JP6517416B1 - 分析装置、端末装置、分析システム、分析方法およびプログラム - Google Patents
分析装置、端末装置、分析システム、分析方法およびプログラム Download PDFInfo
- Publication number
- JP6517416B1 JP6517416B1 JP2018180914A JP2018180914A JP6517416B1 JP 6517416 B1 JP6517416 B1 JP 6517416B1 JP 2018180914 A JP2018180914 A JP 2018180914A JP 2018180914 A JP2018180914 A JP 2018180914A JP 6517416 B1 JP6517416 B1 JP 6517416B1
- Authority
- JP
- Japan
- Prior art keywords
- information
- terminal device
- notification
- analysis
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
このような分析システムでは、セキュリティログの自動分析に用いられるルールとして、悪性のログの特徴を検出するルールなどが作成されて用いられる。また、このようなルールとして、複数の異なる顧客の組織に共通のルールが用いられることも多い。
このようなとき、例えば、誤検知が発生する当該特定の組織に向けてカスタムのルールを作成することが必要な場合があった。
本発明の一態様は、第1端末装置に関する対象情報を取得する取得部と、前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、前記第1条件による前記第1情報の通知の状況を管理する管理部と、を備え、前記状況は、少なくとも、抑止されているという状況を含み、前記第1情報は、前記通知の状況を用いて検索されることが可能である、分析装置である。
本発明の一態様は、第1端末装置に関する対象情報を取得する取得部と、前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、を備え、前記通知抑制部は、前記第1端末装置に対する前記第1情報の通知を抑制することを特定する第2条件に基づいて、前記第1端末装置に対する前記第1情報の通知を抑制する、分析装置である。
本発明の一態様は、第1端末装置に関する対象情報を取得する取得部と、前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、を備え、前記対象情報は、セキュリティに関するログである、分析装置である。
本発明の一態様に係る分析装置において、前記第1条件は、問題を検知するルールであり、前記第1情報は、前記問題に対応するアラートの情報であり、前記第2情報は、前記アラートについて誤りがあることを指示する情報である。
本発明の一態様に係る分析装置において、前記第1条件を変更する変更部を備える。
本発明の一態様は、セキュリティに関するログを対象情報とし端末装置に関する前記対象情報を検出して前記対象情報を分析装置に送信する検出装置を有する前記端末装置に関する前記対象情報が前記分析装置によって第1条件を満たすことが判定された場合に前記分析装置から通知される前記セキュリティに関する第1情報の通知を受信する通知受信制御部と、前記通知受信制御部によって受信された前記第1情報に対して前記セキュリティに関する所定の指示を受け付ける指示受付部と、前記第1情報に対して前記指示が受け付けられた場合に、前記端末装置に対する前記セキュリティに関する前記第1情報の通知を抑制する指示を含む第2情報を前記分析装置に送信する指示送信制御部と、を備える、前記端末装置である。
本発明の一態様に係る端末装置において、前記第1条件は、問題を検知するルールであり、前記第1情報は、前記問題に対応するアラートの情報であり、前記第2情報は、前記アラートについて誤りがあることを指示する情報である。
本発明の一態様は、第1端末装置と、分析装置と、を備える分析システムであって、前記分析装置は、前記第1端末装置に関する対象情報を取得する取得部と、前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、前記第1条件による前記第1情報の通知の状況を管理する管理部と、を備え、前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信する通知受信制御部と、前記通知受信制御部によって受信された前記第1情報に対して所定の指示を受け付ける指示受付部と、前記第1情報に対して前記指示が受け付けられた場合に、前記第2情報を前記分析装置に送信する指示送信制御部と、を備え、前記状況は、少なくとも、抑止されているという状況を含み、前記第1情報は、前記通知の状況を用いて検索されることが可能である、分析システムである。
本発明の一態様は、第1端末装置と、分析装置と、を備える分析システムであって、前記分析装置は、前記第1端末装置に関する対象情報を取得する取得部と、前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、を備え、前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信する通知受信制御部と、前記通知受信制御部によって受信された前記第1情報に対して所定の指示を受け付ける指示受付部と、前記第1情報に対して前記指示が受け付けられた場合に、前記第2情報を前記分析装置に送信する指示送信制御部と、を備え、前記通知抑制部は、前記第1端末装置に対する前記第1情報の通知を抑制することを特定する第2条件に基づいて、前記第1端末装置に対する前記第1情報の通知を抑制する、分析システムである。
本発明の一態様は、第1端末装置と、分析装置と、を備える分析システムであって、前記分析装置は、前記第1端末装置に関する対象情報を取得する取得部と、前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、を備え、前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信する通知受信制御部と、前記通知受信制御部によって受信された前記第1情報に対して所定の指示を受け付ける指示受付部と、前記第1情報に対して前記指示が受け付けられた場合に、前記第2情報を前記分析装置に送信する指示送信制御部と、を備え、前記対象情報は、セキュリティに関するログである、分析システムである。
本発明の一態様に係る分析システムにおいて、前記第1条件は、問題を検知するルールであり、前記第1情報は、前記問題に対応するアラートの情報であり、前記第2情報は、前記アラートについて誤りがあることを指示する情報である。
本発明の一態様に係る分析システムにおいて、前記分析装置は、前記第1条件を変更する変更部を備える。
本発明の一態様は、第1端末装置と、分析装置と、を備える分析システムにおける分析方法であって、前記分析装置は、前記第1端末装置に関する対象情報を取得し、取得された前記対象情報が第1条件を満たすか否かを判定し、前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知し、前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信し、受信された前記第1情報に対して所定の指示が受け付けられた場合に、第2情報を前記分析装置に送信し、前記分析装置は、前記第1端末装置から第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制し、前記分析装置は、前記第1条件による前記第1情報の通知の状況を管理し、前記状況は、少なくとも、抑止されているという状況を含み、前記第1情報は、前記通知の状況を用いて検索されることが可能である、分析方法である。
本発明の一態様は、第1端末装置と、分析装置と、を備える分析システムにおける分析方法であって、前記分析装置は、前記第1端末装置に関する対象情報を取得し、取得された前記対象情報が第1条件を満たすか否かを判定し、前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知し、前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信し、受信された前記第1情報に対して所定の指示が受け付けられた場合に、第2情報を前記分析装置に送信し、前記分析装置は、前記第1端末装置から第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制し、前記分析装置は、前記通知の抑制として、前記第1端末装置に対する前記第1情報の通知を抑制することを特定する第2条件に基づいて、前記第1端末装置に対する前記第1情報の通知を抑制する、分析方法である。
本発明の一態様は、第1端末装置と、分析装置と、を備える分析システムにおける分析方法であって、前記分析装置は、前記第1端末装置に関する対象情報を取得し、取得された前記対象情報が第1条件を満たすか否かを判定し、前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知し、前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信し、受信された前記第1情報に対して所定の指示が受け付けられた場合に、第2情報を前記分析装置に送信し、前記分析装置は、前記第1端末装置から第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制し、前記対象情報は、セキュリティに関するログである、分析方法である。
本発明の一態様に係る分析方法において、前記第1条件は、問題を検知するルールであり、前記第1情報は、前記問題に対応するアラートの情報であり、前記第2情報は、前記アラートについて誤りがあることを指示する情報である。
本発明の一態様に係る分析方法において、前記分析装置は、前記第1条件を変更する。
本発明の一態様は、分析装置を構成するコンピュータに、第1端末装置に関する対象情報を取得する機能と、取得された前記対象情報が第1条件を満たすか否かを判定する機能と、前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する機能と、通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける機能と、前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する機能と、前記第1条件による前記第1情報の通知の状況を管理する機能と、を実現させるためのプログラムであって、前記状況は、少なくとも、抑止されているという状況を含み、前記第1情報は、前記通知の状況を用いて検索されることが可能である、プログラムである。
本発明の一態様は、分析装置を構成するコンピュータに、第1端末装置に関する対象情報を取得する機能と、取得された前記対象情報が第1条件を満たすか否かを判定する機能と、前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する機能と、通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける機能と、前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する機能と、を実現させるためのプログラムであって、前記通知を抑制する機能は、前記第1端末装置に対する前記第1情報の通知を抑制することを特定する第2条件に基づいて、前記第1端末装置に対する前記第1情報の通知を抑制する、プログラムである。
本発明の一態様は、分析装置を構成するコンピュータに、第1端末装置に関する対象情報を取得する機能と、取得された前記対象情報が第1条件を満たすか否かを判定する機能と、前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する機能と、通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける機能と、前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する機能と、を実現させるためのプログラムであって、前記対象情報は、セキュリティに関するログである、プログラムである。
本発明の一態様に係るプログラムにおいて、前記第1条件は、問題を検知するルールであり、前記第1情報は、前記問題に対応するアラートの情報であり、前記第2情報は、前記アラートについて誤りがあることを指示する情報である。
本発明の一態様に係るプログラムにおいて、さらに、前記第1条件を変更する機能を実現させるためのプログラムである。
本発明の一態様は、セキュリティに関するログを対象情報とし端末装置に関する前記対象情報を検出して前記対象情報を分析装置に送信する検出装置を有する前記端末装置を構成するコンピュータに、前記端末装置に関する前記対象情報が前記分析装置によって第1条件を満たすことが判定された場合に前記分析装置から通知される前記セキュリティに関する第1情報の通知を受信する機能と、受信された前記第1情報に対して前記セキュリティに関する所定の指示を受け付ける機能と、前記第1情報に対して前記指示が受け付けられた場合に、前記端末装置に対する前記セキュリティに関する前記第1情報の通知を抑制する指示を含む第2情報を前記分析装置に送信する機能と、を実現させるためのプログラム。
本発明の一態様に係るプログラムにおいて、前記第1条件は、問題を検知するルールであり、前記第1情報は、前記問題に対応するアラートの情報であり、前記第2情報は、前記アラートについて誤りがあることを指示する情報である。
図1は、本発明の一実施形態に係る分析システム1の概略的な構成例を示す図である。なお、図1に示される機能ブロックの構成は、一例であり、他の構成が用いられてもよい。
分析システム1は、分析部11と、複数の端末部21〜23と、ネットワーク31を備える。
それぞれの端末部21〜23と分析部11とは、ネットワーク31を介して通信可能に接続される。
なお、複数の端末部21〜23のうちの2個以上の端末部が、同じ管理主体によって管理されてもよい。当該2個以上の端末部は、複数の端末部21〜23のうちの一部であってもよく、あるいは、全部であってもよい。
本実施形態では、説明の便宜上、複数の端末部21〜23の構成および動作は、それぞれの端末部21〜23の管理主体が異なり得る点を除いて、同様である。このため、本実施形態では、1個の端末部21を代表させて説明する。
なお、それぞれの端末部21〜23の構成あるいは動作が異なる態様が用いられてもよい。
なお、分析部11は、複数の端末部21〜23のそれぞれに対して、異なる動作を行う構成が用いられてもよい。
なお、分析システム1は、複数の分析部11を備えてもよい。この場合、複数の分析部11が、複数の端末部21〜23を分担して、動作を行う。
ここで、分析部11は、例えば、装置あるいはシステムであると捉えられてもよい。
また、端末部21は、例えば、装置あるいはシステムであると捉えられてもよい。
なお、それぞれの端末部21〜23と分析部11との通信は、例えば、有線の通信であってもよく、無線の通信であってもよく、あるいは、有線の通信と無線の通信との両方を組み合わせて含んでもよい。
端末部21を代表させて説明する。
端末部21は、ログ検出装置51と、端末装置52を備える。
図1の例では、ログ検出装置51と端末装置52のそれぞれがネットワーク31と接続される構成を示すが、これに限られない。
ログ検出装置51は、例えば、所定のログを検出するセンサを用いて構成されてもよい。本実施形態では、ログ検出装置51は、端末装置52によって行われる通信に関するログを検出する。ログ検出装置51は、検出されたログを出力する。本実施形態では、ログ検出装置51は、検出されたログを分析部11に送信する。当該ログの送信は、例えば、所定のログのまとまりごとに行われてもよい。当該まとまりは、所定の期間ごとのまとまりであってもよい。当該所定の期間は、例えば、1日などであってもよい。
なお、本実施形態では、ログ検出装置51は、検出されたログを記憶しない。他の例として、ログ検出装置51は、検出されたログを記憶する記憶部を備えてもよい。
端末装置52は、分析部11から送信された電子メールをネットワーク31を介して受信する。
また、端末装置52は、分析部11により提供されるWebページの情報を取得する。
また、端末装置52は、ネットワーク31を介して分析部11に情報を送信する。本実施形態では、端末装置52は、例えば、分析部11によって行われた分析の結果について、誤った検知(誤検知)に関する情報を分析部11に送信する。
分析部11は、分析装置41と、Webサーバ装置42と、メールサーバ装置43を備える。
図1の例では、分析装置41と、Webサーバ装置42と、メールサーバ装置43のそれぞれがネットワーク31と接続される構成を示すが、これに限られない。
取得部112は、受信部131を備える。
管理部116は、検索処理部151を備える。
記憶部111は、各種の情報を記憶する。
取得部112は、受信部131によって、ログ検出装置51からネットワーク31を介して分析部11に送信されたログを受信する。そして、取得部112は、受信されたログを取得する。本実施形態では、取得部112は、様々なログを取得することで、様々なログを収集する。取得部112は、受信されたログを分析実行部113に出力する。本実施形態では、ログ検出装置51は、当該ログを分析装置41に宛てて送信する。
また、ログ検出装置51は、送信対象の情報を暗号化して、暗号化された情報を分析装置41に送信してもよい。この場合、分析装置41では、分析実行部113は、受信された当該情報を復号して、元の情報を取得する。
本実施形態では、記憶部111は、分析条件を特定する情報を記憶する。分析実行部113は、当該情報に基づいて、分析条件を取得する。
分析条件としては、例えば、分析対象のログについて、問題があるか否かを判定するための条件が用いられてもよい。当該問題は、例えば、コンピュータウィルスであってもよく、あるいは、他の事象であってもよい。
分析条件としては、例えば、「ログに含まれる送信元を識別する情報、ログに含まれる送信先を識別する情報、あるいは、ログに含まれる他の情報のうちの1以上が、所定の情報に一致する場合には、問題があると判定する条件」が用いられてもよい。分析条件としては、例えば、問題があると判定すべきログの条件がリスト化されたブラックリストに記述された当該条件が用いられてもよい。
この場合、それぞれの検知ルールには、当該検知ルールに該当するか否かを判定するための規則を特定する情報が含まれる。また、それぞれの検知ルールには、当該検知ルールに該当した場合に発生したとされる問題を特定する情報が対応付けられる。なお、ある検知ルールに該当した場合に発生したとされる問題を特定する情報についても当該検知ルールに含まれる、と捉えられてもよい。
また、それぞれの問題には、当該問題が発生した場合に通知されるべきアラートの内容が対応付けられる。
なお、問題とアラートの内容とは、例えば、共通の情報として構成されてもよい。つまり、アラートの内容において問題を提示する場合には、アラートの内容によって問題も通知することが可能である。
検知ルールの具体例としては、「受信信号について、当該受信信号の送信元の装置の識別情報が所定の識別情報と一致する場合に、不審な送信元からの情報通信であるという問題が発生したとする検知ルール」、「送信信号について、当該送信信号の送信先の装置の識別情報が所定の識別情報と一致する場合に、不審な送信先への情報通信であるという問題が発生したとする検知ルール」などが用いられてもよい。
本実施形態では、検知ルールに対してアラートルールが対応付けられている。アラートルールでは、当該アラートルールに対応付けられた検知ルールが満たされたときにアラートの通知を行うべき端末装置52を特定する情報、あるいは、当該アラートルールに対応付けられた検知ルールが満たされたときにアラートの通知を行わない端末装置52を特定する情報が含まれる。アラートルールでは、例えば、初期的には、当該アラートルールに対応付けられた検知ルールが満たされたときにすべての端末装置52に対してアラートの通知を行うべきことが設定される。
アラートを通知しない態様としては、例えば、アラートの通知を所定に期間停止する態様が含まれてもよく、あるいは、アラートの通知を永久的に停止する態様が含まれてもよい。
他の例として、検知ルールとアラートルールとが一体化されたルールが用いられてもよい。
なお、本実施形態では、アラートの通知を行うか否かを分析実行部113によって制御する場合を示すが、他の例として、分析実行部113から通知部114へは分析結果情報を出力するが、通知部114がアラートルールの内容に基づいてアラートの通知を行うか否かを制御する構成が用いられてもよい。
この場合、分析装置41において、分析実行部113は、例えば、ログの検出結果に付されたアラートの情報が正しいか否かを判定する。この場合、例えば、ログの検出結果に付されたアラートの情報が正しいか否かを判定する条件が分析条件として用いられる。
一般に、ログ検出装置51のセンサでは、アラートを通知する当該センサから通知される当該アラートの精度は高くない場合も多い。当該アラートは、例えば、シグネチャの名称を含んでもよい。
アラート名称は、アラートの名称を表す。アラート名称は、例えば、アラートの種別ごとに、あらかじめ定められている。
それぞれのアラートには、当該アラートの内容の種別ごとを識別する情報が付加されてもよい。
重要度は、アラートの重要度を表す。重要度は、任意の段階で表されてもよい。本実施形態では、重要度は、3個の段階で表される。
本実施形態では、端末装置52に通知すべき情報が発生した場合、通知部114は、端末装置52に宛てた電子メールを作成し、作成された電子メールをメールサーバ装置43に送信する。この場合、通知部114は、端末装置52からアクセスすることが可能なアクセス先の情報を当該電子メールに含める。当該情報は、例えば、URL(Uniform Resource Locator)であってもよい。
通知部114は、電子メールに含めたアクセス先の情報に該当するWebページを生成し、生成されたWebページの情報をWebサーバ装置42に送信する。通知部114は、当該Webページに、端末装置52に通知する情報を含める。
Webサーバ装置42は、通知部114から送信されたWebページの情報を受信する。Webサーバ装置42は、受信された情報に基づいて、当該Webページを閲覧可能に提供する。本実施形態では、Webサーバ装置42は、端末装置52からのアクセスに応じて、当該Webページを端末装置52に閲覧可能に提供する。
誤検知制御部115は、例えば、それぞれのアラートについて端末装置52から誤検知であることの通知を受ける処理、それぞれのアラートについて端末装置52から誤検知であることの通知を受けた場合に通知元である当該端末装置52について当該アラートに該当する検知ルールによるアラートの通知を停止する処理、当該通知元に対する当該検知ルールによるアラートの通知を再開する処理などを行う。
本実施形態では、誤検知制御部115は、当該検知ルールに対応するアラートルールの内容を書き換えることで、当該アラートの通知を停止すること、あるいは、当該アラートの通知を再開することを制御する。
管理部116では、例えば、検索処理部151が、情報を検索する処理を行う。検索処理部151は、端末装置52において行われる検索を端末装置52の代わりに実行する処理、あるいは、端末装置52において行われる検索を補助する処理を行ってもよい。検索処理部151は、例えば、記憶部111に記憶された情報を用いて、検索の処理を行う。
また、管理部116は、例えば、記憶部111に記憶される検知ルールなどを書き換えて変更する。このような書き換えには、例えば、新たな登録、上書き、および消去が含まれてもよい。
本実施形態では、端末装置52の管理主体と、分析部11によって分析のサービスを提供する管理主体との間で、当該サービスに関する契約が締結されている場合に、当該契約に関して端末装置52の情報が分析部11に設定される。当該情報は、例えば、記憶部111に記憶されてもよい。当該情報は、例えば、端末装置52を特定する情報を含んでもよい。当該情報は、端末装置52の電子メールのアドレスを含んでもよい。
サービスを受けることが可能な分析の範囲は、例えば、データ量、回数、期間などのうちの1以上を用いて設定されてもよい。
管理部116は、端末装置52について現時点で課金されている料金を特定する情報を記憶部111に記憶して管理してもよい。
なお、分析部11によって分析のサービスを提供する管理主体から見ると、当該サービスに関する契約が締結された端末装置52の管理主体は、顧客となる。複数の端末部21〜23の管理主体は、それぞれ、異なる顧客となり得る。
図2は、本発明の一実施形態に係る端末装置52の概略的な構成例を示す図である。なお、図2に示される機能ブロックの構成は、一例であり、他の構成が用いられてもよい。
端末装置52は、入力部211と、出力部212と、操作部213と、表示部214と、通信部215と、記憶部216と、制御部217を備える。
制御部217は、通知受信制御部231と、指示送信制御部232と、検索制御部233を備える。
出力部212は、外部の装置に情報を出力する。
ここで、外部の装置は、任意の装置であってもよい。当該外部の装置は、例えば、持ち運びが可能な記録媒体であってもよい。当該外部の装置は、例えば、印刷装置であってもよい。
操作部213は、ユーザにより行われる操作に対応する情報を入力する。操作部213は、例えば、キーボード、あるいは、マウスなどを含んでもよい。
表示部214は、画面を有し、情報を当該画面に出力する。これにより、当該情報が当該画面に表示される。
通信部215は、ネットワーク31を介した通信を行う。
記憶部216は、各種の情報を記憶する。
制御部217は、端末装置52における各種の制御を行う。
本実施形態では、通知受信制御部231は、メールサーバ装置43からネットワーク31を介して端末装置52に宛てて送信される電子メールを、通信部215によって、受信する。また、通知受信制御部231は、受信された電子メールに記述されているアクセス先のWebページにアクセスし、Webサーバ装置42によって提供される当該Webページの情報を取得する。このアクセスは、例えば、ユーザによって行われる操作部213の操作に応じて行われてもよい。
ログの分析結果の通知の内容は、例えば、ログの分析結果として問題が発生したことを判定したことを通知する情報を含む。このような通知は、アラート(警告)の通知となる。
なお、分析の結果における「問題」は、例えば、「インシデント」あるいは「異常」などと呼ばれてもよい。
本実施形態では、表示部214の画面に表示されるWebページにおいて、ユーザは所定の指示を行うための操作を行うことが可能である。
本実施形態では、このような指示として、ログの分析結果において問題が発生したことが判定された検知について、誤った検知(誤検知)であることを通知する指示が用いられる。
検索制御部233は、例えば、分析装置41の検索処理部151によって行われた検索の処理の結果を受信して提示等してもよい。また、検索制御部233は、例えば、分析装置41の検索処理部151によって補助されて、検索の処理を行ってもよい。また、検索制御部233は、例えば、分析装置41とは独立して、検索の処理を行ってもよい。
図3は、本発明の一実施形態に係るアラート一覧の表示内容2011の一例を示す図である。
表示内容2011は、アラートの一覧を示す。表示内容2011は、端末装置52において、表示部214の画面に表示される。表示内容2011は、例えば、端末装置52ごとに異なり得る。図3の例では、アラートの一覧は、過去に行われたアラートの一覧である。
一例として、表示内容2011は、分析装置41の側で生成されて、分析装置41から端末装置52に提供されてもよい。他の例として、表示内容2011は、分析装置41から端末装置52に提供された情報が記憶部216に記憶された後に、端末装置52において記憶部216に記憶された情報に基づいて生成されてもよい。なお、表示内容2011は、他の情報を含んでもよい。
アラート名称としては、図3の例では、「不審な送信」、「不審な受信」などがある。なお、これらのアラート名称は、説明の便宜上の例示であり、アラート名称としては任意の名称が用いられてもよい。
重要度としては、図3の例では、大きい方から小さい方へ向かって、大、中、小の3段階の重要度がある。
状況は、アラートが取り扱われている状況を表す。本実施形態では、状況としては、「未対応」、「調査中」、「対応済」、「保留」、「対応中」、「抑止」などの状況が用いられている。なお、状況としては、任意の状況が用いられてもよい。
「調査中」は、アラートについて調査が行われている最中であることを表す。
「対応済」は、アラートについて対応が済まされていることを表す。つまり、アラートについて問題が解消したことを表す。
「保留」は、アラートについて対応が保留にされていることを表す。
「対応中」は、アラートについて対応が行われている最中であることを表す。
「抑止」は、アラートについて、当該アラートの通知が抑止されていることを表す。本実施形態では、アラートについて、端末装置52において誤検知が指摘された場合に、分析装置41において「抑止」の状況が設定される。このような設定は、例えば、アラートルールに対して行われる。
なお、アラートの状況を表す各語は、任意の他の語を用いて表されてもよい。
また、アラートの状況は、例えば、端末装置52においてユーザによって行われる操作部213の操作に応じて設定される。設定されたアラートの状況は、端末装置52から分析装置41の通知部114に通知され、管理部116によって管理される。管理部116は、例えば、通知部114によって端末装置52から受信された情報に基づいて、アラートと状況とを対応付ける情報を記憶部111に記憶して管理する。
表示内容2111は、アラートの詳細を示す。表示内容2111は、端末装置52において、表示部214の画面に表示される。表示内容2111は、例えば、端末装置52ごとに異なり得る。
一例として、表示内容2111は、分析装置41の側で生成されて、分析装置41から端末装置52に提供されてもよい。他の例として、表示内容2111は、分析装置41から端末装置52に提供された情報が記憶部216に記憶された後に、端末装置52において記憶部216に記憶された情報を用いて生成されてもよい。なお、表示内容2111は、他の情報を含んでもよい。
図4の例では、属性領域2121の枠と、対応状況領域2122の枠と、内容領域2123の枠が、1画面で表示されている。なお、これらの領域の名称、配置などは、任意であってもよい。
属性領域2121には、表示対象となる1個のアラートの属性が示される。図4の例では、属性領域2121には、日時、アラート名称、重要度、状況が示されている。なお、重要度あるいは状況などのうちの1以上に応じて、情報の表示の色が切り替えられてもよい。
対応状況領域2122には、複数の対応状況のなかから任意の対応状況を選択することが可能な情報が示される。
内容領域2123には、アラートあるいはアラートを発生させたログなどについて、詳しい情報が示される。
「誤検知」は、表示されているアラートについて、誤った検知であることを端末装置52から分析装置41に通知するための指示を受け付ける項目である。
「対象外」は、表示されているアラートについて、検知の対象外であることを端末装置52から分析装置41に通知するための指示を受け付ける項目である。
なお、本実施形態では、「誤検知」が選択されたアラートには分析装置41において自動的に「抑止」の状況が設定される。このため、本実施形態では、ユーザは「抑止」の状況を選択することはできない。他の例として、端末装置52において、ユーザが「抑止」の状況を選択することができる構成が用いられてもよい。
また、本実施形態では、「対象外」が選択されたアラートには分析装置41において自動的に「抑止」の状況が設定される。
本実施形態では、「誤検知」と「対象外」とは類似するところもあるが、別のものとして設けられている。なお、「対象外」は設けられなくてもよい。
なお、本実施形態では、対応状況領域2122において、初期のデフォルトでは、「未対応」が選択されているが、他の対応状況が選択されていてもよい。
対応状況領域2122には、決定のボタン2131も表示される。ユーザによって行われる操作部213の操作に基づいて、当該ボタン2131が押下されると、選択されている対応状況を特定する情報が、指示送信制御部232によって端末装置52から分析装置41に送信される。
分析装置41では、通知部114が端末装置52から送信された情報を受信し、管理部116が受信された情報を管理する。
分析装置41では、端末装置52から受信された情報が「誤検知」を示す場合には、誤検知制御部115が当該誤検知に係るアラートを発生させる検知ルールによるアラートの通知を一定期間停止させる。当該一定期間は、任意の期間であってもよく、例えば、1か月などであってもよい。
本実施形態では、分析装置41において、このようなアラートの通知の停止は、ユーザによって「誤検知」が選択された端末装置52に対して行われ、他の端末装置に対しては行われない。つまり、同じ検知ルールであっても、当該検知ルールが誤検知となる端末装置52のみについて、当該検知ルールによるアラートの通知が停止させられる。
なお、本実施形態では、アラートの通知が無効である状態を「抑止」の状態とも呼んでいる。
そして、分析装置41において、誤検知制御部115は、無効の停止期間が経過したアラートの通知があると判定した場合には、当該アラートの通知を再び有効にして、適用が停止させられていた端末装置52に当該アラートの通知を再び適用する。
他の例として、誤検知が指摘された検知ルールに対応するアラートの通知が再開されたときに適用される当該検知ルールとしては、アラートの通知が停止させられる前の検知ルールに対して改善されるように変更された検知ルールが用いられてもよい。このような検知ルールの変更は、例えば、分析装置41の側において、アナリストなどの人の思考に基づいて手動で行われてもよく、あるいは、機械学習(Machine Learning)などのAI(Artificial Intelligence)を用いて行われてもよく、あるいは、あらかじめ定められた変更の規則に基づいて分析装置41において自動的に行われてもよい。例えば、誤検知制御部115は、端末装置52において「誤検知」が選択された場合に、その旨を所定の人に通知してもよい。このような通知は、任意の手法によって行われてもよく、例えば、画面表示、音声出力、紙面に印刷、電子メールの送信などのうちの1以上の手法が用いられてもよい。
分析装置41あるいは他の装置に、検知ルールの変更に関する処理を行う機能部(本実施形態では、説明の便宜上、「ルール処理部」ともいう。)が備えられてもよい。
例えば、ルール処理部は、誤検知と判定された検知ルールと、アナリストによる当該検知ルールの変更結果と、が大量に取得されたデータに基づいて、当該データと顧客情報とを組み合わせてAIで学習させた結果を取得する。そして、ルール処理部は、このような学習の結果を用いて、アナリストと同様な検知ルールの変更処理を自動的に行ってもよい。
例えば、AIが変更した検知ルールをアナリストが確認してもよい。
例えば、ルール処理部は、AIによって、アナリストにより新たに作成または変更された検知ルールを確認してもよい。
または、分析装置41は、検知ルールに基づいて端末装置52に対する攻撃を正しく検知しているが、当該攻撃が狙う対象のツールが端末装置52などの顧客環境において使用されていない場合には、アラートの情報を端末装置52に通知するときに、「誤検知」の選択を推奨する旨、および「誤検知」の選択を推奨する理由を端末装置52に通知してもよい。この場合、端末装置52では、ユーザが、このような通知の内容を見て、「誤検知」を選択するか否かを決定する。
ここで、分析装置41において検知ルールに基づいて攻撃を正しく検知しているが、当該攻撃が狙う対象のツールが端末装置52などの顧客環境において使用されていない場合として、例えば、顧客環境において、SQLサーバが使用されていないときに、SQLインジェクションの攻撃がされて、ログ検出装置51から分析装置41にSQLインジェクションアラートが送られてきた場合がある。
分析装置41では、端末装置52から受信された情報が「対象外」を示す場合には、誤検知制御部115が当該対象外に係るアラートを発生させる検知ルールによるアラートの通知を停止させる。
本実施形態では、分析装置41において、このようなアラートの通知の停止は、「対象外」が選択された端末装置52に対して行われ、他の端末装置に対しては行われない。つまり、同じ検知ルールであっても、当該検知ルールによるアラートの通知が対象外となる端末装置52について、当該アラートの通知が停止させられる。
分析装置41において、誤検知制御部115は、記憶部111に記憶される検知ルールについて、端末装置52ごとに、対象外であるか否かを特定する情報を記憶部111に記憶してもよい。当該情報としては、例えば、アラートルールの情報が用いられてもよい。
または、分析装置41は、アラートの情報を端末装置52に通知するときに、「対象外」を推奨する旨、および「対象外」を推奨する理由を端末装置52に通知してもよい。この場合、端末装置52では、ユーザが、このような通知の内容を見て、「対象外」を選択するか否かを決定する。
なお、他の例として、あるアラートについて、端末装置52のユーザによって「誤検知」が指定されたが「対象外」に該当する可能性があると分析装置41またはアナリストなどの人によって判定(判断)された場合には、分析装置41によってユーザに対して「誤検知」を「対象外」に変更するか否かを確認した後に、当該ユーザの許可があったことに応じて変更を行う、構成が用いられてもよい。
表示内容2211は、アラートの検索を行う画面の内容である。表示内容2211は、端末装置52において、表示部214の画面に表示される。表示内容2211は、例えば、端末装置52ごとに異なり得る。
一例として、表示内容2211は、分析装置41の側で生成されて、分析装置41から端末装置52に提供されてもよい。他の例として、表示内容2211は、分析装置41から端末装置52に提供された情報が記憶部216に記憶された後に、端末装置52において記憶部216に記憶された情報に基づいて生成されてもよい。なお、表示内容2211は、他の情報を含んでもよい。
重要度は、大きい方から小さい方へ向かって、大、中、小の3段階で指定される。複数の異なる重要度が指定されてもよい。
センサの種別は、個別のセンサの名称などを用いて指定される。複数の異なるセンサが指定されてもよい。
対応状況は、複数の項目のうちから指定される。2以上の異なる項目が指定されてもよい。図5の例では、対応状況として、「未対応」、「調査中」、「対応済」、「保留」、「対応中」、「誤検知」、「抑止」、「対象外」がある。
表示内容2211には、検索のボタン2221も表示される。ユーザによって行われる操作部213の操作に基づいて、当該ボタン2221が押下されると、選択されている検索条件を特定する情報が、端末装置52から分析装置41に送信される。
本実施形態では、端末装置52では、検索制御部233がアラートの検索について全体的な制御を行う。
本実施形態では、ログ分析のサービスにおいて、端末装置52と分析装置41とは、オンデマンドで処理を実行してもよい。例えば、端末装置52から発せられる要求に応じて、分析装置41によって当該要求を満たすための処理を実行してもよい。
本実施形態では、端末装置52において、専用のツール(説明の便宜上、「専用ツール」ともいう。)が用いられてもよい。つまり、端末装置52が備える機能の一部または全部が、専用ツールを用いて構成されてもよい。専用ツールは、例えば、プログラムなどのソフトウェアであってもよい。
例えば、端末装置52において、通知受信制御部231、指示送信制御部232、検索制御部233のうちの1以上の機能が、専用ツールの機能として構成されてもよい。専用ツールは、例えば、分析部11の管理主体などによって、有償または無償で、配布されてもよい。管理ツールは、例えば、端末装置52にインストールされて機能を発揮する。
図6は、本発明の一実施形態に係る端末装置52において行われる処理の手順の一例を示す図である。
図6の例では、端末装置52において、アラートの通知を受けた場合に、対応状況が選択される。
端末装置52において、通知受信制御部231は、分析装置41から送信されるアラートの通知を受信する。そして、ステップS2の処理へ移行する。
端末装置52において、通知受信制御部231は、受信されたアラートの通知を表示する。本例では、端末装置52において、アラート一覧の表示内容2011が表示された後に、ユーザの操作によって、アラート詳細の表示内容2111が表示されたとする。そして、ステップS3の処理へ移行する。
端末装置52において、指示送信制御部232は、ユーザによって対応状況を選択する操作があったか否かを判定する。図4の例では、当該操作は、対応状況が指定された状態での決定のボタン2131の押下である。
この結果、端末装置52において、指示送信制御部232は、ユーザによって対応状況を選択する操作があったと判定した場合には(ステップS3:YES)、ステップS4の処理へ移行する。
一方、端末装置52において、指示送信制御部232は、ユーザによって対応状況を選択する操作がなかったと判定した場合には(ステップS3:NO)、本フローの処理を終了する。
端末装置52において、指示送信制御部232は、ユーザによって行われた操作によって受け付けられた対応状況の選択の指示を特定する情報を分析装置41に送信する。そして、本フローの処理を終了する。
図7の例では、分析装置41において、ログの分析を行う。
分析装置41において、取得部112が、受信部131によって、ログ検出装置51から送信されたログを受信して、取得する。本実施形態では、このようなログの受信は、常時行われる。そして、ステップS22の処理へ移行する。
分析装置41において、分析実行部113が、受信されたログについて、分析条件に基づいて分析を行う。分析実行部113は、例えば、所定の検知ルールに適合するログについて、問題があるログとして判定する。そして、ステップS23の処理へ移行する。
分析装置41において、通知部114は、分析実行部113によって行われた分析の結果の情報を端末装置52に通知する。そして、本フローの処理を終了する。
なお、本実施形態では、アラートルールに基づいて、通知が必要なアラートは通知部114から端末装置52に通知され、通知が不要なアラートは通知部114から端末装置52に通知されない。
図8の例では、分析装置41において、「誤検知」の選択に関する処理を行う。なお、本実施形態では、「対象外」の選択に関する処理についても、「誤検知」の選択に関する処理と同様であってもよい。
分析装置41において、管理部116が、端末装置52においてアラートについて「誤検知」が選択されたことの通知を受信する。そして、ステップS42の処理へ移行する。
分析装置41において、誤検知制御部115は、「誤検知」が選択された端末装置52である通知元について、「誤検知」が選択されたアラートを発生する検知ルールによるアラートの通知を停止させる。本例では、当該アラートの停止期間が設定されているとする。そして、ステップS43の処理へ移行する。
本実施形態では、例えば、多数の端末装置52に共通な検知ルールのうち、「誤検知」が選択された端末装置52について当該検知ルールによるアラートの通知が停止させられる。
分析装置41において、誤検知制御部115は、停止中のアラートの通知について、停止期間が経過したか否かを判定する。
この結果、分析装置41において、誤検知制御部115は、停止中のアラートの通知について、停止期間が経過したことを判定した場合(ステップS43:YES)、ステップS44の処理へ移行する。
一方、分析装置41において、誤検知制御部115は、停止中のアラートの通知について、停止期間が経過していないことを判定した場合(ステップS43:NO)、ステップS43の処理を繰り返して行う。
分析装置41において、誤検知制御部115は、停止中のアラートの通知について、停止期間が経過したことを判定した場合、該当する端末装置52について当該アラートの通知を再開させる。そして、本フローの処理を終了する。
図9の例では、分析装置41において、検知ルールの変更に関する処理を行う。
本実施形態では、分析装置41において、アナリストなどによる指示に応じて、管理部116が記憶部111に記憶された検知ルールを変更し得る場合を示す。なお、他の例として、分析装置41の記憶部111に記憶された検知ルールの変更が、分析装置41とは別の装置からのアクセスによって行われる構成が用いられてもよい。
分析装置41において、管理部116が、端末装置52から「誤検知」の選択の通知が受信されたアラートについて、該当する検知ルールの変更を行う指示を受け付けたか否かを判定する。本例では、当該指示は、例えば、アナリストなどの人によって分析装置41に与えられる指示であってもよく、あるいは、分析装置41などの装置によって自動的に与えられる指示であってもよい。
この結果、分析装置41において、管理部116は、当該検知ルールの変更を行う指示を受け付けたことを判定した場合(ステップS61:YES)、ステップS62の処理へ移行する。
一方、分析装置41において、管理部116は、当該検知ルールの変更を行う指示を受け付けていないと判定した場合(ステップS61:NO)、本フローの処理を終了する。
分析装置41において、管理部116は、受け付けられた指示にしたがって、該当する検知ルールを変更する。そして、本フローの処理を終了する。
なお、他の例として、ある端末装置52において「誤検知」が指摘されたアラートを発生させる検知ルールが、当該端末装置52のみについて変更されてもよい。
本実施形態では、アラートと検知ルールとが1対1に対応しているとして説明した。そして、検知ルールとアラートとアラートルールとが、1対1対1で対応するとして説明した。この場合、アラートとアラートルールとの対応と、当該アラートと検知ルールとの対応に基づいて、当該検知ルールと通知の有効/無効の状況(アラートルールの内容)との対応が特定される。同様に、検知ルールとアラートルールとの対応と、当該検知ルールとアラートとの対応に基づいて、当該アラートと通知の有効/無効の状況(アラートルールの内容)との対応が特定される。本実施形態に係る分析システム1では、検知ルールとアラートとアラートルールとの対応が管理されることで、当該検知ルールに対応するアラートの通知の有効/無効の状況を管理している。
図10は、本発明の一実施形態に係る情報処理装置4001のハードウェア構成の一例を示す図である。
本実施形態における端末装置52あるいは分析装置41などとして、図10に示されるようなハードウェア構成を有する情報処理装置4001が使用されてもよい。
操作部4012は、キーボード、マウスなどのうちの1以上の入力装置を備え、ユーザ(人)により行われる操作を受け付ける。
表示部4013は、画面を有しており、情報を当該画面に表示出力する。
メモリ4015は、揮発性の記憶部であり、RAM(Random Access Memory)などから構成されており、情報を一時的に記憶する。RAMとしては、例えば、DRAM(Dynamic Random Access Memory)が用いられてもよい。
記憶装置4014あるいはメモリ4015は、例えば、プロセッサ4011により実行されるプログラムの情報を記憶してもよい。
ネットワークインターフェイス4017は、外部のネットワークと接続するインターフェイスである。
以上のように、本実施形態に係る分析システム1では、複数の異なる顧客の組織のうちの特定の組織に誤検知が発生した場合に、効率的に対処することが可能である。本実施形態に係る分析システム1では、端末装置52のユーザは、簡易な操作によって、誤検知が継続されることを抑止することができる。
例えば、検知ルールの設計者は、ユーザから与えられる誤検知に関するフィードバックの情報を得ることができる。そして、検知ルールの設計者は、例えば、検知ルールによるアラートの通知の抑止の期間中に、当該検知ルールの見直しを行うことができる。例えば、検知ルールの設計者は、フィードバックされた情報に基づいて、手動で改善された検知ルールを生成してもよい。例えば、検知ルールの設計者は、フィードバックされた情報を機械学習器に機械学習させることで、改善された検知ルールを機械学習器によって生成してもよい。これにより、例えば、誤検知が削減される。
本実施形態に係る分析システム1では、それぞれの顧客ごとに、必ずしもカスタムルールが作成されなくてもよくなる。なお、本実施形態に係る分析システム1においても、それぞれの顧客ごとに、カスタムルールが作成されてもよい。
例えば、抑止されたアラートの回数によって、無駄なアラートの通知を防ぐことができた回数を確認することができる。
例えば、抑止されたアラートが全くない場合、あるいは、1か月に1件以下などのように少ない場合には、当該アラートの発生の原因となる攻撃通信が減ったこと、あるいは検知ルールの改善などによって、「誤検知」のアラートが減ったことを確認することができる。
すなわち、システムでは、顧客のログを取得し、当該顧客のログが所定の条件を満たすか否かを判定する。システムでは、当該顧客のログが当該所定の条件を満たすと判定された場合に、当該顧客に対して所定の情報を送信する。当該所定の情報は、当該顧客から所定の指示を受け付けることが可能である。そして、システムでは、当該顧客から当該所定の指示が受け付けられた場合に、当該顧客について当該所定の情報の通知を無効(抑止の状況)にする。なお、システムとしては、分析システム1ばかりでなく、監視システムなどと呼ばれてもよい。
一構成例として、分析装置(本実施形態では、分析装置41)において、第1端末装置(本実施形態では、端末装置52)に関する対象情報(本実施形態では、ログ)を取得する取得部(本実施形態では、取得部112の機能)と、取得部によって取得された対象情報が第1条件(本実施形態では、検知ルール)を満たすか否かを判定する分析実行部(本実施形態では、分析実行部113の機能)と、分析実行部によって対象情報が第1条件を満たすことを判定した場合、第1情報(本実施形態では、アラートの情報)を第1端末装置に通知する通知部(本実施形態では、通知部114の機能)と、通知部によって通知された第1情報に対して第1端末装置から第2情報(本実施形態では、「誤検知」の情報、あるいは、「対象外」の情報)を受け付ける情報受付部(本実施形態では、通知部114の機能)と、第1情報に対して第1端末装置から第2情報が受け付けられた場合に、第1端末装置に対する第1情報の通知を抑制する通知抑制部(本実施形態では、誤検知制御部115の機能)と、を備える。
一構成例として、分析装置において、通知抑制部は、第1端末装置について、第1条件による第1情報の通知を所定の期間停止させ、当該所定の期間が経過した後に第1条件(本実施形態では、停止前と同じであってもよく、あるいは、変更されていてもよい。)による第1情報の通知を再開させる。
一構成例として、分析装置において、第1条件を変更する変更部(本実施形態では、管理部116)を備える。
一構成例として、分析装置において、第1条件による第1情報の通知の状況を管理する管理部(本実施形態では、管理部116)を備え、状況は、少なくとも、抑止されているという状況を含み、第1情報は、通知の状況を用いて検索されることが可能である。
一構成例として、分析装置において、通知抑制部は、第1端末装置に対する第1情報の通知を抑制することを特定する第2条件(本実施形態では、アラートルール)に基づいて、第1端末装置に対する第1情報の通知を抑制する。
一構成例として、分析装置において、対象情報は、セキュリティに関するログである。
本実施形態では、分析の対象とするログとして、セキュリティセンサのログが用いられる場合を示した。セキュリティセンサのログとしては、例えば、FW(FireWall)、NGFW(New Generation FireWall)、IPS(Intrusion prevention system)、IDS(Intrusion Detection System)、UTM(Unified Threat Managemant)、WAF(Web Application FireWall)などのログがある。
他の例として、ログを検出する装置は、通過させてはいけない通信を阻止するファイアウォール(FW)の装置であってもよい。例えば、当該装置は、不正に関係する可能性があるログと、不正に関係しないログとの両方を検出してもよい。
なお、一般に、IPSとファイアウォールとを比較すると、ファイアウォールでは通過した信号についてのログもあるためデータ量が多大になり易く、IPSの方が、問題のある可能性があるログの密度が高いといえる。
認証ログとしては、例えば、Active Directory、BIND(Berkeley Internet Name Domain)、DNS(Domain Name System)などのログがある。
エラーログとしては、例えば、WinEvtなどのログがある。
端末スキャンログとしては、アンチウィルス、EDR(Endpoint Detection and Response)などのログがある。
通信ログとしては、Proxy、mail、Fileアクセス、データベース(DB:DataBase)アクセスなどのログがある。
プログラム稼働ログとしては、例えば、bootログ、dmesgなどのログがある。
アプリケーション動作ログとしては、例えば、イベントログ、固有ログなどのログがある。
ログ以外の情報としては、例えば、オペレーティングシステム(OS:Operating System)の設定の情報がある。
OSの設定の情報としては、例えば、レジストリの情報などがある。
また、例えば、Webの閲覧の履歴、操作の履歴、あるいは、ログインの履歴などが用いられてもよい。
なお、ログ検出装置は、例えば、端末装置52の外部に備えられてもよく、あるいは、端末装置52の内部の機能として備えられてもよい。
なお、ここでいう「コンピュータシステム」とは、オペレーティングシステムあるいは周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM(Read Only Memory)、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに、「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークあるいは電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えば、DRAM)のように、一定時間プログラムを保持しているものも含む。
また、上記のプログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)あるいは電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記のプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、上記のプログラムは、前述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
Claims (28)
- 第1端末装置に関する対象情報を取得する取得部と、
前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、
前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、
前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、
を備え、
前記通知抑制部は、前記第1端末装置について、前記第1条件による前記第1情報の通知を所定の期間停止させ、前記所定の期間が経過した後に前記第1条件による前記第1情報の通知を再開させる、
分析装置。 - 第1端末装置に関する対象情報を取得する取得部と、
前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、
前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、
前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、
前記第1条件による前記第1情報の通知の状況を管理する管理部と、
を備え、
前記状況は、少なくとも、抑止されているという状況を含み、
前記第1情報は、前記通知の状況を用いて検索されることが可能である、
分析装置。 - 第1端末装置に関する対象情報を取得する取得部と、
前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、
前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、
前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、
を備え、
前記通知抑制部は、前記第1端末装置に対する前記第1情報の通知を抑制することを特定する第2条件に基づいて、前記第1端末装置に対する前記第1情報の通知を抑制する、
分析装置。 - 第1端末装置に関する対象情報を取得する取得部と、
前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、
前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、
前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、
を備え、
前記対象情報は、セキュリティに関するログである、
分析装置。 - 前記第1条件は、問題を検知するルールであり、
前記第1情報は、前記問題に対応するアラートの情報であり、
前記第2情報は、前記アラートについて誤りがあることを指示する情報である、
請求項1から請求項4のいずれか1項に記載の分析装置。 - 前記第1条件を変更する変更部を備える、
請求項1から請求項5のいずれか1項に記載の分析装置。 - セキュリティに関するログを対象情報とし端末装置に関する前記対象情報を検出して前記対象情報を分析装置に送信する検出装置を有する前記端末装置に関する前記対象情報が前記分析装置によって第1条件を満たすことが判定された場合に前記分析装置から通知される前記セキュリティに関する第1情報の通知を受信する通知受信制御部と、
前記通知受信制御部によって受信された前記第1情報に対して前記セキュリティに関する所定の指示を受け付ける指示受付部と、
前記第1情報に対して前記指示が受け付けられた場合に、前記端末装置に対する前記セキュリティに関する前記第1情報の通知を抑制する指示を含む第2情報を前記分析装置に送信する指示送信制御部と、
を備える前記端末装置。 - 前記第1条件は、問題を検知するルールであり、
前記第1情報は、前記問題に対応するアラートの情報であり、
前記第2情報は、前記アラートについて誤りがあることを指示する情報である、
請求項7に記載の端末装置。 - 第1端末装置と、分析装置と、を備える分析システムであって、
前記分析装置は、前記第1端末装置に関する対象情報を取得する取得部と、
前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、
前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、
前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、
を備え、
前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信する通知受信制御部と、
前記通知受信制御部によって受信された前記第1情報に対して所定の指示を受け付ける指示受付部と、
前記第1情報に対して前記指示が受け付けられた場合に、前記第2情報を前記分析装置に送信する指示送信制御部と、
を備え、
前記通知抑制部は、前記第1端末装置について、前記第1条件による前記第1情報の通知を所定の期間停止させ、前記所定の期間が経過した後に前記第1条件による前記第1情報の通知を再開させる、
分析システム。 - 第1端末装置と、分析装置と、を備える分析システムであって、
前記分析装置は、前記第1端末装置に関する対象情報を取得する取得部と、
前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、
前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、
前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、
前記第1条件による前記第1情報の通知の状況を管理する管理部と、
を備え、
前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信する通知受信制御部と、
前記通知受信制御部によって受信された前記第1情報に対して所定の指示を受け付ける指示受付部と、
前記第1情報に対して前記指示が受け付けられた場合に、前記第2情報を前記分析装置に送信する指示送信制御部と、
を備え、
前記状況は、少なくとも、抑止されているという状況を含み、
前記第1情報は、前記通知の状況を用いて検索されることが可能である、
分析システム。 - 第1端末装置と、分析装置と、を備える分析システムであって、
前記分析装置は、前記第1端末装置に関する対象情報を取得する取得部と、
前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、
前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、
前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、
を備え、
前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信する通知受信制御部と、
前記通知受信制御部によって受信された前記第1情報に対して所定の指示を受け付ける指示受付部と、
前記第1情報に対して前記指示が受け付けられた場合に、前記第2情報を前記分析装置に送信する指示送信制御部と、
を備え、
前記通知抑制部は、前記第1端末装置に対する前記第1情報の通知を抑制することを特定する第2条件に基づいて、前記第1端末装置に対する前記第1情報の通知を抑制する、
分析システム。 - 第1端末装置と、分析装置と、を備える分析システムであって、
前記分析装置は、前記第1端末装置に関する対象情報を取得する取得部と、
前記取得部によって取得された前記対象情報が第1条件を満たすか否かを判定する分析実行部と、
前記分析実行部によって前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する通知部と、
前記通知部によって通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける情報受付部と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する通知抑制部と、
を備え、
前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信する通知受信制御部と、
前記通知受信制御部によって受信された前記第1情報に対して所定の指示を受け付ける指示受付部と、
前記第1情報に対して前記指示が受け付けられた場合に、前記第2情報を前記分析装置に送信する指示送信制御部と、
を備え、
前記対象情報は、セキュリティに関するログである、
分析システム。 - 前記第1条件は、問題を検知するルールであり、
前記第1情報は、前記問題に対応するアラートの情報であり、
前記第2情報は、前記アラートについて誤りがあることを指示する情報である、
請求項9から請求項12のいずれか1項に記載の分析システム。 - 前記分析装置は、前記第1条件を変更する変更部を備える、
請求項9から請求項13のいずれか1項に記載の分析システム。 - 第1端末装置と、分析装置と、を備える分析システムにおける分析方法であって、
前記分析装置は、前記第1端末装置に関する対象情報を取得し、取得された前記対象情報が第1条件を満たすか否かを判定し、前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知し、
前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信し、受信された前記第1情報に対して所定の指示が受け付けられた場合に、第2情報を前記分析装置に送信し、
前記分析装置は、前記第1端末装置から第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制し、
前記分析装置は、前記通知の抑制として、前記第1端末装置について、前記第1条件による前記第1情報の通知を所定の期間停止させ、前記所定の期間が経過した後に前記第1条件による前記第1情報の通知を再開させる、
分析方法。 - 第1端末装置と、分析装置と、を備える分析システムにおける分析方法であって、
前記分析装置は、前記第1端末装置に関する対象情報を取得し、取得された前記対象情報が第1条件を満たすか否かを判定し、前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知し、
前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信し、受信された前記第1情報に対して所定の指示が受け付けられた場合に、第2情報を前記分析装置に送信し、
前記分析装置は、前記第1端末装置から第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制し、
前記分析装置は、前記第1条件による前記第1情報の通知の状況を管理し、
前記状況は、少なくとも、抑止されているという状況を含み、
前記第1情報は、前記通知の状況を用いて検索されることが可能である、
分析方法。 - 第1端末装置と、分析装置と、を備える分析システムにおける分析方法であって、
前記分析装置は、前記第1端末装置に関する対象情報を取得し、取得された前記対象情報が第1条件を満たすか否かを判定し、前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知し、
前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信し、受信された前記第1情報に対して所定の指示が受け付けられた場合に、第2情報を前記分析装置に送信し、
前記分析装置は、前記第1端末装置から第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制し、
前記分析装置は、前記通知の抑制として、前記第1端末装置に対する前記第1情報の通知を抑制することを特定する第2条件に基づいて、前記第1端末装置に対する前記第1情報の通知を抑制する、
分析方法。 - 第1端末装置と、分析装置と、を備える分析システムにおける分析方法であって、
前記分析装置は、前記第1端末装置に関する対象情報を取得し、取得された前記対象情報が第1条件を満たすか否かを判定し、前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知し、
前記第1端末装置は、前記分析装置から通知される前記第1情報の通知を受信し、受信された前記第1情報に対して所定の指示が受け付けられた場合に、第2情報を前記分析装置に送信し、
前記分析装置は、前記第1端末装置から第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制し、
前記対象情報は、セキュリティに関するログである、
分析方法。 - 前記第1条件は、問題を検知するルールであり、
前記第1情報は、前記問題に対応するアラートの情報であり、
前記第2情報は、前記アラートについて誤りがあることを指示する情報である、
請求項15から請求項18のいずれか1項に記載の分析方法。 - 前記分析装置は、前記第1条件を変更する、
請求項15から請求項19のいずれか1項に記載の分析方法。 - 分析装置を構成するコンピュータに、
第1端末装置に関する対象情報を取得する機能と、
取得された前記対象情報が第1条件を満たすか否かを判定する機能と、
前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する機能と、
通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける機能と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する機能と、
を実現させるためのプログラムであって、
前記通知を抑制する機能は、前記第1端末装置について、前記第1条件による前記第1情報の通知を所定の期間停止させ、前記所定の期間が経過した後に前記第1条件による前記第1情報の通知を再開させる、
プログラム。 - 分析装置を構成するコンピュータに、
第1端末装置に関する対象情報を取得する機能と、
取得された前記対象情報が第1条件を満たすか否かを判定する機能と、
前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する機能と、
通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける機能と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する機能と、
前記第1条件による前記第1情報の通知の状況を管理する機能と、
を実現させるためのプログラムであって、
前記状況は、少なくとも、抑止されているという状況を含み、
前記第1情報は、前記通知の状況を用いて検索されることが可能である、
プログラム。 - 分析装置を構成するコンピュータに、
第1端末装置に関する対象情報を取得する機能と、
取得された前記対象情報が第1条件を満たすか否かを判定する機能と、
前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する機能と、
通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける機能と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する機能と、
を実現させるためのプログラムであって、
前記通知を抑制する機能は、前記第1端末装置に対する前記第1情報の通知を抑制することを特定する第2条件に基づいて、前記第1端末装置に対する前記第1情報の通知を抑制する、
プログラム。 - 分析装置を構成するコンピュータに、
第1端末装置に関する対象情報を取得する機能と、
取得された前記対象情報が第1条件を満たすか否かを判定する機能と、
前記対象情報が前記第1条件を満たすことを判定した場合、第1情報を前記第1端末装置に通知する機能と、
通知された前記第1情報に対して前記第1端末装置から第2情報を受け付ける機能と、
前記第1情報に対して前記第1端末装置から前記第2情報が受け付けられた場合に、前記第1端末装置に対する前記第1情報の通知を抑制する機能と、
を実現させるためのプログラムであって、
前記対象情報は、セキュリティに関するログである、
プログラム。 - 前記第1条件は、問題を検知するルールであり、
前記第1情報は、前記問題に対応するアラートの情報であり、
前記第2情報は、前記アラートについて誤りがあることを指示する情報である、
請求項21から請求項24のいずれか1項に記載のプログラム。 - さらに、前記第1条件を変更する機能を実現させるためのプログラムである、
請求項21から請求項25のいずれか1項に記載のプログラム。 - セキュリティに関するログを対象情報とし端末装置に関する前記対象情報を検出して前記対象情報を分析装置に送信する検出装置を有する前記端末装置を構成するコンピュータに、
前記端末装置に関する前記対象情報が前記分析装置によって第1条件を満たすことが判定された場合に前記分析装置から通知される前記セキュリティに関する第1情報の通知を受信する機能と、
受信された前記第1情報に対して前記セキュリティに関する所定の指示を受け付ける機能と、
前記第1情報に対して前記指示が受け付けられた場合に、前記端末装置に対する前記セキュリティに関する前記第1情報の通知を抑制する指示を含む第2情報を前記分析装置に送信する機能と、
を実現させるためのプログラム。 - 前記第1条件は、問題を検知するルールであり、
前記第1情報は、前記問題に対応するアラートの情報であり、
前記第2情報は、前記アラートについて誤りがあることを指示する情報である、
請求項27に記載のプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018180914A JP6517416B1 (ja) | 2018-09-26 | 2018-09-26 | 分析装置、端末装置、分析システム、分析方法およびプログラム |
PCT/JP2019/036536 WO2020066785A1 (ja) | 2018-09-26 | 2019-09-18 | 分析装置、端末装置、分析システム、分析方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018180914A JP6517416B1 (ja) | 2018-09-26 | 2018-09-26 | 分析装置、端末装置、分析システム、分析方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6517416B1 true JP6517416B1 (ja) | 2019-05-22 |
JP2020052688A JP2020052688A (ja) | 2020-04-02 |
Family
ID=66625460
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018180914A Active JP6517416B1 (ja) | 2018-09-26 | 2018-09-26 | 分析装置、端末装置、分析システム、分析方法およびプログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6517416B1 (ja) |
WO (1) | WO2020066785A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230062678A1 (en) * | 2020-01-30 | 2023-03-02 | Isuzu Motors Limited | Notification device |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5877530B1 (ja) * | 2014-09-03 | 2016-03-08 | 三菱電機株式会社 | 通知システム及び通知方法 |
CN104766014B (zh) * | 2015-04-30 | 2017-12-01 | 安一恒通(北京)科技有限公司 | 用于检测恶意网址的方法和系统 |
US9888024B2 (en) * | 2015-09-30 | 2018-02-06 | Symantec Corporation | Detection of security incidents with low confidence security events |
-
2018
- 2018-09-26 JP JP2018180914A patent/JP6517416B1/ja active Active
-
2019
- 2019-09-18 WO PCT/JP2019/036536 patent/WO2020066785A1/ja active Application Filing
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230062678A1 (en) * | 2020-01-30 | 2023-03-02 | Isuzu Motors Limited | Notification device |
Also Published As
Publication number | Publication date |
---|---|
WO2020066785A1 (ja) | 2020-04-02 |
JP2020052688A (ja) | 2020-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110140125B (zh) | 安全性与合规性环境中的威胁情报管理的方法、服务器和计算机可读存储器设备 | |
US12050715B2 (en) | Live discovery of enterprise threats based on security query activity | |
US9639702B1 (en) | Partial risk score calculation for a data object | |
US12095778B2 (en) | Streaming and filtering event objects into a data lake | |
US9507936B2 (en) | Systems, methods, apparatuses, and computer program products for forensic monitoring | |
US8347382B2 (en) | Malicious software prevention using shared information | |
US20170243008A1 (en) | Threat response systems and methods | |
US20180007071A1 (en) | Collaborative investigation of security indicators | |
US20230275911A1 (en) | Consumer Threat Intelligence Service | |
CN109644197B (zh) | 支持跨多个操作环境的异常检测的检测字典系统 | |
EP3679504B1 (en) | Adaptive online data activity protection | |
WO2023064007A1 (en) | Augmented threat investigation | |
JP4705962B2 (ja) | データ機密制御システム | |
JP6517416B1 (ja) | 分析装置、端末装置、分析システム、分析方法およびプログラム | |
JP5341695B2 (ja) | 情報処理システム、情報処理方法、およびプログラム | |
JP6636605B1 (ja) | 履歴監視方法、監視処理装置および監視処理プログラム | |
JP4907241B2 (ja) | サーバ装置、サーバ装置の情報管理方法、サーバ装置の情報管理プログラム、クライアント装置、クライアント装置の情報管理方法、クライアント装置の情報管理プログラム、情報管理システムおよび情報管理システムの情報管理方法 | |
JP2012173991A (ja) | 盗難状態判定端末及び盗難状態判定プログラム | |
JP6606222B1 (ja) | ログ情報収集分析システム | |
JP2009026228A (ja) | データ機密制御システム | |
Haney et al. | Smart home updates: User perceptions and experiences | |
US12101334B2 (en) | Augmented threat detection using an attack matrix and data lake queries | |
JP2008225830A (ja) | 情報管理システム及び端末装置及び情報管理方法及びプログラム | |
WO2020066783A1 (ja) | 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム | |
JP2023054869A (ja) | 情報処理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180926 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20180926 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181206 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20181220 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190108 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190308 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190319 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190417 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6517416 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |