JP6916300B2 - セキュリティ脅威検出のための危殆化のインジケータを収集すること - Google Patents

セキュリティ脅威検出のための危殆化のインジケータを収集すること Download PDF

Info

Publication number
JP6916300B2
JP6916300B2 JP2019556547A JP2019556547A JP6916300B2 JP 6916300 B2 JP6916300 B2 JP 6916300B2 JP 2019556547 A JP2019556547 A JP 2019556547A JP 2019556547 A JP2019556547 A JP 2019556547A JP 6916300 B2 JP6916300 B2 JP 6916300B2
Authority
JP
Japan
Prior art keywords
compromise
indicator
data
user
given
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019556547A
Other languages
English (en)
Other versions
JP2020503635A (ja
Inventor
ストーバー ナチェンバーグ,キャリー
ストーバー ナチェンバーグ,キャリー
ラモット−ブラッサルド,マクシム
ナギブザデハ,シャポロ
Original Assignee
クロニクル エルエルシー
クロニクル エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クロニクル エルエルシー, クロニクル エルエルシー filed Critical クロニクル エルエルシー
Publication of JP2020503635A publication Critical patent/JP2020503635A/ja
Application granted granted Critical
Publication of JP6916300B2 publication Critical patent/JP6916300B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Description

[0001] 本開示は、一般に、コンピュータおよびネットワークセキュリティに関する。
[0002] コンピュータおよびデータ通信ネットワークは、しばしば、侵入攻撃を受ける。侵入攻撃は、ワーム、ウイルス、フィッシング、スパイウェアなど、多くの形態を取り得る。概して、すべてのそのような攻撃は、何らかの形態の悪意のあるソフトウェアによって可能にされる。このソフトウェアは、しばしば、マルウェアと呼ばれる。マルウェア攻撃は、コンピュータの動作を混乱させ、および/または機密データを盗むことができる。そのような攻撃からコンピュータを保護するために、ネットワーク管理者は、マルウェアを検出し、マルウェア攻撃の影響を防止または緩和する、アンチウイルスソフトウェアおよび/またはファイアウォールなど、セキュリティシステムをインストールし得る。
[0003] 本明細書は、危殆化のインジケータを収集し、危殆化のインジケータを使用してコンピュータシステムについてのテレメトリデータ中のセキュリティ脅威の存在を検出するためのシステム、方法、デバイス、および他の技法について説明する。
[0004] 概して、本明細書で説明される主題の1つの発明的態様は、複数のセキュリティデータプロバイダから危殆化のインジケータを受信することを含む方法で実装され得る。危殆化の各インジケータは、1つまたは複数のコンピュータセキュリティ脅威の1つまたは複数の特性を指定するデータを含むことができる。危殆化の各インジケータは、コンピュータによって処理されたとき、コンピュータに、1つまたは複数のコンピュータセキュリティ脅威の指定された1つまたは複数の特性の存在を検出させるように構成され得る。本方法は、複数のユーザの各ユーザから、ユーザのコンピューティングシステムについてのテレメトリデータを受信することを含むことができる。テレメトリデータは、コンピューティングシステムにおいて検出された少なくとも1つのイベントを記述するデータを含むことができる。所与のユーザについて、所与のユーザについてのテレメトリデータが、危殆化の所与のインジケータによって指定された1つまたは複数の特性を含むという決定がなされる。この態様の他の実施形態は、コンピュータストレージデバイス上に符号化された方法の行為を実施するように構成された、対応するシステム、装置、およびコンピュータプログラムを含む。
[0005] これらおよび他の実装形態は、以下の特徴のうちの1つまたは複数を随意に含むことができる。いくつかの態様は、危殆化の所与のインジケータによって示されたセキュリティ脅威のタイプを識別することと、危殆化の所与のインジケータによって示されたセキュリティ脅威のタイプに基づいて、実施すべき行為を行為のセットから選択することとを含むことができる。行為のセットは、(i)所与のユーザのコンピューティングシステムから危殆化の所与のインジケータによって示されたセキュリティ脅威を取り除くこと、(ii)ユーザのコンピューティングシステムのフォレンジック調査を開始すること、および(iii)危殆化の所与のインジケータによって示されたセキュリティ脅威をユーザに通知する警報を生成することのうちの1つまたは複数を含むことができる。
[0006] いくつかの態様は、危殆化の各インジケータについての性能スコアを決定することを含むことができる。危殆化のインジケータについての性能スコアは、危殆化のインジケータによって指定された1つまたは複数の特性がユーザのテレメトリデータ中で検出された回数に少なくとも部分的に基づき得る。危殆化の少なくとも1つのインジケータが、危殆化の少なくとも1つのインジケータについての性能スコアに基づいて、ユーザのテレメトリデータがそれについて監視される危殆化のインジケータのセットから削除され得る。
[0007] いくつかの態様は、所与のセキュリティデータプロバイダによって提供された危殆化の各インジケータについての性能スコアに基づいて、ある量を所与のセキュリティデータプロバイダに補償することを含むことができる。危殆化の各インジケータについての性能スコアは、(i)ユーザのテレメトリデータ中の危殆化のインジケータによって指定された1つまたは複数の特性の真検出の回数と、(ii)ユーザのテレメトリデータ中の危殆化のインジケータによって指定された1つまたは複数の特性の偽検出の回数との間の差に基づき得る。量は、危殆化のインジケータの関連性、またはユーザのテレメトリデータ中の危殆化のインジケータによって指定された1つまたは複数の特性を識別するためのデータ処理探索コストのうちの少なくとも1つに基づき得る。
[0008] いくつかの態様は、所与のユーザについて、危殆化の各インジケータのコストと、ユーザによって指定された予算とに基づいて、危殆化のインジケータのセットの適切なサブセットを識別することを含むことができる。所与のユーザについてのテレメトリデータは、危殆化のインジケータの適切なサブセットによって指定された1つまたは複数の特性についてのみ監視され得る。
[0009] いくつかの態様は、所与のユーザについて、所与のユーザがそれに申し込んだ危殆化のインジケータのセットの適切なサブセットを識別することを含むことができる。所与のユーザについてのテレメトリデータは、危殆化のインジケータの適切なサブセットによって指定された1つまたは複数の特性についてのみ監視され得る。
[0010] いくつかの態様は、危殆化の受信されたインジケータによって指定された所与の特性に関係するデータを提供するように、少なくとも1人のユーザのコンピューティングシステムを更新することを含むことができる。危殆化の少なくとも1つのインジケータは、ユーザのテレメトリデータを評価するためのルールのセットを含むことができる。
[0011] いくつかの態様では、危殆化の特定のインジケータによって指定された1つまたは複数のセキュリティ脅威は、セキュリティ脅威の同じカテゴリーにすべてが属する複数のセキュリティ脅威を含むことができる。危殆化の特定のインジケータによって指定された1つまたは複数のセキュリティ脅威は、互いの変形態である複数のセキュリティ脅威を含むことができる。
[0012] 本明細書で説明される主題の特定の実施形態は、以下の利点のうちの1つまたは複数を実現するように実装され得る。危殆化のインジケータの性能を査定することによって、システムは、(たとえば、しきい値性能スコア未満の)低い性能を有するものをフィルタで除去することができる。このフィルタ処理は、システムがテレメトリデータ中のセキュリティ脅威を識別するために使用する危殆化のインジケータの数の低減をもたらし、これは、今度は、セキュリティ脅威を検出する際にシステムよって消費されるコンピューティングリソースの量の低減をもたらす。セキュリティ脅威を検出する際に消費されるコンピューティングリソースの量を低減することよって、システムは、より迅速におよびより効率的にセキュリティ脅威を識別し、それらに応答することができ、これは、セキュリティ脅威によって引き起こされる損害を低減することができる。さらに、より多くのコンピューティングリソースが、危殆化のインジケータの性能を査定すること、危殆化の新しいインジケータを受信することなど、他のタスクを実施するために利用可能になる。
[0013] 品質および/または性能に基づいて危殆化のインジケータのプロバイダに補償することによって、プロバイダは、危殆化のより高品質でより関連するインジケータをより速やかに提供するように促される。さらに、テレメトリデータ中で危殆化のインジケータを検出することに関連するデータ処理コストに危殆化のインジケータの性能を基づかせると、プロバイダは、危殆化のより効率的なインジケータを提供するように促される。
[0014] 研究者、インシデント応答者、および情報技術専門家などのユーザが、ユーザが検出したかまたはそれらをリバースエンジニアリングしたセキュリティ脅威の特性を含む危殆化のインジケータをアップロードすることを可能にすることは、以前は利用不可能であったセキュリティ脅威データを他者が利用可能なようにする。たとえば、セキュリティ脅威を識別したユーザは、脅威を防止または補正するソフトウェアを生成および販売するのではなく、セキュリティ脅威の特性を指定する危殆化のインジケータをアップロードすることができる。まだ活用されていないセキュリティ脅威データのこの識別および収集は、脅威検出が、よりロバストになり、より多くのセキュリティ脅威および新しいセキュリティ脅威をより高速に検出することが可能になることを可能にする。
[0015] 上記の主題の様々な特徴および利点が、図に関して以下で説明される。追加の特徴および利点が、本明細書で説明される主題および特許請求の範囲から明らかになる。
[0016]セキュリティインテリジェンスシステムが、危殆化のインジケータを受信し、セキュリティ脅威を検出するために危殆化のインジケータを使用する例示的な環境を示す図である。 [0017]危殆化のインジケータの性能を査定し、ユーザのテレメトリデータがそれについて監視される危殆化のインジケータのセットから危殆化の低い性能のインジケータを削除するための例示的なプロセスのフローチャートを示す図である。 [0018]コンピューティングシステムが危殆化されたと決定したことに応答して、実施すべき行為を識別し、行為を実施するための例示的なプロセスのフローチャートである。 [0019]危殆化のインジケータプロバイダに補償するための例示的なプロセスのフローチャートである。
[0020] 概して、本開示は、危殆化のインジケータ(「IOC」)を収集し、たとえば、マルウェアまたはハッキング攻撃によって危殆化されたコンピューティングシステムを識別するためにIOCを使用するためのシステム、方法、デバイス、および他の技法について説明する。システムは、研究者、インシデント応答者、情報技術専門家、および他のユーザなどのユーザが、危殆化されたコンピューティングシステムを識別するために使用され得るIOCをアップロードおよび共有することを可能にすることができる。IOCは、コンピュータセキュリティ脅威の1つまたは複数の特性を指定することができる。たとえば、ユーザは、新しいボットネットをリバースエンジニアリングし、新しいボットネットの特性を指定するIOCを生成し得る。
[0021] システムは、IOCの性能を査定し、低い性能のIOCをフィルタで除去するか、または低い性能のIOCのプロバイダをブロックすることができる。したがって、システムは、複数の異なるIOCの迅速な評価を可能にする。さらに、他のIOCと比較して最も効果的であるIOCが、それらの性能に基づいて判明する。これは、システムが、様々な競合するIOCの迅速で信頼できる評価を可能にし、最も良い性能のIOCを識別するので、セキュリティ検出および緩和の技術分野に寄与する。
[0022] IOCをアップロードするユーザは、実際のセキュリティ脅威に関連する高い性能のIOCを構成することを奨励され得る。たとえば、「リーダーボード」が、高い性能のIOCを設計し、リーダーボードに含まれることに同意したユーザをリストし得る。ユーザは、さらには、高い性能のIOCについて、たとえば、コンピューティングシステム中の少なくともしきい値個のセキュリティ脅威を検出するために使用されたIOCについて補償され得る。そのような高い性能のIOCは、さらに、IOC設計のための「最良の実施」を明らかにするために評価され、したがって、セキュリティ検出および緩和の技術分野に寄与し得る。
[0023] 申込者は、いくつかのIOCのみに、またはIOCのすべてに申し込むことができる。システムは、次いで、申込者がそれに申し込んだIOCを使用して、申込者のコンピューティングシステムにおいて発生したイベントを記述するデータ、たとえば、コンピューティングシステムから受信されたテレメトリデータを監視することができる。これらのIOCを提供したユーザは、IOCの性能に基づいて、申し込み料の一部分を受け取ることができる。いくつかの実装形態では、システムは、IOCのコストと、申込者によって指定された予算とに基づいて、申込者についてIOCを選択し得る。
[0024] 図1は、セキュリティ脅威インテリジェンスシステム110が、IOC142を受信し、危殆化されたコンピューティングシステムを検出するためにIOC142を使用する例示的な環境100を示す。概して、IOC142は、1つまたは複数のセキュリティ脅威の1つまたは複数の特性を指定する。特性は、セキュリティ脅威の源(たとえば、セキュリティ脅威についてのドメイン、URL、またはIPアドレス)、セキュリティ脅威に関連するファイル、ファイル特性、スクリプト記述、正規表現、および/またはセキュリティ脅威の他の適切な静的特性など、静的データを含むことができる。特性は、インメモリシグネチャ、(たとえば、挙動プロファイルに基づく)動的特性、および/またはネットワークインジケータをも含むことができる。特性は、1つまたは複数の脅威を検出するニューラルネットワーク、サポートベクターマシン、または決定ツリーなど、機械学習モデルをも含むことができる。
[0025] IOC142は、あるカテゴリーのセキュリティ脅威の1つまたは複数の特性を指定し得る。たとえば、あるカテゴリーのセキュリティ脅威は、同じまたは重複する特性を有し得る。IOC142は、特定のセキュリティ脅威の変形態の1つまたは複数の特性を指定し得る。たとえば、変形態は、同じまたは重複する特性を有し得る。IOC142は、単一の脅威としてだけではなく、脅威の変形態を検出するアルゴリズムまたはルールのセットを指定することができる。
[0026] IOC142は、コンピュータによって処理されたとき、コンピュータに、IOC142によって指定された1つまたは複数の特性の存在を検出させる命令を含むデータを含むことができる。たとえば、コンピュータが、IPアドレスを指定するIOC142にアクセスしたとき、コンピュータは、イベントデータが、IPアドレスに関係するイベント(たとえば、データが、IPアドレスに送られたか、またはそれから受信されたことを示すログエントリ)を含むかどうかを決定するために、1つまたは複数のコンピューティングシステムについてのイベントデータを自動的に評価し得る。以下でより詳細に説明されるように、コンピューティングシステムについてのイベントデータは、コンピューティングシステムから受信されたテレメトリデータに含まれ得る。
[0027] いくつかの実装形態では、IOC142は、コンピューティングシステムにおいて発生したイベントを記述するイベントデータを、セキュリティ脅威の特性にマッピングするためのハッシュ関数を含むことができる。この例では、コンピュータがハッシュ関数を処理するとき、ハッシュ関数は、コンピュータに、イベントデータをセキュリティ脅威の特性にマッピングさせ得る。
[0028] IOC142は、コンピューティングシステムにおいて発生したイベントを記述するイベントデータ中のセキュリティ脅威の特性を識別するための1つまたは複数のルールをも含むことができる。たとえば、ルールは、イベントデータ中で識別された場合、セキュリティ脅威を表す1つまたは複数の特性のセットを指定し得る。ルールはまた、イベントデータのどんな部分にそのような特性が見つけられ得るかを指定し得る。たとえば、ルールは、特定のファイル特性が特定のファイル中で見つけられた場合、特定のセキュリティ脅威または攻撃が、コンピューティングシステム中に存在することを指定し得る。ルールは、コンピュータによって実行されたとき、コンピュータに、コンピューティングシステムについてのイベントデータ中のルールによって指定された1つまたは複数の特性の存在を検出させる命令を含むことができる。
[0029] ルールベースIOC142は、イベントデータ中の特性の組合せを識別するためのルールのセットを含むことができる。たとえば、ルールのセットは、コンピューティングシステムの静的特性(たとえば、IPアドレス)、インメモリシグネチャ、および/または挙動プロファイルを評価し得る。特定の例では、ルールは、ファイル特性が特定のファイル中で見つけられ、インメモリシグネチャが特定のメモリ領域中で見つけられた場合、特定のセキュリティ脅威または攻撃がコンピューティングシステム中に存在し、したがって、コンピューティングシステムが危殆化されたことを指定し得る。コンピューティングシステムがインメモリシグネチャを含むかどうかを決定するために、セキュリティ脅威インテリジェンスシステム110は、たとえば、動作しているまたはロードされたバイナリを求めてコンピューティングシステムのメモリを走査し、セキュリティ脅威インテリジェンスシステム110にインメモリシグネチャを提供するコードをコンピューティングシステムに送ることができる。
[0030] いくつかの実装形態では、セキュリティ脅威インテリジェンスシステム110は、IOCプロバイダ140が、ルールベースIOC142を定義することを可能にするルール定義言語を提供し得る。たとえば、言語は、YARAなど、正規表現ベースツールセットであり得る。IOCプロバイダ140は、IOC142を構成するために言語を使用し、IOC142をセキュリティ脅威インテリジェンスシステム110に提供することができる。たとえば、セキュリティ脅威インテリジェンスシステム110は、IOCプロバイダ140が、ルールベースIOCを含むIOC142を構成することを可能にするユーザインターフェースを提供し得る。
[0031] セキュリティ脅威インテリジェンスシステム110は、データ通信ネットワーク130、たとえば、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、インターネット、モバイルネットワーク、またはそれらの組合せ上でIOCプロバイダ140からIOC142を受信するIOC収集サーバ112を含む。IOCプロバイダ140は、研究者、インシデント応答者、情報技術専門家、アマチュア、あるいはセキュリティ脅威または脅威のクラスの知識を有する他のユーザを含むことができる。たとえば、IOCプロバイダ140は、ボットネット、悪意のあるソフトウェア、または他のセキュリティ脅威をリバースエンジニアリングし、セキュリティ脅威の特性を識別し得る。別の例では、IOCプロバイダ140は、悪意のあるコードがコンピューティングシステムにそこから送られているIPアドレスを識別し得る。IOCプロバイダ140は、セキュリティ脅威の特性を指定するIOC142を生成し、IOC142をIOC収集サーバ112に送ることができる。たとえば、上述のように、IOCプロバイダ140は、セキュリティ脅威インテリジェンスシステム110によって提供されたユーザインターフェースを使用してIOC140を構成し得る。
[0032] IOC収集サーバ112は、IOCストレージデバイス120、たとえば、ハードドライブ、フラッシュメモリなどに受信されたIOC140を記憶することができる。いくつかの実装形態では、IOC収集サーバ112は、ユーザが寄与したテレメトリデータにIOC140を適用するより前に、受信されたIOC140を評価し得る。たとえば、IOC収集サーバ112は、受信されたIOC142および/またはそれのプロバイダを、合法ソフトウェアおよび/または信用できるIOCプロバイダを指定するホワイトリストと比較し得る。受信されたIOCが合法ソフトウェアのホワイトリスト中のファイルに一致するか、またはIOCプロバイダが、ホワイトリストによって指定されたIOCプロバイダに一致しない場合、IOC収集サーバ112は、受信されたIOCを廃棄し得る。
[0033] セキュリティ脅威インテリジェンスシステム110は、コンピューティングシステム152が危殆化されたかどうかを検出するために、IOC142を使用してユーザ150のコンピューティングシステム152を監視し得る。脅威検出サーバ114によって監視されるコンピューティングシステム152は、セキュリティ脅威インテリジェンスシステム110によって提供される脅威検出サービスに申し込んだユーザ150のコンピューティングシステム152であり得る。
[0034] セキュリティ脅威インテリジェンスシステム110は、危殆化されたコンピューティングシステム152を識別するためにIOC140を使用する脅威検出サーバ114を含む。本明細書では、危殆化されたコンピューティングシステムは、セキュリティ脅威または攻撃を受けた、コンピュータ、ネットワーク、または他の適切なコンピューティングシステムである。危殆化されたコンピューティングシステムは、セキュリティ脅威または攻撃の証拠が検出され得るコンピューティングシステムであり得る。たとえば、攻撃され、したがって、危殆化されたコンピューティングシステムは、悪意のある行為者によってその上にインストールされた、マルウェア、アドウェア、スパイウェア、または他の悪意のあるコードを有し得る。セキュリティ脅威を受けたコンピューティングシステムは、知られている悪意のある行為者に関連するドメインまたはURLに接続したことはあるが、悪意のある行為者によって攻撃されたことはまだないことがある。IOC142は、セキュリティ脅威の特性として、悪意のある行為者のドメインまたはURLを指定し得、脅威検出サーバ140は、コンピューティングシステムについてのイベントデータ中のドメインまたはURLへの接続を検出し得る。
[0035] 脅威検出サーバ114は、コンピューティングシステム152から受信されたテレメトリデータ154に基づいて、危殆化されたコンピューティングシステムを識別することができる。コンピューティングシステム152によって提供されたテレメトリデータ154は、コンピューティングシステム152において検出されたイベントを記述するイベントデータを含むことができる。たとえば、テレメトリデータ154は、他のデバイスへのネットワーク接続のログを含むことができる。ログは、コンピューティングシステム152によって接続されたIPアドレス、URL、および/またはドメインを指定するデータを含むことができる。別の例では、コンピューティングシステム152によって提供されたテレメトリデータ154は、コンピューティングシステム152において記憶または修正されたファイル、ファイルの特性、インメモリシグネチャ、コンピューティングシステム152の挙動特性、および/またはコンピューティングシステム152において発生したイベントを記述する他の適切なデータをも含むことができる。
[0036] いくつかの実装形態では、セキュリティ脅威インテリジェンスシステム110のテレメトリデータサーバ118は、ソフトウェア、ソフトウェアモジュール、スクリプト、または他のコードをコンピューティングシステム152に提供し得る。このコードは、コンピューティングシステム152によって実行されたとき、テレメトリデータ154に含めるべき適切なデータを識別し、テレメトリデータサーバ118にテレメトリデータ154を提供することができる。次に、テレメトリデータサーバ118は、各コンピューティングシステム152についてのテレメトリデータ154をテレメトリデータベース124に記憶し得る。
[0037] テレメトリデータサーバ118は、IOC収集サーバ112によって受信された新しいIOC142に基づいて、テレメトリデータ154を識別および提供するためのコードを更新し得る。たとえば、データがコンピューティングシステム152によってそれについて提供されていない特性のタイプを新しいIOC142が指定した場合、テレメトリデータサーバ118は、コンピューティングシステム152に、特性に関係するデータを識別および提供させる新しいコードを更新または生成し得る。特定の例では、新しいIOC142は、機密データを盗むためにコンピューティングシステムに記憶されている特定のファイルを指定し得る。この例では、テレメトリデータサーバ118は、特定のファイルを求めてコンピューティングシステムを走査し、見つけた場合、テレメトリデータサーバ118にファイルを提供するようにコードを更新し得る。別の例では、新しいIOC142は、マルウェアまたはハッキング攻撃によって調整されている特定のコンピュータ設定を指定し得る。この例では、テレメトリデータサーバ118は、コンピューティングシステム152に新しい監視ルールを送り得る。
[0038] 例示的な監視ルールは、コンピューティングシステムに、特定の設定(たとえば、「設定X」)を監視することと、特定の設定の値、または特定の設定に対する変更を指定するテレメトリデータ154をセキュリティ脅威インテリジェンスシステム110に送ることとを行わせ得る。コンピューティングシステムのすべての設定ではなく、IOC142中で識別された特定の設定を監視することによって、コンピューティングシステム152の性能は、すべての設定を監視することは計算コストが高いので、改善される。IOC142、新しいIOC、および/または更新IOCに基づいて、監視ルールに対して粒度の細かい変更を行う能力は、コンピューティングシステム152が、他のタスクを実施するコンピューティングシステムの能力を劣化させることなしに、変更された設定に基づいて最新のセキュリティ脅威を監視することを可能にする。
[0039] 脅威検出サーバ114は、危殆化されたコンピューティングシステムを識別するために、IOCストレージデバイス120に記憶されたIOC142と、テレメトリデータベース124に記憶されたテレメトリデータ154とを使用することができる。以下でより詳細に説明されるように、脅威検出サーバ114は、特定のユーザのコンピューティングシステムについて(たとえば、IOCのすべてよりも少ない)IOCの一部分のみを使用し得る。脅威検出サーバ114は、特定のコンピューティングシステムについてのテレメトリデータ154にアクセスし、特定のコンピューティングシステムが危殆化されたかどうかを検出する際に使用するためのIOCを識別し得る。各識別されたIOCについて、脅威検出サーバ114は、テレメトリデータ154にIOCを適用し得る。たとえば、脅威検出サーバ114は、IOCによって指定された1つまたは複数の特性を識別するために、IOC142のデータを処理し得る。脅威検出サーバ114は、次いで、IOC142によって指定されたセキュリティ脅威の1つまたは複数の特性の各々が、テレメトリデータ154中に存在するかどうかを決定するために、テレメトリデータ154を評価し得る。1つまたは複数の特性の各々がテレメトリデータ154中に存在する場合、脅威検出サーバ114は、コンピューティングシステム152がセキュリティ脅威によって危殆化されたと結論付け得る。
[0040] コンピューティングシステム152が危殆化されたと脅威検出サーバ114が決定した場合、脅威検出サーバ114は、セキュリティ脅威に応答して取るべき行為156を決定することができる。いくつかの実装形態では、脅威検出サーバ114は、危殆化を検出するために使用されるIOC142によって指定されたセキュリティ脅威のタイプに基づいて、可能な行為のセットから行為156を選択する。たとえば、行為のセットは、自動的にコンピューティングシステム152からセキュリティ脅威を取り除くこと、コンピューティングシステム152のフォレンジック調査を開始すること、またはコンピューティングシステム152のユーザ150に通知する警報を生成することを含み得る。特定の例では、セキュリティ脅威が、アドウェア、マルウェア、またはスパイウェアである場合、脅威検出サーバ114は、セキュリティ脅威152を取り除くか、コンピューティングシステム152がセキュリティ脅威を取り除くようにコンピューティングシステム152と対話するか、またはコンピューティングシステム152からセキュリティ脅威を取り除くサードパーティと対話し得る。別の例では、セキュリティ脅威が、複雑であり、および/または複数のコンピュータに感染した場合、脅威検出サーバ114は、コンピューティングシステム152のフォレンジック調査を開始し得る。
[0041] セキュリティ脅威インテリジェンスシステム110は、IOC142の性能を測定するIOC性能サーバ116を含む。たとえば、IOC性能サーバ116は、各IOC142について、IOC142が、危殆化されたコンピューティングシステムを検出する際にどのくらいうまく機能したかを示すIOC142についての性能スコアを決定し得る。IOC142についての性能スコアは、IOC142によって指定された1つまたは複数の特性が、コンピューティングシステム152から受信されたテレメトリデータ154(または他のイベントデータ)中で検出された回数に基づき得る。たとえば、IOCについての性能スコアは、IOC142によって指定された1つまたは複数の特性が、コンピューティングシステム152から受信されたテレメトリデータ154(または他のイベントデータ)中で検出された回数の増加とともに増加し得る。(1つまたは複数の)特性がテレメトリデータ154中で検出された回数は、IOCの関連性と、IOC142のセキュリティ脅威の蔓延度とを示す。
[0042] いくつかの実装形態では、IOC142の性能スコアは、IOC142によって指定された(1つまたは複数の)特性の真陽性検出の回数、および/またはIOCによって指定された(1つまたは複数の)特性の偽陽性検出の回数に基づく。たとえば、IOC142についての性能スコアは、偽陽性検出の回数と偽陽性検出の回数との間の差に等しいか、またはそれに比例し得る。IOC性能サーバ116は、ファイル、IPアドレス、ドメイン、および/または他の検出された特性を、知られているクリーンなファイル、IPアドレス、ドメイン、および/または他の特性のホワイトリストと比較することによって、IOCの検出が真陽性であるのか偽陽性であるのかを決定することができる。検出された特性がホワイトリスト上にある場合、IOC性能サーバ116は、検出が偽陽性であると決定し得る。別の例では、人間の評価者が、疑わしい脅威の手作業による調査を実施し、検出された特性が悪意のあるものであるかどうかを決定することによって、検出が真陽性であるのか偽陽性であるのかを決定することができる。特性が悪意のあるものであると人間の評価者が決定した場合、人間の評価者は、検出が真陽性検出であると決定し得る。
[0043] IOC142についての性能スコアは、IOCによって指定された(1つまたは複数の)特性が、コンピューティングシステム152についてのテレメトリデータ154中に存在するかどうかを決定するためのデータ処理探索コストに基づき得る。たとえば、より多くのデータ処理能力またはより多くのコンピューティングリソースを消費するIOC142は、より少ないデータ処理能力またはより少数のコンピューティングリソースを消費するIOCよりも低いスコアを有し得る。
[0044] いくつかの実装形態では、IOC142についての性能スコアは、IOC142についてのユーザフィードバックに基づく。たとえば、ユーザは、IOC142に基づいて、それらのコンピューティングシステム中のセキュリティ脅威の検出(および/または非検出)を指定するデータを受信し得る。ユーザは、セキュリティ脅威が実際に存在するかどうかを決定し、次いで、IOCがそれらのコンピューティングシステム中のセキュリティ脅威を検出する際にどのくらいうまく機能したかに関するフィードバックを提供するために、それらのコンピューティングシステムを調査することができる。IOC性能サーバ116は、ユーザフィードバックに基づいて、IOCについての性能スコアを更新することができる。
[0045] いくつかの実装形態では、IOC142についての性能スコアは、単一の顧客環境内でのそのインジケータの存在または不在にさえ基づき得る。それらは顧客ベースにわたって大量には見られないが、それらの検出は極めて有益であることを意味するいくつかの攻撃がターゲットにされる。したがって、国が支援している攻撃者に関係すると標示されたIOC142は、顧客ベース内でほんの数回見られるだけでも、高い性能スコアに値する。
[0046] いくつかの実装形態では、IOC142についての性能スコアは、インジケータのフレッシュネスに基づき得る。たとえば、IOC142のフレッシュネスは、脅威が最初に放たれた後にどのくらい速やかに、IOC142がその存在を検出することが可能であったかを示し得る。よりフレッシュなIOCは、脅威を、それらが損害を与えることができる前に、早くから阻止する可能性を有し、したがって、より古い脅威をカバーするIOCよりも有用である。
[0047] IOC142についての性能スコアは、上記で説明されたスコアリング技法のうちの2つまたはそれ以上の組合せに基づき得る。さらに、IOC142または他のセキュリティインテリジェンスデータの性能または品質を査定するための他の適切な技法が、IOC142をスコアリングするために使用され得る。IOC性能サーバ116は、各IOC142についての性能スコアをIOC性能データベース122に記憶することができる。
[0048] いくつかの実装形態では、IOC性能サーバ116は、IOC142についての性能スコアに基づいて、危殆化されたコンピューティングシステムを検出するためにIOC142を使用すべきかどうかを決定する。たとえば、IOC性能サーバ116は、危殆化されたコンピューティングシステムを検出する際に脅威検出サーバ114によって使用されるのに適格であるIOC142のセットを識別し得る。IOC性能サーバ116は、適格なIOCのセット中に含めるために、性能スコアしきい値を満たす(たとえば、超える)性能スコアを有するIOC142を識別し得る。別の例では、IOC性能サーバ116は、適格なIOCのセット中に含めるために、最も高い性能スコアを有する指定された数のIOC142を識別し得る。
[0049] IOC性能サーバ116は、IOCストレージデバイス120から、性能スコアしきい値を満たさない性能スコアを有するIOC142を削除し得る。別の例では、IOC性能サーバ116は、性能スコアしきい値を満たさない性能スコアを有するIOCを非アクティブにし得る。
[0050] いくつかの実装形態では、ユーザ150は、IOC142を使用してそれのテレメトリデータを評価してもらうために、セキュリティ脅威インテリジェンスシステム110を所有および/または運営するセキュリティインテリジェンスエンティティに料金を支払い得る。セキュリティインテリジェンスエンティティは、セキュリティ脅威インテリジェンスシステム110を使用して提供される脅威検出サービスへの異なるタイプの申し込みを提供し得る。1つのタイプの申し込みは、制約なしに、セキュリティ脅威インテリジェンスシステム110によって使用されているすべてのIOC142へのアクセスを可能にし得る。このタイプの申し込みでは、ユーザ150は、サービスについて一律の量を提供するか、またはIOC142を使用してユーザのテレメトリデータ中で検出されたセキュリティ脅威の数に基づく量を提供し得る。IOCプロバイダは、たとえば、それらのIOCの総数の何割が申込者のコンピューティングシステム中で見つけられたかに基づいて、ユーザの申し込み量のある割合を受け取り得る。
[0051] 別のタイプの申し込みは、ユーザ150が、いくつかのIOC142に、またはいくつかのIOCプロバイダのIOC142に申し込むことを可能にし得る。たとえば、ユーザは、それのテレメトリデータ154が、特定のタイプのIOC142によって示されたセキュリティ脅威について評価されることを希望するのみであり得る。この例では、ユーザ150は、ユーザ150がそれに申し込んだ各IOC142またはIOCプロバイダ140に関連するコストに基づいて、料金を支払い得る。
[0052] 別のタイプの申し込みは、ユーザ150が予算を指定することを可能にし、ユーザのテレメトリデータを評価する際に使用するためのIOC142を脅威検出サーバ114に選択させ得る。この例では、脅威検出サーバ114は、ユーザの予算、各IOC142に関連するコスト、各IOC142についての性能スコア、および/またはユーザ150に最も関連するセキュリティ脅威のタイプに基づいて、ユーザ150について1つまたは複数のIOCを選択し得る。
[0053] 別のタイプの申し込みは、ユーザ150が、検出されたセキュリティ脅威に基づいて支払うことを可能にし得る。たとえば、脅威検出サーバ114が、IOC142を使用してユーザのテレメトリデータ154中のセキュリティ脅威を識別したとき、脅威検出サーバ114は、セキュリティ脅威が識別されたことをユーザ150に通知し、識別されたセキュリティ脅威をユーザ150に明らかにするためのコストを提供し得る。コストは、セキュリティ脅威を検出するために使用されたIOC142に関連するコストに基づき得る。ユーザ150がコストを支払うことに同意した場合、脅威インテリジェンスサーバ114は、セキュリティ脅威をユーザ150に明らかにすることができる。さらに、脅威インテリジェンスサーバ114は、たとえば、ユーザ150によって同意された場合、セキュリティ脅威を緩和するかまたは取り除くための行為を取り得る。別の例では、ユーザ150は、ユーザのコンピューティングシステム152上で識別されたセキュリティ脅威の各事例ごとに量を値付けし得る。脅威検出サーバ114は、ユーザのテレメトリデータ154を評価するためにいずれのIOCを使用すべきかを決定するために、量を使用し得る。
[0054] いくつかの実装形態では、IOCプロバイダ140は、高い性能の、信頼できる、関連するIOC142をセキュリティ脅威インテリジェンスシステム110に提供することを奨励される。たとえば、セキュリティ脅威インテリジェンスシステム110は、最も高い性能スコアを有するIOC142の「リーダーボード」を公開し得る。もちろん、匿名のままであることを希望するIOCプロバイダ140は、それらの識別情報の公開をやめることができる。
[0055] 別の例では、セキュリティインテリジェンスエンティティは、たとえば、金銭、報酬、脅威監視サービスに対するディスカウント、または他のタイプの補償をもってIOCプロバイダ140に補償し得る。各IOC142についての補償の量は、IOC142の性能に基づき得る。たとえば、IOC142についての補償の量は、IOC142についての性能スコアに比例し得る。特定の例では、IOC142についての性能スコアが、IOC142によって指定された1つまたは複数の特性がコンピューティングシステム152のテレメトリデータ中で検出された回数に基づく場合、補償の量は、IOC142によって指定された1つまたは複数の特性がコンピューティングシステム152のテレメトリデータ中で検出された回数に比例し得る。
[0056] ユーザ150が、いくつかのIOC142またはIOCプロバイダ140に申し込むことができる実装形態では、IOCプロバイダ140は、IOCプロバイダ140およびそれのIOC142に申し込んだユーザの数に基づいて、ある量を補償され得る。セキュリティインテリジェンスエンティティは、たとえば、周期的に、IOCプロバイダ140に補償のIOC量144を提供することができる。
[0057] IOC142は、実際のセキュリティ脅威および攻撃の特性を指定することができるので、2つ以上のIOCプロバイダ140が、同じまたは同様のIOC142を提供し得る。そのような状況では、脅威検出サーバ114は、いずれのIOC142を使用すべきかを選択することができる。たとえば、脅威検出サーバ114は、各IOC142に関連するコストに基づいて、いずれかのIOC142を選択し得る。この例では、IOCプロバイダ140は、それらのIOCについて、ユーザのテレメトリデータ154中のセキュリティ脅威の存在を検出するためにIOCを使用するためのコストを提供し得る。別の例では、所与のIOC142を提供するための最も早いプロバイダが優先する。脅威検出サーバ114は、コスト、性能、および/または他の適切なデータに基づいて、IOCを選択し得る。
[0058] 図2は、IOCの性能を査定し、ユーザのテレメトリデータがそれについて監視されるIOCのセットから低い性能のIOCを削除するための例示的なプロセス200のフローチャートを示す。プロセス200の動作は、たとえば、図1のセキュリティ脅威インテリジェンスシステム110など、1つまたは複数のデータ処理装置を含むシステムによって実装され得る。プロセス200はまた、コンピュータ記憶媒体に記憶された命令によって実装され得、ここで、データ処理装置を含むシステムによる命令の実行は、データ処理装置に、プロセス200の動作を実施させる。
[0059] 脅威インテリジェンスシステム110は、複数のセキュリティデータプロバイダからIOCを受信する(202)。セキュリティデータプロバイダは、研究者、インシデント応答者、情報技術専門家、アマチュア、またはセキュリティ脅威の知識を有する他のユーザであり得る。上記で説明されたように、IOCは、セキュリティ脅威の1つまたは複数の特性を指定することができる。たとえば、IOCは、コンピュータによって処理されたとき、コンピュータに、IOCによって指定された1つまたは複数の特性の存在を検出させるデータを含むことができる。
[0060] セキュリティデータプロバイダは、脅威インテリジェンスシステム110によって提供されたポータルまたはユーザインターフェースを通してIOCを定義および/またはアップロードすることができる。セキュリティデータプロバイダはまた、IOCによって示されたセキュリティ脅威のタイプおよび/またはIOCの重大度を識別または選択することができる。いくつかの実装形態では、脅威インテリジェンスシステム110は、セキュリティデータプロバイダが、脅威インテリジェンスシステム110のユーザのコンピューティングシステム上でのセキュリティ脅威の真陽性検出について受け取り得る量を提供し得る。この量は、たとえば、偽陽性検出の回数および/またはIOCについての性能スコアに基づいて調整され得る。たとえば、量は、真陽性検出の回数と偽陽性検出との間の差に基づき得る。または、たとえば、IOCについてのすべての補償が、しきい値数を超えるユーザに影響を及ぼす偽陽性を理由に取り消され得る。
[0061] 脅威インテリジェンスシステム110は、ユーザのコンピューティングシステムについてのテレメトリデータを受信する(204)。たとえば、脅威インテリジェンスシステム110に、それらのコンピューティングシステムを危殆化について監視して欲しいユーザは、それらのコンピューティングシステムが、脅威インテリジェンスシステム110にテレメトリデータを提供することを可能にし得る。ユーザのコンピューティングシステムについてのテレメトリデータは、コンピューティングシステムにおいて発生したイベントを記述するイベントデータを含むことができる。いくつかの実装形態では、テレメトリデータは、ストリームまたはフィードとして受信され得る。
[0062] 脅威インテリジェンスシステム110は、ユーザのテレメトリデータがそれについて監視されているIOCのセットを識別する(206)。たとえば、脅威インテリジェンスシステム110は、危殆化されたコンピューティングシステムを識別するのに効果的であると決定されたIOCのセットを使用してユーザのコンピューティングシステムのテレメトリデータを監視するのみであり得る。IOCのセットは、危殆化されたコンピューティングシステムを検出する際に使用されるのに適格であるIOCを含むことができる。たとえば、IOCのセットは、少なくともしきい値性能スコアを有するIOCのみを含み得る。少なくともしきい値性能スコアを有するもののみにIOCを限定することによって、偽陽性の回数は低減され得る。さらに、IOCを使用してコンピューティングシステムのテレメトリデータを監視するために使用される脅威インテリジェンスシステム110のコンピューティングリソースの性能は、少なくともしきい値性能スコアを有するもののみに監視されるIOCを限定することによって改善され得る。別の例では、IOCのセットは、ホワイトリストによって指定されたセキュリティデータプロバイダによって提供されたIOCのみを含み得る。
[0063] 脅威インテリジェンスシステム110は、IOCのセット中の各IOCについての性能スコアを決定する(208)。IOCについての性能スコアは、IOCが、危殆化されたコンピューティングシステムを検出する際にどのくらいうまく機能したかを示すことができる。上記で説明されたように、IOCについての性能スコアは、IOCによって指定された1つまたは複数の特性が、コンピューティングシステムから受信されたテレメトリデータ(または他のイベントデータ)中で検出された回数、IOCによって指定された(1つまたは複数の)特性の真陽性検出の回数、IOCによって指定された(1つまたは複数の)特性の偽陽性検出の回数、IOCによって指定された(1つまたは複数の)特性が、コンピューティングシステムについてのテレメトリデータ中に存在するかどうかを決定するためのデータ処理探索コスト、IOCについてのユーザフィードバック、IOCが重要なコンピューティングシステム内で見つけられたかどうか、IOCが組織的な犯罪者または国が支援している攻撃者に関係する(また、少なくとも1つのシステム中で検出された)かどうか、および/または他の適切な基準に基づき得る。
[0064] 脅威インテリジェンスシステム110は、少なくとも1つのIOCについての性能スコアに基づいて、少なくとも1つのIOCをIOCのセットから随意に削除する(210)。たとえば、脅威インテリジェンスシステム110は、性能スコアしきい値を満たさない性能スコアを有する各IOCをIOCのセットから削除し得る。別の例では、脅威インテリジェンスシステム110は、最も低い性能スコアを有するIOCをIOCのセットから削除し得る。この例では、脅威インテリジェンスシステム110は、最も低い性能スコアを有するIOCのうちの指定された割合を削除し得る。低い性能のIOCを削除することによって、脅威インテリジェンスシステム110は、コンピューティングシステム中にあまり存在しないか、または偽陽性の大部分を生成するIOCについて走査して時間を浪費することなしに、コンピューティングシステムを危殆化したセキュリティ脅威をより迅速に識別することができる。
[0065] 脅威インテリジェンスシステム110は、ユーザのコンピューティングシステムからテレメトリデータを受信する(212)。テレメトリデータは、コンピューティングシステムにおいて検出されたイベントを記述するイベントデータを含むことができる。たとえば、テレメトリデータは、他のデバイスへのネットワーク接続のログ、コンピューティングシステムにおいて記憶または修正されたファイル、ファイルの特性、インメモリシグネチャ、コンピューティングシステムの挙動特性、および/またはコンピューティングシステムにおいて発生したイベントを記述する他の適切なデータを含むことができる。
[0066] 脅威インテリジェンスシステム110は、所与のユーザについてのテレメトリデータが、所与のIOCによって指定された1つまたは複数の特性を含むと決定する(214)。たとえば、脅威インテリジェンスシステム110は、IOCのセット中のIOCを使用して各ユーザについてのテレメトリデータを監視し得る。監視することの一部として、脅威インテリジェンスシステム110は、IOC中の各IOCによって指定された(1つまたは複数の)特性を、テレメトリデータ中に含まれるコンピューティングシステムの特性と比較し得る。脅威インテリジェンスシステム110はまた、各ユーザについてのテレメトリデータが、ユーザのコンピューティングシステムが危殆化されたことを示すかどうかを決定するために、テレメトリデータにIOCのルールのセットを適用し得る。所与のユーザのコンピューティングシステムが、所与のIOCによって指定された各特性を含む場合、脅威インテリジェンスシステム110は、所与のユーザのコンピューティングシステムが危殆化されたと決定し得る。
[0067] 図3は、コンピューティングシステムが危殆化されたと決定したことに応答して、実施すべき行為を識別し、行為を実施するための例示的なプロセス300のフローチャートである。プロセス300の動作は、たとえば、図1のセキュリティ脅威インテリジェンスシステム110など、1つまたは複数のデータ処理装置を含むシステムによって実装され得る。プロセス300はまた、コンピュータ記憶媒体に記憶された命令によって実装され得、ここで、データ処理装置を含むシステムによる命令の実行は、データ処理装置に、プロセス300の動作を実施させる。
[0068] 脅威インテリジェンスシステム110は、所与のユーザについてのIOCを識別する(302)。たとえば、所与のユーザは、利用可能なIOCのセットの適切なサブセット、またはIOCプロバイダの一部のみによって提供されたIOCに申し込むのみであり得る。適切なサブセットは、IOCのセット中のIOCの一部を含むサブセットである。別の例では、脅威インテリジェンスシステム110は、所与のユーザによって指定された予算、各IOCについてのコスト、および/または各IOCについての性能スコアに基づいて、所与のユーザについて利用可能なIOCのセットの適切なサブセットを識別し得る。
[0069] IOCプロバイダがIOCを提供するとき、IOCプロバイダはまた、ユーザが、IOCを使用してそれらのテレメトリデータを評価してもらうためのコスト、またはIOCプロバイダがIOCの各使用またはIOCを使用したセキュリティ脅威の検出について脅威インテリジェンスシステム110から受け取りたい量を指定し得る。たとえば、IOCプロバイダは、IOCを使用するセキュリティ脅威の各検出について、IOCプロバイダがある金銭的量を受け取りたいことを指定し得る。IOCについての量がユーザの予算を超えるか、またはユーザの予算の大部分(たとえば、少なくともしきい値割合)を使用する場合、システムは、ユーザについてそのIOCを選択しないことがある。
[0070] 脅威インテリジェンスシステム110は、識別されたIOCを使用して、所与のユーザのコンピューティングシステムが危殆化されたと決定する(304)。たとえば、脅威インテリジェンスシステム110は、各識別されたIOCによって指定された(1つまたは複数の)セキュリティ脅威特性を識別しようとする試みにおいて、コンピューティングシステムから受信されたテレメトリデータを走査し得る。所与のIOCによって指定された各特性がテレメトリデータ中で検出された場合、脅威インテリジェンスシステム110は、コンピューティングシステムが、所与のIOCによって指定された(1つまたは複数の)特性によって示されたセキュリティ脅威によって危殆化されたと決定し得る。
[0071] 脅威インテリジェンスシステム110は、周期的に、たとえば、1日に1回または1時間に1回テレメトリデータを走査し得る。脅威インテリジェンスシステム110はまた、新しいテレメトリデータが受信されたとき、テレメトリデータを走査し得る。たとえば、テレメトリデータは、コンピューティングシステムからのストリームまたはフィード中で送られ得る。脅威インテリジェンスシステム110は、ストリームまたはフィードを、それが受信されたとき、識別されたIOCを使用して走査し得る。
[0072] 脅威インテリジェンスシステム110は、コンピューティングシステムが危殆化されたと決定したことに応答して、実施すべき行為を選択する(306)。たとえば、脅威インテリジェンスシステム110は、危殆化および/またはセキュリティ脅威の重大度を検出するために使用されるIOCによって指定されたセキュリティ脅威のタイプに基づいて、可能な行為のセットから行為を選択し得る。たとえば、行為のセットは、自動的にコンピューティングシステムからセキュリティ脅威を取り除くこと、コンピューティングシステムのフォレンジック調査を開始すること、または所与のユーザに通知する警報を生成することを含み得る。
[0073] 脅威インテリジェンスシステム110は、選択された行為を実施するか、または選択された行為が実施されることを引き起こす(308)。たとえば、ユーザがコンピューティングシステムへのシステムアクセスを与えた場合、脅威インテリジェンスシステム110は、それが選択された行為である場合、自動的にセキュリティ脅威を取り除き得る。脅威インテリジェンスシステム110はまた、行為が、たとえば、危殆化されたコンピューティングシステムまたはサードパーティによって実施されることを引き起こし得る。
[0074] 図4は、危殆化のインジケータプロバイダに補償するための例示的なプロセス400のフローチャートである。プロセス400の動作は、たとえば、図1のセキュリティ脅威インテリジェンスシステム110など、1つまたは複数のデータ処理装置を含むシステムによって実装され得る。プロセス400はまた、コンピュータ記憶媒体に記憶された命令によって実装され得、ここで、データ処理装置を含むシステムによる命令の実行は、データ処理装置に、プロセス400の動作を実施させる。
[0075] 脅威インテリジェンスシステム110は、セキュリティデータプロバイダの1つまたは複数のIOCについての性能スコアを決定する(402)。上記で説明されたように、IOCについての性能スコアは、IOCによって指定された1つまたは複数の特性が、コンピューティングシステムから受信されたテレメトリデータ(または他のイベントデータ)中で検出された回数、IOCによって指定された(1つまたは複数の)特性の真陽性検出の回数、IOCによって指定された(1つまたは複数の)特性の偽陽性検出の回数、IOCによって指定された(1つまたは複数の)特性が、コンピューティングシステムについてのテレメトリデータ中に存在するかどうかを決定するためのデータ処理探索コスト、IOCについてのユーザフィードバック、および/または他の適切な基準に基づき得る。
[0076] 脅威インテリジェンスシステム110は、(1つまたは複数の)性能スコアに基づいて、セキュリティデータプロバイダに補償すべき量を決定する(404)。たとえば、各IOCについての量は、IOCについての性能スコアに正比例し得る。セキュリティデータプロバイダが複数のIOCを提供した場合、量は各IOCについての量の和であり得る。
[0077] IOCについての量はまた、IOCが、コンピューティングシステム上のセキュリティ脅威を成功裡に識別するために使用されたたびに、ある量に基づき得る。たとえば、脅威インテリジェンスシステム110がこの量を指定し得るか、またはセキュリティデータプロバイダがこの量を指定し得る。IOCについての量は、セキュリティ脅威の成功裡の識別の回数と、IOCについての性能スコアの組合せであり得る。
[0078] 脅威インテリジェンスシステム110は、セキュリティデータプロバイダに補償を提供する(406)。たとえば、脅威インテリジェンスシステム110は、決定された量をセキュリティデータプロバイダの口座に振り込み得る。
[0079] 説明された特徴は、デジタル電子回路で、またはコンピュータハードウェア、ファームウェア、ソフトウェアで、またはそれらの組合せで実装され得る。装置は、情報キャリアに、たとえば、プログラマブルプロセッサによる実行のための機械可読ストレージデバイスに有形に組み込まれたコンピュータプログラム製品で実装され得、方法ステップは、入力データに対して演算し、出力を生成することによって、説明された実装形態の機能を実施するための命令のプログラムを実行するプログラマブルプロセッサによって実施され得る。説明された特徴は、データストレージシステム、少なくとも1つの入力デバイス、および少なくとも1つの出力デバイスからデータおよび命令を受信し、それらにデータおよび命令を送信するように結合された少なくとも1つのプログラマブルプロセッサを含むプログラマブルシステム上で実行可能である1つまたは複数のコンピュータプログラムで有利に実装され得る。コンピュータプログラムは、あるアクティビティを実施するかまたはある結果をもたらすためにコンピュータにおいて直接または間接的に使用され得る命令のセットである。コンピュータプログラムは、コンパイルまたは解釈された言語を含む、任意の形態のプログラミング言語で書かれ得、それは、スタンドアロンプログラムとして、あるいはモジュール、構成要素、サブルーチン、またはコンピューティング環境において使用するのに好適な他のユニットとして含む、任意の形態で展開され得る。
[0080] 命令のプログラムの実行のための好適なプロセッサは、例として、汎用マイクロプロセッサと専用マイクロプロセッサの両方、および任意の種類のコンピュータの唯一のプロセッサまたは複数のプロセッサのうちの1つを含む。概して、プロセッサは、読取り専用メモリまたはランダムアクセスメモリあるいはその両方から命令およびデータを受信する。コンピュータの必須の要素は、命令を実行するためのプロセッサ、ならびに命令およびデータを記憶するための1つまたは複数のメモリである。概して、コンピュータはまた、データファイルを記憶するための1つまたは複数の大容量ストレージデバイスを含むか、またはそれらと通信するために動作可能に結合され、そのようなデバイスは、内蔵ハードディスクおよびリムーバブルディスクなどの磁気ディスク、光磁気ディスク、ならびに光ディスクを含む。コンピュータプログラム命令およびデータを有形に実施するのに好適なストレージデバイスは、例として、EPROM、EEPROM、およびフラッシュメモリデバイスなどの半導体メモリデバイス、内蔵ハードディスクおよびリムーバブルディスクなどの磁気ディスク、光磁気ディスク、ならびにCD−ROMおよびDVD−ROMディスクを含む、すべての形態の不揮発性メモリを含む。プロセッサおよびメモリは、ASIC(特定用途向け集積回路)によって補われるか、またはそれに組み込まれ得る。
[0081] ユーザとの対話を提供するために、特徴は、ユーザに情報を表示するためのCRT(陰極線管)またはLCD(液晶ディスプレイ)モニタなどのディスプレイデバイスと、ユーザがそれによってコンピュータに入力を与えることができるキーボードおよびマウスまたはトラックボールなどのポインティングデバイスとを有するコンピュータ上で実装され得る。さらに、そのようなアクティビティは、タッチスクリーンフラットパネルディスプレイおよび他の適切な機構を介して実装され得る。
[0082] 特徴は、データサーバなどのバックエンド構成要素を含む、あるいはアプリケーションサーバまたはインターネットサーバなどのミドルウェア構成要素を含む、あるいはグラフィカルユーザインターフェースまたはインターネットブラウザを有するクライアントコンピュータなどのフロントエンド構成要素を含むコンピュータシステム、またはそれらの任意の組合せで実装され得る。システムの構成要素は、通信ネットワークなど、デジタルデータ通信の任意の形態または媒体によって接続され得る。通信ネットワークの例は、ローカルエリアネットワーク(「LAN」)、ワイドエリアネットワーク(「WAN」)、(アドホックまたは静的要素を有する)ピアツーピアネットワーク、グリッド算出インフラストラクチャ、およびインターネットを含む。
[0083] コンピュータシステムは、クライアントおよびサーバを含むことができる。クライアントおよびサーバは、概して、互いにリモートであり、一般に、説明されたものなど、ネットワークを通して対話する。クライアントおよびサーバの関係は、それぞれのコンピュータ上で動作し、互いにクライアントサーバ関係を有するコンピュータプログラムによって生じる。
[0084] 本明細書は多くの特定の実装形態詳細を含んでいるが、これらは、発明のまたは請求され得るものの範囲に対する限定と解釈されるべきではなく、むしろ、特定の発明の特定の実装形態に固有の特徴の説明と解釈されるべきである。別個の実装形態に関して本明細書で説明されたいくつかの特徴はまた、単一の実装形態において組み合わせて実装され得る。逆に、単一の実装形態に関して説明された様々な特徴はまた、別々にまたは任意の好適な部分組合せで複数の実装形態において実装され得る。その上、特徴は、いくつかの組合せで作用するものとして上記で説明され、そのようなものとして最初は請求さえされ得るが、請求される組合せからの1つまたは複数の特徴は、いくつかの場合には、組合せから削除され得、請求される組合せは、部分組合せまたは部分組合せの変形形態を対象とし得る。
[0085] 同様に、動作は特定の順序で図面に示されているが、これは、望ましい結果を達成するために、そのような動作が、示されている特定の順序でまたは連続した順序で実施されること、またはすべての図示されている動作が実施されることを要求すると理解されるべきではない。いくつかの状況では、マルチタスキングおよび並列処理が有利であり得る。その上、上記で説明された実装形態における様々なシステム構成要素の分離は、すべての実装形態においてそのような分離を必要とすると理解されるべきではなく、説明されたプログラム構成要素およびシステムは、概して、単一のソフトウェア製品に一緒に組み込まれるか、または複数のソフトウェア製品にパッケージングされ得ることを理解されたい。したがって、主題の特定の実装形態が説明された。他の実装形態は、以下の特許請求の範囲内に入る。いくつかの場合には、特許請求の範囲で具陳される行為は、異なる順序で実施され、望ましい結果を依然として達成することができる。さらに、添付図に示されているプロセスは、望ましい結果を達成するために、示されている特定の順序または連続した順序を必ずしも必要とするとは限らない。いくつかの実装形態では、マルチタスキングおよび並列処理が有利であり得る。

Claims (20)

  1. コンピュータ記憶媒体に記憶されたコンピュータプログラムを実行するデータ処理装置によって行われる、危殆化のインジケータを収集および検出するための方法であって、前記方法は、
    前記データ処理装置によって、複数のセキュリティデータプロバイダから危殆化のインジケータを受信することであって、危殆化の各インジケータが、1つまたは複数のコンピュータセキュリティ脅威の1つまたは複数の特性を指定するデータを含み、危殆化の各インジケータが、コンピュータによって処理されたとき、前記コンピュータに、前記1つまたは複数のコンピュータセキュリティ脅威の前記指定された1つまたは複数の特性の存在を検出させるように構成された、受信することと、
    前記データ処理装置によって、複数のユーザの各ユーザから、前記ユーザのコンピューティングシステムについてのテレメトリデータを受信することであって、前記テレメトリデータが、前記コンピューティングシステムにおいて検出された少なくとも1つのイベントを記述するデータを含む、受信することと、
    前記データ処理装置によって、所与のユーザについて、前記所与のユーザについての前記テレメトリデータが、危殆化の所与のインジケータによって指定された前記1つまたは複数の特性を含むと決定することと
    前記データ処理装置によって、危殆化の各インジケータについての性能スコアを決定することであって、危殆化のインジケータについての前記性能スコアは、危殆化の前記インジケータによって指定された前記1つまたは複数の特性が前記ユーザの前記テレメトリデータ中で検出された回数に少なくとも部分的に基づくことと、
    前記データ処理装置によって、所与のセキュリティデータプロバイダから提供された危殆化の各インジケータについての前記性能スコアに基づく報酬量を前記所与のセキュリティデータプロバイダに提供することと
    を備える、方法。
  2. 前記データ処理装置によって、危殆化の前記所与のインジケータによって示されたセキュリティ脅威のタイプを識別することと、
    前記データ処理装置によって、危殆化の前記所与のインジケータによって示されたセキュリティ脅威の前記タイプに基づいて、実施すべき行為を行為のセットから選択することと
    をさらに備える、請求項1に記載の方法。
  3. 行為の前記セットが、(i)前記所与のユーザのコンピューティングシステムから危殆化の前記所与のインジケータによって示された前記セキュリティ脅威を取り除くこと、(ii)前記ユーザのコンピューティングシステムのフォレンジック調査を開始すること、および(iii)危殆化の前記所与のインジケータによって示された前記セキュリティ脅威を前記ユーザに通知する警報を生成することのうちの1つまたは複数を含む、請求項2に記載の方法。
  4. 前記データ処理装置によって、危殆化の前記少なくとも1つのインジケータについての前記性能スコアに基づいて、前記ユーザの前記テレメトリデータがそれについて監視される危殆化のインジケータのセットから、危殆化の少なくとも1つのインジケータを削除するこをさらに備える、請求項1に記載の方法。
  5. 所与のセキュリティデータプロバイダによって提供された危殆化の各インジケータについての前記性能スコアに基づく報酬量を前記所与のセキュリティデータプロバイダに提供することは前記報酬量を前記所与のセキュリティデータプロバイダに補償することを含む、請求項4に記載の方法。
  6. 危殆化の各インジケータについての前記性能スコアが、(i)前記ユーザの前記テレメトリデータ中の危殆化の前記インジケータによって指定された前記1つまたは複数の特性の真検出の回数と、(ii)前記ユーザの前記テレメトリデータ中の危殆化の前記インジケータによって指定された前記1つまたは複数の特性の偽検出の回数との間の差に基づく、請求項に記載の方法。
  7. 前記報酬量が、危殆化の前記インジケータの関連性、またはユーザのテレメトリデータ中の危殆化の前記インジケータによって指定された前記1つまたは複数の特性を識別するためのデータ処理探索コストのうちの少なくとも1つに基づく、請求項5に記載の方法。
  8. 前記データ処理装置によって、所与のユーザについて、危殆化の各インジケータのコストと、前記ユーザによって指定された予算とに基づいて、危殆化のインジケータの前記セットの適切なサブセットを識別することと、
    前記データ処理装置によって、危殆化のインジケータの前記適切なサブセットによって指定された前記1つまたは複数の特性ついてのみ、前記所与のユーザについての前記テレメトリデータを監視することと
    をさらに備える、請求項4に記載の方法。
  9. 前記データ処理装置によって、所与のユーザについて、前記所与のユーザがそれに申し込んだ危殆化のインジケータの前記セットの適切なサブセットを識別することと、
    前記データ処理装置によって、危殆化のインジケータの前記適切なサブセットによって指定された前記1つまたは複数の特性ついてのみ、前記所与のユーザについての前記テレメトリデータを監視することと
    をさらに備える、請求項4に記載の方法。
  10. 前記データ処理装置によって、危殆化の受信されたインジケータによって指定された所与の特性に関係するデータを提供するように、少なくとも1人のユーザの前記コンピューティングシステムを更新することをさらに備える、請求項1に記載の方法。
  11. 危殆化の少なくとも1つのインジケータが、前記ユーザの前記テレメトリデータを評価するためのルールのセットを含む、請求項1に記載の方法。
  12. 危殆化の特定のインジケータによって指定された前記1つまたは複数のセキュリティ脅威は、セキュリティ脅威の同じカテゴリーにすべてが属する複数のセキュリティ脅威を含む、請求項1に記載の方法。
  13. 危殆化の特定のインジケータによって指定された前記1つまたは複数のセキュリティ脅威は、互いの変形態である複数のセキュリティ脅威を含む、請求項1に記載の方法。
  14. システムであって、
    データ処理装置と、
    コンピュータプログラムで符号化されたコンピュータ記憶媒体であって、前記プログラムが、前記データ処理装置によって実行されたとき、前記データ処理装置に、
    複数のセキュリティデータプロバイダから危殆化のインジケータを受信することであって、危殆化の各インジケータが、1つまたは複数のコンピュータセキュリティ脅威の1つまたは複数の特性を指定するデータを含み、危殆化の各インジケータが、コンピュータによって処理されたとき、前記コンピュータに、前記1つまたは複数のコンピュータセキュリティ脅威の前記指定された1つまたは複数の特性の存在を検出させるように構成された、受信することと、
    複数のユーザの各ユーザから、前記ユーザのコンピューティングシステムについてのテレメトリデータを受信することであって、前記テレメトリデータが、前記コンピューティングシステムにおいて検出された少なくとも1つのイベントを記述するデータを含む、受信することと、
    所与のユーザについて、前記所与のユーザについての前記テレメトリデータが、危殆化の所与のインジケータによって指定された前記1つまたは複数の特性を含むと決定することと
    危殆化の各インジケータについての性能スコアを決定することであって、危殆化のインジケータについての前記性能スコアは、危殆化の前記インジケータによって指定された前記1つまたは複数の特性が前記ユーザの前記テレメトリデータ中で検出された回数に少なくとも部分的に基づくことと、
    所与のセキュリティデータプロバイダから提供された危殆化の各インジケータについての前記性能スコアに基づく報酬量を前記所与のセキュリティデータプロバイダに提供することと
    を備える動作を実施させるデータ処理装置命令を備える、コンピュータ記憶媒体と
    を備えるシステム。
  15. 前記動作が、
    危殆化の前記所与のインジケータによって示されたセキュリティ脅威のタイプを識別することと、
    危殆化の前記所与のインジケータによって示されたセキュリティ脅威の前記タイプに基づいて、実施すべき行為を行為のセットから選択することと
    をさらに備える、請求項14に記載のシステム。
  16. 行為の前記セットが、(i)前記所与のユーザのコンピューティングシステムから危殆化の前記所与のインジケータによって示された前記セキュリティ脅威を取り除くこと、(ii)前記ユーザのコンピューティングシステムのフォレンジック調査を開始すること、および(iii)危殆化の前記所与のインジケータによって示された前記セキュリティ脅威を前記ユーザに通知する警報を生成することのうちの1つまたは複数を含む、請求項15に記載のシステム。
  17. 前記動作が
    危殆化の前記少なくとも1つのインジケータについての前記性能スコアに基づいて、前記ユーザの前記テレメトリデータがそれについて監視される危殆化のインジケータのセットから、危殆化の少なくとも1つのインジケータを削除するこをさらに備える、請求項14に記載のシステム。
  18. 与のセキュリティデータプロバイダによって提供された危殆化の各インジケータについての前記性能スコアに基づく報酬量を前記所与のセキュリティデータプロバイダに提供することは前記報酬量を前記所与のセキュリティデータプロバイダに補償することを含む、請求項17に記載のシステム。
  19. 危殆化の各インジケータについての前記性能スコアが、(i)前記ユーザの前記テレメトリデータ中の危殆化の前記インジケータによって指定された前記1つまたは複数の特性の真検出の回数と、(ii)前記ユーザの前記テレメトリデータ中の危殆化の前記インジケータによって指定された前記1つまたは複数の特性の偽検出の回数との間の差に基づく、請求項14に記載のシステム。
  20. コンピュータプログラムで符号化された非一時的コンピュータ記憶媒体であって、前記プログラムは、1つまたは複数のデータ処理装置によって実行されたとき、前記データ処理装置に、
    複数のセキュリティデータプロバイダから危殆化のインジケータを受信することであって、危殆化の各インジケータが、1つまたは複数のコンピュータセキュリティ脅威の1つまたは複数の特性を指定するデータを含み、危殆化の各インジケータが、コンピュータによって処理されたとき、前記コンピュータに、前記1つまたは複数のコンピュータセキュリティ脅威の前記指定された1つまたは複数の特性の存在を検出させるように構成された、受信することと、
    複数のユーザの各ユーザから、前記ユーザのコンピューティングシステムについてのテレメトリデータを受信することであって、前記テレメトリデータが、前記コンピューティングシステムにおいて検出された少なくとも1つのイベントを記述するデータを含む、受信することと、
    所与のユーザについて、前記所与のユーザについての前記テレメトリデータが、危殆化の所与のインジケータによって指定された前記1つまたは複数の特性を含むと決定することと
    前記データ処理装置によって、危殆化の各インジケータについての性能スコアを決定することであって、危殆化のインジケータについての前記性能スコアは、危殆化の前記インジケータによって指定された前記1つまたは複数の特性が前記ユーザの前記テレメトリデータ中で検出された回数に少なくとも部分的に基づくことと、
    前記データ処理装置によって、所与のセキュリティデータプロバイダから提供された危殆化の各インジケータについての前記性能スコアに基づく報酬量を前記所与のセキュリティデータプロバイダに提供することと
    を備える動作を実施させる命令を備える、非一時的コンピュータ記憶媒体。
JP2019556547A 2016-12-29 2017-12-27 セキュリティ脅威検出のための危殆化のインジケータを収集すること Active JP6916300B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/394,377 2016-12-29
US15/394,377 US10469509B2 (en) 2016-12-29 2016-12-29 Gathering indicators of compromise for security threat detection
PCT/US2017/068500 WO2018125903A1 (en) 2016-12-29 2017-12-27 Gathering indicators of compromise for security threat detection

Publications (2)

Publication Number Publication Date
JP2020503635A JP2020503635A (ja) 2020-01-30
JP6916300B2 true JP6916300B2 (ja) 2021-08-11

Family

ID=62710783

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019556547A Active JP6916300B2 (ja) 2016-12-29 2017-12-27 セキュリティ脅威検出のための危殆化のインジケータを収集すること

Country Status (6)

Country Link
US (1) US10469509B2 (ja)
JP (1) JP6916300B2 (ja)
CN (1) CN110521177B (ja)
AU (1) AU2017387092B2 (ja)
CA (1) CA3048906C (ja)
WO (1) WO2018125903A1 (ja)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8903973B1 (en) 2008-11-10 2014-12-02 Tanium Inc. Parallel distributed network management
US9246977B2 (en) 2012-12-21 2016-01-26 Tanium Inc. System, security and network management using self-organizing communication orbits in distributed networks
US11172470B1 (en) 2012-12-21 2021-11-09 Tanium Inc. System, security and network management using self-organizing communication orbits in distributed networks
US10873645B2 (en) 2014-03-24 2020-12-22 Tanium Inc. Software application updating in a local network
US9769275B2 (en) 2014-03-24 2017-09-19 Tanium Inc. Data caching and distribution in a local network
US11461208B1 (en) 2015-04-24 2022-10-04 Tanium Inc. Reliable map-reduce communications in a decentralized, self-organizing communication orbit of a distributed network
US9910752B2 (en) 2015-04-24 2018-03-06 Tanium Inc. Reliable map-reduce communications in a decentralized, self-organizing communication orbit of a distributed network
US10095864B2 (en) * 2016-03-08 2018-10-09 Tanium Inc. System and method for performing event inquiries in a network
US11372938B1 (en) 2016-03-08 2022-06-28 Tanium Inc. System and method for performing search requests in a network
US11886229B1 (en) 2016-03-08 2024-01-30 Tanium Inc. System and method for generating a global dictionary and performing similarity search queries in a network
US11609835B1 (en) 2016-03-08 2023-03-21 Tanium Inc. Evaluating machine and process performance in distributed system
US11153383B2 (en) 2016-03-08 2021-10-19 Tanium Inc. Distributed data analysis for streaming data sources
US10498744B2 (en) * 2016-03-08 2019-12-03 Tanium Inc. Integrity monitoring in a local network
US10929345B2 (en) 2016-03-08 2021-02-23 Tanium Inc. System and method of performing similarity search queries in a network
US10824729B2 (en) 2017-07-14 2020-11-03 Tanium Inc. Compliance management in a local network
US10623433B1 (en) * 2017-09-25 2020-04-14 Amazon Technologies, Inc. Configurable event-based compute instance security assessments
US11337072B2 (en) 2017-12-07 2022-05-17 Microsoft Technology Licensing, Llc Threshold based fraud management for cloud computing system
US11611583B2 (en) 2018-06-07 2023-03-21 Intsights Cyber Intelligence Ltd. System and method for detection of malicious interactions in a computer network
US10841365B2 (en) * 2018-07-18 2020-11-17 Tanium Inc. Mapping application dependencies in a computer network
US11343355B1 (en) * 2018-07-18 2022-05-24 Tanium Inc. Automated mapping of multi-tier applications in a distributed system
TWI711852B (zh) * 2019-05-15 2020-12-01 友達光電股份有限公司 顯示面板及其製造方法
US11533323B2 (en) * 2019-10-10 2022-12-20 Target Brands, Inc. Computer security system for ingesting and analyzing network traffic
US11831670B1 (en) 2019-11-18 2023-11-28 Tanium Inc. System and method for prioritizing distributed system risk remediations
KR102446642B1 (ko) * 2019-11-21 2022-09-23 (주)피즐리소프트 내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지장치
KR102239759B1 (ko) * 2019-11-21 2021-04-13 (주)피즐리소프트 내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지방법
KR102189361B1 (ko) * 2019-12-02 2020-12-09 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
JP7227935B2 (ja) * 2020-03-30 2023-02-22 デジタルアーツ株式会社 情報処理装置、情報処理方法、及び情報処理プログラム
US12041094B2 (en) 2020-05-01 2024-07-16 Amazon Technologies, Inc. Threat sensor deployment and management
US12058148B2 (en) * 2020-05-01 2024-08-06 Amazon Technologies, Inc. Distributed threat sensor analysis and correlation
US11669615B2 (en) * 2020-07-23 2023-06-06 Mcafee, Llc Skewness in indicators of compromise
US11563764B1 (en) 2020-08-24 2023-01-24 Tanium Inc. Risk scoring based on compliance verification test results in a local network
US11930019B2 (en) 2021-04-21 2024-03-12 Saudi Arabian Oil Company Methods and systems for fast-paced dynamic malware analysis
JP7563587B2 (ja) 2021-05-12 2024-10-08 日本電信電話株式会社 抽出方法、抽出装置及び抽出プログラム
US20230224275A1 (en) * 2022-01-12 2023-07-13 Bank Of America Corporation Preemptive threat detection for an information system
US20240007483A1 (en) * 2022-07-01 2024-01-04 Nozomi Networks Sagl Method for automatic signatures generation from a plurality of sources

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7315949B1 (en) * 2000-06-24 2008-01-01 Palm, Inc. Method and system for providing a personal identification security feature to a portable computing device
GB2421142A (en) 2004-12-09 2006-06-14 Agilent Technologies Inc Detecting malicious traffic in a communications network
US20060206698A1 (en) * 2005-03-11 2006-09-14 Microsoft Corporation Generic collection and delivery of telemetry data
JP2007242002A (ja) * 2006-02-10 2007-09-20 Mitsubishi Electric Corp ネットワーク管理装置及びネットワーク管理方法及びプログラム
US8667583B2 (en) * 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
US8813228B2 (en) 2012-06-29 2014-08-19 Deloitte Development Llc Collective threat intelligence gathering system
US9753796B2 (en) 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US9386034B2 (en) 2013-12-17 2016-07-05 Hoplite Industries, Inc. Behavioral model based malware protection system and method
US9009827B1 (en) 2014-02-20 2015-04-14 Palantir Technologies Inc. Security sharing system
US9015847B1 (en) * 2014-05-06 2015-04-21 Synack, Inc. Computer system for distributed discovery of vulnerabilities in applications
US9794279B2 (en) 2014-06-11 2017-10-17 Accenture Global Services Limited Threat indicator analytics system
US10469514B2 (en) 2014-06-23 2019-11-05 Hewlett Packard Enterprise Development Lp Collaborative and adaptive threat intelligence for computer security
US10212176B2 (en) * 2014-06-23 2019-02-19 Hewlett Packard Enterprise Development Lp Entity group behavior profiling
WO2016027292A1 (ja) * 2014-08-22 2016-02-25 日本電気株式会社 分析装置、分析方法及びコンピュータ読み取り可能な記録媒体
US20160080408A1 (en) 2014-09-15 2016-03-17 Lookingglass Cyber Solutions Apparatuses, methods and systems for a cyber security assessment mechanism
US10805337B2 (en) * 2014-12-19 2020-10-13 The Boeing Company Policy-based network security
US10230742B2 (en) * 2015-01-30 2019-03-12 Anomali Incorporated Space and time efficient threat detection
US10102073B2 (en) * 2015-05-20 2018-10-16 Dell Products, L.P. Systems and methods for providing automatic system stop and boot-to-service OS for forensics analysis

Also Published As

Publication number Publication date
CA3048906C (en) 2023-03-21
CN110521177A (zh) 2019-11-29
WO2018125903A1 (en) 2018-07-05
US10469509B2 (en) 2019-11-05
CN110521177B (zh) 2020-10-27
AU2017387092A1 (en) 2019-07-25
AU2017387092B2 (en) 2020-07-16
US20180191747A1 (en) 2018-07-05
CA3048906A1 (en) 2018-07-05
JP2020503635A (ja) 2020-01-30

Similar Documents

Publication Publication Date Title
JP6916300B2 (ja) セキュリティ脅威検出のための危殆化のインジケータを収集すること
Usman et al. Intelligent dynamic malware detection using machine learning in IP reputation for forensics data analytics
US10728263B1 (en) Analytic-based security monitoring system and method
AU2018217323B2 (en) Methods and systems for identifying potential enterprise software threats based on visual and non-visual data
AU2015203088B2 (en) Method and system for automated incident response
US9794279B2 (en) Threat indicator analytics system
US9306964B2 (en) Using trust profiles for network breach detection
AU2015203069B2 (en) Deception network system
US8756691B2 (en) IP-based blocking of malware
US9582335B2 (en) System and method for distributing processing of computer security tasks
US8312536B2 (en) Hygiene-based computer security
US20230336581A1 (en) Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes
WO2019133453A1 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
WO2019133451A1 (en) Platform and method for enhanced-cyber-attack detection and response employing a global data store
WO2023283357A1 (en) Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes
US20090328209A1 (en) Simplified Communication of a Reputation Score for an Entity
US20170208085A1 (en) System and Method for Prediction of Future Threat Actions
US10230744B1 (en) Detecting periodic behavior in a communication session using clustering
De Vries Towards a roadmap for development of intelligent data analysis based cyber attack detection systems
JP7563587B2 (ja) 抽出方法、抽出装置及び抽出プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190819

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200820

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200930

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20201228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210715

R150 Certificate of patent or registration of utility model

Ref document number: 6916300

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250