般に、コンピュータ実行可能命令は、特定の機能を実行するか、または特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。オペレーションが説明されている順序は、限定と解釈されることを意図せず、説明されているオペレーションの任意の番号は、任意の順序で組み合わされ、および/または並行してプロセスを実装することができる。
図6は、セキュリティサービスクラウドによって、複数の監視対象デバイスの状態のモデルを実質的にリアルタイムで構築し、そしてモデルのデータオブジェクトのスコープを利用して異なるセキュリティアクションを実行するための例示的なプロセス600を示している。プロセス600は、602において、複数の監視対象デバイスによって出力されるイベントをセキュリティサービスクラウドが受信することを含む。出力イベントは、監視対象デバイスのシステムコンポーネントまたはイベントと関連付けられたセキュリティ関連の情報を含む。このようなシステムコンポーネントの例は、プロセスとモジュールを含み、イベントの例は、実行連鎖、イベント検出、およびパターンヒットを含む。出力イベントは、セキュリティサービスクラウドによって受信されて、保証された配信レイヤのメッセージキューに格納される。
604において、セキュリティサービスクラウドのルーティングモジュールは、メッセージキューから出力イベントを受信するか、または読み出す。606において、ルーティングモジュールは次に、1つまたは複数の出力イベントのセットがグラフモデルのデータオブジェクトの作成、更新、またはリンク設定にマッピングされることを判定し、608において、イベントをアクタモジュールに出力する。ルーティングモジュールとアクタモジュールの両方は、モデル管理モジュール(複数)120の例にすることができる。
610において、アクタモジュールは、イベントが監視対象デバイスから受信される時に実質的にリアルタイムでルーティングモジュールから受信されたイベントに基づいてデータオブジェクトを作成し、更新し、またはリンク設定することによってモデルを更新する。各データオブジェクトは、グラフモデルの頂点として表され、そして頂点に接続しているエッジは、データオブジェクトによって表されるシステムコンポーネントまたはイベント間の関係を表す。さらに、各データオブジェクトは、デバイス固有のスコープ、グループ固有のスコープ、またはグローバルスコープなどのスコープを有する。スコープは、グラフモデルのいくつかのデータオブジェクトの明示的なプロパティである場合もあり、グラフモデルの別のデータオブジェクトは、暗黙的なプロパティである場合もある。
612において、アクタモジュールは、異なるスコープを有する付加的なデータオブジェクトを作成することができる。例えば、610においてアクタモジュールがデバイス固有のスコープを有するシステムコンポーネントのデータオブジェクトを作成すれば、アクタモジュールは、612において、そのシステムコンポーネントの対応するグループ固有のスコープおよびグローバルスコープのデータオブジェクトを作成する。614において、アクタモジュールは次に、あるスコープを有するデータオブジェクトのプロパティを、同じシステムコンポーネントまたはイベントに対するそれらのデータオブジェクトの共有参照に基づいて異なるスコープを有する別のデータオブジェクトに伝播することができる。616において、モデルワーカモジュールまたは他のセキュリティモジュールなどのセキュリティサービスクラウドのモジュールは、データオブジェクトのうちの1つに基づいて複数の異なるアクションのうちの1つを実行することができ、複数の異なるアクションのうちの1つは、データオブジェクトのうちの1つのスコープに基づいて選択される。いくつかの実施形態において、モジュールは、システムコンポーネントまたは振る舞いが任意の監視対象デバイス上で最初にグローバルに観察されるかどうか、またはシステムコンポーネントまたは振る舞いが固有の監視対象デバイス上で最初に観察されるがすでに別の監視対象デバイス上で観察されたかどうかに基づいて異なるアクションを行う。さらなる実施形態において、614におけるタグの伝播に基づいてアクションを選択してトリガすることができる。
618において、モデル管理モジュール120または別の種類のモジュールであってもよい、セキュリティサービスクラウドのクエリインタフェースは、リクエスタの命令においてグラフモデルにクエリを行うことができる。例えば、リクエスタは、グループと関連付けられたすべての検出イベントを探索することができ、クエリインタフェースは、そのグループと関連付けられたすべての検出イベントのグラフモデルにクエリを行うことができる。620において、クエリからの結果において参照されたデータオブジェクトのスコープに基づいてグループ内またはグループ間のセキュリティ上の懸念の拡がりを判定することができる。例えば、クエリインタフェースは、エクスプロイトアクティビティが、グループのある監視対象デバイスがグループの別の監視対象デバイスよりも多く検出されたことを判定することができる。622において、クエリインタフェースは、付加されたメタデータを有するクエリ結果をリクエスタに提供することができる。
図7は、セキュリティサービスクラウドによって、複数の監視対象デバイスの状態のモデルを実質的にリアルタイムで構築し、構築されたモデルに基づいてセキュリティ上の懸念を検出し、そしてそれらのセキュリティ上の懸念を表すモデルに検出データオブジェクトを付加するための例示的なプロセス700を示している。プロセス700は、702において、セキュリティサービスクラウドによって、複数の監視対象デバイスからそれらの監視対象デバイスのシステムコンポーネントまたはイベントに関するセキュリティ関連の情報を受信することを含む。
704において、セキュリティサービスクラウドは、セキュリティ関連の情報が受信される時に実質的にリアルタイムで複数の監視対象デバイスのシステムコンポーネントまたはイベントをデータオブジェクトとして表すグラフモデルを更新することができる。データオブジェクトは、プロセス、プロセスのモジュール、プロセスの実行連鎖、イベント検出、またはパターンヒットを表すことができる。
706において、セキュリティサービスクラウドは次に、セキュリティ関連の情報を見つけるための検索インデックスを、グラフモデルをトラバースすることを必要とせずに作成することができる。
708において、セキュリティサービスクラウドはまた、データオブジェクトに関連するがグラフモデルにおいて表されていない付加的なデータを格納することもできる。
710において、セキュリティサービスクラウドの1つまたは複数のモデルワーカモジュール122のうちの1つなどの、ワーカモジュールは次に、メッセージキューを介してグラフモデルを更新する通知を受信することができる。712において、ワーカモジュールは、次に、表されたシステムコンポーネントまたはイベントと関連付けられたセキュリティ上の懸念を実質的にリアルタイムで検出することができる。714において、ワーカモジュールは、セキュリティ上の懸念の検出に応答して付加的な分析を実行することができ、716において、実質的にリアルタイムで、セキュリティ上の懸念をグラフモデルの検出データオブジェクトとして表すことができる。
図8は、セキュリティサービスクラウドによって、監視対象デバイスに固有のモデルを構築し、そして実質的にリアルタイムでデバイス固有のモデルに基づいてセキュリティ上の懸念を検出して、それらの懸念に応答するための例示的なプロセス800を示している。プロセス800は、802において、セキュリティサービスクラウドによって、セキュリティ関連の情報を監視対象デバイスから受信することを含む。
804において、セキュリティサービスクラウドは、セキュリティ情報が受信される時に実質的にリアルタイムでデバイス固有のモデル124など、監視対象デバイスに固有のモデルのセキュリティ関連の情報を表す。監視対象デバイスに固有のモデルは、デバイスモデルモジュール126または監視対象デバイスに固有のモデルを保持することに関与している別のモジュールなどの、アクタモジュールと関連付けられ得る。
806において、セキュリティサービスクラウドは次に、セキュリティ関連の情報が表される時に実質的にリアルタイムで、モデルにおいて表されたセキュリティ関連の情報と関連付けられたセキュリティ上の懸念を検出することができる。いくつかの実施形態において、検出は、セキュリティサービスクラウドの異なるモジュールによって異なるセキュリティ上の懸念を検出することを備える。異なるモジュールはそれぞれ、1つまたは複数の異なるセキュリティ上の懸念を検出するように構成されてもよい。
808において、セキュリティサービスクラウドは、複数の監視対象デバイスの状態を表すモデルからの情報またはセキュリティ上の懸念の検出に応答して1つまたは複数の他のソースからの情報をさらに集めることができる。1つまたは複数の他のソースは、他のデバイス固有のモデルを含むことができる。
810において、セキュリティサービスクラウドは、モデルにおいて表されたセキュリティ関連の情報、および複数の監視対象デバイスから受信されて他のモデルによって表されるセキュリティ関連の情報の少なくとも一部に基づいて、セキュリティ上の懸念が検出される時に実質的にリアルタイムで、セキュリティ上の懸念の検出に応答してアクションを行うことができる。812において、アクションを行うことは、セキュリティ関連の情報が受信された監視対象デバイスのエージェントの構成を更新すること、その監視対象デバイスへのアクションをトリガすること、またはその監視対象デバイスの実行時データを更新することのうちの少なくとも一つを備える。
結論
発明の主題は、構造的特徴および/または方法論的行為に固有の言語で説明されているが、添付の特許請求の範囲で定義された発明の主題は、説明された固有の特徴または行為に必ずしも限定されないことを理解されたい。むしろ固有の特徴および行為は、特許請求の範囲を実装する例示的な形態として開示されている。
発明の主題は、構造的特徴および/または方法論的行為に固有の言語で説明されているが、添付の特許請求の範囲で定義された発明の主題は、説明された固有の特徴または行為に必ずしも限定されないことを理解されたい。むしろ固有の特徴および行為は、特許請求の範囲を実装する例示的な形態として開示されている。
Claims (25)
- 1つまたは複数のプロセッサと、
複数の監視対象デバイスのシステムコンポーネントおよびイベントをデータオブジェクトとして表すモデルであって、各データオブジェクトがスコープを有する、モデルと、
前記1つまたは複数のプロセッサによって複数の異なるアクションのうちの1つを実行されるように構成された1つまたは複数のモジュールであって、前記複数の異なるアクションのうちの前記1つが前記データオブジェクトのうちの前記1つの前記スコープに基づいて選択される、1つまたは複数のモジュールを備えたことを特徴とするシステム。 - 前記スコープは、デバイス固有のスコープ、デバイス−グループのスコープ、またはグローバルスコープのうちの1つであることを特徴とする請求項1に記載のシステム。
- 各データオブジェクトは、グラフの頂点として表され、および前記頂点を接続するエッジは、前記データオブジェクトによって表される前記システムコンポーネント間またはイベント間の関係を表すことを特徴とする請求項1に記載のシステム。
- 前記監視対象デバイスのうちの複数のデバイス上に提示されるシステムコンポーネントは、デバイス固有のスコープを有する第1のデータオブジェクト、グループ固有のスコープを有する第2のデータオブジェクト、グローバルスコープを有する第3のデータオブジェクトを含む3つのデータオブジェクトによって前記モデルにおいて表されることを特徴とする請求項1に記載のシステム。
- 前記第1のデータオブジェクトの新しいプロパティを前記第2のデータオブジェクトおよび前記第3のデータオブジェクトに、それらが共有する前記システムコンポーネントの関連付けに基づいて伝播するモジュールをさらに備えることを特徴とする請求項4に記載のシステム。
- 前記1つまたは複数のモジュールは、前記第1のデータオブジェクトから前記第2のデータオブジェクトおよび前記第3のデータオブジェクトへの前記新しいプロパティの前記伝播の少なくとも一部に基づいて、前記複数の異なるアクションのうちの前記1つを選択するようにさらに構成されることを特徴とする請求項5に記載のシステム。
- 前記1つまたは複数のモジュールは、システムコンポーネントまたは振る舞いが任意の監視対象デバイス上で最初にグローバルに観察されるかどうか、または前記システムコンポーネントまたは振る舞いが固有の監視対象デバイス上で最初に観察されるがすでに別の監視対象デバイス上で観察されたかどうかに基づいて異なるアクションを行うことを特徴とする請求項1に記載のシステム。
- 構成に基づいて、イベントのセットが前記モデルのデータオブジェクトの作成、更新、またはリンク設定にマッピングされることを判定し、
前記データオブジェクトの前記作成、更新、またはリンク設定をさせるイベントを出力するためのルーティングモジュールをさらに備えることを特徴とする請求項1に記載のシステム。 - 前記出力イベントを前記ルーティングモジュールから受信することに応答して前記モデルを更新するモジュールをさらに備えることを特徴とする請求項8に記載のシステム。
- 前記モジュールは、出力イベントが受信される時に実質的にリアルタイムで前記モデルを更新することを特徴とする請求項9に記載のシステム。
- リクエスタのために前記モデルにクエリを行い、前記クエリからの結果にメタデータを付加し、および前記付加されたメタデータを有する前記結果を前記リクエスタに提供するクエリインタフェースをさらに備えることを特徴とする請求項1に記載のシステム。
- 前記クエリインタフェースは、前記クエリからの前記結果において参照された前記データオブジェクトのスコープに基づいてグループ内またはグループ間のセキュリティ上の懸念の拡がりをさらに判定することを特徴とする請求項11に記載のシステム。
- 前記スコープは、前記モデルのいくつかのデータオブジェクトの明示的なプロパティであり、および前記モデルの別のデータオブジェクトの暗黙的なプロパティであることを特徴とする請求項1に記載のシステム。
- セキュリティ関連の情報を監視対象デバイスから受信するステップと、
前記セキュリティ情報が受信される時に実質的にリアルタイムで前記監視対象デバイスに固有のモデルの前記セキュリティ関連の情報を表すステップと、
前記セキュリティ関連の情報が表される時に実質的にリアルタイムで、前記モデルの前記セキュリティ関連の情報と関連付けられたセキュリティ上の懸念を検出するステップと、
前記セキュリティ上の懸念の検出に応答して、前記セキュリティ上の懸念が検出される時に実質的にリアルタイムで、前記モデルにおいて表される前記セキュリティ関連の情報および複数の監視対象デバイスから受信されるセキュリティ関連の情報の少なくとも一部に基づいて、アクションを行うステップを備えることを特徴とするセキュリティサービスクラウドの1つまたは複数のデバイスによって実装される方法。 - 複数の監視対象デバイスから受信される前記セキュリティ関連の情報を表す別のモデルからの情報または前記セキュリティ上の懸念の検出に応答して1つまたは複数の他のソースからの情報をさらに集めることをさらに備えることを特徴とする請求項14に記載の方法。
- 前記1つまたは複数の他のソースは、他のデバイス固有のモデルを含むことを特徴とする請求項15に記載の方法。
- 前記監視対象デバイスに固有の前記モデルは、前記監視対象デバイスに固有の前記モデルを保持することに関与しているアクタモジュールと関連付けられることを特徴とする請求項14に記載の方法。
- 前記アクションを行うことは、前記監視対象デバイスのエージェントの構成を更新すること、前記監視対象デバイスへのアクションをトリガすること、または前記監視対象デバイスの実行時データを更新することのうちの少なくとも一つを備えることを特徴とする請求項14に記載の方法。
- 前記検出は、前記セキュリティサービスクラウドの異なるモジュールによって異なるセキュリティ上の懸念を検出することを備え、前記異なるモジュールはそれぞれ、1つまたは複数の異なるセキュリティ上の懸念を検出するように構成されることを特徴とする請求項14に記載の方法。
- 1つまたは複数のコンピューティングデバイスによって実行される時に、前記1つまたは複数のコンピューティングデバイスにアクションを実行させる複数のプログラミング命令を格納している1つまたは複数の非一時的なコンピュータ可読媒体であって、前記アクションは、
複数の監視対象デバイスのシステムコンポーネントまたはイベントと関連付けられたセキュリティ関連の情報を受信することと、
前記セキュリティ関連の情報が受信される時に実質的にリアルタイムで、前記複数の監視対象デバイスの前記システムコンポーネントまたはイベントをデータオブジェクトとして表すグラフモデルを更新することと、
前記システムコンポーネントまたはイベントが表される時に実質的にリアルタイムで、
前記表されたシステムコンポーネントまたはイベントと関連付けられたセキュリティ上の懸念を検出することと、
前記セキュリティ上の懸念を前記グラフモデルの検出データオブジェクトとして表すことを含むことを特徴とする1つまたは複数の非一時的なコンピュータ可読媒体。 - 前記アクションは、セキュリティ関連の情報を見つけるための検索インデックスを、前記グラフモデルをトラバースすることを必要とせずに作成することをさらに含むことを特徴とする請求項20に記載の1つまたは複数の非一時的なコンピュータ可読媒体。
- 前記アクションは、前記検出することおよび前記表すことを実行するように構成される1つまたは複数のワーカモジュールによって、メッセージキューを介して前記グラフモデルに対する前記更新の通知を受信することをさらに含むことを特徴とする請求項20に記載の1つまたは複数の非一時的なコンピュータ可読媒体。
- 前記アクションは、前記セキュリティ上の懸念の検出に応答して付加的な分析を実行することをさらに含むことを特徴とする請求項20に記載の1つまたは複数の非一時的なコンピュータ可読媒体。
- 前記アクションは、前記データオブジェクトに関連するが前記グラフモデルにおいて表されていない付加的なデータを格納することをさらに含むことを特徴とする請求項20に記載の1つまたは複数の非一時的なコンピュータ可読媒体。
- 前記データオブジェクトは、プロセス、プロセスのモジュール、プロセスの実行連鎖、イベント検出、またはパターンヒットを表すことを特徴とする請求項20に記載の1つまたは複数の非一時的なコンピュータ可読媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/297,974 US9798882B2 (en) | 2014-06-06 | 2014-06-06 | Real-time model of states of monitored devices |
US14/297,974 | 2014-06-06 | ||
PCT/US2015/033551 WO2015187566A1 (en) | 2014-06-06 | 2015-06-01 | Real-time model of states of monitored devices |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017522653A true JP2017522653A (ja) | 2017-08-10 |
Family
ID=54767246
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016571189A Pending JP2017522653A (ja) | 2014-06-06 | 2015-06-01 | 監視対象デバイスの状態のリアルタイムモデル |
Country Status (7)
Country | Link |
---|---|
US (1) | US9798882B2 (ja) |
EP (1) | EP3152869B1 (ja) |
JP (1) | JP2017522653A (ja) |
AU (1) | AU2015270950A1 (ja) |
CA (1) | CA2947763A1 (ja) |
IL (1) | IL249137A0 (ja) |
WO (1) | WO2015187566A1 (ja) |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9043903B2 (en) | 2012-06-08 | 2015-05-26 | Crowdstrike, Inc. | Kernel-level security agent |
US9292881B2 (en) | 2012-06-29 | 2016-03-22 | Crowdstrike, Inc. | Social sharing of security information in a group |
US10409980B2 (en) | 2012-12-27 | 2019-09-10 | Crowdstrike, Inc. | Real-time representation of security-relevant system state |
US10289405B2 (en) | 2014-03-20 | 2019-05-14 | Crowdstrike, Inc. | Integrity assurance and rebootless updating during runtime |
US10367828B2 (en) * | 2014-10-30 | 2019-07-30 | International Business Machines Corporation | Action response framework for data security incidents |
US9537883B2 (en) * | 2014-12-22 | 2017-01-03 | International Business Machines Corporation | Process security validation |
US10339316B2 (en) | 2015-07-28 | 2019-07-02 | Crowdstrike, Inc. | Integrity assurance through early loading in the boot phase |
AU2016369460B2 (en) * | 2015-12-19 | 2021-07-01 | Bitdefender Ipr Management Ltd | Dual memory introspection for securing multiple network endpoints |
US10742667B1 (en) * | 2016-01-20 | 2020-08-11 | Cyarx Technologies Ltd. | System and method for dynamical modeling multi-dimensional security event data into a graph representation |
US10262133B1 (en) | 2016-01-20 | 2019-04-16 | Cyarx Technologies Ltd. | System and method for contextually analyzing potential cyber security threats |
JP2019511055A (ja) | 2016-03-24 | 2019-04-18 | カーボン ブラック, インコーポレイテッド | サイバーセキュリティインシデントに対する応答を誘導するためのシステムおよび技術 |
US9928366B2 (en) * | 2016-04-15 | 2018-03-27 | Sophos Limited | Endpoint malware detection using an event graph |
US9967267B2 (en) | 2016-04-15 | 2018-05-08 | Sophos Limited | Forensic analysis of computing activity |
US10681059B2 (en) | 2016-05-25 | 2020-06-09 | CyberOwl Limited | Relating to the monitoring of network security |
CN107682169B (zh) * | 2016-08-02 | 2021-03-30 | 北京京东尚科信息技术有限公司 | 一种利用Kafka集群发送消息的方法和装置 |
WO2018053154A1 (en) | 2016-09-14 | 2018-03-22 | Carbon Black, Inc. | Cybersecurity incident detection based on unexpected activity patterns |
US10367837B2 (en) | 2017-01-25 | 2019-07-30 | International Business Machines Corporation | Optimizing security analyses in SaaS environments |
US10387228B2 (en) | 2017-02-21 | 2019-08-20 | Crowdstrike, Inc. | Symmetric bridge component for communications between kernel mode and user mode |
US11394725B1 (en) * | 2017-05-03 | 2022-07-19 | Hrl Laboratories, Llc | Method and system for privacy-preserving targeted substructure discovery on multiplex networks |
US11343352B1 (en) * | 2017-06-21 | 2022-05-24 | Amazon Technologies, Inc. | Customer-facing service for service coordination |
US11161307B1 (en) | 2017-07-07 | 2021-11-02 | Kemeera Inc. | Data aggregation and analytics for digital manufacturing |
US11341429B1 (en) * | 2017-10-11 | 2022-05-24 | Snap Inc. | Distributed machine learning for improved privacy |
US10740459B2 (en) | 2017-12-28 | 2020-08-11 | Crowdstrike, Inc. | Kernel- and user-level cooperative security processing |
US10747591B2 (en) * | 2018-03-21 | 2020-08-18 | Didi Research America, Llc | Endpoint process state collector |
US10678612B2 (en) * | 2018-10-22 | 2020-06-09 | Sap Se | Event messaging system for multi-cloud computing environments |
US11196613B2 (en) | 2019-05-20 | 2021-12-07 | Microsoft Technology Licensing, Llc | Techniques for correlating service events in computer network diagnostics |
US11362902B2 (en) * | 2019-05-20 | 2022-06-14 | Microsoft Technology Licensing, Llc | Techniques for correlating service events in computer network diagnostics |
US11765056B2 (en) | 2019-07-24 | 2023-09-19 | Microsoft Technology Licensing, Llc | Techniques for updating knowledge graphs for correlating service events in computer network diagnostics |
US11503047B2 (en) | 2020-03-13 | 2022-11-15 | International Business Machines Corporation | Relationship-based conversion of cyber threat data into a narrative-like format |
US20210286879A1 (en) * | 2020-03-13 | 2021-09-16 | International Business Machines Corporation | Displaying Cyber Threat Data in a Narrative |
US11948005B2 (en) | 2020-06-29 | 2024-04-02 | Amazon Technologies, Inc. | Managed integration of constituent services of multi-service applications |
US11941413B2 (en) | 2020-06-29 | 2024-03-26 | Amazon Technologies, Inc. | Managed control plane service |
CN112839042B (zh) * | 2021-01-08 | 2021-11-23 | 北京虹信万达科技有限公司 | 一种基于信息系统网络安全的态势感知系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010108469A (ja) * | 2008-10-01 | 2010-05-13 | Sky Co Ltd | 操作監視システム及び操作監視プログラム |
JP2012168686A (ja) * | 2011-02-14 | 2012-09-06 | Internatl Business Mach Corp <Ibm> | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
WO2014020908A1 (ja) * | 2012-08-03 | 2014-02-06 | 日本電気株式会社 | システム状態判別支援装置、及び、システム状態判別支援方法 |
WO2014039257A2 (en) * | 2012-09-06 | 2014-03-13 | Triumfant, Inc. | Systems and methods for automated memory and thread execution anomaly detection in a computer network |
Family Cites Families (86)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6088804A (en) | 1998-01-12 | 2000-07-11 | Motorola, Inc. | Adaptive system and method for responding to computer network security attacks |
US7418504B2 (en) | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
US20020123966A1 (en) * | 2000-06-23 | 2002-09-05 | Luke Chu | System and method for administration of network financial transaction terminals |
US7669051B2 (en) | 2000-11-13 | 2010-02-23 | DigitalDoors, Inc. | Data security system and method with multiple independent levels of security |
EP1461927B1 (en) * | 2001-10-25 | 2006-04-12 | General Dynamics Government Systems Corporation | A method and system for modelling, analysis, and display of network security events |
US7275048B2 (en) * | 2001-10-30 | 2007-09-25 | International Business Machines Corporation | Product support of computer-related products using intelligent agents |
US20040049698A1 (en) * | 2002-09-06 | 2004-03-11 | Ott Allen Eugene | Computer network security system utilizing dynamic mobile sensor agents |
US9503470B2 (en) * | 2002-12-24 | 2016-11-22 | Fred Herz Patents, LLC | Distributed agent based model for security monitoring and response |
US8201249B2 (en) * | 2003-05-14 | 2012-06-12 | Northrop Grumman Systems Corporation | Steady state computer intrusion and misuse detection |
EP1709571A4 (en) | 2003-12-16 | 2009-06-17 | Aerulean Plant Identification | SYSTEM AND METHOD FOR PLANT IDENTIFICATION |
US7478237B2 (en) | 2004-11-08 | 2009-01-13 | Microsoft Corporation | System and method of allowing user mode applications with access to file data |
US7765400B2 (en) | 2004-11-08 | 2010-07-27 | Microsoft Corporation | Aggregation of the knowledge base of antivirus software |
US7765410B2 (en) | 2004-11-08 | 2010-07-27 | Microsoft Corporation | System and method of aggregating the knowledge base of antivirus software applications |
WO2006101549A2 (en) | 2004-12-03 | 2006-09-28 | Whitecell Software, Inc. | Secure system for allowing the execution of authorized computer program code |
US8365293B2 (en) | 2005-01-25 | 2013-01-29 | Redphone Security, Inc. | Securing computer network interactions between entities with authorization assurances |
US8140664B2 (en) * | 2005-05-09 | 2012-03-20 | Trend Micro Incorporated | Graphical user interface based sensitive information and internal information vulnerability management system |
US7874001B2 (en) | 2005-07-15 | 2011-01-18 | Microsoft Corporation | Detecting user-mode rootkits |
US20070028291A1 (en) | 2005-07-29 | 2007-02-01 | Bit 9, Inc. | Parametric content control in a network security system |
US7832006B2 (en) * | 2005-08-09 | 2010-11-09 | At&T Intellectual Property I, L.P. | System and method for providing network security |
US20070094496A1 (en) | 2005-10-25 | 2007-04-26 | Michael Burtscher | System and method for kernel-level pestware management |
US7882560B2 (en) * | 2005-12-16 | 2011-02-01 | Cisco Technology, Inc. | Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing |
US8732824B2 (en) | 2006-01-23 | 2014-05-20 | Microsoft Corporation | Method and system for monitoring integrity of running computer system |
US8533409B2 (en) | 2006-01-26 | 2013-09-10 | Infortrend Technology, Inc. | Method of managing data snapshot images in a storage system |
US8201243B2 (en) | 2006-04-20 | 2012-06-12 | Webroot Inc. | Backwards researching activity indicative of pestware |
US8190868B2 (en) | 2006-08-07 | 2012-05-29 | Webroot Inc. | Malware management through kernel detection |
US9111088B2 (en) | 2006-08-14 | 2015-08-18 | Quantum Security, Inc. | Policy-based physical security system for restricting access to computer resources and data flow through network equipment |
US8321677B2 (en) | 2006-09-21 | 2012-11-27 | Google Inc. | Pre-binding and tight binding of an on-line identity to a digital signature |
US20080148398A1 (en) * | 2006-10-31 | 2008-06-19 | Derek John Mezack | System and Method for Definition and Automated Analysis of Computer Security Threat Models |
KR100885293B1 (ko) * | 2006-12-04 | 2009-02-23 | 한국전자통신연구원 | 네트워크 보안 상황 표시 장치 및 그 방법 |
US8468244B2 (en) | 2007-01-05 | 2013-06-18 | Digital Doors, Inc. | Digital information infrastructure and method for security designated data and with granular data stores |
US8181264B2 (en) | 2007-02-07 | 2012-05-15 | Apple Inc. | Method and apparatus for deferred security analysis |
US8205244B2 (en) * | 2007-02-27 | 2012-06-19 | Airdefense, Inc. | Systems and methods for generating, managing, and displaying alarms for wireless network monitoring |
US20090328193A1 (en) * | 2007-07-20 | 2009-12-31 | Hezi Moore | System and Method for Implementing a Virtualized Security Platform |
US8565799B2 (en) | 2007-04-04 | 2013-10-22 | Qualcomm Incorporated | Methods and apparatus for flow data acquisition in a multi-frequency network |
US8918717B2 (en) | 2007-05-07 | 2014-12-23 | International Business Machines Corporation | Method and sytem for providing collaborative tag sets to assist in the use and navigation of a folksonomy |
US8336108B2 (en) * | 2007-06-22 | 2012-12-18 | Red Hat, Inc. | Method and system for collaboration involving enterprise nodes |
US8065728B2 (en) | 2007-09-10 | 2011-11-22 | Wisconsin Alumni Research Foundation | Malware prevention system monitoring kernel events |
US8595834B2 (en) | 2008-02-04 | 2013-11-26 | Samsung Electronics Co., Ltd | Detecting unauthorized use of computing devices based on behavioral patterns |
CN102067567A (zh) | 2008-02-11 | 2011-05-18 | 杜比实验室特许公司 | 用于私密网络的动态dns系统 |
US20090216806A1 (en) | 2008-02-24 | 2009-08-27 | Allofme Ltd. | Digital assets internet timeline aggregation and sharing platform |
US8839419B2 (en) | 2008-04-05 | 2014-09-16 | Microsoft Corporation | Distributive security investigation |
US8595831B2 (en) * | 2008-04-17 | 2013-11-26 | Siemens Industry, Inc. | Method and system for cyber security management of industrial control systems |
US8296850B2 (en) * | 2008-05-28 | 2012-10-23 | Empire Technology Development Llc | Detecting global anomalies |
GB0815587D0 (en) | 2008-08-27 | 2008-10-01 | Applied Neural Technologies Ltd | Computer/network security application |
US8401195B2 (en) | 2008-09-22 | 2013-03-19 | Motorola Solutions, Inc. | Method of automatically populating a list of managed secure communications group members |
US8069210B2 (en) * | 2008-10-10 | 2011-11-29 | Microsoft Corporation | Graph based bot-user detection |
US8881288B1 (en) * | 2008-10-28 | 2014-11-04 | Intelligent Automation, Inc. | Graphical models for cyber security analysis in enterprise networks |
US8234693B2 (en) | 2008-12-05 | 2012-07-31 | Raytheon Company | Secure document management |
KR20100078081A (ko) | 2008-12-30 | 2010-07-08 | (주) 세인트 시큐리티 | 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법 |
KR101021708B1 (ko) | 2009-01-20 | 2011-03-15 | 성균관대학교산학협력단 | 그룹키 분배 방법 및 이를 위한 서버 및 클라이언트 |
WO2010105260A1 (en) | 2009-03-13 | 2010-09-16 | Assa Abloy Ab | Transfer device for sensitive material such as a cryptographic key |
US8667121B2 (en) * | 2009-03-25 | 2014-03-04 | Mcafee, Inc. | System and method for managing data and policies |
US8171049B2 (en) * | 2009-09-18 | 2012-05-01 | Xerox Corporation | System and method for information seeking in a multimedia collection |
US20120137367A1 (en) * | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US20110138469A1 (en) * | 2009-12-03 | 2011-06-09 | Recursion Software, Inc. | System and method for resolving vulnerabilities in a computer network |
KR101038048B1 (ko) | 2009-12-21 | 2011-06-01 | 한국인터넷진흥원 | 봇넷 악성행위 실시간 분석 시스템 |
US8621628B2 (en) | 2010-02-25 | 2013-12-31 | Microsoft Corporation | Protecting user mode processes from improper tampering or termination |
US8549650B2 (en) * | 2010-05-06 | 2013-10-01 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
US9384112B2 (en) | 2010-07-01 | 2016-07-05 | Logrhythm, Inc. | Log collection, structuring and processing |
KR101329847B1 (ko) | 2010-07-26 | 2013-11-14 | 주식회사 팬택 | 인체통신을 이용한 소셜 네트워크 서비스를 제공하는 휴대용 단말기 및 그 방법 |
US8689336B2 (en) * | 2010-09-27 | 2014-04-01 | Bank Of America Corporation | Tiered exposure model for event correlation |
KR20120072266A (ko) | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | 전역 네트워크 보안상황 제어 장치 및 방법 |
US8762298B1 (en) | 2011-01-05 | 2014-06-24 | Narus, Inc. | Machine learning based botnet detection using real-time connectivity graph based traffic features |
EP2487860B1 (en) | 2011-02-10 | 2013-09-25 | Telefónica, S.A. | Method and system for improving security threats detection in communication networks |
US9119017B2 (en) | 2011-03-18 | 2015-08-25 | Zscaler, Inc. | Cloud based mobile device security and policy enforcement |
US20120246297A1 (en) | 2011-03-25 | 2012-09-27 | Vijaya Shanker | Agent based monitoring for saas it service management |
AU2012236739A1 (en) | 2011-03-28 | 2013-10-03 | Mcafee, Inc. | System and method for virtual machine monitor based anti-malware security |
US8813227B2 (en) | 2011-03-29 | 2014-08-19 | Mcafee, Inc. | System and method for below-operating system regulation and control of self-modifying code |
US9286182B2 (en) | 2011-06-17 | 2016-03-15 | Microsoft Technology Licensing, Llc | Virtual machine snapshotting and analysis |
US8955111B2 (en) | 2011-09-24 | 2015-02-10 | Elwha Llc | Instruction set adapted for security risk monitoring |
US8856936B2 (en) * | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
US9203859B2 (en) * | 2012-02-01 | 2015-12-01 | The Boeing Company | Methods and systems for cyber-physical security modeling, simulation and architecture for the smart grid |
US9081960B2 (en) | 2012-04-27 | 2015-07-14 | Ut-Battelle, Llc | Architecture for removable media USB-ARM |
IL219597A0 (en) | 2012-05-03 | 2012-10-31 | Syndrome X Ltd | Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention |
US8661538B2 (en) * | 2012-05-09 | 2014-02-25 | Nice-Systems Ltd. | System and method for determining a risk root cause |
WO2013177311A1 (en) * | 2012-05-23 | 2013-11-28 | Observable Networks, Llc | System and method for continuous device profiling (cdp) |
US9043903B2 (en) | 2012-06-08 | 2015-05-26 | Crowdstrike, Inc. | Kernel-level security agent |
US9292881B2 (en) | 2012-06-29 | 2016-03-22 | Crowdstrike, Inc. | Social sharing of security information in a group |
KR101868893B1 (ko) * | 2012-07-09 | 2018-06-19 | 한국전자통신연구원 | 네트워크 보안 상황 시각화 방법 및 그 장치 |
US9392003B2 (en) * | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
US9954884B2 (en) * | 2012-10-23 | 2018-04-24 | Raytheon Company | Method and device for simulating network resiliance against attacks |
US8984633B2 (en) * | 2012-11-14 | 2015-03-17 | Click Security, Inc. | Automated security analytics platform with visualization agnostic selection linked portlets |
US10409980B2 (en) * | 2012-12-27 | 2019-09-10 | Crowdstrike, Inc. | Real-time representation of security-relevant system state |
US9712543B2 (en) * | 2013-01-23 | 2017-07-18 | Owl Cyber Defense Solutions, LLP | System for remotely monitoring status information of devices connected to a network |
US9477835B2 (en) * | 2013-10-08 | 2016-10-25 | Crowdstrike, Inc. | Event model for correlating system component states |
US9753796B2 (en) * | 2013-12-06 | 2017-09-05 | Lookout, Inc. | Distributed monitoring, evaluation, and response for multiple devices |
-
2014
- 2014-06-06 US US14/297,974 patent/US9798882B2/en active Active
-
2015
- 2015-06-01 EP EP15802626.0A patent/EP3152869B1/en active Active
- 2015-06-01 WO PCT/US2015/033551 patent/WO2015187566A1/en active Application Filing
- 2015-06-01 JP JP2016571189A patent/JP2017522653A/ja active Pending
- 2015-06-01 AU AU2015270950A patent/AU2015270950A1/en not_active Abandoned
- 2015-06-01 CA CA2947763A patent/CA2947763A1/en not_active Abandoned
-
2016
- 2016-11-22 IL IL249137A patent/IL249137A0/en unknown
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010108469A (ja) * | 2008-10-01 | 2010-05-13 | Sky Co Ltd | 操作監視システム及び操作監視プログラム |
JP2012168686A (ja) * | 2011-02-14 | 2012-09-06 | Internatl Business Mach Corp <Ibm> | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
WO2014020908A1 (ja) * | 2012-08-03 | 2014-02-06 | 日本電気株式会社 | システム状態判別支援装置、及び、システム状態判別支援方法 |
WO2014039257A2 (en) * | 2012-09-06 | 2014-03-13 | Triumfant, Inc. | Systems and methods for automated memory and thread execution anomaly detection in a computer network |
Also Published As
Publication number | Publication date |
---|---|
US9798882B2 (en) | 2017-10-24 |
IL249137A0 (en) | 2017-01-31 |
EP3152869A4 (en) | 2018-01-03 |
CA2947763A1 (en) | 2015-12-10 |
EP3152869A1 (en) | 2017-04-12 |
WO2015187566A1 (en) | 2015-12-10 |
US20150356301A1 (en) | 2015-12-10 |
EP3152869B1 (en) | 2020-09-02 |
AU2015270950A1 (en) | 2016-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2017522653A (ja) | 監視対象デバイスの状態のリアルタイムモデル | |
US11323471B2 (en) | Advanced cybersecurity threat mitigation using cyberphysical graphs with state changes | |
US10409980B2 (en) | Real-time representation of security-relevant system state | |
US10630703B1 (en) | Methods and system for identifying relationships among infrastructure security-related events | |
US10860406B2 (en) | Information processing device and monitoring method | |
JP2016533564A (ja) | システムコンポーネントの状態を相関させるイベントモデル | |
US10630704B1 (en) | Methods and systems for identifying infrastructure attack progressions | |
US11907370B2 (en) | Malicious/benign computational behavior detection using parametric behavioral pattern definition | |
US10630716B1 (en) | Methods and system for tracking security risks over infrastructure | |
JP2021529383A (ja) | データ来歴を介した自動脅威アラートトリアージ | |
JP2017512329A (ja) | セキュリティに関連のあるシステムオブジェクトのタグ付け | |
US20220253531A1 (en) | Detection and trail-continuation for attacks through remote process execution lateral movement | |
US20220159043A1 (en) | Multi-perspective security context per actor | |
US10630715B1 (en) | Methods and system for characterizing infrastructure security-related events | |
JP2017191604A (ja) | エクスプロイトアクティビティーの相関ベースの検知 | |
CN111183620A (zh) | 入侵调查 | |
US11397808B1 (en) | Attack detection based on graph edge context | |
WO2021016517A1 (en) | Methods and system for identifying infrastructure attack progressions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180515 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190402 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20191029 |