JP2023152539A - アラート峻別システム、アラート峻別方法、ユーザ端末装置、ユーザ端末プログラム、アラート峻別装置およびアラート峻別プログラム - Google Patents
アラート峻別システム、アラート峻別方法、ユーザ端末装置、ユーザ端末プログラム、アラート峻別装置およびアラート峻別プログラム Download PDFInfo
- Publication number
- JP2023152539A JP2023152539A JP2022062647A JP2022062647A JP2023152539A JP 2023152539 A JP2023152539 A JP 2023152539A JP 2022062647 A JP2022062647 A JP 2022062647A JP 2022062647 A JP2022062647 A JP 2022062647A JP 2023152539 A JP2023152539 A JP 2023152539A
- Authority
- JP
- Japan
- Prior art keywords
- work
- time
- information
- alert
- timing information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012850 discrimination method Methods 0.000 title 1
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000010276 construction Methods 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 9
- 239000000284 extract Substances 0.000 description 3
- 239000013589 supplement Substances 0.000 description 3
- 230000009193 crawling Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000007790 scraping Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】正規プロセスを予め列挙しなくても優先度の高いアラートを特定できるようにする。【解決手段】情報収集部310は、作業の開始時刻と前記作業の終了時刻の少なくとも一方を示す作業タイミング情報を収集する。時間帯推定部320は、前記開始時刻と前記終了時刻の一方だけが示される作業タイミング情報ごとに、前記作業の種類と、前記作業タイミング情報に示される前記開始時刻または前記終了時刻と、に基づいて作業時間帯を推定する。アラート峻別部230は、各作業タイミング情報の作業時間帯を示す作業情報を参照し、アラートデータベースに登録された1つ以上のアラート情報から、少なくともいずれかの作業情報に示される作業時間帯に発生したアラート情報を峻別する。【選択図】図1
Description
本開示は、優先度の高いアラートを特定するための技術に関するものである。
SOC業務において大量のアラートが発生すると、SOC業務の効率が低下してしまう。SOC業務の効率化を行うために、優先度の高いアラートを特定することが重要である。
SOCはSecurity Operation Centerの略称である。
SOCはSecurity Operation Centerの略称である。
特許文献1は、攻撃兆候を示す異常なイベントから真の攻撃の候補を絞り込むための技術を開示している。
具体的には、攻撃に使われたと考えられる正規プロセスがユーザにより操作されたプロセスとマルウェアにより操作されたプロセスのいずれであるかを、キーボードまたはマウスなどの操作情報を使って特定することが開示されている。
具体的には、攻撃に使われたと考えられる正規プロセスがユーザにより操作されたプロセスとマルウェアにより操作されたプロセスのいずれであるかを、キーボードまたはマウスなどの操作情報を使って特定することが開示されている。
特許文献1の技術では、攻撃に使われることが想定される正規プロセスを予め列挙し、列挙された正規プロセスの操作ログを取得する必要がある。
想定外の正規プロセスが攻撃者に利用された場合、特許文献1の技術では操作ログが取得されないので、特許文献1の技術は効果を発揮しない。
想定外の正規プロセスが攻撃者に利用された場合、特許文献1の技術では操作ログが取得されないので、特許文献1の技術は効果を発揮しない。
本開示は、正規プロセスを予め列挙しなくても優先度の高いアラートを特定できるようにすることを目的とする。
本開示のアラート峻別システムは、
作業の開始時刻と前記作業の終了時刻の少なくとも一方を示す作業タイミング情報を収集する情報収集部と、
収集された作業タイミング情報のうち前記開始時刻と前記終了時刻の一方だけが示される作業タイミング情報ごとに、前記作業の種類と、前記作業タイミング情報に示される前記開始時刻または前記終了時刻と、に基づいて、前記開始時刻から前記終了時刻までの作業時間帯を推定する時間帯推定部と、
前記開始時刻と前記終了時刻の両方を示す各作業タイミング情報の前記開始時刻から前記終了時刻までの作業時間帯を示す作業情報と、前記開始時刻と前記終了時刻の一方だけを示す各作業タイミング情報の推定された作業時間帯を示す作業情報と、を参照し、アラートデータベースに登録された1つ以上のアラート情報から、少なくともいずれかの作業情報に示される作業時間帯に発生したアラート情報を峻別するアラート峻別部と、を備える。
作業の開始時刻と前記作業の終了時刻の少なくとも一方を示す作業タイミング情報を収集する情報収集部と、
収集された作業タイミング情報のうち前記開始時刻と前記終了時刻の一方だけが示される作業タイミング情報ごとに、前記作業の種類と、前記作業タイミング情報に示される前記開始時刻または前記終了時刻と、に基づいて、前記開始時刻から前記終了時刻までの作業時間帯を推定する時間帯推定部と、
前記開始時刻と前記終了時刻の両方を示す各作業タイミング情報の前記開始時刻から前記終了時刻までの作業時間帯を示す作業情報と、前記開始時刻と前記終了時刻の一方だけを示す各作業タイミング情報の推定された作業時間帯を示す作業情報と、を参照し、アラートデータベースに登録された1つ以上のアラート情報から、少なくともいずれかの作業情報に示される作業時間帯に発生したアラート情報を峻別するアラート峻別部と、を備える。
本開示によれば、作業時間帯に基づいてアラート情報が峻別される。つまり、正規プロセスを予め列挙しなくても優先度の高いアラートを特定することができる。
実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
実施の形態1.
アラート峻別システム100について、図1から図16に基づいて説明する。
アラート峻別システム100について、図1から図16に基づいて説明する。
***構成の説明***
図1に基づいて、アラート峻別システム100の構成を説明する。
アラート峻別システム100は、アラート峻別装置200と1台以上のユーザ端末装置300を備える。
ユーザ端末装置300は、業務システムおよびその他システムを利用する。ユーザ端末装置300によって利用されるシステムを利用システム110と称する。
アラート峻別装置200は、ネットワークを介してユーザ端末装置300と通信する。
図1に基づいて、アラート峻別システム100の構成を説明する。
アラート峻別システム100は、アラート峻別装置200と1台以上のユーザ端末装置300を備える。
ユーザ端末装置300は、業務システムおよびその他システムを利用する。ユーザ端末装置300によって利用されるシステムを利用システム110と称する。
アラート峻別装置200は、ネットワークを介してユーザ端末装置300と通信する。
図2に基づいて、アラート峻別装置200の構成を説明する。
アラート峻別装置200は、プロセッサ201とメモリ202と補助記憶装置203と通信装置204と入出力インタフェース205といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
アラート峻別装置200は、プロセッサ201とメモリ202と補助記憶装置203と通信装置204と入出力インタフェース205といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
プロセッサ201は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ201はCPUである。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
メモリ202は揮発性または不揮発性の記憶装置である。メモリ202は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ202はRAMである。メモリ202に記憶されたデータは必要に応じて補助記憶装置203に保存される。
RAMは、Random Access Memoryの略称である。
RAMは、Random Access Memoryの略称である。
補助記憶装置203は不揮発性の記憶装置である。例えば、補助記憶装置203は、ROM、HDD、フラッシュメモリまたはこれらの組み合わせである。補助記憶装置203に記憶されたデータは必要に応じてメモリ202にロードされる。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
通信装置204はレシーバ及びトランスミッタである。例えば、通信装置204は通信チップまたはNICである。アラート峻別装置200の通信は通信装置204を用いて行われる。
NICは、Network Interface Cardの略称である。
NICは、Network Interface Cardの略称である。
入出力インタフェース205は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース205はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。アラート峻別装置200の入出力は入出力インタフェース205を用いて行われる。
USBは、Universal Serial Busの略称である。
USBは、Universal Serial Busの略称である。
アラート峻別装置200は、ログ分析部210と作業情報受信部220とアラート峻別部230とアラート出力部240といった要素を備える。これらの要素はソフトウェアで実現される。
補助記憶装置203には、ログ分析部210と作業情報受信部220とアラート峻別部230とアラート出力部240としてコンピュータを機能させるためのアラート峻別プログラムが記憶されている。アラート峻別プログラムは、メモリ202にロードされて、プロセッサ201によって実行される。
補助記憶装置203には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ202にロードされて、プロセッサ201によって実行される。
プロセッサ201は、OSを実行しながら、アラート峻別プログラムを実行する。
OSは、Operating Systemの略称である。
補助記憶装置203には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ202にロードされて、プロセッサ201によって実行される。
プロセッサ201は、OSを実行しながら、アラート峻別プログラムを実行する。
OSは、Operating Systemの略称である。
アラート峻別プログラムの入出力データは記憶部290に記憶される。
メモリ202は記憶部290として機能する。但し、補助記憶装置203、プロセッサ201内のレジスタおよびプロセッサ201内のキャッシュメモリなどの記憶装置が、メモリ202の代わりに、又は、メモリ202と共に、記憶部290として機能してもよい。
メモリ202は記憶部290として機能する。但し、補助記憶装置203、プロセッサ201内のレジスタおよびプロセッサ201内のキャッシュメモリなどの記憶装置が、メモリ202の代わりに、又は、メモリ202と共に、記憶部290として機能してもよい。
アラート峻別装置200は、プロセッサ201を代替する複数のプロセッサを備えてもよい。
アラート峻別プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
図3に基づいて、ユーザ端末装置300の構成を説明する。
ユーザ端末装置300は、プロセッサ301とメモリ302と補助記憶装置303と通信装置304と入出力インタフェース305といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
ユーザ端末装置300は、プロセッサ301とメモリ302と補助記憶装置303と通信装置304と入出力インタフェース305といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
プロセッサ301は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ301はCPUである。
メモリ302は揮発性または不揮発性の記憶装置である。メモリ302は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ302はRAMである。メモリ302に記憶されたデータは必要に応じて補助記憶装置303に保存される。
補助記憶装置303は不揮発性の記憶装置である。例えば、補助記憶装置303は、ROM、HDD、フラッシュメモリまたはこれらの組み合わせである。補助記憶装置303に記憶されたデータは必要に応じてメモリ302にロードされる。
通信装置304はレシーバ及びトランスミッタである。例えば、通信装置304は通信チップまたはNICである。ユーザ端末装置300の通信は通信装置304を用いて行われる。
入出力インタフェース305は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース305はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。ユーザ端末装置300の入出力は入出力インタフェース305を用いて行われる。
メモリ302は揮発性または不揮発性の記憶装置である。メモリ302は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ302はRAMである。メモリ302に記憶されたデータは必要に応じて補助記憶装置303に保存される。
補助記憶装置303は不揮発性の記憶装置である。例えば、補助記憶装置303は、ROM、HDD、フラッシュメモリまたはこれらの組み合わせである。補助記憶装置303に記憶されたデータは必要に応じてメモリ302にロードされる。
通信装置304はレシーバ及びトランスミッタである。例えば、通信装置304は通信チップまたはNICである。ユーザ端末装置300の通信は通信装置304を用いて行われる。
入出力インタフェース305は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース305はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。ユーザ端末装置300の入出力は入出力インタフェース305を用いて行われる。
ユーザ端末装置300は、情報収集部310と時間帯推定部320と作業情報送信部330といった要素を備える。これらの要素はソフトウェアで実現される。
補助記憶装置303には、情報収集部310と時間帯推定部320と作業情報送信部330としてコンピュータを機能させるためのユーザ端末プログラムが記憶されている。ユーザ端末プログラムは、メモリ302にロードされて、プロセッサ301によって実行される。
補助記憶装置303には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ302にロードされて、プロセッサ301によって実行される。
プロセッサ301は、OSを実行しながら、ユーザ端末プログラムを実行する。
補助記憶装置303には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ302にロードされて、プロセッサ301によって実行される。
プロセッサ301は、OSを実行しながら、ユーザ端末プログラムを実行する。
ユーザ端末プログラムの入出力データは記憶部390に記憶される。
メモリ302は記憶部390として機能する。但し、補助記憶装置303、プロセッサ301内のレジスタおよびプロセッサ301内のキャッシュメモリなどの記憶装置が、メモリ302の代わりに、又は、メモリ302と共に、記憶部390として機能してもよい。
メモリ302は記憶部390として機能する。但し、補助記憶装置303、プロセッサ301内のレジスタおよびプロセッサ301内のキャッシュメモリなどの記憶装置が、メモリ302の代わりに、又は、メモリ302と共に、記憶部390として機能してもよい。
ユーザ端末装置300は、プロセッサ301を代替する複数のプロセッサを備えてもよい。
ユーザ端末プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
***動作の説明***
アラート峻別システム100(特にアラート峻別装置200)の動作の手順はアラート峻別方法に相当する。また、アラート峻別装置200の動作の手順はアラート峻別プログラムによる処理の手順に相当する。
アラート峻別システム100(特にアラート峻別装置200)の動作の手順はアラート峻別方法に相当する。また、アラート峻別装置200の動作の手順はアラート峻別プログラムによる処理の手順に相当する。
図4に基づいて、アラート峻別方法を説明する。
ステップS110において、情報収集部310は、利用システム110から作業タイミング情報120を収集する。
ステップS110において、情報収集部310は、利用システム110から作業タイミング情報120を収集する。
利用システム110は、業務システムおよびその他システムである。
業務システムは、例えば、メーラ、オンライン会議システムおよびワークフローシステムなどである。
その他システムは、例えば、キーボードおよびマイクなどである。
業務システムは、例えば、メーラ、オンライン会議システムおよびワークフローシステムなどである。
その他システムは、例えば、キーボードおよびマイクなどである。
作業タイミング情報120は、利用システム110を利用して行われた作業のタイミングを示す。具体的には、作業タイミング情報120は、作業タイミング情報120は、作業種類識別子、ユーザ特定情報および時間帯情報を示す。
作業種類識別子は、行われた作業の種類を識別する。
ユーザ特定情報は、作業を行ったユーザを特定する情報である。ユーザ特定情報の具体例はユーザ識別子およびユーザ端末識別子である。ユーザ識別子はユーザを識別し、ユーザ端末識別子はユーザ端末装置300を識別する。
時間帯情報は、作業の開始時刻と作業の終了時刻の少なくとも一方を示す。
作業種類識別子は、行われた作業の種類を識別する。
ユーザ特定情報は、作業を行ったユーザを特定する情報である。ユーザ特定情報の具体例はユーザ識別子およびユーザ端末識別子である。ユーザ識別子はユーザを識別し、ユーザ端末識別子はユーザ端末装置300を識別する。
時間帯情報は、作業の開始時刻と作業の終了時刻の少なくとも一方を示す。
図5に基づいて、ステップS110の具体例を説明する。
情報収集部310は、WFシステムに対するクロールおよびスクレイプによって、WFシステムからWF情報を取得する。WF情報はWFの提出時刻またはWFの検印時刻を示す。また、WFシステムからログが出力されているのであれば、ログから時刻を取得することができる。これらは、WFシステムから情報を収集する方法の一例である。WFはワークフローの略称である。WFシステムの一例は経理システムおよび稟議システムである。
情報収集部310は、勤怠システムに対するクロールおよびスクレイプによって、勤怠システムから勤怠情報を取得する。勤怠情報は勤務開始時刻、勤務終了時刻、休憩開始時刻および休憩終了時刻を示す。
情報収集部310は、チャットシステムからチャットをエクスポートすることによって、チャットシステムからチャット情報を取得する。また、チャットシステムから発信履歴のログが出力されているのであれば、ログから時刻を取得することができる。これらは、チャットシステムから情報を収集する方法の一例である。
情報収集部310は、メーラまたはスケジューラからスケジュールをエクスポートすることによって、メーラまたはスケジューラからスケジュール情報または会議情報を取得する。スケジュール情報は、移動中の時間帯および外出中の時間帯を示す。例えば、スケジューラ情報は、スケジュールに対して自然言語処理を実行することによって得られる。会議情報は、ユーザが主催者となっている会議の時間帯を示す。また、スケジュール情報にアクセスできるAPIが用意されていれば、APIを利用して会議時間帯の情報を得ることができる。これらは、メーラまたはスケジュールから情報を収集する方法の一例である。APIはApplication Programming Interfaceの略称である。
情報収集部310は、入退システムで管理される入退ログから入退情報を取得する。入退情報は、特定の部屋への入室時刻および特定の部屋からの退室時刻を示す。
情報収集部310は、WFシステムに対するクロールおよびスクレイプによって、WFシステムからWF情報を取得する。WF情報はWFの提出時刻またはWFの検印時刻を示す。また、WFシステムからログが出力されているのであれば、ログから時刻を取得することができる。これらは、WFシステムから情報を収集する方法の一例である。WFはワークフローの略称である。WFシステムの一例は経理システムおよび稟議システムである。
情報収集部310は、勤怠システムに対するクロールおよびスクレイプによって、勤怠システムから勤怠情報を取得する。勤怠情報は勤務開始時刻、勤務終了時刻、休憩開始時刻および休憩終了時刻を示す。
情報収集部310は、チャットシステムからチャットをエクスポートすることによって、チャットシステムからチャット情報を取得する。また、チャットシステムから発信履歴のログが出力されているのであれば、ログから時刻を取得することができる。これらは、チャットシステムから情報を収集する方法の一例である。
情報収集部310は、メーラまたはスケジューラからスケジュールをエクスポートすることによって、メーラまたはスケジューラからスケジュール情報または会議情報を取得する。スケジュール情報は、移動中の時間帯および外出中の時間帯を示す。例えば、スケジューラ情報は、スケジュールに対して自然言語処理を実行することによって得られる。会議情報は、ユーザが主催者となっている会議の時間帯を示す。また、スケジュール情報にアクセスできるAPIが用意されていれば、APIを利用して会議時間帯の情報を得ることができる。これらは、メーラまたはスケジュールから情報を収集する方法の一例である。APIはApplication Programming Interfaceの略称である。
情報収集部310は、入退システムで管理される入退ログから入退情報を取得する。入退情報は、特定の部屋への入室時刻および特定の部屋からの退室時刻を示す。
図6に基づいて、ステップS110の具体例を説明する。
情報収集部310は、会議システムで使用されるマイクデバイスから音声入力情報を取得する。音声入力情報はユーザが発言している時間帯を示す。
情報収集部310は、ウィンドウシステムから画面情報を取得する。画面情報はアクティブウィンドウのプロセス名およびプロセスがアクティブである時間帯を示す。例えば、情報収集部310は、アクティブウィンドウのハンドルをAPIで特定し、ハンドルからプロセス名を取得する。
情報収集部310は、会議システムから共有ファイル情報を取得する。共有ファイル情報は、オンライン会議で使用されたファイル(共有ファイル)がオープンしていた時間帯を示す。例えば、Windows OSが使用される場合、情報収集部310は、openfilesコマンドを実行することによって、オープンしているファイルの情報を取得する。オープン中のファイルは共有中のファイルであると仮定する。「Windows」は登録商標である。
情報収集部310は、ファイルシステムからファイル編集情報を取得する。ファイル編集情報は、ファイルが編集されていた時間帯を示す。例えば、情報収集部310は、ファイルシステムで管理される監査ログに基づいて、ファイルアクセスに関する情報を取得する。なお、収集される情報および収集方法は、必要に応じて適宜に追加される。
情報収集部310は、会議システムで使用されるマイクデバイスから音声入力情報を取得する。音声入力情報はユーザが発言している時間帯を示す。
情報収集部310は、ウィンドウシステムから画面情報を取得する。画面情報はアクティブウィンドウのプロセス名およびプロセスがアクティブである時間帯を示す。例えば、情報収集部310は、アクティブウィンドウのハンドルをAPIで特定し、ハンドルからプロセス名を取得する。
情報収集部310は、会議システムから共有ファイル情報を取得する。共有ファイル情報は、オンライン会議で使用されたファイル(共有ファイル)がオープンしていた時間帯を示す。例えば、Windows OSが使用される場合、情報収集部310は、openfilesコマンドを実行することによって、オープンしているファイルの情報を取得する。オープン中のファイルは共有中のファイルであると仮定する。「Windows」は登録商標である。
情報収集部310は、ファイルシステムからファイル編集情報を取得する。ファイル編集情報は、ファイルが編集されていた時間帯を示す。例えば、情報収集部310は、ファイルシステムで管理される監査ログに基づいて、ファイルアクセスに関する情報を取得する。なお、収集される情報および収集方法は、必要に応じて適宜に追加される。
図4に戻り、ステップS120から説明を続ける。
ステップS120において、時間帯推定部320は、所要時間DB391を参照し、収集された作業タイミング情報120のうち開始時刻と終了時刻の一方だけが示される作業タイミング情報120ごとに、作業時間帯を推定する。
具体的には、時間帯推定部320は、作業タイミング情報120に示される開始時刻または終了時刻と所要時間DB391に示される所要時間に基づいて、作業時間帯を推定する。
作業時間帯は、作業が行われた時間帯である。つまり、作業時間帯は、作業の開始時刻から作業の終了時刻までの時間帯である。
ステップS120において、時間帯推定部320は、所要時間DB391を参照し、収集された作業タイミング情報120のうち開始時刻と終了時刻の一方だけが示される作業タイミング情報120ごとに、作業時間帯を推定する。
具体的には、時間帯推定部320は、作業タイミング情報120に示される開始時刻または終了時刻と所要時間DB391に示される所要時間に基づいて、作業時間帯を推定する。
作業時間帯は、作業が行われた時間帯である。つまり、作業時間帯は、作業の開始時刻から作業の終了時刻までの時間帯である。
所要時間DB391には、作業の種類ごとに所要時間情報が登録される。
所要時間情報は、作業の所要時間を示す。具体的には、所要時間情報は、作業種類識別子と所要時間と優先度を互いに対応付けて示す。
所要時間は、作業に要する時間である。
DBは、データベースの略称である。
所要時間情報は、作業の所要時間を示す。具体的には、所要時間情報は、作業種類識別子と所要時間と優先度を互いに対応付けて示す。
所要時間は、作業に要する時間である。
DBは、データベースの略称である。
また、時間帯推定部320は、所要時間DB391を参照し、収集された各作業タイミング情報の優先度を特定する。
図7に、所要時間DB391の具体例を示す。
所要時間DB391は、作業の種類ごとに、作業種類識別子、最低所要時間および優先度を示している。
最低所要時間は、作業に要する最低限の時間である。
メール送信の最低所要時間は、10秒である。但し、最低所要時間は10秒でなくてもよい。
チャット送信の最低所要時間は、1行あたり5秒である。但し、最低所要時間は1行あたり5秒でなくてもよい。
会議のように時間帯が予め決められる場合、所要時間DB391は、予め決められた時間帯を示してもよい。
所要時間DB391は、作業の種類ごとに、作業種類識別子、最低所要時間および優先度を示している。
最低所要時間は、作業に要する最低限の時間である。
メール送信の最低所要時間は、10秒である。但し、最低所要時間は10秒でなくてもよい。
チャット送信の最低所要時間は、1行あたり5秒である。但し、最低所要時間は1行あたり5秒でなくてもよい。
会議のように時間帯が予め決められる場合、所要時間DB391は、予め決められた時間帯を示してもよい。
図4に戻り、ステップS120の説明を続ける。
時間帯推定部320は、作業タイミング情報120ごとに、作業情報130を生成する。
作業情報130は、作業が行われた時間帯を示す。具体的には、作業情報130は、作業種類識別子、ユーザ特定情報、時間帯情報および優先度を示す。
時間帯情報は、作業の開始時刻および作業の終了時刻を示す。
時間帯推定部320は、作業タイミング情報120ごとに、作業情報130を生成する。
作業情報130は、作業が行われた時間帯を示す。具体的には、作業情報130は、作業種類識別子、ユーザ特定情報、時間帯情報および優先度を示す。
時間帯情報は、作業の開始時刻および作業の終了時刻を示す。
図8に、時間帯推定部320の動作の概要を示す。
図9および図10に基づいて、ステップS120の手順を説明する。ステップS121からステップS129は、作業タイミング情報120ごとに実行される。
ステップS121において、時間帯推定部320は、所要時間DB391を参照し、作業タイミング情報120の作業種類識別子と同じ作業種類識別子を検索する。
作業タイミング情報120の作業種類識別子と同じ作業種類識別子を、該当識別子と称する。
該当識別子が見つかった場合、処理はステップS122に進む。
該当識別子が見つからなかった場合、処理はステップS126に進む。
図9および図10に基づいて、ステップS120の手順を説明する。ステップS121からステップS129は、作業タイミング情報120ごとに実行される。
ステップS121において、時間帯推定部320は、所要時間DB391を参照し、作業タイミング情報120の作業種類識別子と同じ作業種類識別子を検索する。
作業タイミング情報120の作業種類識別子と同じ作業種類識別子を、該当識別子と称する。
該当識別子が見つかった場合、処理はステップS122に進む。
該当識別子が見つからなかった場合、処理はステップS126に進む。
ステップS122において、時間帯推定部320は、作業タイミング情報120において不明時刻があるか判定する。
不明時刻は、不明な開始時刻または不明な終了時刻である。
不明時刻がある場合、処理はステップS123に進む。
不明時刻がない場合、処理はステップS124に進む。
不明時刻は、不明な開始時刻または不明な終了時刻である。
不明時刻がある場合、処理はステップS123に進む。
不明時刻がない場合、処理はステップS124に進む。
ステップS123において、時間帯推定部320は、所要時間DB391から、該当識別子に対応付けられた所要時間を取得する。
そして、時間帯推定部320は、作業タイミング情報120に示される開始時刻または終了時刻と取得された所要時間に基づいて、不明時刻を推定する。
不明時刻が終了時刻である場合、時間帯推定部320は、開始時刻から所要時間後の時刻を算出する。算出された時刻が、推定された不明時刻である。
不明時刻が開始時刻である場合、時間帯推定部320は、終了時刻より所要時間前の時刻を算出する。算出された時刻が、推定された不明時刻である。
そして、時間帯推定部320は、作業タイミング情報120に示される開始時刻または終了時刻と取得された所要時間に基づいて、不明時刻を推定する。
不明時刻が終了時刻である場合、時間帯推定部320は、開始時刻から所要時間後の時刻を算出する。算出された時刻が、推定された不明時刻である。
不明時刻が開始時刻である場合、時間帯推定部320は、終了時刻より所要時間前の時刻を算出する。算出された時刻が、推定された不明時刻である。
ステップS124において、時間帯推定部320は、所要時間DB391から、該当識別子に対応付けられた優先度を取得する。
ステップS125において、時間帯推定部320は、作業タイミング情報120と推定された不明時刻と取得された優先度を用いて、作業情報130を生成する。
そして、時間帯推定部320は、生成された作業情報130を作業情報送信部330に渡す。
作業情報130は、作業種類識別子、ユーザ特定情報、時間帯情報および優先度を示す。
そして、時間帯推定部320は、生成された作業情報130を作業情報送信部330に渡す。
作業情報130は、作業種類識別子、ユーザ特定情報、時間帯情報および優先度を示す。
ステップS126において、時間帯推定部320は、作業タイミング情報120において不明時刻があるか判定する。
不明時刻がある場合、処理はステップS127に進む。
不明時刻がない場合、処理はステップS128に進む。
不明時刻がある場合、処理はステップS127に進む。
不明時刻がない場合、処理はステップS128に進む。
ステップS127において、時間帯推定部320は、デフォルト所要時間を取得する。
デフォルト所要時間は、予め決められた所要時間である。例えば、デフォルト所要時間は、所要時間DB391に予め登録される。
そして、時間帯推定部320は、作業タイミング情報120に示される開始時刻または終了時刻とデフォルト所要時間に基づいて、不明時刻を推定する。推定方法は、ステップS123における方法と同じである。
デフォルト所要時間は、予め決められた所要時間である。例えば、デフォルト所要時間は、所要時間DB391に予め登録される。
そして、時間帯推定部320は、作業タイミング情報120に示される開始時刻または終了時刻とデフォルト所要時間に基づいて、不明時刻を推定する。推定方法は、ステップS123における方法と同じである。
ステップS128において、時間帯推定部320はデフォルト優先度を取得する。
デフォルト優先度は、予め決められた優先度である。例えば、デフォルト優先度は、所要時間DB391に予め登録される。
デフォルト優先度は、予め決められた優先度である。例えば、デフォルト優先度は、所要時間DB391に予め登録される。
ステップS129において、時間帯推定部320は、作業タイミング情報120と推定された不明時刻とデフォルト優先度を用いて、作業情報130を生成する。
そしSて、時間帯推定部320は、生成された作業情報130を作業情報送信部330に渡す。
そしSて、時間帯推定部320は、生成された作業情報130を作業情報送信部330に渡す。
図4に戻り、ステップS130から説明を続ける。
ステップS130において、作業情報送信部330は、作業情報130をアラート峻別装置200へ送信する。
作業情報送信部330は、作業情報130を暗号化し、暗号化された作業情報130を送信してもよい。暗号化鍵は記憶部390に予め記憶される。
ステップS130において、作業情報送信部330は、作業情報130をアラート峻別装置200へ送信する。
作業情報送信部330は、作業情報130を暗号化し、暗号化された作業情報130を送信してもよい。暗号化鍵は記憶部390に予め記憶される。
ステップS140において、作業情報受信部220は、ユーザ端末装置300から作業情報130を受信する。
作業情報130が暗号化される場合、作業情報受信部220は、暗号化された作業情報130を受信し、暗号化された作業情報130から作業情報130を復号する。復号鍵は記憶部290に予め記憶される。
作業情報130が暗号化される場合、作業情報受信部220は、暗号化された作業情報130を受信し、暗号化された作業情報130から作業情報130を復号する。復号鍵は記憶部290に予め記憶される。
図11に基づいて、ステップS130およびステップS140の具体例を説明する。
プロキシサーバは、ログ情報を収集する機能を有する。プロキシサーバによって収集されたログ情報は、例えばログ分析部210によって、ログDB291に登録される。
ビーコン用サーバは、ステップS130のために用意されたサーバ(テンポラリサーバ)である。
まず、作業情報送信部330は、ビーコン用サーバへのhttpリクエストを生成する。
次に、作業情報送信部330は、作業情報130を暗号化し、暗号化された作業情報130をGETパラメータとしてhttpリクエストに埋め込む。
そして、作業情報送信部330は、httpリクエストを送信する。
プロキシサーバは、httpリクエストを受信し、httpリクエストを記録し、httpリクエストをビーコン用サーバへ送信する。
作業情報受信部220は、プロキシサーバからhttpリクエストを取得し、暗号化された作業情報130をhttpリクエストから抽出し、暗号化された作業情報130から作業情報130を復号する。
そして、作業情報受信部220は、作業情報130を作業情報DB294に登録する。
但し、作業情報130は暗号化されなくてもよい。
プロキシサーバは、ログ情報を収集する機能を有する。プロキシサーバによって収集されたログ情報は、例えばログ分析部210によって、ログDB291に登録される。
ビーコン用サーバは、ステップS130のために用意されたサーバ(テンポラリサーバ)である。
まず、作業情報送信部330は、ビーコン用サーバへのhttpリクエストを生成する。
次に、作業情報送信部330は、作業情報130を暗号化し、暗号化された作業情報130をGETパラメータとしてhttpリクエストに埋め込む。
そして、作業情報送信部330は、httpリクエストを送信する。
プロキシサーバは、httpリクエストを受信し、httpリクエストを記録し、httpリクエストをビーコン用サーバへ送信する。
作業情報受信部220は、プロキシサーバからhttpリクエストを取得し、暗号化された作業情報130をhttpリクエストから抽出し、暗号化された作業情報130から作業情報130を復号する。
そして、作業情報受信部220は、作業情報130を作業情報DB294に登録する。
但し、作業情報130は暗号化されなくてもよい。
図12に基づいて、ステップS130およびステップS140の具体例を説明する。
作業情報送信部330は、作業情報130を暗号化し、暗号化された作業情報130をアラート峻別装置200へ送信する。
作業情報受信部220は、暗号化された作業情報130を受信し、暗号化された作業情報130から作業情報130を復号し、作業情報130を作業情報DB294に登録する。
但し、作業情報130は暗号化されなくてもよい。
作業情報送信部330は、作業情報130を暗号化し、暗号化された作業情報130をアラート峻別装置200へ送信する。
作業情報受信部220は、暗号化された作業情報130を受信し、暗号化された作業情報130から作業情報130を復号し、作業情報130を作業情報DB294に登録する。
但し、作業情報130は暗号化されなくてもよい。
図4に戻り、ステップS150から説明を続ける。
ステップS150において、アラート峻別部230は、作業情報130を参照し、アラートDB292に登録された1つ以上のアラート情報140から、少なくともいずれかの作業情報130に示される作業時間帯に発生したアラート情報140を峻別する。
アラートDB292には、1つ以上のアラート情報が登録される。1つ以上のアラート情報は、ログ分析部210によって生成されてアラートDB292に登録される。ログ分析部210は、ログDB291に登録された1つ以上のログ情報を分析することによって、1つ以上のアラート情報を生成する。
ログ情報は、ログ種類識別子、時刻およびユーザ特定情報を含む。ログの種類によっては、ログ情報は、さらに、アクセスされたURLの情報、アクセスされたファイルの情報、認証成功の可否などの情報を含む。ログ種類識別子は、ウェブアクセスログまたは認証ログなどのログ種類を識別する。ログ情報は、ユーザ端末装置300を管理する顧客システムによってログ種類ごとに記録され、顧客システムまたはクラウドシステムからアラート峻別装置200へ提供される。
アラート情報は、ログ種類識別子、時刻およびユーザ特定情報を示す。
ステップS150において、アラート峻別部230は、作業情報130を参照し、アラートDB292に登録された1つ以上のアラート情報140から、少なくともいずれかの作業情報130に示される作業時間帯に発生したアラート情報140を峻別する。
アラートDB292には、1つ以上のアラート情報が登録される。1つ以上のアラート情報は、ログ分析部210によって生成されてアラートDB292に登録される。ログ分析部210は、ログDB291に登録された1つ以上のログ情報を分析することによって、1つ以上のアラート情報を生成する。
ログ情報は、ログ種類識別子、時刻およびユーザ特定情報を含む。ログの種類によっては、ログ情報は、さらに、アクセスされたURLの情報、アクセスされたファイルの情報、認証成功の可否などの情報を含む。ログ種類識別子は、ウェブアクセスログまたは認証ログなどのログ種類を識別する。ログ情報は、ユーザ端末装置300を管理する顧客システムによってログ種類ごとに記録され、顧客システムまたはクラウドシステムからアラート峻別装置200へ提供される。
アラート情報は、ログ種類識別子、時刻およびユーザ特定情報を示す。
また、アラート峻別部230は、作業情報130に示される優先度を、峻別されたアラート情報140に付加する。
そして、アラート峻別部230は、峻別されたアラート情報140をアラート峻別DB293に登録する。
図13に基づいて、ステップS150を補足する。
アラート峻別部230は、作業情報DB294に登録された作業情報130ごとに、以下のように動作する。
まず、アラート峻別部230は、作業情報130のユーザ特定情報と合致するユーザ特定情報を含んだアラート情報140をアラートDB292から抽出する。
次に、アラート峻別部230は、抽出されたアラート情報140から、作業情報130の時間帯情報に示される作業時間帯の時刻を示すアラート情報140を抽出する。抽出されたアラート情報140が峻別されたアラート情報140である。
次に、アラート峻別部230は、抽出された各アラート情報140に、作業情報130に示される優先度を付加する。
そして、アラート峻別部230は、優先度が付加された各アラート情報140をアラート峻別DB293に登録する。
アラート峻別部230は、作業情報DB294に登録された作業情報130ごとに、以下のように動作する。
まず、アラート峻別部230は、作業情報130のユーザ特定情報と合致するユーザ特定情報を含んだアラート情報140をアラートDB292から抽出する。
次に、アラート峻別部230は、抽出されたアラート情報140から、作業情報130の時間帯情報に示される作業時間帯の時刻を示すアラート情報140を抽出する。抽出されたアラート情報140が峻別されたアラート情報140である。
次に、アラート峻別部230は、抽出された各アラート情報140に、作業情報130に示される優先度を付加する。
そして、アラート峻別部230は、優先度が付加された各アラート情報140をアラート峻別DB293に登録する。
図4に戻り、ステップS160を説明する。
ステップS160において、アラート出力部240は、峻別されたアラート情報140を出力する。
例えば、アラート出力部240は、アラート峻別DB293に登録されたアラート情報140をディスプレイに表示する。
ステップS160において、アラート出力部240は、峻別されたアラート情報140を出力する。
例えば、アラート出力部240は、アラート峻別DB293に登録されたアラート情報140をディスプレイに表示する。
***実施の形態1の効果***
アラート峻別システム100、SOC業務に適用することができる。アラート峻別装置200は、SOC業務用の端末として使用される。SOCはSecurity Operation Centerの略称である。
図14に、従来システムによるSOC業務を示す。
従来システムによるSOC業務では、大量のアラートが発生する。SOC業務の効率化のためには、優先度の高いアラートを特定する必要がある。
図15に、アラート峻別システム100によるSOC業務を示す。
ユーザ端末装置300は、ユーザが作業に集中している時間帯(作業時間帯)を特定する。具体的には、ユーザ端末装置300は、作業の開始時刻または作業の終了時刻と所要時間ΔTに基づいて作業時間帯を特定する。
全ての作業において開始時刻と終了時刻の両方をトラッキングすることは大変である。開始時刻と終了時刻の一方をトラッキングすることができれば、ユーザ端末装置300は所要時間ΔTを用いて作業時間帯を特定することができる。つまり、ユーザ端末装置300は、作業時間帯を明確に収集できない作業の作業時間帯を推定することが可能である。
そして、ユーザ端末装置300は、作業時間帯を示す情報(作業情報)をアラート峻別装置200へ通知する。
アラート峻別装置200は、作業情報をアラートと突合し、ユーザが起こし得ないアラートを特定する。つまり、アラート峻別装置200は、作業情報に示される作業時間帯に基づいて、既存システムから発報されたアラートから優先度の高いアラートを絞り込む。
これにより、攻撃者に使われる正規プロセスをあらかじめ列挙する必要なく、優先度の高いアラートを特定することができる。そして、SOC業務が効率化される。
アラート峻別システム100、SOC業務に適用することができる。アラート峻別装置200は、SOC業務用の端末として使用される。SOCはSecurity Operation Centerの略称である。
図14に、従来システムによるSOC業務を示す。
従来システムによるSOC業務では、大量のアラートが発生する。SOC業務の効率化のためには、優先度の高いアラートを特定する必要がある。
図15に、アラート峻別システム100によるSOC業務を示す。
ユーザ端末装置300は、ユーザが作業に集中している時間帯(作業時間帯)を特定する。具体的には、ユーザ端末装置300は、作業の開始時刻または作業の終了時刻と所要時間ΔTに基づいて作業時間帯を特定する。
全ての作業において開始時刻と終了時刻の両方をトラッキングすることは大変である。開始時刻と終了時刻の一方をトラッキングすることができれば、ユーザ端末装置300は所要時間ΔTを用いて作業時間帯を特定することができる。つまり、ユーザ端末装置300は、作業時間帯を明確に収集できない作業の作業時間帯を推定することが可能である。
そして、ユーザ端末装置300は、作業時間帯を示す情報(作業情報)をアラート峻別装置200へ通知する。
アラート峻別装置200は、作業情報をアラートと突合し、ユーザが起こし得ないアラートを特定する。つまり、アラート峻別装置200は、作業情報に示される作業時間帯に基づいて、既存システムから発報されたアラートから優先度の高いアラートを絞り込む。
これにより、攻撃者に使われる正規プロセスをあらかじめ列挙する必要なく、優先度の高いアラートを特定することができる。そして、SOC業務が効率化される。
***実施の形態1の補足***
所要時間ΔTについて補足する。
会議システムのログ、スケジューラの情報、マイクの(発話)状態のセンシングにおいて、作業の開始時刻と作業の終了時刻を推定することが可能である。この場合、所要時間ΔTは不要である。
メールシステムでは、メール送信のタイミングだけが記録に残る。そのため、ユーザがどの程度作業していたのかは不明である。メールの送信前には宛先チェックが行われる。例えば、宛先チェックに要する時間が所要時間ΔTとなる。
WFシステムでは、WFの提出とWFの承認のそれぞれのタイミングだけが記録に残る。そのため、ユーザがどの程度作業していたのかは不明である。WFの提出またはWFの承認の前には内容チェックが行われる。例えば、内容チェックに要する時間が所要時間ΔTとなる。
作業ごとの所要時間ΔTは、例えば、手作業で決められる。但し、エージェントがユーザ端末装置300にインストールされ、所要時間ΔTを決める準備期間のみエージェントが作業に要する統計情報を収集し、収集された情報に基づいて所要時間ΔTが決められてもよい。
所要時間ΔTについて補足する。
会議システムのログ、スケジューラの情報、マイクの(発話)状態のセンシングにおいて、作業の開始時刻と作業の終了時刻を推定することが可能である。この場合、所要時間ΔTは不要である。
メールシステムでは、メール送信のタイミングだけが記録に残る。そのため、ユーザがどの程度作業していたのかは不明である。メールの送信前には宛先チェックが行われる。例えば、宛先チェックに要する時間が所要時間ΔTとなる。
WFシステムでは、WFの提出とWFの承認のそれぞれのタイミングだけが記録に残る。そのため、ユーザがどの程度作業していたのかは不明である。WFの提出またはWFの承認の前には内容チェックが行われる。例えば、内容チェックに要する時間が所要時間ΔTとなる。
作業ごとの所要時間ΔTは、例えば、手作業で決められる。但し、エージェントがユーザ端末装置300にインストールされ、所要時間ΔTを決める準備期間のみエージェントが作業に要する統計情報を収集し、収集された情報に基づいて所要時間ΔTが決められてもよい。
実施の形態2.
所要時間DB391を構築する形態について、主に実施の形態1と異なる点を図16から図18に基づいて説明する。
所要時間DB391を構築する形態について、主に実施の形態1と異なる点を図16から図18に基づいて説明する。
***構成の説明***
図16に基づいて、アラート峻別システム100の構成を説明する。
アラート峻別システム100の構成は、実施の形態1における構成と同様である。但し、ユーザ端末装置300の構成が実施の形態1における構成と異なる。
ユーザ端末装置300は、さらに、DB構築部340という要素を備える。DB構築部340はソフトウェアで実現される。
ユーザ端末プログラムは、さらに、DB構築部340としてコンピュータを機能させる。
図16に基づいて、アラート峻別システム100の構成を説明する。
アラート峻別システム100の構成は、実施の形態1における構成と同様である。但し、ユーザ端末装置300の構成が実施の形態1における構成と異なる。
ユーザ端末装置300は、さらに、DB構築部340という要素を備える。DB構築部340はソフトウェアで実現される。
ユーザ端末プログラムは、さらに、DB構築部340としてコンピュータを機能させる。
***動作の説明***
図17に基づいて、DB構築部340の動作を説明する。
DB構築部340は、実施の形態1のステップS110からステップS160が実行される前の準備期間に動作する。
図17に基づいて、DB構築部340の動作を説明する。
DB構築部340は、実施の形態1のステップS110からステップS160が実行される前の準備期間に動作する。
まず、DB構築部340は、作業の種類ごとに、利用システム110に対するユーザ端末装置300の操作情報150を取得する。
操作情報150は、操作種類識別子および操作時刻を示す。
操作種類識別子は、ユーザ端末装置300によって利用システム110に対して行われた操作の種類を識別する。
操作時刻は、ユーザ端末装置300によって利用システム110に対して操作が行われた時刻である。
操作情報150は、操作種類識別子および操作時刻を示す。
操作種類識別子は、ユーザ端末装置300によって利用システム110に対して行われた操作の種類を識別する。
操作時刻は、ユーザ端末装置300によって利用システム110に対して操作が行われた時刻である。
次に、DB構築部340は、利用システム110における作業ごとに、操作情報150に基づいて作業時間を算出する。
作業時間は、作業に要した時間である。例えば、作業時間は、開始操作の時刻から終了操作の時刻までの時間である。
作業時間は、作業に要した時間である。例えば、作業時間は、開始操作の時刻から終了操作の時刻までの時間である。
次に、DB構築部340は、作業の種類ごとに、作業時間の統計情報を算出する。
統計情報の具体例は、作業時間の平均および作業時間の標準偏差である。
統計情報の具体例は、作業時間の平均および作業時間の標準偏差である。
次に、DB構築部340は、作業の種類ごとに、統計情報に基づいて所要時間を算出する。例えば、所要時間は以下の式を計算することによって算出される。
TI=AV-(3×SD)
「TI」は、所要時間である。
「AV」は、作業時間の平均である。
「SD」は、作業時間の標準偏差である。
TI=AV-(3×SD)
「TI」は、所要時間である。
「AV」は、作業時間の平均である。
「SD」は、作業時間の標準偏差である。
そして、DB構築部340は、作業の種類ごとに、算出された所要時間を示す所要時間情報を生成して所要時間DB391に登録する。
なお、作業の種類ごとに優先度は予め決められている。
なお、作業の種類ごとに優先度は予め決められている。
図18に基づいて、DB構築部340の動作の具体例を説明する。
DB構築部340は、WFシステムに対する入力のタイミングを監視し、WF作業時間を取得する。作業の開始時刻および作業の終了時刻は操作情報150に基づいて特定される。WF作業時間は、WFシステムにおける作業時間である。例えば、WF作業時間は、起票から提出までの時間、または、承認画面のオープンから承認までの時刻である。
DB構築部340は、メーラのアドイン機能を使って、メール作成時間を取得する。メール作成時間は、メールの作成のための作業時間である。例えば、メール作成時間は、メール作成イベントの発生からメール送信イベントの発生までの時間である。
DB構築部340は、キーボード入力を監視するツールを利用し、チャットプロセスに対する文字列の入力を監視する。そして、DB構築部340は、入力された文字列と入力時間に基づいて、キーボード入力速度を算出する。キーボード入力速度は、単位当たりの所要時間を示す。
DB構築部340は、WFシステムに対する入力のタイミングを監視し、WF作業時間を取得する。作業の開始時刻および作業の終了時刻は操作情報150に基づいて特定される。WF作業時間は、WFシステムにおける作業時間である。例えば、WF作業時間は、起票から提出までの時間、または、承認画面のオープンから承認までの時刻である。
DB構築部340は、メーラのアドイン機能を使って、メール作成時間を取得する。メール作成時間は、メールの作成のための作業時間である。例えば、メール作成時間は、メール作成イベントの発生からメール送信イベントの発生までの時間である。
DB構築部340は、キーボード入力を監視するツールを利用し、チャットプロセスに対する文字列の入力を監視する。そして、DB構築部340は、入力された文字列と入力時間に基づいて、キーボード入力速度を算出する。キーボード入力速度は、単位当たりの所要時間を示す。
***実施の形態2の効果***
アラート峻別システム100は、操作の統計情報に基づいて所要時間DB391を構築する。具体的には、アラート峻別システム100は、作業ごとに所要時間を所要時間DB391に登録する。
準備期間中に、エージェント(DB構築部340)が各ユーザ端末装置300に導入される。エージェントは、作業に要した時間を記録する。例えば、メールの送信時間およびWF提出時間が記録される。そして、エージェントは、記録された時間の統計(平均、標準偏差など)に基づいて所要時間DB391を構築する。
これにより、所要時間DB391を手作業ではなく自動的に作成することができる。
アラート峻別システム100は、操作の統計情報に基づいて所要時間DB391を構築する。具体的には、アラート峻別システム100は、作業ごとに所要時間を所要時間DB391に登録する。
準備期間中に、エージェント(DB構築部340)が各ユーザ端末装置300に導入される。エージェントは、作業に要した時間を記録する。例えば、メールの送信時間およびWF提出時間が記録される。そして、エージェントは、記録された時間の統計(平均、標準偏差など)に基づいて所要時間DB391を構築する。
これにより、所要時間DB391を手作業ではなく自動的に作成することができる。
***実施の形態2の補足***
ユーザ別の所要時間が算出され登録されてもよいし、全てのユーザに共通の所要時間が算出され登録されてもよい。
ユーザ別の所要時間が算出され登録されてもよいし、全てのユーザに共通の所要時間が算出され登録されてもよい。
***実施の形態の補足***
アラート峻別装置200およびユーザ端末装置300の各要素は、ソフトウェア、ハードウェア、ファームウェアまたはこれらの組み合わせのいずれで実現されてもよい。
アラート峻別装置200およびユーザ端末装置300の各要素の「部」は、「処理」、「工程」、「回路」または「サーキットリ」と読み替えてもよい。
アラート峻別装置200およびユーザ端末装置300の各要素は、ソフトウェア、ハードウェア、ファームウェアまたはこれらの組み合わせのいずれで実現されてもよい。
アラート峻別装置200およびユーザ端末装置300の各要素の「部」は、「処理」、「工程」、「回路」または「サーキットリ」と読み替えてもよい。
100 アラート峻別システム、110 利用システム、120 作業タイミング情報、130 作業情報、140 アラート情報、150 操作情報、200 アラート峻別装置、201 プロセッサ、202 メモリ、203 補助記憶装置、204 通信装置、205 入出力インタフェース、210 ログ分析部、220 作業情報受信部、230 アラート峻別部、240 アラート出力部、290 記憶部、291 ログDB、292 アラートDB、293 アラート峻別DB、294 作業情報DB、300 ユーザ端末装置、301 プロセッサ、302 メモリ、303 補助記憶装置、304 通信装置、305 入出力インタフェース、310 情報収集部、320 時間帯推定部、330 作業情報送信部、340 DB構築部、390 記憶部、391 所要時間DB。
Claims (9)
- 作業の開始時刻と前記作業の終了時刻の少なくとも一方を示す作業タイミング情報を収集する情報収集部と、
収集された作業タイミング情報のうち前記開始時刻と前記終了時刻の一方だけが示される作業タイミング情報ごとに、前記作業の種類と、前記作業タイミング情報に示される前記開始時刻または前記終了時刻と、に基づいて、前記開始時刻から前記終了時刻までの作業時間帯を推定する時間帯推定部と、
前記開始時刻と前記終了時刻の両方を示す各作業タイミング情報の前記開始時刻から前記終了時刻までの作業時間帯を示す作業情報と、前記開始時刻と前記終了時刻の一方だけを示す各作業タイミング情報の推定された作業時間帯を示す作業情報と、を参照し、アラートデータベースに登録された1つ以上のアラート情報から、少なくともいずれかの作業情報に示される作業時間帯に発生したアラート情報を峻別するアラート峻別部と、
を備えるアラート峻別システム。 - 前記作業タイミング情報は、前記作業の前記種類を示し、
前記時間帯推定部は、作業の所要時間を示す所要時間情報が作業の種類ごとに登録された所要時間データベースを参照し、収集された作業タイミング情報のうち前記開始時刻と前記終了時刻の一方だけが示される作業タイミング情報ごとに、前記作業タイミング情報に示される前記開始時刻または前記終了時刻と、前記作業タイミング情報に対応する前記所要時間情報に示される前記所要時間と、に基づいて前記作業時間帯を推定する
請求項1に記載のアラート峻別システム。 - 前記作業タイミング情報が収集される前の準備期間に、作業の種類ごとに作業のための操作が行われた操作時刻を示す操作情報を収集し、収集された操作情報に基づいて前記所要時間を算出し、前記所要時間情報を前記所要時間データベースに登録するデータベース構築部を備える
請求項2に記載のアラート峻別システム。 - 前記データベース構築部は、作業の種類ごとに各操作情報に示される操作時刻に基づいて前記作業に要した作業時間を算出し、算出された作業時間の統計情報を算出し、算出された統計情報に基づいて前記所要時間を算出する
請求項3に記載のアラート峻別システム。 - 作業の開始時刻と前記作業の終了時刻の少なくとも一方を示す作業タイミング情報を収集し、
収集された作業タイミング情報のうち前記開始時刻と前記終了時刻の一方だけが示される作業タイミング情報ごとに、前記作業の種類と、前記作業タイミング情報に示される前記開始時刻または前記終了時刻と、に基づいて、前記開始時刻から前記終了時刻までの作業時間帯を推定し、
前記開始時刻と前記終了時刻の両方を示す各作業タイミング情報の前記開始時刻から前記終了時刻までの作業時間帯を示す作業情報と、前記開始時刻と前記終了時刻の一方だけを示す各作業タイミング情報の推定された作業時間帯を示す作業情報と、を参照し、アラートデータベースに登録された1つ以上のアラート情報から、少なくともいずれかの作業情報に示される作業時間帯に発生したアラート情報を峻別する
アラート峻別方法。 - 作業の開始時刻と前記作業の終了時刻の少なくとも一方を示す作業タイミング情報を収集する情報収集部と、
収集された作業タイミング情報のうち前記開始時刻と前記終了時刻の一方だけが示される作業タイミング情報ごとに、前記作業の種類と、前記作業タイミング情報に示される前記開始時刻または前記終了時刻と、に基づいて、前記開始時刻から前記終了時刻までの作業時間帯を推定する時間帯推定部と、
前記開始時刻と前記終了時刻の両方を示す各作業タイミング情報の前記開始時刻から前記終了時刻までの作業時間帯を示す作業情報と、前記開始時刻と前記終了時刻の一方だけを示す各作業タイミング情報の推定された作業時間帯を示す作業情報と、をアラート峻別装置へ送信する作業情報送信部と、
を備えるユーザ端末装置。 - 作業の開始時刻と前記作業の終了時刻の少なくとも一方を示す作業タイミング情報を収集する情報収集処理と、
収集された作業タイミング情報のうち前記開始時刻と前記終了時刻の一方だけが示される作業タイミング情報ごとに、前記作業の種類と、前記作業タイミング情報に示される前記開始時刻または前記終了時刻と、に基づいて、前記開始時刻から前記終了時刻までの作業時間帯を推定する時間帯推定処理と、
前記開始時刻と前記終了時刻の両方を示す各作業タイミング情報の前記開始時刻から前記終了時刻までの作業時間帯を示す作業情報と、前記開始時刻と前記終了時刻の一方だけを示す各作業タイミング情報の推定された作業時間帯を示す作業情報と、をアラート峻別装置へ送信する作業情報送信処理と、
をコンピュータに実行させるためのユーザ端末プログラム。 - 作業の開始時刻から前記作業の終了時刻までの作業時間帯を示す各作業情報をユーザ端末装置から受信する作業情報受信部と、
受信された各作業情報を参照し、アラートデータベースに登録された1つ以上のアラート情報から、少なくともいずれかの作業情報に示される作業時間帯に発生したアラート情報を峻別するアラート峻別部と、
を備えるアラート峻別装置。 - 作業の開始時刻から前記作業の終了時刻までの作業時間帯を示す各作業情報をユーザ端末装置から受信する作業情報受信処理と、
受信された各作業情報を参照し、アラートデータベースに登録された1つ以上のアラート情報から、少なくともいずれかの作業情報に示される作業時間帯に発生したアラート情報を峻別するアラート峻別処理と、
をコンピュータに実行させるためのアラート峻別プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022062647A JP2023152539A (ja) | 2022-04-04 | 2022-04-04 | アラート峻別システム、アラート峻別方法、ユーザ端末装置、ユーザ端末プログラム、アラート峻別装置およびアラート峻別プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022062647A JP2023152539A (ja) | 2022-04-04 | 2022-04-04 | アラート峻別システム、アラート峻別方法、ユーザ端末装置、ユーザ端末プログラム、アラート峻別装置およびアラート峻別プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2023152539A true JP2023152539A (ja) | 2023-10-17 |
Family
ID=88349195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022062647A Pending JP2023152539A (ja) | 2022-04-04 | 2022-04-04 | アラート峻別システム、アラート峻別方法、ユーザ端末装置、ユーザ端末プログラム、アラート峻別装置およびアラート峻別プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2023152539A (ja) |
-
2022
- 2022-04-04 JP JP2022062647A patent/JP2023152539A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107992398B (zh) | 一种业务系统的监控方法和监控系统 | |
| US8516586B1 (en) | Classification of unknown computer network traffic | |
| KR100869902B1 (ko) | 통합관리 시스템 환경에서의 장애 및 성능정보 통합모니터링 방법 및 그 시스템 | |
| US8095979B2 (en) | Analysis of event information to perform contextual audit | |
| US20120005755A1 (en) | Infection inspection system, infection inspection method, storage medium, and program | |
| CN104937605A (zh) | 攻击分析系统、协作装置、攻击分析协作方法和程序 | |
| US10776245B2 (en) | Analyzing physical machine impact on business transaction performance | |
| CN109274679B (zh) | 一种访问请求记录方法、装置、设备及可读存储介质 | |
| US20060036739A1 (en) | Method and system for removing messaging information in a messaging client | |
| CN115934668A (zh) | 一种数据库自审计日志的处理方法及装置 | |
| US9201752B2 (en) | System and method for correlating empirical data with user experience | |
| JP2023152539A (ja) | アラート峻別システム、アラート峻別方法、ユーザ端末装置、ユーザ端末プログラム、アラート峻別装置およびアラート峻別プログラム | |
| US20060190725A1 (en) | Method and system for measuring productivity based on computer activities | |
| JP4382327B2 (ja) | 情報分析装置及びその制御方法、プログラム | |
| CN113110980B (zh) | 暴力破解行为的识别与拦截方法及装置 | |
| JP5237050B2 (ja) | 情報処理装置及びその制御方法、プログラム、情報処理システム | |
| JP4082659B2 (ja) | 情報管理サーバ、情報管理システム、及び情報管理サーバの制御方法、プログラム | |
| WO2018200167A1 (en) | Managing asynchronous analytics operation based on communication exchange | |
| JP4728270B2 (ja) | 情報処理装置及びその制御方法、プログラム | |
| KR100961438B1 (ko) | 실시간 침입 탐지 시스템 및 방법, 그리고 그 방법을수행하기 위한 프로그램이 기록된 기록매체 | |
| KR100937329B1 (ko) | 로그 샘플링 방법 및 시스템 | |
| CN111444503A (zh) | 一种检测勒索病毒的方法、装置、系统和介质 | |
| US11989309B2 (en) | Software type and version identification for security operations | |
| US20230403259A1 (en) | Real-time event reporting for managed computing devices | |
| KR101896679B1 (ko) | 악성코드 탐지장치 및 이의 악성코드 탐지방법 |