JP6824151B2 - インシデント対応支援装置 - Google Patents
インシデント対応支援装置 Download PDFInfo
- Publication number
- JP6824151B2 JP6824151B2 JP2017248921A JP2017248921A JP6824151B2 JP 6824151 B2 JP6824151 B2 JP 6824151B2 JP 2017248921 A JP2017248921 A JP 2017248921A JP 2017248921 A JP2017248921 A JP 2017248921A JP 6824151 B2 JP6824151 B2 JP 6824151B2
- Authority
- JP
- Japan
- Prior art keywords
- incident
- response
- unit
- procedure
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000004044 response Effects 0.000 title claims description 115
- 238000000034 method Methods 0.000 claims description 147
- 238000000605 extraction Methods 0.000 claims description 64
- 230000008569 process Effects 0.000 claims description 33
- 230000009471 action Effects 0.000 claims description 30
- 238000012544 monitoring process Methods 0.000 claims description 21
- 238000001514 detection method Methods 0.000 claims description 16
- 239000000284 extract Substances 0.000 claims description 4
- 230000004913 activation Effects 0.000 claims 1
- 238000004148 unit process Methods 0.000 claims 1
- 238000012545 processing Methods 0.000 description 37
- 230000015654 memory Effects 0.000 description 28
- 238000010586 diagram Methods 0.000 description 24
- 101710112672 Probable tape measure protein Proteins 0.000 description 12
- 101710204224 Tape measure protein Proteins 0.000 description 12
- 230000014509 gene expression Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 241000700605 Viruses Species 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 101150016601 INP2 gene Proteins 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 230000009385 viral infection Effects 0.000 description 3
- 101000911772 Homo sapiens Hsc70-interacting protein Proteins 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 102100035353 Cyclin-dependent kinase 2-associated protein 1 Human genes 0.000 description 1
- 101000710013 Homo sapiens Reversion-inducing cysteine-rich protein with Kazal motifs Proteins 0.000 description 1
- 101000661816 Homo sapiens Suppression of tumorigenicity 18 protein Proteins 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0631—Resource planning, allocation, distributing or scheduling for enterprises or organisations
- G06Q10/06316—Sequencing of tasks or work
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Strategic Management (AREA)
- Operations Research (AREA)
- Physics & Mathematics (AREA)
- Educational Administration (AREA)
- Marketing (AREA)
- Development Economics (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Game Theory and Decision Science (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
を備え、インシデント抽出処理は、先に行われた比較処理の結果に応じて後に行われる比較処理の内容が変わる一連の比較処理により構成されており、対応手順作成部は、インシデント対応手順のうち表示部に表示させる範囲を監視対象に発生したインシデントへの対応の進捗状況に応じて選定し、表示部は、インシデント対応手順と進捗状況を合わせて表示するものである。
以下に、この発明の実施の形態1を図1から図7に基づいて説明する。図1Aは、実施の形態1におけるインシデント対応支援装置を示すハードウエア構成図であり、SIEM(Security Information and Event Management)が装置外部にある場合のハードウエア構成図である。また図1Bは、SIEMが装置内部にある場合のハードウエア構成図である。インシデント対応支援装置10は、図1A及び図1Bに示すようにプロセッサ81、メモリ82、補助記憶装置であるハードディスク83をシステムバス85により接続して構成したものである。システムバス85には、ネットワークを介して外部の機器と通信する通信入出力回路84、例えば液晶ディスプレイである表示装置94などの外部装置に対して出力を行う出力回路86、例えばキーボード、マウス、タッチパネルである入力装置95からの入力を受け付ける入力回路87がさらに接続されている。通信入出力回路84は、IDS(Intrusion Detection System)91が出力するログを記憶するログDB92と接続されている。ログDB92は、インシデント対応支援装置10から参照可能に設定されている。なお、実施の形態1ではログDB92をインシデント対応支援装置10の外部に設けているが、ハードディスク83を用いてログDB92を構成してもよい。
図4Bは、アンチウィルスソフトのログの例を示す図である。アンチウィルスソフトが出力するログは、監視手段を示す「機能名」がAVであり、ウィルスの兆候の検知日時を示すタイムスタンプ、対応するアラートALTの種類を示すアラートID、脅威レベル、のウィルスの兆候が検知された機器のIPを示すホストIP、プロセスIDなど、検知したウィルスの兆候に関する情報が含まれる。また、拡張情報としてのオプションフィールドには兆候があったウィルスを示すハッシュ値などが入力される。なお、オプションフィールドの入力はシグネチャなどでもよい。
図4Cは、イベントログの例を示す図である。OSが出力するイベントログの場合は「機能名」がイベントログとなり、イベント発生時のタイムスタンプやイベントID、イベントが発生した機器のIPを示すホストIPなどイベントを特定する情報が含まれる。イベントとしては、例えばUSB挿入イベントやログイン/ログオフなどが考えられる。
まず、アラート取得部101は1つ又は複数のアラートALTをSIEM93から受信する(ステップST11)。アラート取得部101は、受信したアラートALTをメモリ82に記憶させる。
以下に、この発明の実施の形態2を図8に基づいて説明する。図8は、実施の形態2に係るインシデント抽出処理の例を示す図である。実施の形態2では、インシデント抽出処理においてスクリプトで記述された一連の処理式を実行する点が実施の形態1と異なる。実施の形態1と実施の形態2の相違点はインシデント抽出処理のみなので、以下ではインシデント抽出処理について説明する。
その他については実施の形態1と同様であるので、その説明を省略する。
以下に、この発明の実施の形態3を図9から図12に基づいて説明する。図9は、実施の形態3におけるインシデント対応支援装置を示す機能ブロック図である。図9において、図2と同一または相当部分については同一符号を付している。インシデント対応支援装置30は、実施の形態1の入力部108をデータ入力部308に置き換えたものである。また、ユーザへの指示を示す行動指示テーブルがインシデント抽出処理に組み込まれ、インシデント抽出部304がユーザに対する行動指示AGDを画面表示部107に出力する。データ入力部308は、実施の形態1の入力部108のように入力INPを画面表示部107に送信することに加え、手順作成フローFLWの処理を実行中、すなわちインシデント抽出処理からインシデンント対応手順の作成の間にもユーザからの入力受け付け、入力データINP2としてインシデント抽出部304に送信するものである。入力データINP2は、例えばユーザから追加されたログのデータや、ユーザのインシデント対応の内容を示すデータである。行動指示AGDは、例えば不足しているログデータLGDの追加指示である。
Claims (5)
- 監視対象にインシデントが発生したことを示すインシデント検知情報を取得するインシデント検知情報取得部と、
前記監視対象のログデータを取得するログデータ取得部と、
前記インシデント検知情報及び前記ログデータに対してインシデント抽出処理を実行して、前記監視対象に発生したインシデントを特定するインシデント情報を抽出するインシデント抽出部と、
前記インシデント情報及び予め作成された対応手順テンプレートに基づいて、前記監視対象に発生したインシデントに対応するインシデント対応手順を作成する対応手順作成部と、
前記対応手順作成部により作成された前記インシデント対応手順を表示する表示部と
を備え、
前記インシデント抽出処理は、先に行われた比較処理の結果に応じて後に行われる比較処理の内容が変わる一連の比較処理により構成されており、
前記対応手順作成部は、前記インシデント対応手順のうち前記表示部に表示させる範囲を前記監視対象に発生したインシデントへの対応の進捗状況に応じて選定し、前記表示部は、前記インシデント対応手順と前記進捗状況を合わせて表示することを特徴とするインシデント対応支援装置。 - 前記インシデント抽出処理から前記インシデント対応手順の作成の間にユーザからの入力を受け付けるデータ入力部をさらに備え、前記インシデント抽出部及び前記対応手順作成部は、前記データ入力部からの入力に応じて処理を変更する請求項1に記載のインシデント対応支援装置。
- 前記インシデント抽出部は、前記インシデント情報の抽出に必要な行動をユーザに指示する行動指示を表示させる請求項2に記載のインシデント対応支援装置。
- 前記表示部は、前記インシデント抽出部が前記インシデント情報を抽出できなかった場合に、対応すべきインシデントが無い旨を表示する請求項1から3のいずれか1項に記載のインシデント対応支援装置。
- 前記進捗状況は、前記監視対象の起動状況または前記監視対象のネットワーク接続状況から取得される請求項1から4のいずれか1項に記載のインシデント対応支援装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017248921A JP6824151B2 (ja) | 2017-12-26 | 2017-12-26 | インシデント対応支援装置 |
US16/017,362 US11244266B2 (en) | 2017-12-26 | 2018-06-25 | Incident response assisting device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017248921A JP6824151B2 (ja) | 2017-12-26 | 2017-12-26 | インシデント対応支援装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019114172A JP2019114172A (ja) | 2019-07-11 |
JP6824151B2 true JP6824151B2 (ja) | 2021-02-03 |
Family
ID=66951258
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017248921A Active JP6824151B2 (ja) | 2017-12-26 | 2017-12-26 | インシデント対応支援装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11244266B2 (ja) |
JP (1) | JP6824151B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020256027A1 (ja) | 2019-06-20 | 2020-12-24 | 株式会社小糸製作所 | 車両用灯具および車両用灯具の制御方法 |
JP7385436B2 (ja) * | 2019-11-12 | 2023-11-22 | 株式会社野村総合研究所 | 管理システム |
US11868865B1 (en) * | 2022-11-10 | 2024-01-09 | Fifth Third Bank | Systems and methods for cash structuring activity monitoring |
WO2024180938A1 (ja) * | 2023-03-02 | 2024-09-06 | 株式会社日立ハイテク | 情報処理装置、及び不正アクセス検知方法 |
Family Cites Families (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7925527B1 (en) * | 2000-08-16 | 2011-04-12 | Sparta Systems, Inc. | Process control system utilizing a database system to monitor a project's progress and enforce a workflow of activities within the project |
US9027121B2 (en) * | 2000-10-10 | 2015-05-05 | International Business Machines Corporation | Method and system for creating a record for one or more computer security incidents |
US20020143595A1 (en) * | 2001-02-05 | 2002-10-03 | Frank Theodore W. | Method and system for compliance management |
JP2006146600A (ja) * | 2004-11-19 | 2006-06-08 | Ntt Docomo Inc | 動作監視サーバ、端末装置及び動作監視システム |
JP2007207169A (ja) * | 2006-02-06 | 2007-08-16 | Mitsubishi Electric Corp | 運用監視業務支援装置 |
WO2007141835A1 (ja) * | 2006-06-02 | 2007-12-13 | Duaxes Corporation | 通信管理システム、通信管理方法、及び通信制御装置 |
JP4313823B2 (ja) * | 2007-02-26 | 2009-08-12 | 株式会社日立情報システムズ | 障害対応システム及び障害対応方法 |
US7890299B2 (en) * | 2007-05-21 | 2011-02-15 | Qualcomm, Incorporated | Providing event-controlled continuous logging for a mobile operating environment |
CN101257678A (zh) * | 2008-03-21 | 2008-09-03 | 宇龙计算机通信科技(深圳)有限公司 | 一种实现移动终端软件安全检测的方法、终端及系统 |
JP2010224829A (ja) | 2009-03-23 | 2010-10-07 | Toshiba It Service Kk | 運用管理システム |
US8266072B2 (en) * | 2009-04-22 | 2012-09-11 | Bank Of America Corporation | Incident communication interface for the knowledge management system |
JP2011076161A (ja) * | 2009-09-29 | 2011-04-14 | Nomura Research Institute Ltd | インシデント管理システム |
JP2013054531A (ja) * | 2011-09-02 | 2013-03-21 | Nomura Research Institute Ltd | インシデント管理システム |
JP5972401B2 (ja) * | 2013-01-21 | 2016-08-17 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
US9904893B2 (en) * | 2013-04-02 | 2018-02-27 | Patternex, Inc. | Method and system for training a big data machine to defend |
US9680858B1 (en) * | 2013-09-09 | 2017-06-13 | BitSight Technologies, Inc. | Annotation platform for a security risk system |
JP6104149B2 (ja) * | 2013-12-24 | 2017-03-29 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
US10095866B2 (en) * | 2014-02-24 | 2018-10-09 | Cyphort Inc. | System and method for threat risk scoring of security threats |
US9396332B2 (en) * | 2014-05-21 | 2016-07-19 | Microsoft Technology Licensing, Llc | Risk assessment modeling |
JP2015225500A (ja) * | 2014-05-28 | 2015-12-14 | 富士通株式会社 | 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム |
KR101565942B1 (ko) * | 2014-05-29 | 2015-11-04 | 네이버 주식회사 | 도용id 검출 방법 및 장치 |
US20160164917A1 (en) * | 2014-12-03 | 2016-06-09 | Phantom Cyber Corporation | Action recommendations for computing assets based on enrichment information |
US9697352B1 (en) * | 2015-02-05 | 2017-07-04 | Logically Secure Limited | Incident response management system and method |
US20170076239A1 (en) * | 2015-09-16 | 2017-03-16 | Honeywell International Inc. | Incident management analysis |
US11785052B2 (en) * | 2016-06-21 | 2023-10-10 | International Business Machines Corporation | Incident response plan based on indicators of compromise |
US10341377B1 (en) * | 2016-10-13 | 2019-07-02 | Symantec Corporation | Systems and methods for categorizing security incidents |
US11640434B2 (en) * | 2017-04-19 | 2023-05-02 | Servicenow, Inc. | Identifying resolutions based on recorded actions |
US20180324207A1 (en) * | 2017-05-05 | 2018-11-08 | Servicenow, Inc. | Network security threat intelligence sharing |
US10181032B1 (en) * | 2017-07-17 | 2019-01-15 | Sift Science, Inc. | System and methods for digital account threat detection |
US10841329B2 (en) * | 2017-08-23 | 2020-11-17 | International Business Machines Corporation | Cognitive security for workflows |
US20190108470A1 (en) * | 2017-10-10 | 2019-04-11 | Microsoft Technology Licensing, Llc | Automated orchestration of incident triage workflows |
-
2017
- 2017-12-26 JP JP2017248921A patent/JP6824151B2/ja active Active
-
2018
- 2018-06-25 US US16/017,362 patent/US11244266B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20190197452A1 (en) | 2019-06-27 |
US11244266B2 (en) | 2022-02-08 |
JP2019114172A (ja) | 2019-07-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6824151B2 (ja) | インシデント対応支援装置 | |
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
KR102095334B1 (ko) | 로그 정보 생성장치 및 기록매체와 로그 정보 추출장치 및 기록매체 | |
US9294486B1 (en) | Malware detection and analysis | |
US10469531B2 (en) | Fraud detection network system and fraud detection method | |
US8171406B1 (en) | Automating user interface navigation | |
EP3287927A1 (en) | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device | |
EP3567504A1 (en) | A framework for coordination between endpoint security and network security services | |
JP6523582B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
CN108228308B (zh) | 虚拟机的监控方法以及装置 | |
JP2018077607A (ja) | セキュリティルール評価装置およびセキュリティルール評価システム | |
US20180341770A1 (en) | Anomaly detection method and anomaly detection apparatus | |
US20150012622A1 (en) | Information system management apparatus, information system management method, and program | |
JP2008129707A (ja) | プログラム分析装置、プログラム分析方法、及びプログラム | |
US20210049274A1 (en) | Analysis device, analysis method, and recording medium | |
JP2006236199A (ja) | 作業指示リスト印刷方法、および、印刷プログラム | |
KR101042858B1 (ko) | 윈도우즈 커널 변조 탐지방법 | |
JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
EP3504597A1 (en) | Identification of deviant engineering modifications to programmable logic controllers | |
WO2015182418A1 (ja) | 動的読み込みコード解析装置、動的読み込みコード解析方法及び動的読み込みコード解析プログラム | |
JP2007317028A (ja) | 情報処理装置、データベース管理システム、情報処理装置の制御方法及びプログラム | |
JP2007295279A (ja) | 障害管理装置及び障害管理方法及びプログラム | |
JP5777076B1 (ja) | 検査装置及びその制御プログラム | |
JP6053646B2 (ja) | 監視装置及び情報処理システム及び監視方法及びプログラム | |
US20200302003A1 (en) | Capture of Recently-Arrived Text Chunk of Real-Time Post-Appending Body of On-Screen Text |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191217 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20191217 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200909 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201013 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201106 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201215 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210112 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6824151 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |