JP7358564B2 - 脅威を検出するための動的ポリシーの導入およびアクセスの可視化 - Google Patents

脅威を検出するための動的ポリシーの導入およびアクセスの可視化 Download PDF

Info

Publication number
JP7358564B2
JP7358564B2 JP2022093754A JP2022093754A JP7358564B2 JP 7358564 B2 JP7358564 B2 JP 7358564B2 JP 2022093754 A JP2022093754 A JP 2022093754A JP 2022093754 A JP2022093754 A JP 2022093754A JP 7358564 B2 JP7358564 B2 JP 7358564B2
Authority
JP
Japan
Prior art keywords
policy
execution
user
policies
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022093754A
Other languages
English (en)
Other versions
JP2022126712A (ja
Inventor
ジョセフ,アジ
ラオテ,パレシュ
ハリハラン,ラクシュミ
マハジャン,カニシュク
コリ,アシシュ
バネルジー,モウシュミ
ウィーザー,イサク
シエ,ウェイファン
キュイ,ジンユ
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2022126712A publication Critical patent/JP2022126712A/ja
Priority to JP2023165968A priority Critical patent/JP2023175878A/ja
Application granted granted Critical
Publication of JP7358564B2 publication Critical patent/JP7358564B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)
  • User Interface Of Digital Computer (AREA)

Description

関連出願の相互参照
本願は、2017年1月18日に出願され、「脅威を検出するためのアクセスの可視化」と題された米国仮出願第62/447759号および2016年9月16日に出願され、「脅威を検出するためのアクセスの可視化」と題された米国仮出願第62/396016号の優先権および利益を主張し、これらの出願の内容の全体は、あらゆる目的のために参照によって本明細書に組み込まれる。
背景
本開示は、一般的に脅威検出に関し、より詳しくは動的ポリシーを用いてセキュリティイベントを分析し、能動的脅威と、ユーザ活動と、能動的脅威およびユーザ活動によってトリガされた動的ポリシーとを含む統合ビューを表示するための技術(例えば、システム、方法、1つ以上のプロセッサによって実行可能なコードまたは命令を格納するためのコンピュータプログラム製品)に関する。
コンピュータネットワークは、現代のビジネスにとって重要なツールとなっている。現在では、大量の情報は、このようなネットワークに格納されており、世界中のユーザによって利用されている。殆どの情報がある程度に秘密または機密であるため、情報の保護が必要である。驚くことではないが、権限のない人物および/または装置がコンピュータネットワークおよびコンピュータネットワークに格納されている情報にアクセスする試みを検知するために、様々なネットワークセキュリティ監視装置が開発されている。
ネットワークセキュリティ製品は、主に侵入検知システム(IDS)を含み、このような侵入検知システムは、ネットワークベースの侵入検知システム(NIDS)であってもよく、ホストベースの侵入検知システム(HIDS)であってもよい。他のネットワークセキュリティ製品は、ファイアウォール、ルータログ、および様々な他のイベントレポート装置を含む。ネットワークの規模によって、多くの企業は、これらの製品を何百または何千もネットワークに配置している。したがって、ネットワークセキュリティ担当者は、可能なセキュリティ脅威を表すアラームの対応に追われている。殆どの企業は、受け取った全てのアラームを個別に対応できるリソースまたは有資格者を有しない。
したがって、セキュリティイベントを分析し、エンドユーザにとって容易に理解可能な方法でリアルタイムのデータ分析を提示するための脅威視覚化を提供するための技術が望まれている。
概要
ユーザ活動が極めて大量(1日あたり数十億のイベント)である場合、静的セキュリティルールは攻撃されやすいユーザ、アプリケーションおよびホストから生じる脅威に対応できないため、脅威インテリジェンスプラットフォームを提供する必要がある。いくつかの実施形態は、リアルタイムの脅威検出および分析を提供することができる。特定の実施形態は、ユーザ、アプリケーションの使用および性能の可視化を提供することができる。いくつかの実施形態は、既存のアクセス制御を利用して、リアルタイムの実行を提供することができる。特定の実施形態は、コンプライアンスを実行し、認可されていないアプリケーションに対するユーザのアクセスをブロックし、ポリシーに基づいて適応型認可およ
びユーザの認証を行い、プライバシーおよび漏洩を防ぐためにコンテンツ検査を実行することができる。特定の実施形態は、ルールおよび分析論を用いて、リアルタイムの実施を実行することができる。いくつかの実施形態は、リアルタイムで大量のセキュリティデータ(すなわち、1日当たり数十億のイベント)を収集、監視および視覚化することができ、対応する措置を講じることができる。
特に、分散環境内のアクセス可能なリソースへのアクセスを制御するためのシステム、方法、およびコンピュータ可読メモリが開示される。セキュリティイベントを動的に分析し、分散環境内のアクセス可能なリソースへのアクセスを制御し、能動的脅威およびユーザ活動の統合ビューを表示するように構成されたアクセス管理および脅威検出システム並びに情報管理システムを用いて、ID管理ソリューションを提供するための特定の技術が開示される。様々な実施形態において、システムおよび方法は、(検査ポリシーおよび実行ポリシーを含む)動的なポリシーを作成する能力、動的ポリシーを複数の実行実体に導入および伝達するためのポリシーバスの構想および潜在的には異なる方法でポリシーに動的に対応する実体の能力を含むネットワークアーキテクチャに関する。例えば、様々な実施形態において、脅威検出に基づいて動的アクセスポリシーの用意および実行を行い、リアルタイム脅威モデルに基づいてリアルタイム異常検出を行い、検査ポリシー配信に基づいて動的イベントおよびデータの収集を行い、および脅威レベルに基づいて動的アクセスポリシーの分類を行うための方法およびシステムが提供される。
様々な実施形態において、1つ以上のプロセッサおよび非一時的機械可読記憶媒体と、ユーザ装置、複数のエージェント、収集バス、ポリシーバス、およびリソースを有するターゲットシステムを含む分散環境と、セキュリティイベントに関するデータを収集するためのプログラム命令とを含むシステムが提供される。データは、(i)ユーザまたはユーザ装置を特定するためのソース、および(ii)ターゲットシステムまたはリソースを特定するための宛先を含み、データは、収集バスによって複数のエージェントのうち少なくとも1つのエージェントから収集される。システムは、データに基づいて動的実行ポリシーを作成するためのプログラム命令をさらに含む。動的実行ポリシーは、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間の指定を含む。システムは、複数のエージェントが動的実行ポリシーにアクセスできるように、動的実行ポリシーをポリシーバス上に公開するためのプログラム命令をさらに含む。動的実行ポリシーがアクティブになる期間中に、動的実行ポリシーは、ソースおよび宛先の指定を含む静的実行ポリシーを上書きする。プログラム命令は、非一時的機械可読記憶媒体に格納され、1つ以上のプロセッサによって実行される。
いくつかの実施形態において、システムは、動的実行ポリシーに基づいて、セキュリティイベントに対して実行措置を実行するためのプログラム命令をさらに含む。複数のエージェントのうち少なくとも1つのエージェントは、実行措置を実行する。
いくつかの実施形態において、期間は、少なくとも5分という所定期間であり、動的実行ポリシーは、所定期間が終了した後に非アクティブになり、ポリシーバスから削除され、静的実行ポリシーは、所定期間中に非アクティブであり、静的実行ポリシーは、所定期間が経過した後にアクティブになる。
いくつかの実施形態において、データの収集は、ポリシーバス上に公開された検査ポリシーによってトリガされ、検査ポリシーは、セキュリティイベントの一組の基準が定義済みパターンと一致するときに、セキュリティイベントに関する一組の定義済み属性であるデータをリアルタイムで収集するためのルールを含む。
いくつかの実施形態において、分散環境は、分析サーバおよび機械学習コンポーネント
をさらに含み、検査ポリシーおよび動的実行ポリシーは、分析サーバおよび機械学習コンポーネントによって作成される。
いくつかの実施形態において、システムは、ターゲットシステムまたはリソースの履歴データまたは指定に基づいて検査ポリシーを作成するためのプログラム命令と、複数のエージェントが検査ポリシーにアクセスできるように、検査ポリシーをポリシーバス上に公開するためのプログラム命令とをさらに含む。
いくつかの実施形態において、動的実行ポリシーの作成は、リアルタイムで収集されたデータおよび履歴データを1つ以上のデータクラスタに分類することと、1つ以上のデータクラスタを用いて、一組の定義済み属性を分析することと、分析に基づいて、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間を作成することとを含む。
いくつかの実施形態において、1つ以上のデータクラスタは、教師ありまたは教師なし機械学習またはクラスタリング技術を用いて生成され、分析は、1つ以上のデータクラスタの重心から一組の定義済み属性までの距離を計算することを含み、実行措置は、距離に基づいて決定される。
様々な実施形態において、命令を格納する非一時的機械可読記憶媒体が提供される。これらの命令は、1つ以上のプロセッサによって実行されると、1つ以上のプロセッサにセキュリティイベントに関するデータを収集するステップを含む方法を実行させる。データは、(i)ユーザまたはユーザ装置を特定するためのソース、および(ii)ターゲットシステムまたはリソースを特定するための宛先を含み、データは、複数のエージェントのうち少なくとも1つのエージェントから収集バスによって収集される。方法は、データに基づいて動的実行ポリシーを作成するステップをさらに含む。動的実行ポリシーは、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間の指定を含む。方法は、複数のエージェントが動的実行ポリシーにアクセスできるように、動的実行ポリシーをポリシーバス上に公開するするステップをさらに含む。方法は、動的実行ポリシーに基づいて、セキュリティイベントに対して実行措置を実行するステップをさらに含み、複数のエージェントのうち少なくとも1つのエージェントは、実行措置を実行する。動的実行ポリシーがアクティブになる期間中に、動的実行ポリシーは、ソースおよび宛先の指定を含む静的実行ポリシーを上書きする。
いくつかの実施形態において、期間は、少なくとも5分という所定期間であり、動的実行ポリシーは、所定期間が終了した後に非アクティブになり、ポリシーバスから削除され、静的実行ポリシーは、所定期間中に非アクティブであり、静的実行ポリシーは、所定期間が経過した後にアクティブになる。
いくつかの実施形態において、データの収集は、ポリシーバス上に公開された検査ポリシーによってトリガされ、検査ポリシーは、セキュリティイベントの一組の基準が定義済みパターンと一致するときに、セキュリティイベントに関する一組の定義済み属性であるデータをリアルタイムで収集するためのルールを含む。
いくつかの実施形態において、検査ポリシーおよび動的実行ポリシーは、分析サーバおよび機械学習コンポーネントによって作成される。
いくつかの実施形態において、方法は、ターゲットシステムまたはリソースの履歴データまたは指定に基づいて、検査ポリシーを作成するステップと、複数のエージェントが検査ポリシーにアクセスできるように、検査ポリシーをポリシーバス上に公開するステップ
とをさらに含む。
いくつかの実施形態において、動的実行ポリシーを作成するステップは、リアルタイムで収集されたデータおよび履歴データを1つ以上のデータクラスタに分類することと、1つ以上のデータクラスタを用いて、一組の定義済み属性を分析することと、分析に基づいて、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間を作成することとを含む。
いくつかの実施形態において、1つ以上のデータクラスタは、教師付きまたは教師なし機械学習またはクラスタリング技術を用いて生成され、分析は、1つ以上のデータクラスタの重心から一組の定義済み属性までの距離を計算することを含み、実行措置は、距離に基づいて決定される。
様々な実施形態において、コンピューティングシステムを用いて、セキュリティイベントに関するデータを収集するステップを含む方法が提供される。データは、i)ユーザまたはユーザ装置を特定するためのソース、および(ii)ターゲットシステムまたはリソースを特定するための宛先を含み、データは、複数のエージェントのうち少なくとも1つのエージェントから収集バスによって収集される。方法は、データに基づいて、動的実行ポリシーを作成するステップをさらに含む。方法は、コンピュータシステムを用いて、データに基づいて動的実行ポリシーを作成するステップをさらに含む。動的実行ポリシーは、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間の指定を含む。方法は、複数のエージェントが動的実行ポリシーにアクセスできるように、コンピューティングシステムを用いて、動的実行ポリシーをポリシーバス上に公開するステップをさらに含む。方法は、コンピューティングシステムを用いて、動的実行ポリシーに基づいてセキュリティイベントに対して実行措置を実行するステップをさらに含み、複数のエージェントのうち少なくとも1つのエージェントは、実行措置を実行する。動的実行ポリシーがアクティブになる期間中に、動的実行ポリシーは、ソースおよび宛先の指定を含む静的実行ポリシーを上書きする。
いくつかの実施形態において、期間は、少なくとも5分という所定期間であり、動的実行ポリシーは、所定期間が終了した後に非アクティブになり、ポリシーバスから削除され、静的実行ポリシーは、所定期間中に非アクティブであり、静的実行ポリシーは、所定期間が経過した後にアクティブになる。
いくつかの実施形態において、データの収集は、ポリシーバス上に公開された検査ポリシーによってトリガされ、検査ポリシーは、セキュリティイベントの一組の基準が定義済みパターンと一致するときに、セキュリティイベントに関する一組の定義済み属性であるデータをリアルタイムで収集するためのルールを含む。
いくつかの実施形態において、方法は、コンピューティングシステムを用いて、ターゲットシステムまたはリソースの履歴データまたは指定に基づいて検査ポリシーを作成するステップと、複数のエージェントが検査ポリシーにアクセスできるように、検査ポリシーをポリシーバス上に公開するステップとをさらに含む。
いくつかの実施形態において、動的実行ポリシーを作成するステップは、リアルタイムで収集されたデータおよび履歴データを1つ以上のデータクラスタに分類することと、1つ以上のデータクラスタを用いて、一組の定義済み属性を分析することと、分析に基づいて、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間を作成することとを含む。
様々な実施形態において、システムおよび方法は、能動的脅威カテゴリ、各脅威カテゴリに対してトリガされたポリシーの数、および関連するトレンドの統合ビューを提供することに関する。特定の実施形態において、1つ以上のプロセッサおよび非一時的機械可読記憶媒体と、1つ以上のライブ情報フローを監視するためのプログラム命令とを含むシステムが提供される。ライブ情報フローは、複数のソースから複数の宛先へのデータフローを含む。システムは、複数のバケットを含むユーザインターフェイスを提供するためのプログラム命令をさらに含む。各バケットは、異なる実行措置に関連し、各バケットは、リアルタイムでトリガされ、関連する実行措置を含む現在の実行ポリシーの総数を表示する。システムは、実行ポリシーのトリガに基づいて、1つ以上のライブ情報フロー内のセキュリティイベントの発生を判断するためのプログラム命令をさらに含む。実行ポリシーは、ソース、宛先、および実行措置の指定を含み、1つ以上のライブ情報フロー内のデータが少なくとも実行ポリシーのソースおよび宛先と一致する場合、実行ポリシーがトリガされ、実行措置が適用される。システムは、セキュリティイベントの発生を反映するように、(i)複数のバケットから、実行ポリシーによって適用された実行措置に関連するバケットを特定することおよび(ii)実行措置によってリアルタイムでトリガされ、特定されたバケットに表示されている現在の実行ポリシーの総数を増やすことによって、ユーザインターフェイスを更新するためのプログラム命令をさらに含む。プログラム命令は、非一時的機械可読記憶媒体に格納され、1つ以上のプロセッサによって実行される。
いくつかの実施形態において、システムは、セキュリティイベントの発生に基づいて、特定されたバケットのトレンドインジケータを更新するためのプログラム命令をさらに含み、トレンドインジケータを更新することは、特定されたバケットに上向き矢印を表示することを含む。
いくつかの実施形態において、実行ポリシーの総数を増やすことは、実行ポリシーの総数のカウント数nをカウント数n+1に増分することを含む。
いくつかの実施形態において、システムは、複数のバケットからバケットの選択に対応するユーザ入力を受け取るためのプログラム命令と、選択されたバケットに対応する複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示するためのプログラム命令とをさらに含む。
いくつかの実施形態において、システムは、複数のソースをタグクラウドとしてユーザインターフェイスに表示するためのプログラム命令をさらに含む。タグクラウドは、各ソースの使用率に比例して、選択されたバケットに対応する複数のソースを示す。
いくつかの実施形態において、システムは、データに基づいて動的実行ポリシーを作成するための要求を受け取るためのプログラム命令をさらに含む。動的実行ポリシーは、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間の指定を含む。
いくつかの実施形態において、システムは、複数のエージェントが動的実行ポリシーにアクセスできるように、動的実行ポリシーをポリシーバス上に公開するためのプログラム命令をさらに含む。システムは、動的実行ポリシーに基づいて、1つ以上のライブ情報フロー内の別のセキュリティイベントに対して実行措置を実行するためのプログラム命令をさらに含み、複数のエージェントのうち少なくとも1つのエージェントは、実行措置を実行する。システムは、別のセキュリティイベントに対する実行措置の実行を反映するように、(i)複数のバケットから、動的実行ポリシーによって適用された実行措置に関連するバケットを特定することおよび(ii)実行措置によってリアルタイムでトリガされ、特定されたバケットに表示されている現在の実行ポリシーの総数を増やすことによって、ユーザインターフェイスを更新するためのプログラム命令をさらに含む。
いくつかの実施形態において、動的実行ポリシーがアクティブになる期間中に、動的実行ポリシーは、動的実行ポリシーに含まれた、ソースおよび宛先と同じ指定を含む静的実行ポリシーを上書きする。
様々な実施形態において、命令を格納する非一時的機械可読記憶媒体が提供される。これらの命令は、1つ以上のプロセッサによって実行されると、1つ以上のプロセッサに1つ以上のライブ情報フローを監視するステップを含む方法を実行させる。ライブ情報フローは、複数のソースから複数の宛先へのデータフローを含む。方法は、複数のバケットを含むユーザインターフェイスを提供するステップをさらに含む。各バケットは、異なる実行措置に関連し、各バケットは、リアルタイムでトリガされ、関連する実行措置を含む現在の実行ポリシーの総数を表示する。方法は、複数のバケットを含むユーザインターフェイスを提供するステップをさらに含む。各バケットは、異なる実行措置に関連し、各バケットは、リアルタイムでトリガされ、関連する実行措置を含む現在の実行ポリシーの総数を表示する。方法は、実行ポリシーのトリガに基づいて、1つ以上のライブ情報フロー内のセキュリティイベントの発生を判断するステップをさらに含む。実行ポリシーは、ソース、宛先、および実行措置の指定を含み、1つ以上のライブ情報フロー内のデータが少なくとも実行ポリシーのソースおよび宛先と一致する場合、実行ポリシーがトリガされ、実行措置が適用される。方法は、セキュリティイベントの発生を反映するように、(i)複数のバケットから、実行ポリシーによって適用された実行措置に関連するバケットを特定することおよび(ii)実行措置によってリアルタイムでトリガされ、特定されたバケットに表示されている現在の実行ポリシーの総数を増やすことによって、ユーザインターフェイスを更新するステップをさらに含む。
いくつかの実施形態において、方法は、複数のバケットからバケットの選択に対応するユーザ入力を受け取るステップと、選択されたバケットに対応する複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示するステップとをさらに含む。
いくつかの実施形態において、方法は、複数のソースをタグクラウドとしてユーザインターフェイスに表示するステップをさらに含み、タグクラウドは、各ソースの使用率に比例して、選択されたバケットに対応する複数のソースを示す。
いくつかの実施形態において、方法は、データに基づいて動的実行ポリシーを作成するための要求を受け取るステップをさらに含む。動的実行ポリシーは、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間の指定を含む。方法は、複数のエージェントが動的実行ポリシーにアクセスできるように、動的実行ポリシーをポリシーバス上に公開するするステップをさらに含む。方法は、動的実行ポリシーに基づいて、1つ以上のライブ情報フロー内の別のセキュリティイベントに対して実行措置を実行するステップをさらに含み、複数のエージェントのうち少なくとも1つのエージェントは、実行措置を実行する。方法は、別のセキュリティイベントに対する実行措置の実行を反映するように、(i)複数のバケットから、実行ポリシーによって適用された実行措置に関連するバケットを特定することおよび(ii)実行措置によってリアルタイムでトリガされ、特定されたバケットに表示されている現在の実行ポリシーの総数を増やすことによって、ユーザインターフェイスを更新するステップをさらに含む。
いくつかの実施形態において、動的実行ポリシーがアクティブになる期間中に、動的実行ポリシーは、動的実行ポリシーに含まれた、ソースおよび宛先と同じ指定を含む静的実行ポリシーを上書きする。
いくつかの実施形態において、期間は、少なくとも5分という所定期間であり、動的実行ポリシーは、所定期間が終了した後に非アクティブになり、ポリシーバスから削除され、静的実行ポリシーは、所定期間中に非アクティブであり、静的実行ポリシーは、所定期間が経過した後にアクティブになる。
様々な実施形態において、コンピューティングシステムを用いて、1つ以上のライブ情報フローを監視するステップを含む方法が提供される。ライブ情報フローは、複数のソースから複数の宛先へのデータフローを含む。方法は、コンピューティングシステムを用いて、複数のバケットを含むユーザインターフェイスを提供するステップをさらに含む。各バケットは、異なる実行措置に関連し、各バケットは、リアルタイムでトリガされ、関連する実行措置を含む現在の実行ポリシーの総数を表示する。方法は、コンピューティングシステムを用いて、実行ポリシーのトリガに基づいて、1つ以上のライブ情報フロー内のセキュリティイベントの発生を判断するステップをさらに含む。実行ポリシーは、ソース、宛先、および実行措置の指定を含み、1つ以上のライブ情報フロー内のデータが少なくとも実行ポリシーのソースおよび宛先と一致する場合、実行ポリシーがトリガされ、実行措置が適用される。方法は、コンピューティングシステムを用いて、セキュリティイベントの発生を反映するように、(i)複数のバケットから、実行ポリシーによって適用された実行措置に関連するバケットを特定することおよび(ii)実行措置によってリアルタイムでトリガされ、特定されたバケットに表示されている現在の実行ポリシーの総数を増やすことによって、ユーザインターフェイスを更新するステップを含む。
いくつかの実施形態において、方法は、コンピューティングシステムを用いて、複数のバケットからバケットの選択に対応するユーザ入力を受け取るステップと、選択されたバケットに対応する複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示するステップとをさらに含む。
いくつかの実施形態において、方法は、コンピューティングシステムを用いて、複数のソースから特定のソースの選択に対応するユーザ入力を受け取るステップと、コンピューティングシステムを用いて、特定のソースから始まるライブ情報フローを表示するステップとをさらに含む。
いくつかの実施形態において、方法は、コンピューティングシステムを用いて、複数の宛先から特定の宛先の選択に対応するユーザ入力を受け取るステップと、コンピューティングシステムを用いて、特定の宛先で終わるライブ情報フローを表示するステップとをさらに含む。
いくつかの実施形態において、方法は、コンピューティングシステムを用いて、複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示するステップと、複数のソースから複数の宛先に流れるデータ量に基づいて、一組の上位ソースを示すインジケータを提供するステップとをさらに含む。
いくつかの実施形態において、方法は、コンピューティングシステムを用いて、複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示するステップと、複数のソースから複数の宛先に流れるデータ量に基づいて、一組の上位宛先を示すインジケータを提供するステップとをさらに含む。
いくつかの実施形態において、方法は、コンピューティングシステムを用いて、複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示するステップと、複数のソースから複数の宛先に流れるデータ量およびポリシーバス上に公開された一組のアクティブな実行ポリシーに基づいて、一組の上位実行ポリシーを示すインジ
ケータを提供するステップとをさらに含む。
様々な実施形態において、システムおよび方法は、ユーザ、ユーザによってアクセスされているアプリケーション、およびアクセスに関連する可能なアクセスポリシーの統合ビューを提供することに関する。特定の実施形態において、1つ以上のプロセッサおよび非一時的機械可読記憶媒体と、ライブ情報フローを監視するためのプログラム命令とを含むシステムが提供される。ライブ情報フローは、ソースから宛先へのデータフローを含む。システムは、回線を介して接続されたソースおよび宛先を含むユーザインタフェースを提供するためのプログラム命令と、実行ポリシーのトリガに基づいて、ライブ情報フロー内のセキュリティイベントの発生を判断するためのプログラム命令とをさらに含む。実行ポリシーは、ソース、宛先、および実行措置の指定を含み、1つ以上のライブ情報フロー内のデータが少なくとも実行ポリシーのソースおよび宛先と一致する場合、実行ポリシーがトリガされ、実行措置が適用される。システムは、セキュリティイベントの発生を反映するように、(i)実行ポリシーのインジケータを特定すること、および(ii)実行ポリシーのインジケータを通過するソースと宛先を接続する回線を表示することによって、ユーザインタフェースを更新するためのプログラム命令をさらに含む。プログラム命令は、非一時的機械可読記憶媒体に格納され、1つ以上のプロセッサによって実行される。
いくつかの実施形態において、ソースは、ユーザインターフェイスのウィンドウの一方側に表示され、宛先は、ソースを有する側と反対するウィンドウの他方側に表示され、実行ポリシーのインジケータは、ソースと宛先との間の回線上に表示される。
いくつかの実施形態において、システムは、1つ以上のライブ情報フローを監視するためのプログラム命令をさらに含む。ライブ情報フローは、(i)複数のソースから複数の宛先へのデータフロー、および(ii)データによってトリガされた1つ以上の実行ポリシーを含み、ユーザインターフェイスは、(i)複数のソースの各ソースを対応する複数の宛先の各宛先に接続するための1つ以上の回線、および(ii)各ソースと各宛先との間に流れるデータによってトリガされる実行ポリシーを示す各回線上のインジケータをさらに含む。
いくつかの実施形態において、システムは、複数のソースから特定のソースの選択に対応するユーザ入力を受け取るためのプログラム命令と、ライブ情報フロー内のデータによってトリガされた1つ以上の実行ポリシーを含む特定のソースから始まるライブ情報フローを表示するためのプログラム命令とをさらに含む。
いくつかの実施形態において、システムは、複数の宛先から特定の宛先の選択に対応するユーザ入力を受け取るためのプログラム命令と、ライブ情報フロー内のデータによってトリガされた1つ以上の実行ポリシーを含む特定の宛先で終わるライブ情報フローを表示するためのプログラム命令とをさらに含む。
いくつかの実施形態において、システムは、データに基づいて動的実行ポリシーを作成するための要求を受け取るためのプログラム命令をさらに含む。動的実行ポリシーは、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間の指定を含む。システムは、複数のエージェントが動的実行ポリシーにアクセスできるように、動的実行ポリシーをポリシーバス上に公開するためのプログラム命令をさらに含む。システムは、動的実行ポリシーに基づいて、1つ以上のライブ情報フロー内の別のセキュリティイベントに対して実行措置を実行するためのプログラム命令をさらに含み、複数のエージェントのうち少なくとも1つのエージェントは、実行措置を実行する。システムは、別のセキュリティイベントに対する実行措置の実行を反映するように、(i)実行ポリシーのインジケータを特定することおよび(ii)実行ポリシーのインジケータを通過するソースと宛
先とを接続する回線を表示することによって、ユーザインターフェイスを更新するためのプログラム命令をさらに含む。
いくつかの実施形態において、動的実行ポリシーがアクティブになる期間中に、動的実行ポリシーは、動的実行ポリシーに含まれた、ソースおよび宛先と同じ指定を含む静的実行ポリシーを上書きする。
様々な実施形態において、命令を格納する非一時的機械可読記憶媒体が提供される。これらの命令は、1つ以上のプロセッサによって実行されると、1つ以上のプロセッサにライブ情報フローを監視するステップを含む方法を実行させる。ライブ情報フローは、ソースから宛先へのデータフローを含む。方法は、回線を介して接続されたソースおよび宛先を含むユーザインタフェースを提供するステップと、実行ポリシーのトリガに基づいて、ライブ情報フロー内のセキュリティイベントの発生を判断するステップとをさらに含む。実行ポリシーは、ソース、宛先、および実行措置の指定を含み、1つ以上のライブ情報フロー内のデータが少なくとも実行ポリシーのソースおよび宛先と一致する場合、実行ポリシーがトリガされ、実行措置が適用される。方法は、セキュリティイベントの発生を反映するように、(i)実行ポリシーのインジケータを特定すること、および(ii)実行ポリシーのインジケータを通過するソースと宛先を接続する回線を表示することによって、ユーザインタフェースを更新するステップをさらに含む。
いくつかの実施形態において、ソースは、ユーザインターフェイスのウィンドウの一方側に表示され、宛先は、ソースを有する側と反対するウィンドウの他方側に表示され、実行ポリシーのインジケータは、ソースと宛先との間の回線上に表示される。
いくつかの実施形態において、方法は、1つ以上のライブ情報フローを監視するステップをさらに含む。ライブ情報フローは、(i)複数のソースから複数の宛先へのデータフロー、および(ii)データによってトリガされた1つ以上の実行ポリシーを含み、ユーザインターフェイスは、(i)複数のソースの各ソースを対応する複数の宛先の各宛先に接続するための1つ以上の回線、および(ii)各ソースと各宛先との間に流れるデータによってトリガされる実行ポリシーを示す各回線上のインジケータをさらに含む。
いくつかの実施形態において、方法は、複数のソースから特定のソースの選択に対応するユーザ入力を受け取るステップと、ライブ情報フロー内のデータによってトリガされた1つ以上の実行ポリシーを含む特定のソースから始まるライブ情報フローを表示するステップとをさらに含む。
いくつかの実施形態において、方法は、複数の宛先から特定の宛先の選択に対応するユーザ入力を受け取るステップと、ライブ情報フロー内のデータによってトリガされた1つ以上の実行ポリシーを含む特定の宛先で終わるライブ情報フローを表示するステップとをさらに含む。
いくつかの実施形態において、方法は、データに基づいて動的実行ポリシーを作成するための要求を受け取るステップをさらに含む。動的実行ポリシーは、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間の指定を含む。方法は、複数のエージェントが動的実行ポリシーにアクセスできるように、動的実行ポリシーをポリシーバス上に公開するするステップをさらに含む。方法は、動的実行ポリシーに基づいて、1つ以上のライブ情報フロー内の別のセキュリティイベントに対して実行措置を実行するステップをさらに含み、複数のエージェントのうち少なくとも1つのエージェントは、実行措置を実行する。方法は、別のセキュリティイベントに対する実行措置の実行を反映するように、(i)実行ポリシーのインジケータを特定することおよび(ii)実行ポリシーの
インジケータを通過するソースと宛先とを接続する回線を表示することによって、ユーザインターフェイスを更新するステップをさらに含む。
いくつかの実施形態において、動的実行ポリシーがアクティブになる期間中に、動的実行ポリシーは、動的実行ポリシーに含まれた、ソースおよび宛先と同じ指定を含む静的実行ポリシーを上書きする。
様々な実施形態において、コンピューティングシステムを用いて、ライブ情報フローを監視することを含む方法が提供される。ライブ情報フローは、ソースから宛先へのデータフローを含む。方法は、コンピューティングシステムを用いて、回線を介して接続されたソースおよび宛先を含むユーザインタフェースを提供するステップと、コンピューティングシステムを用いて、実行ポリシーのトリガに基づいて、ライブ情報フロー内のセキュリティイベントの発生を判断するステップとをさらに含む。実行ポリシーは、ソース、宛先、および実行措置の指定を含み、1つ以上のライブ情報フロー内のデータが少なくとも実行ポリシーのソースおよび宛先と一致する場合、実行ポリシーがトリガされ、実行措置が適用される。方法は、コンピューティングシステムを用いて、セキュリティイベントの発生を反映するように、(i)実行ポリシーのインジケータを特定すること、および(ii)実行ポリシーのインジケータを通過するソースと宛先を接続する回線を表示することによって、ユーザインタフェースを更新するステップをさらに含む。
いくつかの実施形態において、ソースは、ユーザインターフェイスのウィンドウの一方側に表示され、宛先は、ソースを有する側と反対するウィンドウの他方側に表示され、実行ポリシーのインジケータは、ソースと宛先との間の回線上に表示される。
いくつかの実施形態において、方法は、コンピューティングシステムを用いて、1つ以上のライブ情報フローを監視するステップをさらに含む。ライブ情報フローは、(i)複数のソースから複数の宛先へのデータフロー、および(ii)データによってトリガされた1つ以上の実行ポリシーを含む。ユーザインターフェイスは、(i)複数のソースの各ソースを対応する複数の宛先の各宛先に接続するための1つ以上の回線、および(ii)各ソースと各宛先との間に流れるデータによってトリガされる実行ポリシーを示す各回線上のインジケータをさらに含む。
いくつかの実施形態において、方法は、コンピューティングシステムを用いて、複数のソースから特定のソースの選択に対応するユーザ入力を受け取るステップと、コンピューティングシステムを用いて、ライブ情報フロー内のデータによってトリガされた1つ以上の実行ポリシーを含む特定のソースから始まるライブ情報フローを表示するステップとをさらに含む。
いくつかの実施形態において、方法は、コンピューティングシステムを用いて、複数の宛先から特定の宛先の選択に対応するユーザ入力を受け取るステップと、コンピューティングシステムを用いて、ライブ情報フロー内のデータによってトリガされた1つ以上の実行ポリシーを含む特定の宛先で終わるライブ情報フローを表示するステップとをさらに含む。
いくつかの実施形態において、方法は、コンピューティングシステムを用いて、データに基づいて動的実行ポリシーを作成するための要求を受け取るステップをさらに含む。動的実行ポリシーは、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間の指定を含む。方法は、コンピューティングシステムを用いて、複数のエージェントが動的実行ポリシーにアクセスできるように、動的実行ポリシーをポリシーバス上に公開するするステップをさらに含む。方法は、コンピューティングシステムを用いて、動的
実行ポリシーに基づいて、1つ以上のライブ情報フロー内の別のセキュリティイベントに対して実行措置を実行するステップをさらに含み、複数のエージェントのうち少なくとも1つのエージェントは、実行措置を実行する。方法は、コンピューティングシステムを用いて、別のセキュリティイベントに対する実行措置の実行を反映するように、(i)実行ポリシーのインジケータを特定することおよび(ii)実行ポリシーのインジケータを通過するソースと宛先とを接続する回線を表示することによって、ユーザインターフェイスを更新するステップをさらに含む。
いくつかの実施形態に従って、高レベル脅威インテリジェンスプラットフォームを示す簡略ブロック図である。 いくつかの実施形態に従って、情報管理システムの詳細アーキテクチャを示す簡略ブロック図である。 いくつかの実施形態に従って、脅威視覚化システムの一部の機能要素を示す簡略ブロック図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するためのユーザインターフェイス(UI)を示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するためのユーザインターフェイス(UI)を示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するための追加UIを示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するための追加UIを示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するための追加UIを示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するための追加UIを示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するための追加UIを示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するための追加UIを示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するための追加UIを示す図である。 いくつかの実施形態に従って、管理者が1つ以上のポリシーを作成することを可能にするためのUIを示す図である。 いくつかの実施形態に従って、管理者が1つ以上のポリシーを作成することを可能にするためのUIを示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するための追加UIを示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するための追加UIを示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するための追加UIを示す図である。 いくつかの実施形態に従って、能動的脅威カテゴリを表示するための追加UIを示す図である。 いくつかの実施形態に従って、トリガされたポリシーに基づいて能動的脅威を表示するためのUIを示す図である。 いくつかの実施形態に従って、様々なソースの追跡活動を表示するためのUIを示す図である。 いくつかの実施形態に従って、分散環境において動的実行ポリシーをポリシーバス上に公開するためのプロセスを示すフローチャートである。 いくつかの実施形態に従って、能動的脅威カテゴリ、各脅威カテゴリのためにトリガされたポリシーの数および関連するトレンドの統合ビューを提供するためのプロセスを示すフローチャートである。 ユーザ、ユーザによってアクセスされたアプリケーション、およびアクセスに関連する可能なアクセスポリシーの統合ビューを提供するためのプロセスを示すフローチャートである。 本開示のいくつかの実施形態を実施するために使用され得る分散システムを示す簡略ブロック図である。 いくつかの実施形態に従って、サービスをクラウドサービスとして提供することができるシステム環境の1つ以上の構成要素を示す簡略ブロック図である。 本開示のいくつかの実施形態を実施するために使用され得る例示的なコンピュータシステムを示す図である。
詳細な説明
I.序論
以下の開示は、リアルタイムの脅威検出および分析を提供することができる脅威インテリジェンスプラットフォームを説明する。様々な実施形態において、提供されたシステムは、プロセッサと、命令を格納するメモリとを含む。これらの命令は、プロセッサによって実行されると、エージェントから、少なくとも宛先とソースとを含むセキュリティイベントを受信することと、セキュリティイベントがポリシーと一致するときに当該ポリシーをトリガすることとをプロセッサに実行させ、当該ポリシーは、ソース、宛先および実行措置の指定を含み、当該ポリシーに基づいてセキュリティイベントに対して実行措置を実行することと、トリガされたポリシーを介してセキュリティイベントのソースと宛先とをリンクするようにユーザインターフェイスを更新することとをプロセッサに実行させる。しかしながら、ある実体(例えば、会社、国)において、数千または数十万の従業員および他の個人(例えば、ユーザ、顧問、ゲスト)は、常にネットワークを通じて様々なサービス(例えば、ソース)にアクセスしているため、セキュリティイベントを引き起こす。人々が多種多様なサービスにアクセスしようとするときに、様々なアクセス違反およびパスワードエラーなどが生じるため、監視を行う必要がある。現在では、セキュリティポリシー内の静的セキュリティルールは、攻撃されやすいユーザ、攻撃されやすいアプリケーションおよび攻撃されやすいホストに対して進化し続ける脅威には対応できない。ユーザ活動が極めて大量(例えば、1日当たり数十億のイベント)である場合、ユーザインターフェイスを用いた手動分析または自家製分析は、費用上非常に高くなる。また、非常に多くのユーザに対して、非常に正確な自動パターン検出を行い、権限のないユーザがサービスにアクセスすることを防ぐことは、困難であろう。
これらの問題に対処するために、様々な実施形態は、動的ポリシーを用いてセキュリティイベントを分析し、能動的脅威と、ユーザ活動と、能動的脅威およびユーザ活動によってトリガされた動的ポリシーとを含む統合ビューを表示するための技術(例えば、システム、方法、1つ以上のプロセッサによって実行可能なコードまたは命令を格納するコンピュータプログラム製品)を提供する。いくつかの実施形態は、ユーザアクセスを追跡し、リアルタイムで情報を収集することによって、パターンを特定し、分析を生成し、対応する修正措置を講じることができる。リアルタイムまたはほぼリアルタイムでデータを収集することによって、これらのデータに基づいて決定された修正措置を直ちに適用することができる。例えば、アプリケーションに対してユーザを認証する時に、権限のないユーザがコンテンツにアクセスすることを防ぐための措置を講じるための時間が短い(例えば、ミリ秒)であろう。追加または代替の実施形態において、リアルタイムまたはほぼリアルタイムでデータを収集し、これらのデータの履歴を保存することによって、リアルタイム
データおよび履歴データに基づいて決定された修正措置を適用することによって、ユーザを認証した後でも、権限のないユーザがアクセスできないように防ぐことができ、そのユーザをネットワークから追い出すことができる。
いくつかの実施形態は、ユーザID、リソースの使用パターンおよび性能特性を可視化することができる。特定の実施形態は、特定のアクセス制御を利用して、リアルタイムの実施を提供することができる。例えば、特定の実施形態は、コンプライアンスを実行しまたは認可されていないアプリケーションに対するユーザのアクセスをブロックし、適応型認可を実行し、ポリシーに基づいてユーザの認証を行い、およびプライバシーおよび漏洩を防ぐためのコンテンツ検査を実行することができる。特定の実施形態は、動的ルールおよび分析を使用してリアルタイムの実行を提供することができる。いくつかの実施形態は、エンドユーザにとって容易に理解可能な方法でリアルタイムのデータ分析を提示するための脅威視覚化を提供することができる。大量のデータを要約し、分析データをリアルタイム且つ有意義な方法で提示することによって、エンドユーザは、実行可能な項目を特定することができ、適切なポリシーを確実に更新すると共に、特定のポリシーを確実に実行することができる。
一例において、ユーザがユーザ名およびパスワードをログインページに入力して、これらのユーザ認証情報を送信すると、これらのユーザ認証情報は、リアルタイムまたはほぼリアルタイムでデータ収集バスに送信される。いくつかの例において、チューニングパラメータ(例えば、収集バスがクラウドに位置するか否か)に応じて、1秒または30ミリ秒未満でデータの収集および送受信を行うことができる。ネットワークの遅延(例えば、エージェントが情報を収集するホストマシンに位置し、データ収集バスが別のマシン、例えばクラウドに位置する場合)を除いて、データの転送は、殆ど遅延なく(すなわち、ほぼリアルタイムで)行われる。しかしながら、ユーザが認証情報を入力するときに、システムは、これらの認証情報が特定のサーバから来たものか否かを判断し、疑わしい活動がある場合に、追加認証をユーザに提示する必要があるか否かを判断することができる。ユーザがページにアクセスしている時に、システムは、認証情報が有効であってもユーザが認可されるべきではないと判断した場合、そのページにアクセスできないようにユーザを追い出すことができる。
いくつかの実施形態において、ユーザがアカウントにログインした後に、ウエブプロキシは、ユーザの活動および行動を絶えず監視および学習することができ、異常をトリガすることができる(それによって、ユーザに追加認証を提示する)。例えば、ユーザは、多額の資金を送金しようとする。この動作は、システムをトリガして、ユーザに追加認証を提示する。特定の実施形態において、プロキシは、別の情報源(例えば、トラフィックフロー)を提供することができ、収集されたデータは、リアルタイムで供給され、分析される。ユーザが保護されたアプリケーションまたはエージェントによって保護されていないクラウドアプリケーションにアクセスする場合、プロキシサーバは、ユーザの活動、例えばユーザが特定のウエブサイトにアクセスして情報をダウンロードすることを判断することができる。プロキシサーバは、ユーザの活動を監視し、収集されたデータに基づいてユーザがブラックリストに登録されているという情報を提供することができる。さらに、プロキシは、履歴情報を提供することができる。これによって、ユーザが新しいサイトにアクセスする場合、ユーザにアクセス権を付与するときにそのユーザに関する履歴情報を考慮することができる。
いくつかの実施形態は、利用可能なリアルタイムデータをリアルタイム可視化サーバに供給し、リアルタイムで分析結果を顧客に提示することができる。リアルタイムでデータを顧客に提供する場合、リアルタイム分析結果に応じて、迅速に措置を決定することができる。いくつかの実施形態は、データを記憶し、記憶されたデータまたは履歴データを用
いて、リアルタイムで適用できる追加のルールおよびポリシーを作成することができる。履歴データをマイニングすることによって、特定の実施形態は、履歴データに基づいて実行ポリシーを作成することができる。特定の実施形態は、履歴データおよびリアルタイムで得られた分析結果の両方を用いて、異常をトリガすることができる。有利には、これらの手法は、リアルタイムで非常に大量のセキュリティデータ(すなわち、数十億のストリーミングイベント)を収集、監視および視覚化することができ、対応する措置を講じることができる。
II.脅威を検出するためのシステムアーキテクチャ
図1は、本開示の少なくとも1つの実施形態に従って、ユーザからの異常アクセス要求を検出することによって、リアルタイムで脅威を検出するためのシステム100の態様を示している。いくつかの実施形態において、システム100は、分散環境においてネットワーク120を介してユーザ装置115に通信可能に接続されたアクセス管理および脅威検出システム105と情報管理システム110とを含む。アクセス管理および脅威検出システム105と情報管理システム110とは、IDアクセスマネージャの一部である。IDアクセスマネージャの一部として様々な種類のエージェントが存在しており、これらのエージェントは、ウエブサーバまたはアプリケーションへのアクセスを保護する。例えば、ユーザがメールサーバまたはドキュメントサーバにアクセスしようとするときに、サーバ(例えば、OAM(Oracle Access Manager)サーバ)と通信する保護エージェントが
存在する。このエージェントは、例えば、IDに関連する認証情報を検証することによって、そのユーザがこのサーバにアクセスできるか否かを検証する。特定の実施形態は、拡張エージェントおよびアクセスマネージャサーバを有することができる。したがって、ユーザがデータを要求しているときに、誰かが何かにアクセスしている情報は、情報管理システム110のデータ収集エンジンにリアルタイムで送信される。
ネットワーク120は、ユーザ装置115と、アクセス管理および脅威検出システム105と、情報管理システム110との間の通信およびデータ交換を容易にすることができる。ネットワーク120は、TCP/IP、SNA、IPX、AppleTalkなどを含むがこ
れらに限定されない様々な市販プロトコルのいずれかを使用してデータ通信をサポートすることができ、当業者に知られている任意種類のネットワークであってもよい。単なる一例として、ネットワーク115は、イーサネット(登録商標)ネットワーク、トークンリングネットワークなどのローカルエリアネットワーク(LAN)、広域ネットワーク、仮想プライベートネットワーク(VPN)を含むがこれに限定されない仮想ネットワーク、インターネット、イントラネット、エクストラネット、公衆交換電話ネットワーク(PSTN)、赤外線ネットワーク、無線ネットワーク(たとえば、IEEE802.1Xプロトコルスイート、当該分野に知られているBluetooth(登録商標)プロトコル、および/
または任意の他の無線プロトコルの下で動作するネットワーク)および/またはこれらのネットワークと他のネットワークの組み合わせであってもよい。
ユーザ装置110は、(例えば、様々なバージョンのMicrosoft Windows(登録商標)
および/またはApple Macintosh(登録商標)オペレーティングシステムを実行するパー
ソナルコンピュータおよび/またはラップトップコンピュータを含む)汎用パーソナルコンピュータ、(例えば、Microsoft Windows Mobile(登録商標)などのソフトウェアを実行し、インターネット、電子メール、SMS、ブラックベリー(登録商標)または他の通信プロトコルが有効化された)携帯電話またはPDA、(様々なGNU/Linux(登録商標)オペレーティングシステムを含むがこれに限定されない)市販のUNIX(登録商標)またはUNIXに類似する様々なオペレーティングシステムを実行するワークステーションコンピュータ、または他のコンピューティング装置であってもよい。例えば、ユーザ装置110は、ネットワーク(例えば、ネットワーク115)を介して通信可能なシンクライアントコンピュータ、インターネット対応ゲームシステム、および/またはパー
ソナルメッセージング装置などの他の電子装置であってもよい。例示的なシステム環境100は、1つのユーザ装置を備えると示されているが、他の実施形態において、任意の数のユーザ装置および/またはクライアントコンピューティング装置をサポートすることができる。
アクセス管理および脅威検出システム105は、1つ以上のコンピュータおよび/またはサーバを含んでもよい。これらのコンピュータおよび/またはサーバは、汎用コンピュータ、(例示として、PCサーバ、UNIX(登録商標)サーバ、ミッドレンジサーバ、メインフレームコンピュータ、ラックマウントサーバを含む)専用サーバコンピュータ、サーバファーム、サーバクラスタ、または任意の他の適切な構成および/または組み合わせであってもよい。アクセス管理および脅威検出システム105を構成するコンピューティング装置は、任意のオペレーティングシステムまたはHTTPサーバ、FTPサーバ、CGIサーバ、Java(登録商標)サーバ、データベースサーバなどを含む様々な追加のサーバアプリケーションおよび/または中間層アプリケーションを実行することができる。例示的なデータベースサーバは、Oracle(登録商標)、Microsoft(登録商標)、Sybase(登録商標)、IBM(登録商標)などの会社から市販されているものを含むがこれらに限定されない。
様々な実施形態において、アクセス管理および脅威検出システム105は、組織の1つ以上のターゲットシステム130によって提供されたリソース125を保護するように動作可能な1つ以上の要素を含むことができる。いくつかの実施形態において、「ターゲットシステム」は、1つ以上のリソースを提供するまたは含む任意のシステムを指すことがある。ターゲットシステム130によって提供されたローカルまたはリモートにアクセス可能なリソース125は、ソフトウェア製品、アプリケーション(例えば、クラウドアプリケーション、エンタープライズアプリケーションまたは他のアプリケーション)、クラウドサービス、様々な種類のデータ(例えば、ネットワークファイル、ディレクトリ情報、データベースなど)および他のリソースを含む様々な種類のものであってもよい。ターゲットシステム130は、1つ以上のデータベース、ライトウェイトディレクトリアクセスプロトコル(LDAP)サーバ、アクティブディレクトリ(AD)システム、電子メールシステム、UNIXシステムなどを含むことができる。例えば、ターゲットシステム130は、アクティブディレクトリサーバにアクセスするように、アクティブディレクトリサービスへのアクセスを提供するアクティブディレクトリ(AD)システムであってもよい。いくつかの例において、ターゲットシステム130は、会議室にアクセスを提供するコンピューティングシステム、例えばバッジを使用して会議室にアクセスを提供するコンピューティングシステムであってもよい。いくつかの実施形態において、ターゲットシステム130は、アプリケーションインスタンスとして呼ばれてもよい。
特定の実施形態において、ターゲットシステム130によって提供されたリソース125へのアクセスは、ターゲットシステム130内の様々な種類のアカウントを用いて管理することができる。ターゲットシステム130によって提供されたリソース125に基づいて、ターゲットシステム130にアカウントを作成することができる。アカウントは、ユーザアカウント、管理アカウント、アプリケーションアカウントなどの様々な種類のアカウントを含んでもよい。各種類のアカウントは、ターゲットシステム130によって提供された1つ以上のリソース125に対して特定のアクセスレベルを付与する。ユーザがターゲットシステム130にアクセスまたはログインすることを可能にするために、ターゲットシステム130は、各々のアカウント(例えば、ユーザアカウント、管理アカウントおよび/またはアプリケーションアカウント)を含むことができる。ユーザまたはユーザグループ(例えば、組織)のIDに基づいて、ユーザまたはユーザグループにアカウントを作成または用意することができる。特定種類のリソースにアクセスするように、ユーザまたはユーザグループに特定種類のアカウントを与えることができる。例えば、ユーザ
に与えられたExchangeサーバ上の電子メールアカウントは、Exchangeリソース用のアカウントである。ユーザに複数のアカウントを与えることができ、各種類のアカウントが各種類のリソースに対応する。例えば、ユーザは、ターゲットシステム130にログインして、異なる種類の操作を行うために、2つの異なるアカウントを有することができる。例えば、ターゲットシステム130は、電子メール交換サーバをホストし、電子メールアカウントを提供することができる。また、同じターゲットシステム130は、人事(HR)システムをホストし、HRシステムに関連する管理機能を実行するためのHR管理アカウントを提供することができる。特定のユーザは、ターゲットシステム130上に電子メールアカウントを有すると共に、ターゲットシステム130上にHR管理アカウントを有することができる。電子メールアカウントでログインする場合、ユーザは、電子メールにアクセスすることができる。HR管理アカウントでログインする場合、ユーザは、組織のリソース管理に関連する管理作業を行うことができる。
少なくともいくつかの実施形態によれば、ユーザ装置115のユーザは、ユーザ装置115上のウエブベースの要求ユーザインターフェイス(UI)にアクセスすることによって、ターゲットシステム130と通信して、リソース125(例えば、電子メールアプリケーション)を要求することができる。例えば、要求UIは、ユーザ装置115上のクライアントアプリケーション(例えば、ブラウザ)を介して見ることができるグラフィカルユーザインターフェイスを含むことができる。ユーザがターゲットシステム130上のリソースにアクセスしたいときまたはターゲットシステム130上のリソースに対して操作を実行しようとするときに、アクセス管理および脅威検出システム105は、ユーザからのアクセス要求を傍受し、ユーザを認証/認可しようとする。例えば、アクセス管理および脅威検出システム105は、ユーザにログインページを提供することによって、ユーザの認証情報(例えば、ログインIDおよびパスワード)を取得することができる。その後、アクセス管理および脅威検出システム105は、ユーザのログイン認証情報に基づいて、そのユーザが認可されたユーザであるか否かを判断することができる。アクセス管理および脅威検出システム105は、様々なチャネル(HTTP、OAP)を介してユーザから、様々なイベント/動作(例えば、認証(authN)、認可(authZ)、ポリシー検証、ステップアップ認証、SSO、トークン発行)を行うための様々な種類のアクセス要求、例えば、ウエブ要求、SDK要求、プログラム要求を受信するように構成されてもよい。
様々な実施形態において、アクセス管理および脅威検出システム105は、1つ以上のエージェント135、1つ以上のプロキシ140(例えば、フォワードプロキシまたはリバースプロキシ)、1つ以上のアクセスマネージャ145、および/または1つ以上のウエブゲート150を含む。アクセス管理および脅威検出システム105は、リソース125に対するアクセス制御機能を提供するように、ユーザ装置115とターゲットシステム130(例えば、分散環境サーバ)との間の通信を可能にするためのエージェント-サーバモデルに従って、システム100に実装されてもよい。エージェント-サーバモデルは、エージェント要素(例えば、シングルサインオンエージェントまたはポリシー実行エージェントとしても知られている1つ以上のエージェント135、1つ以上のプロキシ140、および/または1つ以上のウエブゲート150)およびサーバ要素(例えば、シングルサインオンサーバまたはポリシーサーバとしても知られている1つ以上のアクセスマネージャ145)を含むことができる。例えば、1つ以上のアクセスマネージャ145は、リソース125へのアクセスを制御するための判断要素として機能することができ、1つ以上のエージェント135、1つ以上のプロキシ140および/または1つ以上のウエブゲート150は、リソース125へのアクセスを制御するための実行要素として実装または動作することができる。いくつかの実施形態において、1つ以上のエージェント135、1つ以上のプロキシ140および/または1つ以上のウエブゲート150は、リソース125のプラグインまたはその一部として、リソース125と共に配置されてもよく、1つ以上のエージェント135、1つ以上のプロキシ140または1つ以上のウエブゲート
150は、例えばリソース125の前のウエブサーバ上に実行するように、リソース125から独立して配置されてもよい。1つ以上のアクセスマネージャ145は、IDアクセスマネージャの一部として配置されてもよい。
アクセス管理および脅威検出システム105は、分散環境内でSSO機能を提供することができ、分散環境内のリソースに対するアクセスを管理するために様々なアクセス制御関連機能を実行することができる。例えば、1つ以上のエージェント135、1つ以上のプロキシ140、1つ以上のアクセスマネージャ145および/または1つ以上のウエブゲート150は、ユーザ装置115を操作しているユーザの認証を実行することができる。認証とは、ユーザが自分自身が主張した人物であることを判断するためのプロセスである。ユーザを認証するために、アクセス管理および脅威検出システム105は、(例えば、ユーザのウエブブラウザを介して)チャレンジの形で認証情報を要求するためのリクエストをユーザに提示することができる。実行ポリシー(例えば、認証ポリシー)は、所定のリソースに対するアクセス権を付与すべきユーザを認証するために使用される認証方法を指定することができる。これらのポリシーは、リソースに対するアクセスを保護すべき方法(例えば、暗号化の種類など)を定義する。1つ以上のアクセスマネージャ145は、リソース125にアクセスするユーザの認可を決定することができる。認可とは、ユーザが要求されたリソースに対するアクセス権を有するか否かを判断するためのプロセスである。実行ポリシー(例えば、認可ポリシー)は、ユーザまたはユーザグループがあるリソースに対してアクセス権を有する条件を指定するように定義されてもよい。例えば、管理者は、特定のリソースに対するアクセス権を有するようにグループ内の特定のユーザを認可することができる。
1つ以上のエージェント135は、リソース要求のフィルタとして機能するポリシー実行エージェントであってもよい。1つ以上のエージェント135は、リソース要求を傍受し、静的実行ポリシーおよび動的実行ポリシーを適用することによって、要求されたリソースがアクセス管理および脅威検出システム105によって保護されているか否かを判断することができる。保護されている場合、リソース要求は、1つ以上のアクセスマネージャ145に転送され、保護されたリソースを要求しているユーザが保護されたリソースにアクセスできるか否かを判断することができる。特定の実施形態において、Oracle社によって開発された革新的なソリューションである1つ以上のウエブゲート150は、エージェントとして使用され、リソース要求をフィルタリングすることができる。いくつかの実施形態によれば、1つ以上のエージェント135および1つ以上のウエブゲート150は、ハードウェア構造またはハードウェア実装とソフトウェア実装の組み合せであってもよい。
1つ以上のプロキシ140は、リソース要求のフィルタとして機能するポリシー実行エージェントであってもよい。例えば、1つ以上のプロキシ140は、リソースに対するユーザ認証を処理するための認証プロキシであってもよい。認証プロキシは、認証機能を提供するように、ウエブアプリケーションまたはリソースによって呼び出される(例えば、インスタンス化される)ことができる。いくつかの実施形態において、認証プロキシは、基礎となる認証方式から独立して、認証に依存するプログラムを設計および作成することを可能にするように、1つ以上の低レベル認証方式を統合した高レベルAPIを含むことができる。1つ以上のプロキシ140は、リソース要求を傍受し、静的実行ポリシーおよび動的実行ポリシーを適用することによって、要求されたリソースがアクセス管理および脅威検出システム105によって保護されているか否かを判断することができる。保護されている場合、リソース要求は、1つ以上のアクセスマネージャ145に転送され、保護されたリソースを要求しているクライアントが保護されたリソースにアクセスできるか否かを判断することができる。認証プロキシの一例として、リナックスシステムに使用されたプラグ可能な認証モジュール(PAM)が挙げられる。いくつかの実施形態によれば、
1つ以上のプロキシ140は、ハードウェア構造またはハードウェア実装とソフトウェア実装の組み合せであってもよい。
1つ以上のアクセスマネージャ145は、認証および/または認可プロセスを行うための複数の要素を有することができる。また、1つ以上のアクセスマネージャ145は、1つ以上の認証方式を含むことができる。認証方式は、1つ以上のアクセスポリシー(例えば、本明細書に説明されている静的実行ポリシーおよび動的実行ポリシー)を用いてリソースを保護するように構成されてもよい。認証方式は、認証情報収集メカニズムに関する詳細および認証情報を収集するために使用された認証情報収集装置の種類を含むことができる。例えば、認証情報の収集は、リモートユーザからのHTTP(S)要求を処理するためのHTTP(S)トランスポートチャネルを使用して行われてもよい。特定の実施形態において、認証方式は、認証および/または認可プロセスの成功または失敗をユーザ装置115に通知するために使用されるリダイレクトURL(Uniform Resource Locator:ユニフォームリソースロケータ)を特定することができる。また、認証方式は、ユーザ装置115からの認証情報の転送を保護するための信頼レベルを表す認証レベルを特定することができる。例えば、LDAP(Lightweight Directory Access Protocol:ライトウ
ェイトディレクトリアクセスプロトコル)方式は、フォーム認証方法に基づいてURLなどのマネージャ関連リソースを保護するように、LDAP認証モジュールを使用した第2レベルの認証であってもよい。フォーム認証方法において、1つ以上のテキスト入力フィールドを有するHTMLフォームを使用して、認証情報を収集することができる。いくつかの実施形態において、フォーム認証は、ユーザ名、パスワード、社会保障番号、生年月日、ワンタイムパスワード、または他の一般的なパラメータの組み合わせなどの認証情報を収集することができる。
図1は、1つ以上のエージェント135、1つ以上のプロキシ140、1つ以上のアクセスマネージャ145および/または1つ以上のウエブゲート150を含むアクセス管理および脅威検出システム105を実装する分散環境に管理されたSSOセッションの一例をさらに示している。例えば、ユーザは、ユーザ装置115を操作して、ターゲットシステム130によって制御されているリソース125に対するアクセスを要求することができる。この要求は、リソース125に対するアクセスを制御する1つ以上のエージェント135、1つ以上のプロキシ140および/または1つ以上のウエブゲート150にルーティングされまたは傍受される。いくつかの実施形態において、1つ以上のエージェント135、1つ以上のプロキシ140および/または1つ以上のウエブゲート150によって管理されているいくつかのリソースは、保護されていないことがある。この場合、1つ以上のエージェント135、1つ以上のプロキシ140および/または1つ以上のウエブゲート150は、1つ以上のアクセスマネージャ145に照会することによって、要求されたリソースが保護されているか否かを判断することができる。1つ以上のアクセスマネージャ145は、リソース125に関連する実行ポリシーをチェックすることによって、リソース125にアクセスするために認証を行う必要があるか否かを判断する。要求されたリソースが保護されており且つ使用時に認証を行う必要がある場合、1つ以上のアクセスマネージャ145は、ユーザ用のセッションが存在しているか否かを判断することができる。ユーザ用のセッションが存在していないと判断した場合、1つ以上のアクセスマネージャ145は、このユーザをIDアクセスマネージャのログインサービス(例えば、認証サービス)に転送する。認証サービスは、ユーザから認証情報(例えば、ユーザ名/パスワードなど)を要求することができる。認証サービスは、適切な認証情報を受信すると、受信した認証情報をユーザディレクトリまたはID記憶装置に記憶されているものと比較することによって、ユーザを認証することができる。
受信したユーザの適切な認証情報に基づいて、1つ以上のアクセスマネージャ145は、ユーザを1つ以上のエージェント135、1つ以上のプロキシ140および/または1
つ以上のウエブゲート150に戻して、1つ以上のエージェント135、1つ以上のプロキシ140および/または1つ以上のウエブゲート150は、認証を確認し、認証したユーザのために第1セッションを確立することができる。その結果、ユーザは、ターゲットシステム130(例えば、分散環境サーバ)上のそのセッションにログインする。ログインすると、ユーザは、異なるアプリケーションの実行、クラウドストレージの利用など、アクセスを許可したリソースを利用することができる。ユーザがターゲットシステム130にログインすると、1つ以上のアクセスマネージャ145は、ユーザのセッション活動を追跡するためのクッキーを作成することができる。このクッキーは、ユーザが当該セッション上にアクティブであった時間を含むことができる。このクッキーは、セッション活動データとして情報管理システム110に記憶されてもよい。
ユーザがSSOセッションに認証されていると判断した場合、1つ以上のエージェント135、1つ以上のプロキシ140および/または1つ以上のウエブゲート150は、認可クエリを1つ以上のアクセスマネージャ145に転送することによって、リソース125に対する原始要求を処理する。1つ以上のアクセスマネージャ145は、リソース125に関連する実行ポリシーをチェックすることによって、リソース125に対するユーザのアクセスが許可されているか否かを判断する。1つ以上のアクセスマネージャ145は、実行ポリシーに基づいて、許可メッセージまたは拒否メッセージを1つ以上のエージェント135、1つ以上のプロキシ140および/または1つ以上のウエブゲート150に送信する。リソース125に対するユーザのアクセスが許可されていると判断した場合、1つ以上のエージェント135、1つ以上のプロキシ140および/または1つ以上のウエブゲート150は、ユーザ装置115からリソース125にアクセスする要求を許可する。これによって、ユーザは、ユーザ装置115から、ターゲットシステム130上のリソース125にアクセスすることができる。リソース125に対するユーザのアクセスが拒否されていると判断した場合、1つ以上のエージェント135、1つ以上のプロキシ140および/または1つ以上のウエブゲート150は、リソース125に対するユーザのアクセスが許可されていないことをユーザ装置115に通知する。
情報管理システム110は、1つ以上のコンピュータおよび/またはサーバを含んでもよい。これらのコンピュータおよび/またはサーバは、汎用コンピュータ、(例示として、PCサーバ、UNIX(登録商標)サーバ、ミッドレンジサーバ、メインフレームコンピュータ、ラックマウントサーバを含む)専用サーバコンピュータ、サーバファーム、サーバクラスタ、または任意の他の適切な構成および/または組み合わせであってもよい。情報管理システム110を構成するコンピューティング装置は、任意のオペレーティングシステムまたはHTTPサーバ、FTPサーバ、CGIサーバ、Java(登録商標)、データベースサーバなどを含む様々な追加のサーバアプリケーションおよび/または中間層アプリケーションを実行することができる。例示的なデータベースサーバは、Oracle(登録商標)、Microsoft(登録商標)、Sybase(登録商標)、IBM(登録商標)などの会社から市販されているものを含むがこれらに限定されない。 様々な実施形態において、情報管理システム110は、リソース125に対するユーザのアクセスを保護および認可するために、アクセス管理および脅威検出システム105をサポートする。情報管理システム110は、ターゲットシステム130に対するユーザのアクセスを認証/認可するために、ユーザのアクセス要求に関連する追加情報を取得するように構成されてもよい。この情報は、例えば、要求を送信したクライアントのIPアドレス、装置情報、ユーザ情報、要求されたリソース、および要求を送信した時間を含むことができる。また、情報管理システム110は、これらの情報を分析して、所定期間に亘って静的ポリシーを上書きするための新たなポリシー(例えば、動的検査および実行ポリシー)を作成および公開するように構成されてもよい。いくつかの実施形態において、利用可能なリアルタイムデータは、システム脅威分析結果の一部として顧客に視覚的に提示される。リアルタイムでデータを顧客に提供する場合、リアルタイム脅威分析結果に応じて、迅速に措置を決定すること
ができる。様々な実施形態は、データを格納し、格納されたデータ(すなわち、履歴データ)を用いて、リアルタイムで適用できる追加のルールおよびポリシーを作成することができる。特定の実施形態は、履歴データをマイニングすることによって、履歴データに基づいて動的検査ポリシーおよび実行ポリシーを作成することができる。他の実施形態において、履歴データとリアルタイムで得られた情報の分析結果との両方を用いて、動的検査ポリシーおよび実行ポリシーを作成することができる。
図2は、リソースにアクセスするユーザの情報を収集し、情報の分析結果に基づいてポリシーを公開し、および情報の分析結果を視覚化するための情報管理システム200(例えば、図1を参照して説明した情報管理システム110)の態様を示している。いくつかの実施形態において、情報管理システム200は、ネットワーク(すなわち、図1を参照して説明したネットワーク120)を介して、アクセス管理および脅威検出システム215(例えば、図2を参照して説明したアクセス管理および脅威検出システム105)に通信可能に接続された収集バス205およびポリシーバス210を含む。また、情報管理システム200は、収集バス205およびポリシーバス210に通信可能に接続された分析サーバ220、機械学習コンポーネント225、視覚化サーバ230、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245、1つ以上のウエブゲート250、およびシステムメモリ255をさらに含むことができる。
収集バス205およびポリシーバス210は、ネットワークトポロジを含む。このネットワークトポロジにおいて、分析サーバ220、機械学習コンポーネント225、視覚化サーバ230、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250などのノードは、バスまたはエンタープライズサービスバスと呼ばれる共通の線形(または分岐)リンクに接続される。収集バス205およびポリシーバス210は、分散コンピューティングを行うためのソフトウェアアーキテクチャを実装する。分散コンピューティングは、様々なノード間でメッセージおよびデータのルーティング、様々なポリシー(検査および実行ポリシー)の配置の管理、検査ポリシーに基づいてデータの収集を容易にするためのサービスの提供、およびリスナー(すなわち、エージェント)に対して様々なポリシー(検査ポリシーおよび実行ポリシー)の公開を含む。
分析サーバ220、機械学習コンポーネント225および視覚化サーバ230は、1つ以上のコンピュータおよび/またはサーバを含んでもよい。これらのコンピュータおよび/またはサーバは、汎用コンピュータ、(例示として、PCサーバ、UNIX(登録商標)サーバ、ミッドレンジサーバ、メインフレームコンピュータ、ラックマウントサーバを含む)専用サーバコンピュータ、サーバファーム、サーバクラスタ、または任意の他の適切な構成および/または組み合わせであってもよい。分析サーバ220、機械学習コンポーネント225および視覚化サーバ230を構成するコンピューティング装置は、任意のオペレーティングシステムまたはHTTPサーバ、FTPサーバ、CGIサーバ、Java(登録商標)、データベースサーバなどを含む様々な追加のサーバアプリケーションおよび/または中間層アプリケーションを実行することができる。例示的なデータベースサーバは、Oracle(登録商標)、Microsoft(登録商標)、Sybase(登録商標)、IBM(登録商標)などの会社から市販されているものを含むがこれらに限定されない。
システムメモリ255は、例えば、フラッシュメモリなどの非一時的機械可読記憶媒体、読取専用メモリ(ROM)などの永久メモリ、ランダムアクセスメモリ(RAM)などの半永久メモリ、他の適切な種類の非一時的記憶装置、またはそれらの任意の組み合せを含む1つ以上の記憶媒体であってもよい。異なる態様によれば、メモリ255は、システム200の動作に関連するコンピュータ可読プログラム命令、データ構造、プログラムモジュールおよび他のデータを記憶する。特定の態様によれば、メモリ255は、実施形態
において、オペレーティングシステム、応用プログラム、ポリシー、ユーザの活動およびアクセス要求に関連するデータ情報、およびプログラムデータを格納することができる。
図2のシステムが配置されると、(図1を参照して説明したように、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250によって構成された)アクセス管理および脅威検出システム105は、静的実行ポリシーおよび動的実行ポリシー内のルールに基づいて、ターゲットシステム上のリソースに対するエンドユーザのアクセスが認証および/または認可されている否かを判断することができる。ルールは、宛先(例えば、アプリケーションまたはサービスなどのターゲットシステムまたはリソースのURL、ホスト名、宛先IPアドレスまたはポート)、ソース(例えば、ユーザID、ユーザグループの指定、クライアント装置のIPアドレス)、期間(例えば、ポリシーが有効になっている所定の時間)、および実行措置(例えば、ユーザによるアクセスのブロック、認証/認可ファクタの要求、活動の監視)の指定を含むことができる。ネットワークトラフィックまたはユーザ活動パターンがポリシー内のルールと一致する場合、このポリシーがトリガされ、実行措置が適用される。静的実行ポリシーおよび動的実行ポリシーは、各々静的ポリシーのキャッシュ265および動的ポリシーのキャッシュ270としてメモリ255に格納されてもよい。
特定の実施形態において、一般的な方法は、以下のように行われる。エンドユーザは、保護されたポリシードメイン上のリソースを要求するためのURLまたはIDを入力する。ユーザのブラウザは、URLをHTTP要求の一部としてウエブサーバに送信する。1つ以上のエージェント235、1つ以上のプロキシ240および/または1つ以上のウエブゲート250は、要求を認識して傍受する。エンドユーザがまだ認証されていない場合、1つ以上のエージェント235、1つ以上のプロキシ240および/または1つ以上のウエブゲート250は、ブラウザにログイン情報を求めるチャレンジを発行するように、ウエブサーバに要請する。受信されたログイン情報は、その後、ウエブサーバに戻され、1つ以上のエージェント235、1つ以上のプロキシ240および/または1つ以上のウエブゲート250に渡される。1つ以上のエージェント235、1つ以上のプロキシ240および/または1つ以上のウエブゲート250は、認証要求を1つ以上のアクセスマネージャ245に送信し、1つ以上のアクセスマネージャ245は、ユーザが提供したログイン情報が本物であるか否かを判断する。1つ以上のアクセスマネージャ245は、ユーザのID情報の属性およびメモリ255に格納されているリソースの認証基準を利用して認証を行う。ユーザが提供したログイン情報が認証基準を満たす場合、プロセスは、以下のように進み、そうでない場合、要求されたリソースへのアクセスが拒否されることをエンドユーザに通知し、プロセスは、終了する。
ユーザを認証した後、1つ以上のエージェント235、1つ以上のプロキシ240および/または1つ以上のウエブゲート250は、要求されたリソースに対するユーザのアクセスが許可されているか否かについて1つ以上のアクセスマネージャ245に照会する。したがって、1つ以上のアクセスマネージャ245は、要求されたリソースの適切な認可基準について情報管理システム200に照会する。1つ以上のアクセスマネージャ245は、リソースの認可基準を検索し、リソースの認可基準およびユーザのID情報に基づいて、1つ以上のエージェント235、1つ以上のプロキシ240および/または1つ以上のウエブゲート250の認可クエリに応答する。ユーザが認可されている場合、リソースに対するユーザのアクセスが許可される。それ以外の場合、ユーザの要求が拒否される。上述したフローに対する様々な代替案も本発明の精神および範囲に含まれる。
認証および認可の判断は、ポリシードメインおよびポリシー(例えば、静的実行ポリシーおよび動的実行ポリシー)に基づいて行われてもよい。ポリシードメインは、ウエブサ
ーバのホストID、ホスト名、URLプレフィックス、およびルールを含む論理グループである。ホスト名およびURLプレフィックスは、特定のポリシードメインによって保護されるウエブネームスペースの粗い部分(course-grain portion)を指定する。ポリシードメインのルールは、要求されたリソースへのアクセスを許可または拒否する条件、およびこれらの条件を適用するエンドユーザを指定する。ポリシードメインは、ポリシーに含まれている第1レベルのデフォルトルールと第2レベルのルールとの2つのレベルのルールで構成される。第1レベルのデフォルトルールは、ポリシーに関連付けられていないポリシードメイン内の任意のリソースに適用することができ、第2レベルのルールは、ポリシーに関連付けられているポリシードメイン内の任意のリソースに適用することができる。ポリシーとは、URLパターン、リソース種類、操作種類(要求メソッドなど)、およびユーザごとに特定のリソースに対するアクセスを制限するためのルール、静的または動的なグループメンバーシップ、時刻または曜日、IP(インターネットプロトコル)アドレスなどを含むグループである。ポリシーは、ポリシードメインに関連付けられた静的または動的ポリシーであってもよく、ポリシーによって保護されるウエブネームスペースの細かい部分(fine-grain portion)を指定する。実際には、ポリシードメインのホスト名およびURLプレフィックスは、ポリシーのURLパターンと論理的に関連している。得られたパターンの全体は、受信したURLと比較される。一致した場合、ポリシーの様々なルールを評価することによって、要求を認可するか拒否するかを決定する。一致しなかった場合、デフォルトポリシードメインルールが使用される。
静的実行ポリシーおよび動的実行ポリシーは、許可されているものおよび許可されていないものを表現するための属性をまとめるステートメントである。実行ポリシーは、任意種類の属性(ユーザ属性、リソース属性、オブジェクト、アクション、環境属性など)を使用することができ、ブール論理などの論理を含む。この場合、ルールは、属性を評価し、許可されているものおよび許可されていないもの(例えば、要求を出したユーザが認証されたか否か、要求を出したユーザが要求したリソースに対するアクセスが認可されているか否か、要求を出したユーザが要求したリソースに対して要求を出す行動が認可されているか否か)を判断するためのステートメント(例えば、「IF、THEN」)を含む。例えば、要求元がマネージャである場合、機密データへの読み取り/書き込みアクセスが許可される。静的実行ポリシーは、デフォルトルール、または進化するシステムの動態または属性を評価するためにシステムの寿命に亘って書き込まれる/書き直される(例えば、システムの管理者によって作成される)ルールを含む。しかしながら、静的ポリシー内に含まれるルールは、リアルタイムで書かれる/書き直されることはない。これによって、ポリシーは、進化するシステムの動態または属性をリアルタイムで評価することができる。一方、動的実行ポリシーは、進化するシステムの動態または属性をリアルタイムで評価するように、書き込まれる/書き直される(例えば、機械学習技術またはシステムの管理者によって作成される)ルールを含む。
様々な実施形態において、脅威の検出に基づいて静的ポリシーおよび動的ポリシーの作成および実行を行うためのシステムおよび方法が提供される。静的実行ポリシーおよび動的実行ポリシーは、様々なエージェント(例えば、1つ以上のエージェント235、1つ以上のプロキシ240および/または1つ以上のウエブゲート250)によって、実行経路に沿って実行されてもよい。これらのポリシーは、実行経路におけるエージェントの位置にそれぞれ適用されるものとして理解されてもよい。いくつかの実施形態において、動的ポリシーは、管理者によって手動で作成されてもよく、または機械学習コンポーネント225によってシステムに自動的に導入されてもよい。また、特定の実施形態において、動的ポリシーの実行期間(例えば、所定期間)を指定することができる。例えば、所定期間(例えば、5分、10分、4時間、1日、2週間など)にポリシーを設定することによって、分析サーバ220および/または管理者は、その所定期間内のデータに基づいて、異常を監視およびトリガすることができる。所定期間が経過した後に、ポリシーは無効に
なる。したがって、いくつかの実施形態は、動的ポリシーを新たに追加したシステムの挙動を監視することができ、システムの安定性を保証することができる。監視されている動的ポリシーは、ソリッドまたは永久(すなわち、所定期間によって制限されない)ポリシーになるように変更されてもよい。いくつかの実施形態は、機械学習機能を使用して、所定期間(例えば、次の30分)の間に動的ポリシーを作成し、最終的にはこの動的ポリシーを用いて、システムに設定された静的ポリシーを永久に上書きする。なお、完全な承認プロセスを行う必要があるか否かに関わらず、視覚化アプリケーションを見ているセキュリティ管理者がこれらのポリシーを迅速に生成してシステムに導入することは、非効率的であり、リソースを浪費する。
いくつかの実施形態において、機械学習コンポーネント225がポリシーに影響を与えない場合、スティッキーポリシー(すなわち、上書きできない静的ポリシー)を作成することができる。他の実施形態において、機械学習コンポーネント225は、デフォルトポリシーまたは管理者によって作成されたポリシー(例えば、上書き可能な静的ポリシー)を学習することができ、これらのポリシーを変更するまたは動的ポリシーを用いてこれらのポリシーを上書きすることができる。特定の実施形態において、機械学習は、追加のデータに基づいて、システム管理者によって以前に作成されたデフォルトポリシーまたは静的ポリシーを変更することができ、デフォルトポリシーまたは静的ポリシーを上書きすることができる。例えば、ブロックポリシーに対応する特定のカテゴリに異常を分類することができる。このブロックポリシーは、高警告ポリシーであり、第2ファクタ認証などの別のカテゴリを上書きすることができる。これによって、ユーザが有効セッションにいても、ユーザが何らかの行動を行った場合に、追加認証を行うためのフォームまたは質問をユーザに提示することができる。他の実施形態において、ブロックポリシー(例えば、ユーザまたはユーザグループがリソースに対する読み取り/書き込みなどの動作をブロックするように構成されたロジックを有するポリシー)を作成しないように指定することができる。これによって、管理者は、機械学習によってトリガされたポリシーの種類を監視することができる。例えば、管理者は、最初の数ヶ月間、特定の状況下または特定のパターンがある場合に機械学習が複数の高警告を作成することを監視し、これらの警告を検証し、機械学習が大量の偽陽性警告を作成していないことを判断する。次に、管理者は、ポリシーを調整し、あるパターンに対して高警告を作成するのではなく、当該パターンに対して第2ファクタ認証ポリシーを作成することができる。
一例において、ユーザは、毎日の午前7時から9時まで自宅または別の場所からサーバ(例えば、ターゲットシステム)にアクセスし、毎日の午前10時から午後4時まで職場または本部からサーバにアクセスすることがある。ユーザが別の場所に移動してサーバにアクセスしようとする場合、システムは、位置データが履歴データと一致しないときに第2ファクタ認証をトリガするという異常時のデフォルトポリシーまたは静的ポリシーで構成されているため、分析サーバ220は、そのアクセスが異常であると判断し、第2ファクタ認証をトリガする。一定の時間が経過した後、システムは、デフォルトまたは静的ポリシーから学習して適応し、ユーザの行動パターンに基づいて、ユーザが別の場所に移動しているときに異常をトリガしないように判断することができる。また、システムは、ユーザの行動パターンを識別することができる。システムは、履歴データおよび更新されたリアルタイムデータに基づいて、異常をトリガすべきであるか否かを知能的に判断することができる。機械学習コンポーネント225は、履歴データおよびリアルタイムデータから絶えずに学習することによって、エンドユーザのID情報または行動モデルおよび行動を管理するためのポリシーを作成および修正することができる。これらのID情報およびポリシーは、毎週または隔週に更新されるのではなく、リアルタイムで更新される。これによって、次の異常検出には、ユーザ活動の全ての履歴データおよびリアルタイムデータが考慮される。したがって、次回の判断には、異常として特定され得るものを速やかに考慮に入れることができる。よって、この例において、新しい位置がメモリ255に更新さ
れているため、次回にユーザがこの地理的位置にいるときにログインした場合、システム上の活動が異常検出をトリガしない。実質的には、過去のポリシーを上書きする新しい動的ポリシーが作成された。
図2は、イベント/データの収集を行うためのメカニズムをさらに示している。いくつかの実施形態において、機械学習がより多くの処理データを有する場合、機械学習コンポーネント225は、より多くの実行ポリシーを生成することができ、より多くおよびより複雑なパターンを見出すことができる。特定の実施形態において、イベント/データの収集は、動的であり、検査ポリシーメカニズムは、データの収集を容易にすることができる。収集されたデータは、機械学習に与えることができる。これによって、さらに多くの実行ポリシーを作成することができ、実行ポリシーによってトリガされる異常をトリガすることができる。例えば、新しいアプリケーションをインストールするときに、システムは、(収集バス205および分析サーバ220を介して自動的にまたは管理者を介して手動で)検査ポリシーを起動して、アプリケーションがどのように機能するかを理解することができる。検査ポリシーは、アプリケーションに対するユーザ活動を調べることによって、検査ポリシーのルールを考慮して、データを生成することができる。収集バス205、分析サーバ220および機械学習コンポーネント225は、収集されたデータに基づいて活動を自動的に分類し、データから特定されたパターンに基づいて活動が低警告活動、中警告活動または高警告活動であるかを判断することができる。その後、分析サーバ220および機械学習コンポーネント225は、収集バス205によって収集されたデータに基づいて、動的検査および実行ポリシーを自動的に生成することができ、生成されたポリシーは、ポリシーバス210上に公開され、所定期間中にエージェントによって使用され、静的ポリシーを上書きすることができる。
特定の実施形態において、企業内で(例えば、企業のネットワーク上に)公開された全てのデータは、収集バス205を介してリアルタイムで収集可能であり、分析サーバ220によって使用および分析されてもよい。いくつかの実施形態において、分析サーバ220は、イベント相関を行い、レポートを生成し、レポートバス275上にレポートを公開することができる。機械学習コンポーネント225は、レポートバス275からリアルタイムで情報を継続的に受信し、視覚化サーバ230を介してユーザインターフェイスに情報を提供する。また、機械学習コンポーネント225は、収集バス205、メモリ255およびレポートバス275からのリアルタイムイベントおよび履歴データを使用する。したがって、機械学習コンポーネント225は、異常を発見し、ポリシー(検査ポリシーまたは実行ポリシー)をポリシーバス210に公開することができる。
従来の技術において、エージェントは、データを収集し、そのデータをログアスキーデータ名と値の対として記録し、そのログを定期的に(例えば、5分または10分ごとに)サーバに送信するように構成されている。エージェントがクラウドに位置し、サーバが企業内または企業外に位置する可能性があるため、これらのログの転送には費用がかかる可能性がある。また、ログを蓄積してまとめて送信する場合、時間がかかる。様々な実施形態は、ログアスキーデータ名と値の対を収集して送信する代わりに、データを高度に圧縮するように、バイナリデータを用いて、様々なエージェントから収集バス205にデータをリアルタイムに転送する。特定の実施形態は、データをマッピングするために値およびメカニズムを転送する。例えば、エージェントは、値を収集バス205に送信し、収集バス205は、エージェントから送信されたフォーマット(例えば、スキーマ1)を判断することができる。フォーマットが特定されると、値は、翻訳される。これは、データを圧縮して効率的に転送する方法である。
様々な実施形態において、システムは、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および1つ以上のウエブゲート25
0を含むエージェントによって捕捉および送信されたデータに基づいて、脅威を検出およびトリガすることができる。エージェントがより新しいターゲットシステム、アプリケーションおよび既存のアプリケーションインターフェイスの変更をサポートする必要があるときに、一組の定義済み属性(例えば、ユーザ属性、リソース属性、オブジェクト、アクション、環境属性など)は十分ではない場合がある。したがって、システムは、動的検査ポリシーを用いて、動的ルールをエージェントに送信することによって、様々なペイロード(例えば、HTTP)内のデータなどの追加の情報または属性の収集/検査をエージェントに要請することができる。この情報は、通常のアクセス要求イベントの一部として報告される。その後、機械学習コンポーネント225は、この新しいデータまたは情報の異常を検出し、動的実行ポリシーを挿入することによって、より多くの異常をトリガすることができる。より多くの異常がトリガされると、特定の種類のトラフィックを防ぐために追加の実行ポリシーを作成することができる。これによって、収集、検出および実行サイクルが完了する。
収集バス205は、エンドユーザからのアクセス要求などのセキュリティイベントに関連する情報を取得し、その情報またはデータをレポートバス275に報告するように構成されてもよい。収集バス205は、特定の基準が満たされたときに、一組の定義済み属性(例えば、ユーザ属性、リソース属性、オブジェクト、アクション、環境属性など)を収集するためのルールを含むデフォルト検査ポリシーまたは静的検査ポリシーに基づいて構成されてもよい。特定の実施形態において、検査ポリシーは、データを監視し、特定の基準が定義済みパターンと一致するときに管理者に通知する。検査ポリシーは、パターンが存在するときに警告をトリガしないが、パターンが存在するときに一組の定義済み属性を収集する。例えば、システムは、一組の基準が満たされたとき(例えば、閾値時間帯にヘッダデータが一致する場合)に、管理者がトリガされる特定の検査ポリシーを指定できるように、検査ポリシーユーザインターフェイス(UI)を提供することができる。他の態様によれば、収集は、データまたは属性を収集するためのルールを含む動的検査ポリシーに基づいて構成されてもよい。例えば、収集バス205および分析サーバ220は、協働して一組の定義済み属性を収集し、過去に設定されたルール(デフォルトポリシー、静的ポリシー、または動的検査および実行ポリシー)に基づいて異常をトリガすることができる。検査ポリシーは、収集される一組の定義済み属性および特定されるデータ内のパターンの基準を指定することができる。収集バス205を介して属性およびパターンを収集した後、分析サーバ220は、データ内の属性およびパターンを検査し、これらの属性およびパターンが実行ポリシー内に定義されたルールと一致するか否かを判断することができる。データは、収集バス205に入ると、メモリ255に格納され、履歴データの一部になる。機械学習コンポーネント225は、履歴データおよびリアルタイムデータから絶えずに学習することによって、システム上のユーザ活動の脅威評価に必要な情報を効率的に収集するように検査および実行ポリシーを作成および修正することができる。
イベントに関連する情報は、(図1を参照して説明した)1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250を含む1つ以上のエージェントから収集され、例えば、要求を送信したクライアントのIPアドレス、装置情報、ユーザ情報、要求されたリソース、および要求を送信した時間を含むことができる。特定の実施形態において、情報は、クライアント装置内のGPSアプリケーション、天気アプリケーション、監視ソフトウェア、ハードウェアセンサ、負荷分散ソフトウェアなどを含む第3者エージェントからさらに収集される。情報は、収集バス205によって非同期に収集されてもよい。例えば、収集バス205は、情報の処理、リアルタイムで情報のインデクス付け、情報に対してデータ集約および照会動作を実行するように構成された待ち行列(queue)を含むことができる。
いくつかの例において、収集バス205は、ユーザから受信したアクセス要求に関する情報を、例えばクライアントコンテキスト、リソースコンテキスト、ユーザコンテキスト、
サーバコンテキスト、タイムスタンプ、セッション情報および要求を処理するためのサーバインスタンスなどの様々なカテゴリに編成するように構成されてもよい。様々な実施形態において、収集バス205は、ユーザ活動から取得および編成された情報またはデータをメモリ255内の情報データベース260に格納するように構成される。
図2は、収集されたイベント/データに基づいて動的実行ポリシーを作成し、ポリシーバス210を介してエージェント(例えば、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および1つ以上のウエブゲート250を含む1つ以上のエージェント)によって実行される動的実行ポリシーを公開するためのメカニズムを示している。いくつかの実施形態において、分析サーバ220および機械学習コンポーネント225は、一定期間において、(例えば、メモリ255に格納された)ユーザまたはユーザグループから受信されたアクセス要求に関するリアルタイム着信データおよび履歴データを分析することによって、ユーザまたはユーザグループ用の動的実行ポリシーを作成するように構成される。一実施形態において、分析サーバ220および機械学習コンポーネント225は、ユーザまたはユーザグループによるアクセス要求のリアルタイム着信データおよび履歴データに関連するパラメータサブセットを特定することによって、ユーザまたはユーザグループ用の動的実行ポリシーを生成し、パラメータサブセットに対照してアクセス要求のリアルタイム着信データおよび履歴データを分析することによって、動的実行ポリシーを作成するように構成されてもよい。例えば、分析サーバ220および機械学習コンポーネント225は、一定期間において、ユーザまたはユーザグループが通常ターゲットシステムに格納された1つ以上のアプリケーションにアクセスする時間パラメータ(例えば、時間)に基づいて、ユーザまたはユーザグループのアクセス要求を分析し、ユーザのアクセス時間を監視することによって、実行ポリシーを作成するように構成されてもよい。ユーザまたはユーザグループが通常の時間パラメータ以外の時間に1つ以上のアプリケーションにアクセスしようとする場合、実行ポリシーは、第2ファクタ認証を要請するルールもしくはユーザまたはユーザグループをブロックするルールを含むことができる。
いくつかの実施形態において、監視されるパラメータのサブセットは、ユーザがアクセスするターゲットシステム上のリソース(例えば、ターゲットアプリケーション)によって特定/定義されてもよく、ターゲットアプリケーションは、この情報を分析サーバに提供してもよい。例えば、ターゲットアプリケーション(例えば、金融アプリケーション)は、ユーザID、アクセス時刻およびアクセス期間などのパラメータに基づいて、ユーザのアクセス要求を追跡したい場合がある。これらのパラメータは、分析サーバ220を用いて設定され、機械学習コンポーネント225は、これらのパラメータに対照して、一定期間においてアクセス要求のリアルタイム着信データおよび履歴データを分析することによって、ユーザまたはユーザグループのために実行ポリシーを作成することができる。特定の実施形態において、監視されるパラメータサブセットを満たすデータが収集されていない場合、分析サーバ220および機械学習コンポーネント225は、特定の基準が満たされたとき(例えば、ユーザまたはユーザグループがシステムにログインするとき)に、パラメータサブセットを満たすデータを取得するようにトリガされる動的検査ポリシーを作成するように構成されてもよい。
特定の実施形態において、分析サーバ220および機械学習コンポーネント225は、ユーザまたはユーザグループのために複数のポリシーを生成するように構成されてもよい。これらのポリシーは、アクセス要求に関連する異なるパラメータセットに対照して、ユーザまたはユーザグループによるアクセス要求のリアルタイム着信データおよび履歴データを分析することによって生成されてもよい。例えば、上述したように、分析サーバ220および機械学習コンポーネント225は、ユーザまたはユーザグループが通常ターゲットシステムに格納されている様々なアプリケーションにアクセスする時間に基づいて、ユ
ーザまたはユーザグループのアクセス要求を分析することによって、ユーザまたはユーザグループのために時間依存性ポリシーを生成するように構成されてもよい。別の例において、分析サーバ220および機械学習コンポーネント225は、ユーザがターゲットシステムに格納されている様々なアプリケーションにアクセスするパターンを分析することによって、ユーザのためにアプリケーションアクセスパターンポリシーを生成するように構成されてもよい。分析サーバ220および機械学習コンポーネント225は、アクセス要求からのセキュリティ脅威、侵入、サービス拒否(DOS)攻撃の特徴を取得することによって、ユーザのためにポリシーを生成するように構成されてもよい。
いくつかの実施形態において、分析サーバ220および機械学習コンポーネント225は、ユーザまたはユーザグループに関連するアクセス要求のリアルタイム着信データおよび履歴データを1つ以上のデータクラスタに分類することによって、ポリシーを生成するように構成されてもよい。特定の実施形態において、分析サーバ220および機械学習コンポーネント225は、教師ありまたは教師なし機械学習または他のクラスタリング(例えば、K平均)技法を用いて、1つ以上のデータクラスタを生成するように構成されてもよい。様々な実施形態において、機械学習コンポーネント225は、密度ベースのクラスタリングアルゴリズムおよびユークリッド距離を使用した教師なし学習を用いて、クラスタの重心からアクセス要求までの距離を計算するように構成されてもよい。特定の例において、クラスタの半径は、クラスタ内の各点の重心からの距離の平均値に基づいて計算される。標準偏差に基づいて、半径の外側に位置する点のリスクが高くなる。企業ネットワーク上のユーザ活動が重心に近ければ、アクセスのリスクが低くなる。
特定の例において、分析サーバ220、機械学習コンポーネント225および/または統合アプリケーション(例えば、ユーザがアクセスしようとするアプリケーション)によって構成されたパラメータのリアルタイム着信データおよび履歴データは、クラスタを構築するためのデータポイントになる。分析サーバ220および機械学習コンポーネント225は、クラスタを構築した後、1つ以上のデータクラスタに関するルールを含むポリシーを生成するように構成されてもよい。例えば、ユーザまたはユーザグループによる要求の特定のパラメータ(x、yおよびz)がクラスタのパラメータ(x、yおよびz)と一致しない場合、行動を実行する、例えば第2ファクタ認証を実行するまたはユーザまたはユーザグループをブロックするように、ルールを構築することができる。その結果、ユーザまたはユーザグループから新しい要求を受信する場合、要求から得られたパラメータの値を、既に確立されたクラスタのパラメータを含むポリシー内のルールと照合することによって、ユーザまたはユーザグループからのアクセス要求が異常であるか否かを判断することができる。
いくつかの実施形態において、分析サーバ220および機械学習コンポーネント225は、クラスタを確立した後、脅威レベルに基づいてポリシーを分類するようにさらに構成されてもよい。脅威レベルは、クラスタの中心からの距離に基づいて決定されてもよい。一例として、企業ネットワーク上のトラフィックパターンは、基準に設定されたルール、例えば1つ以上のクラスタからトラフィックパターンまでの距離に従ってポリシーを生成するために使用される属性を有することができる。距離が1倍(例えば、平均から1つの標準偏差)である場合、ポリシーは、低程度リスクとして分類され、関連するトラフィックパターンは、低警告をトリガする。距離が2倍(例えば、平均から2つの標準偏差)である場合、ポリシーは、中程度リスクとして分類され、関連するトラフィックパターンは、中警告をトリガする。距離が3倍を超える(例えば、平均から3つの標準偏差を超える)場合、ポリシーは、ブロックとして分類され、関連するトラフィックパターンは、活動のブロックをトリガする。したがって、顧客は、トラフィックパターンが異常なパターンであるか否かを心配する必要はない。代わりに、顧客は、トラフィックパターンが低警告、中警告、高警告、第2ファクタ認証、またはブロックのいずれを作成したか否かに集中
することができる。
本明細書に記載されたように、ポリシーは、分析サーバ220および機械学習コンポーネント225または管理者(異常の発生を見ている人)によって生成されてもよい。いくつかの実施形態は、ポリシーを宣言する標準として、STIX(Structured Threat Information eXpression)を使用する。様々な実施形態において、ポリシー(例えば、新しい動的実行ポリシー)は、確立または生成されると、ポリシーバス210に公開され、エージェント(例えば、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250)によって実行される。ポリシーがエージェントによって実行されているときに、エージェントは、実行エコシステムの一部になる。例えば、ユーザまたはユーザグループから新しいアクセス要求を受信したときに、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250は、実行ポリシー(デフォルト、静的または動的ポリシー)に対照して、アクセス要求に関連する情報を分析することによって、ユーザまたはユーザグループのアクセス要求が異常であるか否かを判断するように構成されている。
いくつかの実施形態において、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250は、先ず、ポリシーバス210上に公開される複数の実行ポリシーから、ユーザまたはユーザグループのためにポリシーを選択するように構成されてもよい。特定の実施形態において、ポリシーは、ユーザまたはユーザグループに特異的に関連付けられてもよい。選択は、例えば、ユーザまたはユーザグループがアクセスを要求しているアプリケーションの種類に基づいて行われてもよい。例えば、ユーザまたはユーザグループがターゲットシステム上の金融アプリケーションに対するアクセスを要求している場合、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250は、複数のポリシーから、金融アプリケーションによって定義されたパラメータのサブセットを分析するためのポリシーを選択するように構成されてもよい。例えば、上述したように、金融アプリケーションは、ユーザID、アクセス時刻およびアクセス期間などのパラメータに基づいて、ユーザまたはユーザグループからのアクセス要求を分析したい場合がある。他の実施形態において、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250は、ポリシーバス210上に公開された複数の実行ポリシーの全てを取得し、全てまたは一部のポリシーからのパラメータに基づいて、ユーザまたはユーザグループからのアクセス要求を分析するように構成されてもよい。
1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250は、特定のポリシーを選択または取得した後、当該ポリシーに対照して、アクセス要求に関連する情報を分析することによって、ユーザのアクセス要求が異常であるか否かを判断するように構成されてもよい。いくつかの実施形態において、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250は、分析サーバ220および機械学習コンポーネント225によって生成された1つ以上のデータクラスタからアクセス要求の偏差を判断することによって、異常要求を判断するように構成されてもよい。偏差が所定の閾値を超える場合、要求が異常であると判断される。閾値は、システムのユーザ(例えば、管理者)によって決定されてもよく、分析サーバ220および機械学習コンポーネント225によって自動的に決定されてもよい。特定の実施形態において、閾値は、クラスタのデータセットの相関を考慮したマハラノビス(Mahalanobis)距離であってもよい。
各エージェントは、公開されたポリシーに独自に反応して、同じ最終目標(例えば、保護されたリソースに対するアクセス権を未認可/未認証ユーザに付与しないこと)を達成することができる。特定の実施形態において、異常が検出され、ユーザをブロックするためのポリシーが(例えば、STIXフォーマットで)作成され、ポリシーバス210に公開されると、1つ以上のエージェント235、1つ以上のプロキシ240、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250は、当該ポリシーを選択または取得し、ユーザまたはユーザグループをブロックするときの役割を決定することができる。例えば、ユーザまたはユーザグループがアプリケーションにアクセスしているときに、1つ以上のアクセスマネージャ245は、ユーザの資格情報を検証し、ユーザを認証セッションの一部であることを認証するための実体になり、1つ以上のエージェント235、1つ以上のプロキシ240および/または1つ以上のウエブゲート250は、ユーザが実行エコシステムの任意部分のリソースにアクセスしているときに、いつでもユーザをチャレンジおよび認証することができるように、セッションを開始、維持または切断することができる。1つ以上のプロキシ240は、行われているユーザまたはユーザグループの活動を絶えずに監視および学習し、ポリシーに基づいて、異常をトリガし、活動をブロックする措置をとることができる。例えば、1つ以上のプロキシ240は、ポリシーからブロックされるユーザの情報を取得することができ、当該ユーザに対応するIPアドレスからセッション要求を受信する場合、1つ以上のプロキシ240は、セッションの作成をブロックすることができる。したがって、リソースが他のエージェントによって保護されていなくても、1つ以上のプロキシ240は、ポリシーバス210と同じポリシーを有するため、ユーザ活動に対して独自の行動をとることができる。
追加的にまたは代替的に、1つ以上のエージェント235、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250は、ユーザまたはユーザグループが行っている(例えば、ユーザがログインページにユーザ名またはパスワードを入力しようとしている、ユーザが保護されたアプリケーションにアクセスしようとしている、または承認されたセッションから別のウエブサイトにアクセスしようとしている)活動を絶えずに監視および学習し、同じポリシーに基づいて、異常をトリガし、活動をブロックする措置をとることができる。例えば、1つ以上のエージェント235および/または1つ以上のウエブゲート250は、期間が満了したか否かに基づいて、セッションがまだ有効であるか否かをチェックすることができる。いくつかの例において、時間セッションは、所定期間、例えば、1時間または8時間に有効である。セッションが無効になったときに、ユーザが再度ログインするように要求される。1つ以上のエージェント235および/または1つ以上のウエブゲート250は、当該ポリシーを用いてセッションを検証し、セッションが無効になったときに当該セッションを切断することができる。また、1つ以上のアクセスマネージャ245は、同じポリシーを取得することができる。よって、次に同じユーザが正しいユーザ名およびパスワードを使用してログインしようとするときに、1つ以上のアクセスマネージャ245は、ユーザアクセスを許可しないことがある。したがって、リソースが1つ以上のエージェント、例えば1つ以上のプロキシ240によって保護されていなくても、1つ以上のエージェント235、1つ以上のアクセスマネージャ245および/または1つ以上のウエブゲート250は、ポリシーバス210と同じポリシーを有するため、ユーザ活動に対して独自の行動をとることができる。したがって、ルールが決定されるとエージェントがグループとして同様に反応する従来のシステムと異なって、各エージェントは、各々異なる方法でポリシーに反応することができる。
図2はさらに、イベント/データの収集およびユーザ活動に対して静的ポリシーおよび動的ポリシーの実行に基づいて、ユーザインターフェイスを提供するためのメカニズムを示している。様々な実施形態において、統合ユーザインターフェイス280が、視覚化サーバ230から提供される。いくつかの実施形態において、統合ユーザインターフェイス280は、能動的脅威カテゴリ、各脅威カテゴリに対してトリガされたポリシーの数およ
び関連するトレンドを含む。他の実施形態において、統合ユーザインターフェイス280は、ユーザ、ユーザによってアクセスされているソース、およびそのような活動に関連する可能なポリシーを含む。さらに他の実施形態において、リアルタイム統計値は、所定の時間間隔(例えば、2秒、4秒、5秒、30秒)で、5分または15分などの異なる時間枠において統合ユーザインターフェイス280上に公開および表示される。これによって、セキュリティ管理者は、「リアルタイムのトレンド」に対して適切な措置を講じることができる。
統合ユーザインターフェイス280は、セキュリティ管理者がシステムにログインするときに、セキュリティ管理者に提示されてもよい。統合ユーザインターフェイス280は、ネットワークトラフィックを生成しているトップユーザ、およびこれらのユーザがアクセスしているソースを提示することができる。収集バス205から収集されたリアルタイムデータは、システムに供給されてもよい。統合ユーザインターフェイス280は、一定の期間(例えば、5分または30分)に、ユーザがネットワーク上の異なるソースにアクセスした頻度を提示することができる。統合ユーザインターフェイス280は、新しいデータが入ってくると、例えば「現在の時間-5分」を示すように絶えずに更新されてもよい。上位のアクティブIPアドレスを示すこともできる。いくつかの実施形態は、非常にアクティブであるIPアドレスと、人気であり且つトラフィックが多いソース(例えば、URL)との間の相関関係を示すことができる。また、特定の実施形態は、(例えば、星印を用いて)特定されていないユーザのIPアドレスを標記することができる。
いくつかの実施形態は、ユーザ-アプリケーションマッピングに加えて、クライアントIPアドレス-アプリケーションマッピングを提示することができる。特定の実施形態は、特定のIPアドレスから多くの異なるソースにアクセスすることができること、またはその逆、全ての異なるユーザが特定のURLにアクセスすることができることを示すことができる。統合ユーザインターフェイス280は、一方側にエンドユーザ(またはクライアントのIPアドレス)を提示し、他方側にエンドソースを提示する。また、いくつかの実施形態は、色を用いて、グループを区別することができる。また、特定の実施形態は、各アプリケーションがアクセスされた回数などの情報を提示することもできる。いくつかの実施形態は、特定のユーザまたはクライアントのIPアドレスを選択することによって、特定のユーザまたはクライアントのIPアドレスからアプリケーションにアクセスした回数を提示することができる。
いくつかの実施形態において、管理者は、統合ユーザインターフェイス280を介して、1つ以上の比較基準および基準値を指定することができる。また、特定の実施形態において、管理者は、統合ユーザインターフェイス280を介して、イベントの1つ以上の基準および基準値が管理者によって指定された基準および基準値と一致する場合に所望の警告および警告期間を指定することができる。例えば、いくつかの実施形態において、ユーザおよびクライアントIPアドレスが当該ユーザがアクセスしている宛先(例えば、ホスト名、特定のIPアドレス、サービス)と一致するまたはユーザの活動と一致するときに、管理者によって指定された対応の警告を提供することができる。
III.統合ユーザインターフェイス
図3は、様々な実施形態に従って、脅威視覚化システム300の一部の機能要素を示すブロック図である。図示されたシステムは、3つの層、すなわち、プレゼンテーション層305、アプリケーション層310、およびデータベース層315を含む。プレゼンテーション層305は、複数のユーザインターフェイス(例えば、グラフィカルユーザインターフェイス(GUI))を含む。ユーザ(例えば、顧客または管理者)は、リアルタイムで脅威を検出するために、複数のユーザインターフェイスを介して、企業のネットワーク上のユーザ活動を監視することができる。複数のユーザインターフェイスは、複数のUI
320、325、330および335(例えば、図2を参照して説明した統合ユーザインターフェイス280)を含む。いくつかの実施形態において、UI320、325、330および335は、1つ以上のワークステーションに存在する。他の実施形態において、UI320、325、330および335は、1つ以上のパーソナルコンピュータに存在する。通常、UI320、325、330および335は、任意のコンピューティングシステムに存在することができる。なお、図3には4つのUIが示されているが、本明細書に記載の態様によれば、任意の数のUIを開発および提供することができる。
UI320、325、330および335は、アプリケーション層310内の1つ以上のアプリケーションサーバ340および345(例えば、図2を参照して説明した分析サーバ220、機械学習コンポーネント225および視覚化サーバ230)に接続されている。アプリケーションサーバ340および345は、UI320、325、330および335と企業ネットワークとの間に情報を交換および処理することによって、企業基盤ネットワーク上のセキュリティおよび脅威のリアルタイム評価を容易にする動作を実行する。様々な実施形態において、アプリケーションサーバ340および345は、本明細書に記載された一組のメカニズムを介して、セキュリティおよび脅威の評価を容易にする。アプリケーションサーバ340および345は、計算サーバまたはデータベースサーバを含む分散コンピューティングシステム内のいくつかの場所に配置されることができ、プレゼンテーション層内の任意のUIと通信することができる。
アプリケーションサーバ340および345は、データベース層315内のデータベース管理システム350(例えば、図2を参照して説明したメモリ255)に接続されている。データベース管理システム350は、データの保存および検索を管理できる任意種類の特製または市販のデータベースシステムであってもよい。いくつかの実施形態において、データベース管理システム350は、データベースサーバなどを含む。例示的なデータベースサーバは、Oracle(登録商標)、Microsoft(登録商標)、Sybase(登録商標)、IBM(登録商標)などの会社から市販されているものを含むがこれらに限定されない。データベース管理システム350は、キャッシュおよびデータベース355(例えば、図2を参照して説明したキャッシュ265、270およびデータベース260)に接続されている。キャッシュおよびデータベース355は、データを格納および検索することができる任意種類のキャッシュまたはデータベースであってもよい。データベースの例として、階層データベースおよびリレーショナルデータベースを含むがこれらに限定されない。
様々な実施形態において、プレゼンテーション層305、アプリケーション層310およびデータベース層315は、能動的脅威カテゴリ、各脅威カテゴリに対してトリガされたポリシーの数および関連するトレンドを含むUI320、325、330および335を提供するように動作する。図4Aおよび図4Bに示すように、いくつかの実施形態は、脅威レベルの分類体系に基づいて、能動的脅威の統合UI400を提供することができる。本明細書に説明したように、実行ポリシー(例えば、静的ポリシーおよび動的ポリシー)は、ブロックポリシー、ステップアップまたは第2ファクタポリシー、高警告ポリシー、中警告ポリシー、および低警告ポリシーに各々分類することができる。例えば、分析サーバ220および機械学習コンポーネント225は、例えば、1回のみのアクセスが観察された場合、低警告として、「異常なアプリケーションアクセス」ポリシーを動的に作成することができる。しかしながら、他の要因に基づいて、同じポリシーは、第2ファクタポリシーとして導入され、認証されていないユーザによるアクセスを阻止することができる。アプリケーション層310は、このようなポリシー実行措置の分類方式を使用して、ブロック405、ステップアップまたは第2ファクタ410、高警告415、中警告420および低警告425に対応する様々なバケットを含む統合UI400のダッシュボード402を表示することができる。ポリシー実行措置の脅威レベルの分類体系によって、管理者は、ポリシーの評価および低レベルから高レベルへのレベルの上昇またその逆を行う
ことができる。また、いくつかの実施形態は、ポリシーの評価またはポリシーの脅威レベルの昇降を判断するときに、機械学習コンポーネント225を含むことができる。さらに、ポリシー名ではなく脅威レベルに基づいて能動的脅威の統合UI400を提供することによって、セキュリティ管理グループは、ポリシー名に基づいて脅威レベルを解釈する代わりに、分類に基づいて異なる種類の脅威および措置に集中することができる。
バケット405、410、415、420および425は、任意の時点で企業ネットワーク上のユーザ活動によってトリガされ、対応する分類を有するポリシーの総数「n」430を含むことができる。バケット405、410、415、420および425は、分類ごとに、関連するトレンドをトリガされたポリシーの数「n」430にさらに含むことができる。例えば、マーカ435およびグラフ440などの図形を用いて、トリガされたポリシーの数「n」430に対応する履歴トレンドを示すことができる。いくつかの実施形態において、トリガされたポリシーの数「n」430が増加している場合(例えば、n+1、5、10、15など)、上向き矢印を用いて、このようなトレンドを容易に示すことができる。対照的に、トリガされたポリシーの数「n」430が減少している場合(例えば、n-1、5、10、15など)、下向き矢印を用いて、このようなトレンドを容易に示すことができる。トリガされたポリシーの数「n」430が実質的に同様である場合(例えば、+/-5%、10%、または15%)、円を用いて、このようなトレンドを容易に示すことができる。特定の実施形態において、バケット405、410、415、420および425は、ドロップダウンボックス445をさらに含み、管理者は、このドロップダウンボックス445を利用して、企業ネットワーク上にトリガされたポリシーおよびユーザによって実行されている活動(アクセスされているソース)に関する詳細をさらに調査することができる。特定の実施形態において、統合UI400は、任意の所定の時間に実行されているポリシーの総数「m」(全ての分類グループ)を示すための追加のバケット450をさらに含む。
本明細書に説明した様々な態様によれば、企業ネットワーク上のユーザ行動を監視することができ、ユーザに対して1つ以上の動的ポリシーを作成することができる。いくつかの実施形態において、管理者または機械学習コンポーネント225は、特定の行動によってブロック、第2ファクタ認証、低警告、中警告または高警告をトリガするための実行ポリシーを設定することができる。例えば、機械学習コンポーネント225は、履歴データから、リアルタイムデータの変動または逸脱(例えば、通常はユーザが午後7時または午後8時ごろ自宅からアクセスするが、今日はユーザが別の場所からアクセスしていること)を検出することができ、この異常なアクセスに対してポリシーを作成することができる。このポリシーは、当該アクセスに対して、警告レベル(例えば、低、中または高警告)、第2ファクタ認証、またはブロックを指定することができる。ユーザが第2ファクタ認証を介して提示されたチャレンジで認証されたか否かに基づいて、システムは、履歴データを利用してポリシーを修正することができる。ユーザのさらなる行動によって警告レベルが上がり、新しいポリシーがユーザの行動を高警告行動として指定した場合、統合ユーザインターフェイス400は、ダッシュボード402を介して、高警告行動の提示を開始することができる。短期間(例えば、過去10秒または過去20秒)にこのユーザに対して複数回(例えば、10回または20回)の高警告があった場合、問題がある可能性があるため、機械学習コンポーネント225は、統合ユーザインターフェイス400を介して管理者に警告することができる。
いくつかの実施形態において、ダッシュボード402は、上位アクセス活動、ソースにアクセスしている上位ユーザ、ソースにアクセスするために使用されている上位IPアドレス、およびアクセスされている上位ソースを含む情報を表示する様々なウィンドウ455を含むことができる。上位または下位は、例えば、上位または下位5、10、15、35、または50という閾値数として定義されてもよい。代替的には、上位または下位は、
例えば、上位または下位5%、10%、15%、35%、または50%という閾値百分率として定義されてもよい。ウィンドウ455は、任意のグラフィック手段を用いて情報を表示することができる。例えば、上位アクセス活動は、各ユーザIDまたはIPアドレスをアクセスされているリソースまたはターゲットシステムに連結する線を示すピクトグラムまたは線図460を用いて表示することができる。追加的にまたは代替的に、上位ユーザは、フォントのサイズまたは色などの印刷変更を伴う比例面積チャート、バブルチャートまたはタグクラウド465を用いて表示することができる。追加的または代替的に、上位IPアドレスは、フォントのサイズまたは色などの印刷変更を伴う比例面積チャート、バブルチャートまたはタグクラウド470を用いて表示することができる。追加的にまたは代替的に、アプリケーションは、フォントのサイズまたは色などの印刷変更を伴う比例面積チャート、バブルチャートまたはタグクラウド475を用いて表示することができる。
いくつかの実施形態において、プレゼンテーション層305、アプリケーション層310およびデータベース層315は、追加の機能または情報を管理者に提供するようにさらに動作することができる。例えば、図5に示すように、管理者は、マウスポインタなどの入力装置をダッシュボードのウィンドウ510内の特定のユーザ505上に置くことによって、その特定のユーザがアクセスしたリソース515を単独に表示することができる。また、図6に示すように、管理者は、マウスポインタなどの入力装置をダッシュボードのウィンドウ610内の特定のURL605上に置くことによって、ユーザまたはIPアドレスがリソースにアクセスした特定のカウント数または回数615を見ることができる。図7に示すように、管理者は、マウスポインタなどの入力装置をダッシュボードのウィンドウ710内の特定のURL705上に置くことによって、そのURLにアクセスしている様々なユーザ715を見ることができる。図8に示すように、管理者は、マウスポインタなどの入力装置を用いてダッシュボードのウィンドウ810から特定のユーザ805を選択することによって、特定のユーザ805を選択的に監視することができる。図9に示すように、管理者は、比例面積チャート915またはバブルチャートを用いて、特定のユーザ910の活動905を監視することができる。図10に示すように、管理者は、マウスポインタなどの入力装置をURL上に置くことによって、特定のユーザ1010が比例面積チャート1020またはバブルチャート内のURL1015にアクセスした回数1005を見ることができる。図11に示すように、管理者は、複数の比例面積チャート1110またはバブルチャートを用いて、複数のユーザ1105の活動を監視することができる。
いくつかの実施形態において、プレゼンテーション層305、アプリケーション層310およびデータベース層315は、1つ以上のポリシー(例えば、検査ポリシーまたは実行ポリシー)を作成するための追加の機能を管理者に提供するようにさらに動作することができる。図12Aおよび12Bは、特定の実施形態に従って、管理者が1つ以上のポリシーを作成することを可能にするためのUI1205の一例を示している。いくつかの実施形態において、管理者は、異常活動を観察した後に、本明細書に記載のUIのいずれかを用いて1つ以上のポリシーを作成することができる。管理者は、ユーザID、IPアドレスまたはグループなどを指定することによって、ポリシーのソース1210を指定することができ、またはソース1210を空白にすることによって、任意のソースを指定することができる。管理者は、ホスト名、ターゲットシステム名またはID、IPアドレス、リソース名などを用いて、ポリシーの宛先1215を指定することができ、または宛先1215を空白にすることによって、任意の宛先に指定することができる。管理者は、ポリシーの実行措置1220を指定することができる。実行措置1220は、低警告、中警告、高警告、第2ファクタ認証、またはブロックを含むことができる。なお、異常活動から検知された脅威レベルを用いて、ポリシーを低リスク、中リスク、高リスク、第2ファクタ認証リスク、またはブロックリスクに分類することもできる。管理者は、ポリシーがア
クティブになる期間または所定期間1225を指定することができる。いくつかの実施形態において、期間1225は、5、15、30、または60分とすることができる。これによって、管理者は、所定期間中に、本明細書に記載のUIのいずれかを介して、ネットワークトラフィックに対するポリシーの影響を見ることができる。その後、ポリシーが意図した効果を持たなかった場合またはポリシーが異常活動に適用できなくなった場合に、管理者は、そのポリシーを失効させることができ、または期間1225を変更することによって、そのポリシーのアクティブ状態を延長することができる。特定の実施形態において、期間1225を永久にすることができる。これによって、管理者は、静的ポリシーを永久的に上書きすることができ、またはリアルタイムで企業ネットワーク上のセキュリティ戦略を変更することができる。
いくつかの実施形態において、プレゼンテーション層305、アプリケーション層310およびデータベース層315は、追加の機能または情報を管理者に提供するようにさらに動作することができる。いくつかの実施形態は、特定の時間間隔に特定の種類のポリシー(例えば、ブロックポリシー)の数を管理者に示すことができる。特定の実施形態において、管理者は、(例えば、UI要素を選択することによって)特定の措置または警告(例えば、ブロック)を引き起こしたポリシーを見ることができる。例えば、図13に示すように、特定の実施形態に従って、管理者は、対応のモード1315(例えば、上位ブロックポリシーモード)を選択することによって、ウィンドウ1310内の各分類の上位ポリシー1305の名前を見ることができる。また、いくつかの実施形態において、管理者は、ウィンドウ1325内で、上位ポリシー1305に関連し且つポリシーを複数回に違反した上位ユーザ1320を見ることができる。上位または下位は、例えば、上位または下位5、10、15、35、または50という閾値数として定義されてもよい。代替的に、上位または下位は、例えば、上位または下位5%、10%、15%、35%、または50%という閾値百分率として定義されてもよい。図14に示すように、いくつかの実施形態に従って、管理者は、ウィンドウ1410内のリソース1405および上位ポリシー1305に基づいてとられた実行措置(例えば、ブロック)を見ることができる。これらの表示によって、管理者は、各分類または検知された脅威レベルに対してトリガされている上位ポリシーに関連するユーザ、リソース、IPアドレスおよびポリシーを確認することができる。いくつかの実施形態において、管理者は、特定のユーザを選択して、その特定のユーザによって引き起こされた警告の数(例えば、そのユーザによって引き起こされた15個のブロックおよび2つの第2ファクタ)を見ることができる。
様々な種類の情報を管理者に提示することによって、管理者は、(例えば、異なるトレンドに応じて)適切な行動をとることができる。本明細書記載のUIが特定の警告に対して上昇トレンドを示すことによって、管理者は、警告の上昇トレンドを見たときに、上昇トレンドのみに応じて適切な行動をとることができる。いくつかの実施形態において、管理者は、特定のポリシーに従って高警告によってブロックされた、特定のアプリケーションにアクセスしているユーザ/クライアントIPアドレス/ソースを見ることができる。ポリシーを見るときに、一部の属性によって、管理者は、手動で導入されたポリシーと機械学習ポリシーとを区別することができる。いくつかの実施形態において、管理者は、機械学習ポリシーではなく、手動で作成されたポリシーのみを編集することができる。
様々な実施形態において、管理者は、低、中および高警告を監視し、警告を引き起こした特定のポリシーを修正する必要がある推奨、例えば、ブロックポリシーのために高警告を修正する必要がある推奨を提供する。他のシステム管理者は、推奨された変更すべきポリシーの通知を受け、そのポリシーをブロックポリシーにアップグレードするか否かを判断することができる。図15に示すように、特定の実施形態に従って、管理者は、対応のモード1515(例えば、高警告ポリシーモード)を選択することによって、ウィンドウ1510内の各分類(例えば、高警告)の上位ポリシー1505の名前を見ることができ
る。図16に示すように、いくつかの実施形態に従って、管理者は、ウィンドウ1610内のリソース1605および上位ポリシー1505に基づいてとられた措置(例えば、高警告)を見ることができ、ウィンドウ1620内のIPアドレス1615および上位ポリシー1505に基づいてとられた措置(例えば、高警告)を見ることができる。
様々な実施形態において、プレゼンテーション層305、アプリケーション層310およびデータベース層315は、ユーザ、ユーザによってアクセスされているリソース、およびアクセス活動に関連する可能なポリシーを含むUI320、325、330および335を提供するように動作する。図17に示すように、いくつかの実施形態は、トリガされたポリシーに基づいて、能動的脅威を示す統合UI1700を提供することができる。例えば、特定の実施形態において、管理者は、特定の行動または警告(例えば、ブロック)を引き起こしたポリシーを見ることができる。図17に示すように、管理者は、ポリシーをトリガしている企業ネットワーク上の活動のソース1705(例えば、ユーザID、グループ指定、IPアドレス、クライアント装置IDなど)、トリガされたポリシー1710(例えば、静的実行ポリシーおよび動的実行ポリシー)の名前または分類を示すインジケータ、およびソース1705からの活動の宛先1715(例えば、アクセスされているリソースまたはサービス)を示すウィンドウ1705を見ることができる。これらの表示によって、管理者は、各ユーザによってトリガされたポリシーおよびリソースを見ることができる。いくつかの実施形態において、管理者は、特定のユーザを選択して、その特定のユーザによってトリガされたポリシーに集中することができる(例えば、このユーザは、15個のブロックポリシーおよび2つの第2ファクタポリシーをトリガした)。図18に示すように、管理者は、様々なソース1805、クライアントIPアドレス1810、宛先IPポート1815、宛先ホスト名1820、要求URL1825、トリガされた各ポリシー1830、およびポリシー1830に対して取られた措置を示すポリシー分類1840に関する追跡活動を見ることができる。いくつかの実施形態において、検索バー1845を用いて、追跡活動を検索することができる。
IV.脅威知能プラットフォームを利用するためのプロセスおよび操作
図19~21は、いくつかの実施形態に従って、動的ポリシーを用いてセキュリティイベントを分析し、分散環境内の能動的脅威、ユーザ活動並びに能動的脅威およびユーザ活動によってトリガされた動的ポリシーを含む統合ビューを提供するための技術を示している。個々の実施形態は、フローチャート、流れ図、データ流れ図、構造図、またはブロック図として示されたプロセスとして説明されてもよい。フローチャートは、動作を逐次プロセスとして説明するが、多くの動作は、並行にまたは同時に実行されてもよい。また、動作の順序は、変更されてもよい。プロセスは、その動作が完了すると終了するが、図面に含まれていない追加のステップを含むことができる。プロセスは、方法、機能、手順、サブルーチン、サブプログラムなどに対応してもよい。プロセスが機能に対応する場合、プロセスの終了は、呼出し機能またはメイン機能に戻ることに対応してもよい。
図19~21に示されたプロセスおよび/または動作は、1つ以上の処理ユニット(例えば、プロセッサコア)ハードウェア、またはそれらの組み合わせによって実行されるソフトウェア(例えば、コード、命令、プログラム)に実施することができる。ソフトウェアは、メモリ(例えば、メモリ装置、非一時的コンピュータ可読記憶媒体)に格納することができる。図19~21に示された一連の特定の処理ステップは、限定的であることを意図していない。代替的な実施形態に従って、他の一連のステップを実行することができる。例えば、代替的な実施形態において、異なる順序で上述したステップを実行してもよい。また、図19~21に示された各ステップは、各ステップに適切である様々な順序で実行され得る複数のサブステップを含むことができる。さらに、特定の用途に応じて、追加のステップを追加または削除してもよい。当業者は、多くの変形、修正および代替を認識するだろう。
図19は、様々な実施形態に従って、動的ポリシーを作成および公開するためのプロセスを示すフローチャート1900である。いくつかの実施形態において、フローチャート1900に示されたプロセスは、図1に示され、図2を参照して説明されたアクセス管理および脅威検出システム105および情報管理システム110によって実施されてもよい。ステップ1905において、ユーザ装置、複数のエージェント、収集バス、ポリシーバス、およびリソースを有するターゲットシステムを含む分散環境を提供するまたはインスタンス化する。いくつかの実施形態において、分散環境は、分析サーバおよび機械学習コンポーネントをさらに含み、検査ポリシーおよび動的実行ポリシーは、分析サーバおよび機械学習コンポーネントによって作成される。特定の実施形態において、分散環境は、検査ポリシー、動的実行ポリシーおよび1つ以上の情報フローから受信した履歴データを格納するためのメモリをさらに含む。
任意選択のステップ1910において、履歴データまたはターゲットシステムもしくはリソースの指定に基づいて、検査ポリシーを作成することができる。いくつかの実施形態において、データの収集は、ポリシーバス上に公開された検査ポリシーによってトリガされる。例えば、収集バスは、エンドユーザのアクセス要求などのセキュリティイベントに関連する情報を取得し、その情報またはデータをレポートバスに報告するように構成されてもよい。収集バスは、特定の基準が満たされたときに一組の定義済み属性(例えば、ユーザ属性、リソース属性、オブジェクト、アクション、環境属性など)を収集するためのルールを含むデフォルトまたは静的検査ポリシーに基づいて、構成されてもよい。特定の実施形態において、システムは、検査ポリシーUIを提供することができ、管理者は、この検査ポリシーUIを用いて、一組の基準が満たされたとき(例えば、特定の時間間隔においてヘッダデータが一致する場合)にトリガされる特定の検査ポリシーを指定することによって、検査ポリシーを作成することができる。他の実施形態において、収集バスは、データまたは属性を収集するためのルールを含む動的検査ポリシーに基づいて、構成されてもよい。例えば、収集バスおよび分析サーバは、連携して一組の定義済み属性を収集し、以前に構成されたルール(デフォルト、静的または動的検査および実行ポリシー)に基づいて、異常をトリガすることができる。この検査ポリシーは、セキュリティイベントに関する一組の基準が所定のパターンと一致するときにセキュリティイベントに関する一組の所定の属性であるデータをリアルタイムで収集するためのルールを含む。データは、収集バスによって収集された後、メモリに格納され、履歴データの一部になる。機械学習コンポーネントは、履歴データおよびリアルタイムデータを絶えずに学習することによって、システム上のユーザ活動の脅威評価に必要な情報を効率的に収集するように、検査ポリシーおよび実行ポリシーを作成および変更することができる。
任意選択のステップ1915において、複数のエージェントが検査ポリシーにアクセスできるように、検査ポリシーをポリシーバス上に公開するまたはポリシーバスに導入することができる。検査ポリシーをポリシーバス上に公開することは、リスナ(すなわち、エージェント)がポリシーにアクセスし、以前に設定されたルールに基づいて一組の定義済み属性を収集するようにポリシーを実行することを可能にすることによって、データの収集を容易にする。ステップ1920において、セキュリティイベントに関するデータを収集することができる。様々な実施形態において、データは、(i)ユーザまたはユーザ装置を特定するためのソース、および(ii)ターゲットシステムまたはリソースを特定するための宛先を含む。データは、収集バスによって、複数のエージェントのうち少なくとも1つのエージェントから収集されてもよい。いくつかの実施形態において、データは、デフォルト、静的または動的検査ポリシーに従って収集される。例えば、ソースから宛先へのデータフローを含むライブ情報フローの基準がデフォルト、静的または動的検査ポリシー内の事前定義パターンと一致する場合、検査ポリシーが起動され、1つ以上のエージェントが、情報フローの属性(例えば、ソースおよび宛先)または情報フロー内に発生し
たセキュリティイベントを収集することができる。その後、収集された属性は、さらなる処理を行うために、本明細書に記載された様々な態様に従って収集バスに送信されてもよい。
ステップ1925において、データに基づいて動的実行ポリシーを作成することができる。動的実行ポリシーは、少なくともソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間の指定を含む。期間は、少なくとも5分、少なくとも10分、少なくとも30分、または少なくとも1時間、例えば10分、30分、1時間、5時間、1日、または3日という所定期間であってもよい。動的実行ポリシーがアクティブになる期間中に、動的実行ポリシーは、少なくとも同じソースおよび同じ宛先の指定を含む静的実行ポリシーを上書きする。例えば、静的実行ポリシーは、第1レベルの認証を必要とするIPアドレスからユーザが指定されたターゲットシステム上のリソースにアクセスしようとするたびに、そのIPアドレスからのユーザまたはユーザグループに対してデフォルトまたはアクティブである。動的実行ポリシーは、第2ファクタ認証を必要とする同じIPアドレスからユーザが指定された同じターゲットシステム上のリソースにアクセスしようとするたびに、そのIPアドレスからのユーザまたはユーザグループに対して公開されてもよい。動的実行ポリシーは、5時間の期間を有してもよい。したがって、所定期間(例えば、5時間)中に静的実行ポリシーが非アクティブである場合、所定期間(例えば、5時間)中に、動的実行ポリシーは、アクティブである(例えば、IPアドレスから特定のターゲットシステムへのアクセス要求に対して、第2ファクタ認証が実行される)。所定期間(例えば、5時間)が経過した後、動的実行ポリシーは、非アクティブになり、ポリシーバスから除去され、静的実行ポリシーは、アクティブになる(例えば、IPアドレスから特定のターゲットシステムへのアクセス要求に対して、第1レベル認証が実行される)。
特定の実施形態において、システムは、実行ポリシーUIを提供することができ、管理者は、この実行ポリシーUIを用いて、一組の属性が満たされたとき(例えば、ライブ情報フローがポリシーのソースおよび宛先と一致する場合)にトリガされる特定の実行措置を指定することによって、動的実行ポリシーを作成することができる。他の実施形態において、分析サーバおよび機械学習コンポーネントは、動的実行ポリシーを作成する。動的実行ポリシーの作成は、リアルタイムで収集されたデータおよび履歴データを1つ以上のデータクラスタに分類することと、1つ以上のデータクラスタを用いて、一組の定義済み属性を分析することと、分析に基づいて、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間を作成することとを含む。1つ以上のデータクラスタは、教師付きまたは教師なし機械学習またはクラスタリング技術を用いて生成することができ、分析は、1つ以上のデータクラスタの重心から一組の定義済み属性までの距離を計算することを含むことができる。ブロック認証または第2ファクタ認証などの実行措置は、1つ以上のデータクラスタの重心から一組の定義済み属性までの距離に基づいて決定されてもよい。
ステップ1930において、複数のエージェントが動的実行ポリシーにアクセスすることができるように、動的実行ポリシーをポリシーバス上に公開することができる。動的実行ポリシーをポリシーバス上に公開することは、リスナー(すなわち、エージェント)がポリシーにアクセスし、以前に構成されたルールに基づいてポリシーの実行措置を作動させることを可能にすることによって、例えば、企業ネットワーク上の脅威の検出を容易にする。ステップ1935において、動的実行ポリシーに基づいて、セキュリティイベントに対して実行措置を実施してもよい。いくつかの実施形態において、複数のエージェントのうち少なくとも1つのエージェントは、実行措置を実行する。実行措置は、情報フローの属性(例えば、ソースおよび宛先)または情報フロー内で発生するセキュリティイベントが指定された動的実行ポリシーの属性(例えば、ソースおよび宛先)と一致すると判断
された場合、複数のエージェントのうち少なくとも1つのエージェントによって実施されてもよい。その後、例えば、(i)ユーザのアクセスが認可される前に宛先へのユーザアクセスをブロックすること、(ii)ユーザと宛先との接続を切断すること、(iii)システム上のユーザの認証をブロックすること、(iii)第2ファクタ認証または認可を要求すること、(iv)低警告、中警告または高警告を報告することによって、実行措置は、複数のエージェントのうち少なくとも1つのエージェントによって実施されてもよい。
図20は、能動的脅威カテゴリ、各脅威カテゴリのためにトリガされたポリシーの数および関連するトレンドの統合ビューを提供するためのプロセスを示すフローチャート2000である。いくつかの実施形態において、フローチャート2000に示されたプロセスは、図1に示され、図2を参照して説明されたアクセス管理および脅威検出システム105および情報管理システム110によって実施されてもよい。ステップ2005において、ユーザ装置、複数のエージェント、収集バス、ポリシーバス、およびリソースを有するターゲットシステムを含む分散環境を提供するまたはインスタンス化する。いくつかの実施形態において、分散環境は、分析サーバおよび機械学習コンポーネントをさらに含み、検査ポリシーおよび動的実行ポリシーは、分析サーバおよび機械学習コンポーネントによって作成される。特定の実施形態において、分散環境は、検査ポリシー、動的実行ポリシー、および1つ以上の情報フローから受信した履歴データを格納するためのメモリをさらに含む。
ステップ2010において、1つ以上のライブ情報フローを監視することができる。ライブ情報フローは、複数のソースから複数の宛先へのデータフローを含むことができる。いくつかの実施形態において、監視は、複数のエージェントによって実行される。監視は、様々なポリシー(例えば、検査ポリシーおよび実行ポリシー)に従って実行されてもよい。ステップ2015において、複数のバケットを含むユーザインターフェイスを提供することができる。各バケットは、異なる脅威レベルまたは実行措置に関連してもよく、各バケットは、関連する脅威レベルまたは実行措置を含み、リアルタイムでトリガされている現在の実行ポリシーの総数を表示する。図4Aに示すように、バケットは、本質的に、脅威レベルまたは各ポリシーに宣言された実行措置に基づいて実行ポリシーに割り当てられた同じ分類体系(例えば、ブロック、第2ファクタ認証、低警告、中警告、高警告など)に従って分類されたグラフィカルサイロである。ポリシー名ではなく、脅威レベルまたは実行措置バケットに基づいて能動的脅威の統合UIを提供することによって、セキュリティ管理グループは、ポリシー名に基づいて脅威レベルを解釈するのではなく、分類に基づいて様々な種類の脅威および措置に集中することができる。
ステップ2020において、実行ポリシーのトリガに基づいて、1つ以上のライブ情報フロー内のセキュリティイベントの発生を判断する。実行ポリシーは、ソース、宛先、および実行措置の指定を含むことができ、1つ以上のライブ情報フロー内のデータが少なくとも実行ポリシーのソースおよび宛先と一致する場合、実行ポリシーがトリガされ、実行措置が適用される。ステップ2025において、セキュリティイベントの発生を反映するように、(i)複数のバケットから、実行ポリシーによって適用された実行措置に関連するバケットを特定すること、および(ii)実行措置によってリアルタイムでトリガされ、特定されたバケットに表示されている現在の実行ポリシーの総数を増やすことによって、ユーザインターフェイスを更新することができる。いくつかの実施形態において、実行ポリシーの総数を増やすことは、実行ポリシーの総数のカウント数nをカウント数n+1に増分することを含む。任意選択のステップ230において、セキュリティイベントの発生に基づいて、特定されたバケットを示すトレンドインジケータを更新することができる。例えば、トレンドインジケータを更新することは、特定されたバケット内に上向き矢印、下向き矢印または無色円を表示させることを含むことができる。
任意選択のステップ2035において、複数のバケットからバケットの選択に対応するユーザ入力を受け取ることができる。いくつかの実施形態において、選択に応じて、選択されたバケットに対応する複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示することができる。他の実施形態において、選択に応じて、選択されたバケットに対応する複数のソースをタグクラウドとしてユーザインターフェイスに表示することができる。タグクラウドは、各ソースの使用率に比例して、選択されたバケットに対応する複数のソースを示すことができる。
任意選択のステップ2040において、複数のソースから特定のソースの選択に対応するユーザ入力を受け取ることができる。いくつかの実施形態において、選択に応じて、特定のソースから始まるライブ情報フローが表示される。任意選択のステップ2045において、複数の宛先から特定の宛先の選択に対応するユーザ入力を受け取ることができる。いくつかの実施形態において、選択に応じて、特定の宛先で終わるライブ情報フローが表示される。任意選択のステップ2050において、複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示することができる。いくつかの実施形態において、複数のソースから複数の宛先に流れるデータ量に基づいて、一組の上位ソースを示すインジケータを提供することができる。任意選択のステップ2055において、複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示することができる。いくつかの実施形態において、複数のソースから複数の宛先に流れるデータ量に基づいて、一組の上位宛先を示すインジケータを提供することができる。任意選択のステップ2060において、複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示することができる。いくつかの実施形態において、複数のソースから複数の宛先に流れるデータ量およびポリシーバス上に公開された一組のアクティブな実行ポリシーに基づいて、一組の上位実行ポリシーを示すインジケータを提供することができる。
任意選択のステップ2065において、データに基づいて、動的実行ポリシーを作成するための要求を受け取ることができる。動的実行ポリシーは、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間の指定を含むことができる。任意選択のステップ2070において、複数のエージェントが動的実行ポリシーにアクセスすることができるように、動的実行ポリシーをポリシーバス上に公開することができる。本明細書に説明したように、期間は、少なくとも5分、少なくとも10分、少なくとも30分、または少なくとも1時間、例えば10分、30分、1時間、5時間、1日、または3日という所定期間であってもよい。動的実行ポリシーがアクティブになる期間中に、動的実行ポリシーは、少なくとも同じソースおよび同じ宛先の指定を含む静的実行ポリシーを上書きする。任意選択のステップ2075において、動的実行ポリシーに基づいて、1つ以上のライブ情報フロー内の別のセキュリティイベントに対して実行措置を実行することができる。複数のエージェントのうち少なくとも1つのエージェントは、実行措置を実行することができる。任意選択のステップ2080において、別のセキュリティイベントに対する実行措置の実行を反映するように、(i)複数のバケットから、実行ポリシーによって適用された実行措置に関連するバケットを特定することおよび(ii)実行措置によってリアルタイムでトリガされ、特定されたバケットに表示されている現在の実行ポリシーの総数を増やすことによって、ユーザインターフェイスを更新することができる。
図21は、ユーザ、ユーザによってアクセスされたアプリケーション、およびアクセスに関連する可能なアクセスポリシーの統合ビューを提供するためのプロセスを示すフローチャート2100である。いくつかの実施形態において、フローチャート2100に示されたプロセスは、図1に示され、図2を参照して説明されたアクセス管理および脅威検出システム105および情報管理システム110によって実施されてもよい。ステップ21
05において、ユーザ装置、複数のエージェント、収集バス、ポリシーバス、およびリソースを有するターゲットシステムを含む分散環境を提供するまたはインスタンス化する。いくつかの実施形態において、分散環境は、分析サーバおよび機械学習コンポーネントをさらに含む。検査ポリシーおよび動的実行ポリシーは、分析サーバおよび機械学習コンポーネントによって作成される。特定の実施形態において、分散環境は、検査ポリシー、動的実行ポリシー、および1つ以上の情報フローから受信した履歴データを格納するためのメモリをさらに含む。
ステップ2110において、ライブ情報フローを監視することができる。ライブ情報フローは、ソースから宛先へのデータフローを含むことができる。いくつかの実施形態において、監視は、複数のエージェントによって実行される。監視は、様々なポリシー(例えば、検査ポリシーおよび実行ポリシー)に従って実行されてもよい。任意選択のステップ2115において、1つ以上のライブ情報フローを監視することができる。例えば、1つ以上の追加のライブ情報フローを監視することができる。追加のライブ情報フローは、(i)複数のソースから複数の宛先へのデータフロー、および(ii)データによってトリガされた1つ以上の実行ポリシーを含むことができる。ステップ2120において、回線を介して接続されたソースおよび宛先を含むユーザインターフェイスを提供することができる。例えば、図17に示すように、ライブ情報フローに含まれた各ソースは、グラフィカルラインを介して、アクセスされている1つ以上の宛先に接続されてもよい。選択的に、追加のライブ情報フローを監視する場合、ユーザインターフェイスは、(i)複数のソースの各ソースを対応する複数の宛先の各宛先に接続するための1つ以上の回線、および(ii)各ソースと各宛先との間に流れるデータによってトリガされる実行ポリシーを示す各回線上のインジケータをさらに含むことができる。
ステップ2125において、実行ポリシーのトリガに基づいて、ライブ情報フロー内のセキュリティイベントの発生を判断することができる。実行ポリシーは、ソース、宛先、および実行措置の指定を含むことができ、1つ以上のライブ情報フロー内のデータが少なくとも実行ポリシーのソースおよび宛先と一致する場合、実行ポリシーがトリガされ、実行措置が適用される。ステップ2130において、セキュリティイベントの発生を反映するように、(i)実行ポリシーのインジケータを特定すること、および(ii)実行ポリシーのインジケータを通過するソースと宛先を接続する回線を表示することによって、ユーザインタフェースを更新することができる。いくつかの実施形態において、ソースは、ユーザインターフェイスのウィンドウの一方側に表示され、宛先は、ソースを有する側と反対するウィンドウの他方側に表示され、実行ポリシーのインジケータは、ソースと宛先との間の回線上に表示される。
任意選択のステップ2135において、複数のソースから特定のソースの選択に対応するユーザ入力を受け取ることができる。いくつかの実施形態において、選択に応じて、ライブ情報フロー内のデータによってトリガされた1つ以上の実行ポリシーを含む特定のソースから始まるライブ情報フローが表示される。任意選択のステップ2140において、複数の宛先から特定の宛先の選択に対応するユーザ入力を受け取ることができる。いくつかの実施形態において、選択に応じて、ライブ情報フロー内のデータによってトリガされた1つ以上の実行ポリシーを含む特定の宛先で終わるライブ情報フローが表示される。任意選択のステップ2145において、複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示することができる。いくつかの実施形態において、複数のソースから複数の宛先に流れるデータ量に基づいて、一組の上位ソースを示すインジケータを提供することができる。任意選択のステップ2150において、複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示することができる。いくつかの実施形態において、複数のソースから複数の宛先に流れるデータ量に基づいて、一組の上位宛先を示すインジケータを提供することができる。任意選択のステッ
プ2155において、複数のソースおよび複数の宛先を含むライブ情報フローをユーザインターフェイスに表示することができる。いくつかの実施形態において、複数のソースから複数の宛先に流れるデータ量およびポリシーバス上に公開された一組のアクティブな実行ポリシーに基づいて、一組の上位実行ポリシーを示すインジケータを提供することができる。
任意選択のステップ2160において、データに基づいて、動的実行ポリシーを作成するための要求を受け取ることができる。動的実行ポリシーは、ソース、宛先、実行措置、および動的実行ポリシーがアクティブになる期間の指定を含むことができる。任意選択のステップ2165において、複数のエージェントが動的実行ポリシーにアクセスすることができるように、動的実行ポリシーをポリシーバス上に公開することができる。本明細書に説明したように、期間は、少なくとも5分、少なくとも10分、少なくとも30分、または少なくとも1時間、例えば10分、30分、1時間、5時間、1日、または3日という所定期間であってもよい。動的実行ポリシーがアクティブになる期間中に、動的実行ポリシーは、少なくとも同様のソースおよび同様の宛先の指定を含む静的実行ポリシーを上書きする。任意選択のステップ2170において、動的実行ポリシーに基づいて、1つ以上のライブ情報フロー内の別のセキュリティイベントに対して実行措置を実行することができる。複数のエージェントのうち少なくとも1つのエージェントは、実行措置を実行することができる。任意選択のステップ2175において、別のセキュリティイベントに対する実行措置の実行を反映するように、(i)実行ポリシーのインジケータを特定することおよび(ii)実行ポリシーのインジケータを通過するソースと宛先とを接続する回線を表示することによって、ユーザインターフェイスを更新することができる。
V.コンピューティング環境
図22は、本開示の一実施形態を実施するための分散システム2200を示す簡略図である。図示の実施形態において、分散システム2200は、1つ以上のネットワーク2210を介して、ウェブブラウザまたは専用クライアント(例えば、オラクル(登録商標)フォーム)などのようなクライアントアプリケーションを実行および作動するように構成された1つ以上のクライアントコンピューティング装置2202、2204、2206および2208を含む。サーバ2212は、ネットワーク2210を介して、リモートクライアントコンピューティング装置2202、2204、2206および2208と通信可能に連結されてもよい。
様々な実施形態において、サーバ2212は、1つ以上のサービスまたはソフトウェアアプリケーション、例えばサービスおよびID管理サービスを提供するためのアプリケーションを実行するように構成されてもよい。特定の実施形態において、サーバ2212は、他のサービスを提供することができ、ソフトウェアアプリケーションは、非仮想環境および仮想環境を含むことができる。いくつかの実施形態において、これらのサービスは、ウエブサービスまたはクラウドサービスとして、またはSaaS(Software as a Service)
モデルに基づいて、クライアントコンピューティング装置2202、2204、2206および/または2208のユーザに提供されてもよい。クライアントコンピューティング装置2202、2204、2206および/または2208を操作するユーザは、1つ以上のクライアントアプリケーションを用いて、サーバ2212と情報を交換することによって、これらのコンポーネントによって提供されたサービスを利用することができる。
図22に示す構成において、システム2200のソフトウェアコンポーネント2218、2220および2222は、サーバ2212に実装されている。他の実施形態において、システム2200の1つ以上のコンポーネントおよび/またはこれらのコンポーネントによって提供されたサービスは、1つ以上のクライアントコンピューティング装置2202、2204、2206および/または2208によって実現されてもよい。クライアン
トコンピューティング装置を操作するユーザは、1つ以上のクライアントアプリケーションを用いて、これらのコンポーネントによって提供されたサービスを利用することができる。これらのコンポーネントは、ハードウェア、ファームウェア、ソフトウェア、またはこれらの組み合わせで実現されてもよい。理解すべきことは、分散システム2200と異なる様々なシステム構成が可能であることである。したがって、図22に示された実施形態は、実施形態のシステムを実現するための分散システムの一例であり、限定を意図していない。
クライアントコンピューティング装置2202、2204、2206および/または2208は、様々な種類のコンピューティングシステムを含むことができる。例えば、クライアント装置は、例えば、Microsoft Windows Mobile(登録商標)のようなソフトウェア、および/またはiOS、Windows(登録商標)フォン、アンドロイド(登録商標)、ブ
ラックベリー(登録商標)10およびパームOSなどの様々なモバイルオペレーティングシステムを実行することができる手持ち式携帯装置(例えば、iPhone(登録商標)、携帯電話、Ipad(登録商標)、タブレット、携帯情報端末(PDA)または着用できる装置(Google Glass(登録商標)ヘッドマウントディスプレイ)を含むことができる。装置は、様々なアプリケーション、例えば様々なインターネット関連アプリケーション、電子メールアプリケーション、ショートメッセージサービス(SMS)アプリケーションをサポートすることができ、様々な他の通信プロトコルを使用することができる。また、クライアントコンピューティング装置は、例示として、Microsoft Windows(登録商標)オペレー
ティングシステム、Apple Macintosh(登録商標)オペレーティングシステムおよび/ま
たはリナックス(登録商標)オペレーティングシステムの様々なバージョンを実行するパーソナルコンピュータおよび/またはラップトップコンピュータを含む汎用のパーソナルコンピュータを含んでもよい。クライアントコンピューティング装置は、例えば、様々なGNU/リナックスオペレーティングシステム、例えば、Google Chrome OSを含むがこれに限定されない市販のUNIX(登録商標)またはUNIXに類似する様々なオペレーティングシステムを実行するワークステーションコンピュータであってもよい。クライアントコンピューティング装置は、ネットワーク2210を介して通信可能なシンクライアントコンピュータ、インターネット対応のゲームシステム(例えば、Kinect(登録商標)ジェスチャ入力装置を備えるまたは備えないMicrosoft Xboxゲームコンソール)、および/またはパーソナルメッセージング装置などの他の電子機器を含んでもよい。
図22の分散システム2200は、4つのクライアントコンピューティング装置を備えると示されているが、任意の数のクライアントコンピューティング装置をサポートすることができる。他の装置、例えばセンサを有する装置は、サーバ2212と情報を交換することができる。
分散システム2200のネットワーク2210は、TCP/IP(伝送制御プロトコル/インターネットプロトコル)、SNA(システムネットワークアーキテクチャ)、IPX(インターネットパケット交換)、Apple Talkなどを含むがこれらに限定されない様々な市販プロトコルのいずれかを使用してデータ通信をサポートすることができ、当業者に熟知される任意種類のネットワークであってもよい。単なる例示として、ネットワーク2210は、ローカルエリアネットワーク(LAN)、イーサネット(登録商標)に基づいたネットワーク、トークンリング、広域ネットワーク、インターネット、仮想プライベートネットワーク(VPN)、イントラネット、エクストラネット、公衆交換電話ネットワーク(PSTN)、赤外線ネットワーク、無線ネットワーク(例えば、IEEE1002.11プロトコルスイート、Bluetooth(登録商標)および/または任意の他の無線プロ
トコルの下で動作するネットワーク)および/またはこれらのネットワークと他のネットワークの組み合わせを含むことができる。
サーバ2212は、1つ以上の汎用コンピュータ、専用サーバコンピュータ(例示として、PC(パーソナルコンピュータ)サーバ、UNIX(登録商標)サーバ、ミッドレンジサーバ、メインフレームコンピュータ、ラックマウントサーバを含む)、サーバファーム、サーバクラスタ、または任意の他の適切な構成および/または組み合わせから構成されてもよい。サーバ2212は、仮想オペレーティングシステムを実行する1つ以上の仮想マシンまたは仮想化を含む他のコンピューティングアーキテクチャを含むことができる。論理記憶装置の1つ以上のフレキシブルプールを仮想化して、サーバの仮想記憶装置を維持することができる。仮想ネットワークは、ソフトウェア定義ネットワーキングを用いて、サーバ2212によって制御されてもよい。様々な実施形態において、サーバ2212は、前述の開示に記載された1つ以上のサービスまたはソフトウェアアプリケーションを実行するように構成することができる。例えば、サーバ2212は、本開示の実施形態に従って上記に説明した処理を実行するためのサーバに対応することができる。
サーバ2212は、上述したものいずれかを含むオペレーティングシステム、および任意の市販サーバオペレーティングシステムを動かすことができる。また、サーバ109は、HTTP(ハイパーテキスト転送プロトコル)サーバ、FTP(ファイル転送プロトコル)サーバ、CGI(共通ゲートウェイインターフェイス)サーバ、Java(登録商標)サーバ、データベースサーバなどを含む様々な追加サーバアプリケーションおよび/または中間層アプリケーションのいずれかを動かすことができる。例示的なデータベースサーバは、Oracle(登録商標)、Microsoft(登録商標)、Sybase(登録商標)、IBM(登録商標)などの会社から市販されているものを含むがこれらに限定されない。
いくつかの実現例において、サーバ2212は、クライアントコンピューティング装置2202、2204,2206、および2208のユーザから受信したデータフィードおよび/またはイベント更新を分析および統合する1つ以上のアプリケーションを含んでもよい。例示として、データフィードおよび/またはイベント更新は、Twitter(登録商標
)フィード、Facebook(登録商標)更新または1つ以上の第3情報源および連続データストリームから受信したリアルタイム更新を含むがこれらに限定されない。リアルタイム更新は、センサデータアプリケーション、金融相場表示機、ネットワーク性能測定ツール(例えば、ネットワーク監視およびトラフィック管理アプリケーション)、ページ遷移(Clickstream)解析ツール、自動車交通監視装置などに関連するリアルタイムイベントを含
むことができる。また、サーバ2212は、クライアントコンピューティング装置2202、2204、2206および2208の1つ以上の表示装置を介して、データフィードおよび/またはリアルタイムイベントを表示するための1つ以上のアプリケーションを含むこともできる。
また、分散システム2200は、1つ以上のデータベース2214および2216を含むことができる。これらのデータベースは、様々な実施形態によって使用される情報、例えばユーザID情報および他の情報を格納するためのメカニズムを提供することができる。データベース2214および2216は、様々な場所に常駐することができる。例示として、1つ以上のデータベース2214および2216は、サーバ2212の近く(および/またはその中)の非一時記憶媒体に常駐することができる。代替的には、データベース2214および2216は、リモートサーバ2212から離れており、ネットワークに基づく接続または専用接続を介して、サーバ2212と通信している。一組の実施形態において、データベース2214および2216は、記憶領域ネットワーク(SAN)に常駐することができる。同様に、サーバ2212に寄与する機能を実行するための任意の必要なファイルは、必要に応じて、サーバ2212上に/またはサーバ2212から離れた場所に保存されてもよい。一組の実施形態において、データベース2214および2216は、例えば、Oracleにより提供されるデータベースなどの関係データベースを含むことができる。これらの関係データベースは、SQLフォーマット命令に応じて、データを取
得、保存および更新するように構成されている。
いくつかの実施形態において、上述したID管理サービスは、クラウド環境を介したサービスとして提供されてもよい。図23は、本開示の一実施形態に従って、サービスをクラウドサービスとして提供することができるシステム環境2300の1つ以上のコンポーネントを示す簡略ブロック図である。図23に示す実施形態において、システム環境2300は、1つ以上のクライアントコンピューティング装置2304、2306および2308を含み、ユーザは、これらのクライアントコンピューティング装置を用いて、会社のターゲットシステムに格納された資格情報を管理するためのサービスを含むクラウドサービスを提供するクラウドインフラストラクチャシステム2302と情報を交換することができる。クラウドインフラストラクチャシステム2302は、サーバ2212に関して上述したものを含むことができる1つ以上のコンピュータおよび/またはサーバを含むことができる。
理解すべきことは、図8に示されたクラウドインフラストラクチャシステム2302は、図示されたコンポーネント以外のコンポーネントを備えてもよいことである。さらに、図8に示された実施形態は、本発明の実施形態を組み込むことができるクラウドインフラストラクチャシステムの一例に過ぎない。いくつかの他の実施形態において、クラウドインフラストラクチャシステム2302は、図示よりも多いまたは少ないコンポーネントを有してもよく、2つ以上のコンポーネントを組み合わせてもよく、または異なる構成または配置のコンポーネントを有してもよい。
クライアントコンピューティング装置2304、2306および2308は、上述した装置2202、2204、2206および2208と同様である。クライアントコンピューティング装置2304、2306および2308は、ウエブブラウザ、専用クライアントアプリケーション(例えば、オラクル(登録商標)フォーム)または他のアプリケーションなどのクライアントアプリケーションを作動するように構成されることができる。ユーザは、これらのクライアントアプリケーションを用いて、クラウドインフラストラクチャシステム2302と情報を交換することによって、クラウドインフラストラクチャシステム2302により提供されたサービスを利用することができる。例示的なシステム環境2300は、3つのクライアントコンピューティング装置を備えると示されているが、任意の数のクライアントコンピューティング装置をサポートすることができる。他の装置、例えばセンサを有する装置は、クラウドインフラストラクチャシステム2302と情報を交換することができる。
ネットワーク2310は、クライアント2304、2306および2308とクラウドインフラストラクチャシステム2302との間のデータの通信および交換を促進することができる。各ネットワークは、上記でネットワーク710に関して説明したプロトコルを含む様々な市販プロトコルのいずれかを用いてデータ通信をサポートすることができ、当業者に熟知する任意の種類のネットワークであってもよい。
特定の実施形態において、クラウドインフラストラクチャシステム2302によって提供されたサービスは、需要に応じて、クラウドインフラストラクチャシステムのユーザに提供できる多くのサービスを含むことができる。ID管理に関連するサービスに加えて、オンラインデータストレージおよびバックアップソリューション、ウエブベースの電子メールサービス、ホストされたオフィススイートおよびドキュメントコラボレーションサービス、データベース処理、管理された技術サポートサービスを含むがこれらに限定されない様々な他のサービスを提供することもできる。クラウドインフラストラクチャシステムによって提供されるサービスは、ユーザのニーズを満たすように動的に拡張することができる。
特定の実施形態において、クラウドインフラストラクチャシステム2302によって提供されたサービスの特定のインスタンス化は、本明細書において、「サービスインスタンス」と呼ばれる。一般的には、インターネットなどの通信ネットワークを介して、クラウドサービスプロバイダのシステムからユーザに提供できる任意のサービスは、「クラウドサービス」と呼ばれる。典型的には、パブリッククラウド環境において、クラウドサービスプロバイダのシステムを構成するサーバおよびシステムは、顧客のオンプレミスサーバおよびシステムとは異なる。例えば、クラウドサービスプロバイダのシステムは、アプリケーションを提供することができ、ユーザは、必要に応じて、インターネットなどの通信ネットワークを介して、アプリケーションを注文し、使用することができる。
いくつかの例において、コンピュータネットワーククラウドインフラストラクチャ内のサービスは、保護されたコンピュータネットワークのストレージアクセス、ホストされたデータベース、ホストされたウエブサーバ、ソフトウェアアプリケーション、またはクラウドベンダによってユーザに提供された他のサービス、または当該技術分野に知られている他のサービスを含むことができる。例えば、サービスは、インターネットを介して、クラウド上のリモートストレージに対して、パスワードにより保護されたアクセスを含むことができる。別の例として、サービスは、ウエブサービスにホストされている関係データベースおよびネットワーク上の開発者により私的使用のためのスクリプト言語ミドルウェアエンジンを含むことができる。別の例として、サービスは、クラウドベンダのウエブサイト上にホストされている電子メールソフトウェアアプリケーションに対するアクセスを含むことができる。
特定の実施形態において、クラウドインフラストラクチャシステム2302は、セルフサービスのサブスクリプションに基づく、柔軟なスケーラビリティ、信頼性、高可用性および安全性を有する方法で、顧客に提供できる一連のアプリケーション、ミドルウェアおよびデータベースサービスを含むことができる。このようなクラウドインフラストラクチャシステムの例示として、本願譲受人により提供されたオラクルパブリッククラウドが挙げられる。
また、クラウドインフラストラクチャシステム2302は、「ビッグデータ」関連の計算および分析サービスを提供することができる。「ビッグデータ」という用語は、一般的に極めて大きいデータセットを指す。分析者および研究者は、格納されたビッグデータを利用して、大量のデータを視覚化し、データからトレンドを検出しおよび/またはデータと対話することができる。ビッグデータおよび関連アプリケーションは、インフラストラクチャシステムによって、様々なレベルおよび様々な規模でホストおよび/または利用されてもよい。並列にリンクされた数十個、数百個または数千個のプロセッサは、このようなデータを計算することによって、データを提示したり、データに作用する外力またはデータの表現をシミュレートすることができる。これらのデータセットは、データベースに組織化されたデータまたは他の構造化モデルに従って組織化されたデータなどの構造化データおよび/または非構造化データ(例えば、電子メール、画像、データブロブ(バイナリラージオブジェクト)、ウエブページ、複雑なイベント処理)を含む。一実施形態に従って、クラウドインフラストラクチャシステムは、より多くの(またはより少ない)コンピューティングリソースを比較的迅速に目的に集中させることによって、企業、政府機関、研究機関、個人、個人同士または組織のグループ、または他の団体の需要に基づいて、大きなデータセットに対してタスクをよりよく実行することができる。
様々な実施形態において、クラウドインフラストラクチャシステム2302は、顧客から申込んだクラウドインフラストラクチャシステム2302のサービスを自動的に提供、管理および追跡するように構成されることができる。クラウドインフラストラクチャシス
テム2302は、様々な展開モデルを介して、クラウドサービスを提供することができる。例えば、サービスは、クラウドサービスを販売する組織に所有された(例えば、オラクル社に所有された)クラウドインフラストラクチャシステム2302を有するパブリッククラウドモデルで提供され、一般人または異なる業界の企業に利用されることができる。別の例として、サービスは、単一の組織に専用されたクラウドインフラストラクチャシステム2302を有するプライベートクラウドモデルで提供され、組織内の1つ以上の実体に利用されることができる。また、クラウドサービスは、集団クラウドモデルで提供されてもよい。よって、クラウドインフラストラクチャシステム2302およびクラウドインフラストラクチャシステム2302により提供されたサービスは、関連する集団内の複数の組織によって共有される。また、クラウドサービスは、2つ以上の異なるモデルの組み合わせからなるハイブリッドクラウドモデルで提供されてもよい。
いくつかの実施形態において、クラウドインフラストラクチャシステム2302によって提供されたサービスは、SaaS(Software as a Service)カテゴリ、PaaS(Platform as
a Service)カテゴリ、IaaS(Infrastructure as a Service)カテゴリ、またはハイブ
リッドサービスを含む他のカテゴリのサービスに準拠して提供された1つ以上のサービスを含むことができる。顧客は、サブスクリプション申込書によって、クラウドインフラストラクチャシステム2302によって提供された1つ以上のサービスを注文することができる。これに応じて、クラウドインフラストラクチャシステム2302は、顧客のサブスクリプション申込書に含まれたサービスを提供する処理を行う。
いくつかの実施形態において、クラウドインフラストラクチャシステム2302によって提供されたサービスは、アプリケーションサービス、プラットフォームサービスおよびインフラストラクチャサービスを含むがこれらに限定されない。いくつかの例において、アプリケーションサービスは、SaaSプラットフォームを介して、クラウドインフラストラクチャシステムによって提供されてもよい。SaaSプラットフォームは、SaaSカテゴリに準拠するクラウドサービスを提供するように構成されてもよい。例えば、SaaSプラットフォームは、統合の開発および展開プラットフォーム上にオンデマンドアプリケーションのスイートを構築し、提供するように、機能することができる。SaaSプラットフォームは、SaaSサービスを提供するために、基礎のソフトウェアおよびインフラストラクチャを管理し、制御することができる。SaaSプラットフォームにより提供されたサービスを利用することによって、顧客は、クラウドインフラストラクチャシステム上に動作するアプリケーションを利用することができる。顧客は、別々のライセンスおよびサポートを購入する必要なく、アプリケーションサービスを取得することができる。様々な異なるSaaSサービスを提供することができる。例示としては、販売実績管理、企業統合、および大規模組織のビジネス柔軟性に対する解決策を提供するサービスを含むがこれらに限定されない。
いくつかの実施形態において、プラットフォームサービスは、クラウドインフラストラクチャシステム2302によって、PaaSプラットフォームを介して提供されてもよい。PaaSプラットフォームは、PaaSカテゴリに準拠するクラウドサービスを提供するように構成されてもよい。プラットフォームサービスの例としては、共有されている共通アーキテクチャ上に既存のアプリケーションを統合する能力、およびプラットフォームにより提供された共有サービスを活用する新規アプリケーションを構築する能力を組織(例えば、Oracle社)に与えるサービスを含むがこれに限定されない。PaaSプラットフォームは、PaaSサービスを提供するために、基礎のソフトウェアおよびインフラストラクチャを管理し、制御することができる。顧客は、別々のライセンスおよびサポートを購入する必要なく、クラウドインフラストラクチャシステム2302によって提供されたPaasサービスを利用することができる。プラットフォームサービスの例としては、oracle Javaクラウドサービ
ス(JCS)、Oracleデータベースクラウドサービス(DBCS)およびその他を含むがこれら
に限定されない。
PaaSプラットフォームにより提供されたサービスを利用することによって、顧客は、クラウドインフラストラクチャシステムにサポートされているプログラミング言語およびツールを利用することができ、展開されたサービスを制御することができる。いくつかの実施形態において、クラウドインフラストラクチャシステムによって提供されるプラットフォームサービスは、データベースクラウドサービス、ミドルウェアクラウドサービス(例えば、Oracle Fusionミドルウェアサービス)、およびJavaクラウドサービスを含むこと
ができる。一実施形態において、データベースクラウドサービスは、データベースリソースを蓄積する能力を組織に与えることができる共有サービス展開モデルをサポートすることができ、DBaaS(Database as a Service)をクラウドデータベースとして顧客に提供することができる。ミドルウェアクラウドサービスは、クラウドインフラストラクチャシステム上に様々なビジネスアプリケーションを開発および展開するためのプラットフォームを顧客に提供することができ、Javaクラウドサービスは、クラウドインフラストラクチャシステム上にJavaアプリケーションを展開するためのプラットフォームを顧客に提供することができる。
様々な異なるインフラストラクチャサービスは、IaaSプラットフォームによって、クラウドインフラストラクチャシステムに提供されてもよい。これらのインフラストラクチャサービスは、SaaSプラットフォームおよびPaaSプラットフォームにより提供されたサービスを利用する顧客のために、ストレージ、ネットワークおよびその他の基本的なコンピューティングリソースとしての基礎コンピューティングリソースの管理と制御を容易にする。
特定の実施形態において、クラウドインフラストラクチャシステム1402はまた、クラウドインフラストラクチャシステムを利用する顧客に、様々なサービスを提供するために使用されるリソースを提供するためのインフラストラクチャリソース1430を含むことができる。一実施形態において、インフラストラクチャリソース1430は、PaaSプラットフォームおよびSaaSプラットフォームおよび他のリソースによって提供されたサービスを実行するために、事前に統合され且つ最適化されたサーバリソース、ストレージリソースおよびネットワークリソースなどのハードウェアの組み合わせを含んでもよい。
いくつかの実施形態において、クラウドインフラストラクチャシステム2302内のリソースは、複数のユーザに共有されることができ、各々の需要に応じて動的に再割当てることができる。また、リソースは、異なるタイムゾーンでユーザに割当てることができる。例えば、クラウドインフラストラクチャシステム2302は、指定時間内でクラウドインフラストラクチャシステムのリソースを第1時間帯における第1グループのユーザに利用させ、その後、同様のリソースを異なる時間帯における別のグループのユーザに再配分することができ、リソースを最大に利用する。
特定の実施形態において、提供された複数の内部共有サービス2332は、クラウドインフラストラクチャシステム2302の異なる構成要素またはモジュールに共有されることによって、クラウドインフラストラクチャシステム2302がサービスを提供することができる。これらの内部共有サービスは、安全性および識別サービス、統合サービス、企業リポジトリサービス、企業管理サービス、ウイルススキャンおよびホワイトリストサービス、高可用性のバックアップおよびリカバリサービス、クラウドサポートを可能にするサービス、メールサービス、通知サービス、およびファイル転送サービスなどを含むがこれらに限定されない。
特定の実施形態において、クラウドインフラストラクチャシステム2302は、クラウドインフラストラクチャシステム内のクラウドサービス(例えば、SaaSサービス、PaaSサ
ービスおよびIaaSサービス)を包括的に管理する機能を提供することができる。一実施形態において、クラウド管理機能は、クラウドインフラストラクチャシステム2302などによって受信した顧客のサブスクリプションを提供、管理、および追跡する機能を含んでもよい。
一実施形態において、図23に示すように、クラウド管理機能は、1つ以上のモジュール、例えば、オーダー管理モジュール(order management module)2320、オーダー
調整モジュール(order orchestration module)2322、オーダー支給モジュール(order provisioning module)2324、オーダー管理および監視モジュール(order management and monitoring module)2326、およびID管理モジュール(identity management module)2328によって提供される。これらのモジュールは、1つ以上のコンピ
ュータおよび/またはサーバを含んでもよく、これらを用いて形成されてもよい。これらのコンピュータおよび/またはサーバは、汎用コンピュータ、専用サーバコンピュータ、サーバファーム、サーバクラスタ、または任意の他の適切な配置および/またはこれらの組み合わせであってもよい。
例示的な操作2334において、顧客は、クライアント装置、例えば、クライアント装置2304、2306または2308を用いて、クラウドインフラストラクチャシステム2302により提供された1つ以上のサービスをリクエストし、クラウドインフラストラクチャシステム2302によって提供された1つ以上のサービスのサブスクリプションをオーダーすることによって、クラウドインフラストラクチャシステム2302と情報を交換することができる。特定の実施形態において、顧客は、クラウドユーザインターフェイス(UI)、例えば、クラウドUI2312、クラウドUI2323および/またはクラウドUI2316にアクセスし、これらのUIを介して、サブスクリプションを申し込むことができる。顧客のオーダーに応答してクラウドインフラストラクチャシステム2302によって受信したオーダー情報は、顧客と、クラウドインフラストラクチャシステム2302により提供され、顧客が購入しようとする1つ以上のサービスとを識別する情報を含むことができる。
2336において、顧客から受け取ったオーダー情報をオーダーデータベース2318に格納することができる。このオーダーが新しいオーダーである場合、このオーダーに新しいレコードを作成することができる。一実施形態において、オーダーデータベース2318は、クラウドインフラストラクチャシステム2318によって操作され、または他のシステム要素と連動して操作されるいくつかのデータベースのうち1つであってもよい。
2338において、オーダー情報は、オーダー管理モジュール2320に転送される。オーダー管理モジュール2320は、オーダーに関連する請求および会計機能、例えば、オーダーの確認、および確認後、オーダーの記入を実行するように構成されてもよい。
2340において、オーダーに関する情報は、顧客がオーダーしたサービスおよびリソースの提供を用意するように構成されたオーダー調整モジュール2322に伝達されてもよい。いくつかの例において、オーダー調整モジュール2322は、オーダー支給モジュール1424のサービスを用いて、サービスおよびリソースの提供を用意することができる。特定の実施形態において、オーダー調整モジュール2322は、各オーダーに関連するビジネスプロセスを管理することができ、ビジネスロジックを適用することによって、オーダーに対して支給をするか否かを判断することができる。
図23に示す実施形態に示されたように、2342において、新規サブスクリプションのオーダーを受信すると、オーダー調整モジュール2322は、リソースを割当て、サブスクリプションのオーダーを満たすために必要なリソースを構成するように、リクエスト
をオーダー支給モジュール2324に送信する。オーダー支給モジュール2324は、顧客がオーダーしたサービス用のリソースを割当てることができる。オーダー支給モジュール2324は、クラウドインフラストラクチャシステム2300によって提供されたクラウドサービスと、リクエストされたサービスを提供するためのリソースを供給するために使用される物理的な実装層との間の抽象化レベルを形成する。このように、オーダー調整モジュール2322は、たとえば、サービスおよびリソースをその場で支給するかまたは事前に支給するか、リクエストに応じて割当てる/与えるかなどの実装詳細から単離することができる。
2344において、サービスおよびリソースを支給した後、要求されたサービスが使用可能であることを示す通知を加入顧客に送信することができる。いくつかの例において、顧客が要求したサービスの使用を可能にするための情報(例えば、リンク)を顧客に送信してもよい。
2346において、オーダー管理および監視モジュール2326は、顧客のサブスクリプションオーダーを管理および追跡することができる。いくつかの例において、オーダー管理および監視モジュール2326は、顧客が購入したサービスの使用に関するサービス使用の統計データを収集するように構成されることができる。統計データとして、例えば、ストレージの使用量、データの転送量、ユーザの数、システムの起動時間およびシステムの停止時間が収集されてもよい。
特定の実施形態において、クラウドインフラストラクチャシステム2300は、ID管理モジュール2328を含むことができる。ID管理モジュール2328は、クラウドインフラストラクチャシステム2300に、識別サービス、例えば、アクセス管理および認可サービスを提供するように構成することができる。いくつかの実施形態において、ID管理モジュール2328は、クラウドインフラストラクチャシステム2302によって提供されたサービスを利用したい顧客に関する情報を制御することができる。このような情報は、顧客のIDを承認する情報、および様々なシステムリソース(例えば、ファイル、ディレクトリ、アプリケーション、通信ポート、メモリセグメントなど)に対して許可された顧客の実行権限を記載する情報を含むことができる。ID管理モジュール2328は、各顧客に関する記述情報、記述情報にアクセスおよび変更する方法、および記述情報にアクセスおよび変更した顧客に対する管理を含むことができる。
図24は、本開示の実施形態を実施するために使用され得る例示的なコンピューティングシステム2400を示す。いくつかの実施形態において、コンピューティングシステム2400を用いて、上記の様々なサーバおよびコンピューティングシステムのうちいずれかを実装することができる。図24に示すように、コンピューティングシステム2400は、バスサブシステム2402を介して、複数の周辺サブシステムと通信する処理サブシステム2404を含む様々なサブシステムを含む。周辺サブシステムは、処理加速ユニット2406、I/Oサブシステム2408、記憶サブシステム2418および通信サブシステム2424を含むことができる。記憶サブシステム2418は、有形のコンピュータ可読記憶媒体2422およびシステムメモリ2410を含むことができる。
バスサブシステム2402は、コンピュータシステム2400の様々な構成要素およびサブシステムが必要に応じて相互通信させるための機構を形成する。図示には、バスサブシステム2402を単一のバスとして概略的に示しているが、代替的な実施形態において、バスサブシステムは、複数のバスを利用してもよい。バスサブシステム2402は、メモリバスまたはメモリコントローラ、周辺バス、および様々なバスアーキテクチャのいずれかを使用するローカルバスを備えるいくつかの種類のバス構造のいずれかを有してもよい。例えば、このようなアーキテクチャは、業界標準アーキテクチャ(ISA)バス、マ
イクロチャネルアーキテクチャ(MCA)バス、拡張ISA(EISA)バス、ビデオエレクトロニクス規格協会(VESA)ローカルバス、および周辺構成要素相互接続(PCI)バスを含むことができる。これらのバスは、IEEE P1386.1規格に準拠した製造されたメザニンバスとして実現することができる。
処理サブシステム2404は、コンピューティングシステム2400の動作を制御し、1つ以上の処理ユニット2432、2434などを含むことができる。処理ユニットは、1つ以上のプロセッサ、例えば、シングルコアプロセッサまたはマルチコアプロセッサ、1つ以上コアのプロセッサまたはそれらの組み合わせを含むことができる。いくつかの実施形態において、処理サブシステム2404は、1つ以上の専用コプロセッサ、例えば、グラフィックプロセッサ、デジタルシグナルプロセッサ(DSP)などを含むことができる。いくつかの実施形態において、処理サブシステム2404の処理ユニットのいくつかまたは全ては、特定用途向け集積回路(ASIC)またはフィールドプログラマブルゲートアレイ(FPGA)などの特製回路を用いて実装することができる。
いくつかの実施形態において、処理サブシステム2404の処理ユニットは、システムメモリ2410またはコンピュータ可読記憶媒体2422に格納された命令を実行することができる。様々な実施形態において、処理ユニットは、様々なプログラムまたはコード命令を実行することができ、同時に実行しているプログラムまたはプロセスを維持することができる。任意の時間に実行されているプログラムコードの一部または全部は、システムメモリ2410および/または1つ以上の記憶装置を含み得るコンピュータ可読記憶媒体2410に常駐することができる。適切なプログラミングによって、処理サブシステム2404は、上述したように、使用パターンに応じて文書(例えば、ウエブページ)を動的に修正するための様々な機能を提供することができる。
特定の実施形態において、特定の処理を実行するまたは処理サブシステム2404によって実行される処理の一部をオフロードするように、処理加速ユニット2406を提供することによって、コンピューティングシステム2400によって実行される全ての処理を加速することができる。
I/Oサブシステム2408は、情報をコンピューティングシステム2400に入力するための装置および機構および/またはコンピューティングシステム2400からまたはコンピューティングシステム2400を介して情報を出力するための装置および機構を含むことができる。一般的に、「入力装置」という用語は、情報をコンピューティングシステム2400に入力するための全ての可能な装置および機構を含む。ユーザインターフェイス入力装置は、例えば、キーボード、マウスまたはトラックボールなどのポインティング装置、ディスプレイに組み込まれたタッチパッドまたはタッチスクリーン、スクロールホイール、クリックホイール、ダイヤル、ボタン、スイッチ、キーパッド、音声命令認識システムを備える音声入力装置、マイクロフォン、および他の種類の入力装置を含んでもよい。また、ユーザインターフェイス入力装置は、例えば、ユーザが入力装置を制御することおよび入力装置と対話することを可能にするMicrosoft Kinect(登録商標)モーションセンサなどのモーション検知および/またはジェスチャ認識装置、Microsoft Xbox(登録商標)360ゲームコントローラ、ジェスチャおよび音声命令を使用した入力を受信するためのインターフェイスを提供するための装置を含むことができる。また、ユーザインターフェイス入力装置は、Google Glass(登録商標)瞬き検出器のような眼球ジェスチャ認識装置を含むことができる。Google Glass瞬き検出器は、ユーザの眼球活動(例えば、写真を撮るときおよび/またはメニューを選択するときの「瞬き」)を検出し、眼球活動を入力装置(例えば、Google Glass)に入力する入力に変換する。さらに、ユーザインターフェイス入力装置は、音声命令を介してユーザと音声認識システム(例えば、Siri(登録商標)ナビゲータ)との対話を可能にする音声認識検出装置を含んでもよい。
ユーザインターフェイス入力装置の他の例としては、三次元(3D)マウス、ジョイスティックまたはポインティングスティック、ゲームパッド、グラフィックタブレット、スピーカなどのオーディオ/ビジュアル装置、デジタルカメラ、デジタルビデオカメラ、ポータブルメディアプレーヤ、ウェブカメラ、イメージスキャナ、指紋スキャナ、バーコード読取器、3Dスキャナ、3Dプリンタ、レーザ距離計、および視線追跡装置を含むがこれらに限定されない。さらに、ユーザインターフェイス入力装置は、例えば、コンピュータ断層撮影装置、磁気共鳴像装置、超音波放射断層撮影装置、および医療用超音波装置などのような医用画像入力装置を含んでもよい。また、ユーザインターフェイス入力装置は、例えば、MIDIキーボードおよび電子楽器などの音声入力装置を含むことができる。
ユーザインターフェイス出力装置は、ディスプレイサブシステム、インジケータライト、またはオーディオ出力装置などの非視覚ディスプレイを含んでもよい。ディスプレイサブシステムは、例えば、陰極線管(CRT)、液晶ディスプレイ(LCD)またはプラズマディスプレイを使用するフラットパネル装置、投射装置またはタッチスクリーンであってもよい。一般に、「出力装置」という用語を使用する場合、コンピュータシステム2400から情報をユーザまたは他のコンピュータに出力するためのすべての可能な種類の装置および機構を含むことを意図している。例えば、ユーザインターフェイス出力装置は、文字、画像およびオーディオ/ビデオ情報を視覚的に伝達する様々な表示装置、例えば、モニタ、プリンタ、スピーカ、ヘッドフォン、カーナビゲーションシステム、プロッタ、音声出力装置、およびモデムを含むがこれらに限定されない。
記憶サブシステム2418は、コンピューティングシステム2400によって使用される情報を格納するためのリポジトリまたはデータストアを提供する。記憶サブシステム2418は、いくつかの実施形態の機能を提供する基本的なプログラミングおよびデータ構造を格納するための有形のコンピュータ可読記憶媒体を提供する。処理サブシステム2404によって実行されると上述した機能を提供するソフトウェア(プログラム、コードモジュール、命令)は、記憶サブシステム2418に格納されてもよい。これらのソフトウェアは、処理サブシステム2404の1つ以上の処理ユニットによって実行されてもよい。また、記憶サブシステム2418は、様々な態様に従って使用されるデータを格納するためのリポジトリを提供することができる。
記憶サブシステム2418は、揮発性メモリ装置および不揮発性メモリ装置を含む1つ以上の非一時的メモリ装置を含むことができる。図24に示すように、記憶サブシステム2418は、システムメモリ2410およびコンピュータ可読記憶媒体2422を含む。システムメモリ2410は、プログラム実行中に命令およびデータを記憶するための揮発性メインランダムアクセスメモリ(RAM)と、固定命令を記憶するための不揮発性読取専用メモリ(ROM)またはフラッシュメモリとを含むいくつかのメモリを含むことができる。いくつかの実装形態において、例えば起動中にコンピューティングシステム2400の要素間に情報を転送することを助ける基本ルーチンを含む基本入力/出力システム(BIOS)が、通常ROMに格納されてもよい。RAMは、通常、処理サブシステム2404によって現在操作および実行されているデータおよび/またはプログラムモジュールを含む。いくつかの実装形態において、システムメモリ2410は、複数の異なる種類のメモリ、例えば、スタティックランダムアクセスメモリ(SRAM)またはダイナミックランダムアクセスメモリ(DRAM)を含むことができる。
限定ではなく一例として、図24に示すように、システムメモリ2410は、クライアントアプリケーション、ウエブブラウザ、中間層アプリケーション、関係データベース管理システム(RDBMS)などを含むことができる応用プログラム2412、プログラムデータ2414およびオペレーティングシステム2416を格納することができる。一例
として、オペレーティングシステム2416は、マイクロソフトウィンドウズ(登録商標)、Apple Macintosh(登録商標)および/もしくはLinux(登録商標)オペレーテ
ィングシステムの様々なバージョン、様々な市販のUNIX(登録商標)もしくはUNIXライクオペレーティングシステム(様々なGNU/Linuxオペレーティングシステム、Google Chrome(登録商標)OSなどを含むが、これらに限定されるものではない)
、ならびに/または、iOS、Windows(登録商標)フォン、アンドロイド(登録商標)
OS、ブラックベリー(登録商標)10 OSおよびパーム(登録商標)OSオペレーテ
ィングシステムなどのモバイルオペレーティングシステムを含むことができる。
コンピュータ可読記憶媒体2422は、いくつかの実施形態の機能を提供するプログラミングおよびデータ構造を格納することができる。処理サブシステム2404によって実行されると上述した機能を提供するソフトウェア(プログラム、コードモジュール、命令)は、記憶サブシステム2418に格納されてもよい。一例として、コンピュータ可読記憶媒体2422は、不揮発性メモリ、例えば、ハードディスクドライブ、磁気ディスクドライブ、CD-ROM、DVD、ブルーレイ(登録商標)ディスクなどの光ディスクドライブ、または他の光媒体を含むことができる。コンピュータ可読記憶媒体2422は、Zip(登録商標)ドライブ、フラッシュメモリカード、ユニバーサルシリアルバス(USB)フラッシュドライブ、セキュアデジタル(SD)カード、DVDディスク、デジタルビデオテープなどを含み得るが、これらに限定されない。また、コンピュータ可読記憶媒体2422は、フラッシュメモリに基づくSSD、企業向けフラッシュドライブ、ソリッドステートROMなどの不揮発性メモリに基づいたソリッドステートドライブ(SSD)、ソリッドステートRAM、ダイナミックRAM、スタティックRAMなどの揮発性メモリに基づくSSD、DRAMベースのSSD、磁気抵抗RAM(MRAM)SSD、およびDRAMとフラッシュメモリベースのSSDとの組み合わせを使用するハイブリッドSSDを含み得る。ディスクドライブおよびそれらの関連のコンピュータ可読媒体は、コンピュータ可読命令、データ構造、プログラムモジュールおよび他のデータの不揮発性記憶装置をコンピュータシステム2400に提供することができる。
特定の実施形態において、記憶サブシステム2400は、コンピュータ可読記憶媒体2422にさらに接続可能なコンピュータ可読記憶媒体読取器2420を含むことができる。コンピュータ可読記憶媒体2422は、システムメモリ2410と共にまたは必要に応じてシステムメモリ2410と組み合わせて、コンピュータ可読情報を格納するための記憶媒体に加えて、リモート記憶装置、ローカル記憶装置、固定的な記憶装置および/または取外し可能な記憶装置を包括的に表すことができる。
特定の実施形態において、コンピューティングシステム2400は、1つ以上の仮想マシンの実行をサポートすることができる。コンピューティングシステム2400は、仮想マシンの構成および管理を容易にするために、ハイパーバイザなどのプログラムを実行することができる。各仮想マシンに、メモリ、計算(例えば、プロセッサ、コア)、I/O、およびネットワークリソースを割り当ることができる。各仮想マシンは、通常、独自のオペレーティングシステムを実行する。このオペレーティングシステムは、コンピューティングシステム2400によって実行される他の仮想マシンによって実行されるオペレーティングシステムと同様であってもよく、異なっていてもよい。したがって、コンピューティングシステム2400は、複数のオペレーティングシステムを同時に実行することができる。各仮想マシンは、通常、他の仮想マシンに独立して動作する。
通信サブシステム2424は、他のコンピューティングシステムおよびネットワークへのインターフェイスを形成する。通信サブシステム2424は、他のシステムからデータを受信し、コンピュータシステム2400から他のシステムにデータを送信するためのインターフェイスとして機能する。通信サブシステム2424によって、コンピューティン
グシステム2400は、例えば、インターネットを介して1つ以上のクライアント装置との間に情報を送受信するための通信チャネルを確立することができる。例えば、図1に示すアカウント管理システム112は、通信サブシステム2424を用いて、トレーニングワードに関連する入力を含むユーザログイン情報をクライアント装置から受信することができる。さらに、通信サブシステム2424を用いて、成功したログインに関する通知またはアカウント管理システムからユーザへのパスワード再入力要求に関する通知を送信することができる。
通信サブシステム2424は、有線通信プロトコルおよび/または無線通信プロトコルの両方をサポートしてもよい。例えば、いくつかの実施形態において、通信サブシステム2424は、(例えば3G、4GまたはEDGE(enhanced data rates for global evolution)などの携帯電話技術、高度データネットワーク技術を用いて)無線音声および/またはデータネットワークにアクセスするための無線周波数(RF)トランシーバ要素、WiFi(IEEE802.11ファミリ標準または他のモバイル通信技術またはそれらの任意の組み合わせ)、全地球測位システム(GPS)レシーバ要素、および/または、他の要素を含むことができる。いくつかの実施形態において、通信サブシステム2424は、無線インターフェイスに加えてまたは無線インターフェイスの代わりに、有線ネットワーク接続(例えば、イーサネット)を提供することができる。
通信サブシステム2424は、様々な形式のデータを送受信することができる。例えば、いくつかの実施形態において、通信サブシステム2424は、構造化および/または非構造化データフィード2426、イベントストリーム2428、イベント更新2430などの形式の入力通信を受信することができる。例えば、通信サブシステム2424は、ソーシャルネットワークおよび/または他の通信サービスのユーザから、ツイッター(登録商標)フィード、フェースブック(登録商標)更新、RSS(Rich Site Summary)フィ
ードなどのウエブフィードを含むデータフィード2426をリアルタイムで受信(または送信)するおよび/または1つ以上の第3者情報源からリアルタイム更新を受信(または送信)するように構成されてもよい。
特定の実施形態において、通信サブシステム2424は、リアルタイムイベントのイベントストリーム2428および/または明確な結末を持たない連続的または本質的に無境界のイベント更新2430を含み得る連続的なデータストリーム形式のデータを受信するように構成されてもよい。連続的なデータを生成するアプリケーションの例としては、例えば、センサデータアプリケーション、金融ティッカ、ネットワーク性能測定ツール(例えば、ネットワーク監視およびトラフィック管理アプリケーション)、クリックストリーム分析ツール、自動車交通監視などを含むことができる。
また、通信サブシステム2424は、構造化および/または非構造化データフィード2426、イベントストリーム2428、およびイベント更新2430などを、コンピュータシステム2400に結合された1つ以上のストリーミングデータソースコンピュータと通信し得る1つ以上のデータベースに出力するように構成されてもよい。
コンピュータシステム1500は、手持ち式携帯機器(例えば、iPhone(登録商標)携帯電話、Ipad(登録商標)計算タブレット、PDA)、ウェアラブル装置(例えば、Google Glass(登録商標)ヘッドマウントディスプレイ)、パーソナルコンピュータ、ワークステーション、メインフレーム、キオスク、サーバラックまたはその他のデータ処理システムを含む様々なタイプのうちの1つであってもよい。
コンピュータおよびネットワークが絶え間なく進化し続けるため、図24に示されたコンピュータシステム2400の説明は、特定の例として意図されているにすぎない。図2
4に示されたシステムよりも多くのまたは少ない数の構成要素を有する多くの他の構成も可能である。例えば、ハードウェア、ファームウェア、(アプレットを含む)ソフトウェア、または組み合わせにおいて、カスタマイズされたハードウェアも使用されてもよく、および/または、特定の要素が実装されてもよい。さらに、ネットワーク入力/出力装置などの他の計算装置への接続が利用されてもよい。本明細書で提供される開示および教示に基づいて、当業者は、様々な実施例を実現するための他の手段および/または方法を理解するであろう。
本実施形態を詳細に説明してきたが、本明細書に説明された実施形態の精神および範囲内の修正は、当業者にとって容易であり明らかであろう。上記および/または添付の特許請求の範囲に列挙された様々な実施形態の局面、様々な局面の一部および様々な特徴は、全体的にまたは部分的に組み合わせることができ、または交換することができる。当業者なら理解できるように、上記の様々な実施形態の説明において、他の実施形態を参照した実施形態は、他の実施形態と適切に組み合わせることができる。さらに、当業者であれば、上記の説明は、例示に過ぎず、本発明を限定することを意図していないことを理解するであろう。

Claims (15)

  1. システムであって、
    1つ以上のプロセッサおよび非一時的機械可読記憶媒体と、
    1つ以上のライブ情報フローを監視するためのプログラム命令とを含み、前記ライブ情報フローは、複数のソースから複数の宛先へのデータフローを含み、
    複数のバケットを含むユーザインターフェイスを提供するためのプログラム命令を含み、各バケットは、異なる実行措置に関連し、各バケットは、リアルタイムでトリガされ、前記関連する実行措置を含む現在の実行ポリシーの総数を表示し、
    実行ポリシーのトリガに基づいて、前記1つ以上のライブ情報フロー内のセキュリティイベントの発生を判断するためのプログラム命令を含み、前記実行ポリシーは、ソース、宛先、および実行措置の指定を含み、前記1つ以上のライブ情報フロー内の前記データが少なくとも前記実行ポリシーの前記ソースおよび前記宛先と一致する場合、前記実行ポリシーがトリガされ、前記実行措置が適用され、
    前記セキュリティイベントの発生を反映するように、(i)前記複数のバケットから、前記実行ポリシーによって適用された前記実行措置に関連するバケットを特定することおよび(ii)前記実行措置によってリアルタイムでトリガされ、前記特定されたバケットに表示されている現在の実行ポリシーの総数を増やすことによって、前記ユーザインターフェイスを更新するためのプログラム命令を含み、
    前記プログラム命令は、前記非一時的機械可読記憶媒体に格納され、前記1つ以上のプロセッサによって実行される、システム。
  2. 前記セキュリティイベントの発生に基づいて、前記特定されたバケットのトレンドインジケータを更新するためのプログラム命令をさらに含み、
    前記トレンドインジケータを更新することは、前記特定されたバケットに上向き矢印を表示することを含む、請求項に記載のシステム。
  3. 前記実行ポリシーの総数を増やすことは、前記実行ポリシーの総数のカウント数nをカウント数n+1に増分することを含む、請求項1または2に記載のシステム。
  4. 前記複数のバケットからバケットの選択に対応するユーザ入力を受け取るためのプログラム命令と、
    前記選択されたバケットに対応する前記複数のソースおよび前記複数の宛先を含む前記ライブ情報フローを前記ユーザインターフェイスに表示するためのプログラム命令とをさらに含む、請求項1から3のいずれか1項に記載のシステム。
  5. 前記複数のソースをタグクラウドとして前記ユーザインターフェイスに表示するためのプログラム命令をさらに含み、
    前記タグクラウドは、各ソースの使用率に比例して、前記選択されたバケットに対応する前記複数のソースを示す、請求項に記載のシステム。
  6. 前記データに基づいて動的実行ポリシーを作成するための要求を受け取るためのプログラム命令を含み、前記動的実行ポリシーは、ソース、宛先、実行措置、および前記動的実行ポリシーがアクティブになる期間の指定を含み、
    複数のエージェントが前記動的実行ポリシーにアクセスできるように、前記動的実行ポリシーをポリシーバス上に公開するためのプログラム命令と、
    前記動的実行ポリシーに基づいて、前記1つ以上のライブ情報フロー内の別のセキュリティイベントに対して前記実行措置を実行するためのプログラム命令とを含み、前記複数のエージェントのうち少なくとも1つのエージェントは、前記実行措置を実行し、
    前記別のセキュリティイベントに対して前記実行措置の実行を反映するように、(i)前記複数のバケットから、前記実行ポリシーによって適用された前記実行措置に関連するバケットを特定することおよび(ii)前記実行措置によってリアルタイムでトリガされ、前記特定されたバケットに表示されている現在の実行ポリシーの総数を増やすことによって、前記ユーザインターフェイスを更新するためのプログラム命令をさらに含む、請求項1から5のいずれか1項に記載のシステム。
  7. 前記動的実行ポリシーがアクティブになる前記期間中に、前記動的実行ポリシーは、前記動的実行ポリシーに含まれた前記ソースおよび前記宛先と同じ指定を含む静的実行ポリシーを上書きする、請求項に記載のシステム。
  8. 方法であって、
    コンピューティングシステムを用いて、1つ以上のライブ情報フローを監視するステップを含み、前記ライブ情報フローは、複数のソースから複数の宛先へのデータフローを含み、
    前記コンピューティングシステムを用いて、複数のバケットを含むユーザインターフェイスを提供するステップを含み、各バケットは、異なる実行措置に関連し、各バケットは、リアルタイムでトリガされ、前記関連する実行措置を含む現在の実行ポリシーの総数を表示し、
    前記コンピューティングシステムを用いて、実行ポリシーのトリガに基づいて、1つ以上のライブ情報フロー内のセキュリティイベントの発生を判断するステップを含み、前記実行ポリシーは、ソース、宛先、および実行措置の指定を含み、前記1つ以上のライブ情報フロー内の前記データが少なくとも前記実行ポリシーの前記ソースおよび前記宛先と一致する場合、前記実行ポリシーがトリガされ、前記実行措置が適用され、
    前記コンピューティングシステムを用いて、前記セキュリティイベントの発生を反映するように、(i)前記複数のバケットから、前記実行ポリシーによって適用された前記実行措置に関連するバケットを特定することおよび(ii)前記実行措置によってリアルタイムでトリガされ、前記特定されたバケットに表示されている現在の実行ポリシーの総数を増やすことによって、前記ユーザインターフェイスを更新するステップを含む、方法。
  9. 前記コンピューティングシステムを用いて、前記複数のバケットからバケットの選択に対応するユーザ入力を受け取るステップと、
    前記選択されたバケットに対応する前記複数のソースおよび前記複数の宛先を含む前記ライブ情報フローを前記ユーザインターフェイスに表示するステップとをさらに含む、請求項に記載の方法。
  10. 前記コンピューティングシステムを用いて、前記複数のソースから特定のソースの選択に対応するユーザ入力を受け取るステップと、
    前記コンピューティングシステムを用いて、前記特定のソースから始まる前記ライブ情報フローを表示するステップとをさらに含む、請求項に記載の方法。
  11. 前記コンピューティングシステムを用いて、前記複数の宛先から特定の宛先の選択に対応するユーザ入力を受け取るステップと、
    前記コンピューティングシステムを用いて、前記特定の宛先で終わる前記ライブ情報フローを表示するステップとをさらに含む、請求項に記載の方法。
  12. 前記コンピューティングシステムを用いて、前記複数のソースおよび前記複数の宛先を含む前記ライブ情報フローを前記ユーザインターフェイスに表示するステップと、
    前記複数のソースから前記複数の宛先に流れるデータ量に基づいて、一組の上位ソースを示すインジケータを提供するステップとをさらに含む、請求項8から11のいずれか1項に記載の方法。
  13. 前記コンピューティングシステムを用いて、前記複数のソースおよび前記複数の宛先を含む前記ライブ情報フローを前記ユーザインターフェイスに表示するステップと、
    前記複数のソースから前記複数の宛先に流れるデータ量に基づいて、一組の上位宛先を示すインジケータを提供するステップとをさらに含む、請求項8から11のいずれか1項に記載の方法。
  14. 前記コンピューティングシステムを用いて、前記複数のソースおよび前記複数の宛先を含む前記ライブ情報フローを前記ユーザインターフェイスに表示するステップと、
    前記複数のソースから前記複数の宛先に流れるデータ量およびポリシーバス上に公開された一組のアクティブな実行ポリシーに基づいて、一組の上位実行ポリシーを示すインジケータを提供するステップとをさらに含む、請求項8から11のいずれか1項に記載の方法。
  15. 請求項8から14のいずれか1項に記載の方法をコンピュータに実行させるためのプログラム。
JP2022093754A 2016-09-16 2022-06-09 脅威を検出するための動的ポリシーの導入およびアクセスの可視化 Active JP7358564B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023165968A JP2023175878A (ja) 2016-09-16 2023-09-27 脅威を検出するための動的ポリシーの導入およびアクセスの可視化

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US201662396016P 2016-09-16 2016-09-16
US62/396,016 2016-09-16
US201762447759P 2017-01-18 2017-01-18
US62/447,759 2017-01-18
JP2019514755A JP7088913B2 (ja) 2016-09-16 2017-09-15 脅威を検出するための動的ポリシーの導入およびアクセスの可視化
PCT/US2017/051886 WO2018053337A1 (en) 2016-09-16 2017-09-15 Dynamic policy injection and access visualization for threat detection

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2019514755A Division JP7088913B2 (ja) 2016-09-16 2017-09-15 脅威を検出するための動的ポリシーの導入およびアクセスの可視化

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2023165968A Division JP2023175878A (ja) 2016-09-16 2023-09-27 脅威を検出するための動的ポリシーの導入およびアクセスの可視化

Publications (2)

Publication Number Publication Date
JP2022126712A JP2022126712A (ja) 2022-08-30
JP7358564B2 true JP7358564B2 (ja) 2023-10-10

Family

ID=59982502

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2019514755A Active JP7088913B2 (ja) 2016-09-16 2017-09-15 脅威を検出するための動的ポリシーの導入およびアクセスの可視化
JP2022093754A Active JP7358564B2 (ja) 2016-09-16 2022-06-09 脅威を検出するための動的ポリシーの導入およびアクセスの可視化
JP2023165968A Pending JP2023175878A (ja) 2016-09-16 2023-09-27 脅威を検出するための動的ポリシーの導入およびアクセスの可視化

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2019514755A Active JP7088913B2 (ja) 2016-09-16 2017-09-15 脅威を検出するための動的ポリシーの導入およびアクセスの可視化

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2023165968A Pending JP2023175878A (ja) 2016-09-16 2023-09-27 脅威を検出するための動的ポリシーの導入およびアクセスの可視化

Country Status (5)

Country Link
US (4) US10432671B2 (ja)
EP (1) EP3513543B1 (ja)
JP (3) JP7088913B2 (ja)
CN (1) CN109792439B (ja)
WO (1) WO2018053337A1 (ja)

Families Citing this family (90)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9058486B2 (en) * 2011-10-18 2015-06-16 Mcafee, Inc. User behavioral risk assessment
US9832678B1 (en) * 2015-01-13 2017-11-28 Syniverse Technologies, Llc Traffic hub system to provide roaming service in a wireless environment
US10204211B2 (en) 2016-02-03 2019-02-12 Extrahop Networks, Inc. Healthcare operations with passive network monitoring
US9729416B1 (en) 2016-07-11 2017-08-08 Extrahop Networks, Inc. Anomaly detection using device relationship graphs
EP3513543B1 (en) 2016-09-16 2021-05-12 Oracle International Corporation Dynamic policy injection and access visualization for threat detection
US10855783B2 (en) * 2017-01-23 2020-12-01 Adobe Inc. Communication notification trigger modeling preview
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US10721239B2 (en) 2017-03-31 2020-07-21 Oracle International Corporation Mechanisms for anomaly detection and access management
US11032307B2 (en) * 2017-04-30 2021-06-08 Splunk Inc. User interface for defining custom threat rules in a network security system
US11632382B2 (en) 2017-05-15 2023-04-18 Forcepoint Llc Anomaly detection using endpoint counters
US11949700B2 (en) 2017-05-15 2024-04-02 Forcepoint Llc Using content stored in an entity behavior catalog in combination with an entity risk score
US10810316B2 (en) * 2017-05-15 2020-10-20 International Business Machines Corporation Updating monitoring systems using merged data policies
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US10510014B2 (en) * 2017-05-31 2019-12-17 Microsoft Technology Licensing, Llc Escalation-compatible processing flows for anti-abuse infrastructures
US10666508B2 (en) * 2017-06-09 2020-05-26 Nicira, Inc. Unified software defined networking configuration management over multiple hosting environments
US10601847B2 (en) * 2017-06-22 2020-03-24 Cisco Technology, Inc. Detecting user behavior activities of interest in a network
US10318729B2 (en) 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
US10999324B2 (en) 2017-08-01 2021-05-04 Forcepoint, LLC Direct-connect web endpoint
US10764295B2 (en) * 2017-08-08 2020-09-01 International Business Machines Corporation Monitoring service policy management
US10063434B1 (en) 2017-08-29 2018-08-28 Extrahop Networks, Inc. Classifying applications or activities based on network behavior
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US11017126B2 (en) * 2017-12-19 2021-05-25 Western Digital Technologies, Inc. Apparatus and method of detecting potential security violations of direct access non-volatile memory device
US11061799B1 (en) 2017-12-28 2021-07-13 Cerner Innovation, Inc. Log analysis application
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10264003B1 (en) * 2018-02-07 2019-04-16 Extrahop Networks, Inc. Adaptive network monitoring with tuneable elastic granularity
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US10652266B1 (en) * 2018-02-28 2020-05-12 Amazon Technologies, Inc. Automated threat modeling using machine-readable threat models
US11044271B1 (en) * 2018-03-15 2021-06-22 NortonLifeLock Inc. Automatic adaptive policy based security
US10958649B2 (en) * 2018-03-21 2021-03-23 Akamai Technologies, Inc. Systems and methods for internet-wide monitoring and protection of user credentials
US10789355B1 (en) * 2018-03-28 2020-09-29 Proofpoint, Inc. Spammy app detection systems and methods
US11303667B2 (en) * 2018-04-25 2022-04-12 Illusive Networks Ltd Organization attack surface management
US10116679B1 (en) 2018-05-18 2018-10-30 Extrahop Networks, Inc. Privilege inference and monitoring based on network behavior
US10887307B1 (en) * 2018-06-25 2021-01-05 Ca, Inc. Systems and methods for identifying users
US11108823B2 (en) 2018-07-31 2021-08-31 International Business Machines Corporation Resource security system using fake connections
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US11025641B2 (en) * 2018-08-21 2021-06-01 Bank Of America Corporation System for optimizing access control for server privilege
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US11310237B2 (en) 2018-08-28 2022-04-19 Cobalt Iron, Inc. Dynamic authorization control system and method
US10999290B2 (en) 2018-08-28 2021-05-04 Cobalt Iron, Inc. Dynamic authorization control system and method
US11500997B1 (en) * 2018-09-20 2022-11-15 Bentley Systems, Incorporated ICS threat modeling and intelligence framework
CN110943961B (zh) 2018-09-21 2022-06-21 阿里巴巴集团控股有限公司 数据处理方法、设备以及存储介质
US11012468B2 (en) * 2018-10-30 2021-05-18 Okta, Inc. Detecting and responding to attempts to gain unauthorized access to user accounts in an online system
CN114827009A (zh) 2018-11-02 2022-07-29 华为技术有限公司 处理路由事件记录表项的方法、网络设备和控制设备
US10904250B2 (en) * 2018-11-07 2021-01-26 Verizon Patent And Licensing Inc. Systems and methods for automated network-based rule generation and configuration of different network devices
US10885186B2 (en) 2018-11-13 2021-01-05 Forcepoint, LLC System and method for operating a protected endpoint device
US11132109B2 (en) 2019-05-08 2021-09-28 EXFO Solutions SAS Timeline visualization and investigation systems and methods for time lasting events
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11233754B2 (en) * 2019-06-11 2022-01-25 Livechat Software S.A Real-time chat message preview enabling to view the message during the writing process
US11632373B2 (en) * 2019-06-18 2023-04-18 Microsoft Technology Licensing, Llc Activity based authorization for accessing and operating enterprise infrastructure
GB201910654D0 (en) * 2019-07-25 2019-09-11 Palantir Technologies Inc System event detection system and method
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
CN110471655B (zh) * 2019-08-19 2023-08-01 浪潮云信息技术股份公司 一种对象存储中Bucket权限的图形化展示与验证方法
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11388175B2 (en) * 2019-09-05 2022-07-12 Cisco Technology, Inc. Threat detection of application traffic flows
CN111178064B (zh) * 2019-12-13 2022-11-29 深圳平安医疗健康科技服务有限公司 基于字段分词处理的信息推送方法、装置和计算机设备
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
CN111327607B (zh) * 2020-02-13 2022-11-01 重庆特斯联智慧科技股份有限公司 一种基于大数据的安全威胁情报管理方法、系统、存储介质及终端
KR102156891B1 (ko) 2020-02-25 2020-09-16 주식회사 에프원시큐리티 인공지능 머신러닝 행위 기반 웹 프로토콜 분석을 통한 웹 공격 탐지 및 차단 시스템 및 방법
CN111447202B (zh) * 2020-03-24 2021-03-30 江苏易安联网络技术有限公司 一种安全策略可视化编排系统
CN111562930A (zh) * 2020-04-30 2020-08-21 深圳壹账通智能科技有限公司 web应用安全的升级方法与系统
US20220046063A1 (en) * 2020-08-09 2022-02-10 Ericom Software Ltd. System and method for creating access control policies for individual users, user groups, network host or network host groups through network traffic analysis
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
WO2022066910A1 (en) 2020-09-23 2022-03-31 Extrahop Networks, Inc. Monitoring encrypted network traffic
CN113395251A (zh) * 2021-01-20 2021-09-14 腾讯科技(深圳)有限公司 一种机器学习安全场景检测方法及装置
US11941020B2 (en) 2021-02-26 2024-03-26 Micro Focus Llc Displaying query results using machine learning model-determined query results visualizations
US11902284B2 (en) 2021-03-05 2024-02-13 Sap Se Tenant user management in cloud database operation
US11838275B2 (en) 2021-03-12 2023-12-05 Forcepoint Llc Web endpoint device having automatic switching between proxied and non-proxied communication modes
US11216580B1 (en) 2021-03-12 2022-01-04 Snowflake Inc. Secure machine learning using shared data in a distributed database
US11526617B2 (en) 2021-03-24 2022-12-13 Bank Of America Corporation Information security system for identifying security threats in deployed software package
US11868500B2 (en) 2021-03-24 2024-01-09 International Business Machines Corporation Fine-grained access control of column-major relational database management systems
US20220335155A1 (en) * 2021-04-16 2022-10-20 Bank Of America Corporation Insight Generation Using Personal Identifiable Information (PII) Footprint Modeling
US20220385668A1 (en) * 2021-05-28 2022-12-01 Capital One Services, Llc Evaluation of effective access permissions in identity and access management (iam) systems
US11902282B2 (en) 2021-05-28 2024-02-13 Capital One Services, Llc Validating compliance of roles with access permissions
US20220400127A1 (en) * 2021-06-09 2022-12-15 Microsoft Technology Licensing, Llc Anomalous user activity timing determinations
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
GB2609193A (en) 2021-07-19 2023-02-01 Nchain Licensing Ag Enforcing conditions on blockchain transactions
GB2609194A (en) 2021-07-19 2023-02-01 Nchain Licensing Ag Enforcing conditions on blockchain transactions
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11818101B2 (en) * 2021-10-11 2023-11-14 Cisco Technology, Inc. Context-based path selection for VPN clients to facilitate remote access to network-based applications
US20230115982A1 (en) * 2021-10-13 2023-04-13 Zscaler, Inc. Generating zero-trust policy for application access using machine learning
US20230129276A1 (en) * 2021-10-25 2023-04-27 International Business Machines Corporation Automatic Resource Access Policy Generation and Implementation
US20230224275A1 (en) * 2022-01-12 2023-07-13 Bank Of America Corporation Preemptive threat detection for an information system
US20230247088A1 (en) * 2022-02-02 2023-08-03 Oracle International Corporation Multi-cloud infrastructure-database adaptor
WO2023150522A1 (en) 2022-02-02 2023-08-10 Oracle International Corporation Enhanced network-link architecture for improved end-to-end latency in communication between different cloud environments
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
WO2023233580A1 (ja) * 2022-06-01 2023-12-07 日本電信電話株式会社 検知対処制御システム、検知対処制御方法、ハードウェアアクセラレータ、コントローラ、および、プログラム
WO2024017786A1 (en) 2022-07-22 2024-01-25 Nchain Licensing Ag Proving and verifying input data

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050108568A1 (en) 2003-11-14 2005-05-19 Enterasys Networks, Inc. Distributed intrusion response system
CN104065622A (zh) 2013-03-20 2014-09-24 腾讯科技(深圳)有限公司 网络设备的安全预警方法及装置
JP2015216549A (ja) 2014-05-12 2015-12-03 富士通株式会社 表示方法、表示装置および表示プログラム

Family Cites Families (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001084775A2 (en) * 2000-04-28 2001-11-08 Internet Security Systems, Inc. System and method for managing security events on a network
US8990723B1 (en) * 2002-12-13 2015-03-24 Mcafee, Inc. System, method, and computer program product for managing a plurality of applications via a single interface
GB2405229B (en) * 2003-08-19 2006-01-11 Sophos Plc Method and apparatus for filtering electronic mail
US8582567B2 (en) 2005-08-09 2013-11-12 Avaya Inc. System and method for providing network level and nodal level vulnerability protection in VoIP networks
US7440406B2 (en) * 2004-12-29 2008-10-21 Korea University Industry & Academy Cooperation Foundation Apparatus for displaying network status
CA2531410A1 (en) 2005-12-23 2007-06-23 Snipe Network Security Corporation Behavioural-based network anomaly detection based on user and group profiling
US7970746B2 (en) * 2006-06-13 2011-06-28 Microsoft Corporation Declarative management framework
FI20060665A0 (fi) 2006-07-07 2006-07-07 Nokia Corp Poikkeavuuden havaitseminen
US7783666B1 (en) 2007-09-26 2010-08-24 Netapp, Inc. Controlling access to storage resources by using access pattern based quotas
US7912965B2 (en) 2007-10-12 2011-03-22 Informed Control Inc. System and method for anomalous directory client activity detection
US9338176B2 (en) 2008-01-07 2016-05-10 Global Dataguard, Inc. Systems and methods of identity and access management
US8756650B2 (en) 2010-03-15 2014-06-17 Broadcom Corporation Dynamic authentication of a user
US8600875B2 (en) 2010-04-12 2013-12-03 Visa International Service Association Authentication process using search technology
US8712596B2 (en) * 2010-05-20 2014-04-29 Accenture Global Services Limited Malicious attack detection and analysis
US9419841B1 (en) 2011-06-29 2016-08-16 Amazon Technologies, Inc. Token-based secure data management
US9058486B2 (en) 2011-10-18 2015-06-16 Mcafee, Inc. User behavioral risk assessment
US8839349B2 (en) * 2011-10-18 2014-09-16 Mcafee, Inc. Integrating security policy and event management
WO2013149257A1 (en) 2012-03-30 2013-10-03 Goldman, Sachs & Co. Secure mobile framework
US9501613B1 (en) 2012-04-24 2016-11-22 Alarm.Com Incorporated Health and wellness management technology
US9497212B2 (en) 2012-05-21 2016-11-15 Fortinet, Inc. Detecting malicious resources in a network based upon active client reputation monitoring
EP2880820A4 (en) 2012-07-31 2016-03-23 Hewlett Packard Development Co PATTERN CONSOLIDATION FOR THE IDENTIFICATION OF MISSING ACTIVITIES
US9515892B2 (en) 2012-09-12 2016-12-06 Tekelec, Inc. Methods, systems, and computer readable media for providing diameter traffic estimator
US9401924B2 (en) 2012-12-20 2016-07-26 At&T Intellectual Property I, L.P. Monitoring operational activities in networks and detecting potential network intrusions and misuses
US11321784B2 (en) 2013-03-06 2022-05-03 AppZen, Inc. Methods and systems for automatically detecting fraud and compliance issues in expense reports and invoices
US10313345B2 (en) 2013-03-11 2019-06-04 Amazon Technologies, Inc. Application marketplace for virtual desktops
US9166993B1 (en) 2013-07-25 2015-10-20 Symantec Corporation Anomaly detection based on profile history and peer history
US10063654B2 (en) 2013-12-13 2018-08-28 Oracle International Corporation Systems and methods for contextual and cross application threat detection and prediction in cloud applications
CN104933049B (zh) 2014-03-17 2019-02-19 华为技术有限公司 生成数字人的方法及系统
US9721212B2 (en) 2014-06-04 2017-08-01 Qualcomm Incorporated Efficient on-device binary analysis for auto-generated behavioral models
US9942158B2 (en) * 2014-09-25 2018-04-10 Dell Products L.P. Data traffic policy management system
RU2580432C1 (ru) 2014-10-31 2016-04-10 Общество С Ограниченной Ответственностью "Яндекс" Способ для обработки запроса от потенциального несанкционированного пользователя на доступ к ресурсу и серверу, используемый в нем
US9531757B2 (en) * 2015-01-20 2016-12-27 Cisco Technology, Inc. Management of security policies across multiple security products
US20180027006A1 (en) * 2015-02-24 2018-01-25 Cloudlock, Inc. System and method for securing an enterprise computing environment
US10101244B2 (en) 2015-03-02 2018-10-16 Ca, Inc. Self-learning simulation environments
US10412106B2 (en) 2015-03-02 2019-09-10 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information
US10142353B2 (en) * 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
CN104951539B (zh) * 2015-06-19 2017-12-22 成都艾尔普科技有限责任公司 互联网数据中心有害信息监测系统
US10192065B2 (en) 2015-08-31 2019-01-29 Commvault Systems, Inc. Automated intelligent provisioning of data storage resources in response to user requests in a data storage management system
US20170126727A1 (en) * 2015-11-03 2017-05-04 Juniper Networks, Inc. Integrated security system having threat visualization
CN105303324B (zh) * 2015-11-10 2019-11-19 中国建设银行股份有限公司 一种信息系统参数管理方法和装置
US20170140278A1 (en) 2015-11-18 2017-05-18 Ca, Inc. Using machine learning to predict big data environment performance
US9876825B2 (en) 2016-02-04 2018-01-23 Amadeus S.A.S. Monitoring user authenticity
EP3513543B1 (en) 2016-09-16 2021-05-12 Oracle International Corporation Dynamic policy injection and access visualization for threat detection
US10721239B2 (en) 2017-03-31 2020-07-21 Oracle International Corporation Mechanisms for anomaly detection and access management
US10757103B2 (en) 2017-04-11 2020-08-25 Xage Security, Inc. Single authentication portal for diverse industrial network protocols across multiple OSI layers
WO2018195280A1 (en) * 2017-04-21 2018-10-25 Walmart Apollo, Llc Virtual reality network management user interface
US10812342B2 (en) * 2017-04-28 2020-10-20 Hewlett Packard Enterprise Development Lp Generating composite network policy
US11178182B2 (en) 2018-04-20 2021-11-16 Sailpoint Technologies, Inc. Automated access control management for computing systems

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050108568A1 (en) 2003-11-14 2005-05-19 Enterasys Networks, Inc. Distributed intrusion response system
CN104065622A (zh) 2013-03-20 2014-09-24 腾讯科技(深圳)有限公司 网络设备的安全预警方法及装置
JP2015216549A (ja) 2014-05-12 2015-12-03 富士通株式会社 表示方法、表示装置および表示プログラム

Also Published As

Publication number Publication date
CN109792439B (zh) 2021-08-27
US20180084012A1 (en) 2018-03-22
JP2023175878A (ja) 2023-12-12
EP3513543A1 (en) 2019-07-24
CN109792439A (zh) 2019-05-21
US20180084011A1 (en) 2018-03-22
WO2018053337A1 (en) 2018-03-22
EP3513543B1 (en) 2021-05-12
US10547646B2 (en) 2020-01-28
US10432671B2 (en) 2019-10-01
JP7088913B2 (ja) 2022-06-21
US10447738B2 (en) 2019-10-15
JP2022126712A (ja) 2022-08-30
JP2019535068A (ja) 2019-12-05
US11516255B2 (en) 2022-11-29
US20200120141A1 (en) 2020-04-16
US20180084010A1 (en) 2018-03-22

Similar Documents

Publication Publication Date Title
JP7358564B2 (ja) 脅威を検出するための動的ポリシーの導入およびアクセスの可視化
US11265329B2 (en) Mechanisms for anomaly detection and access management
CN113949557B (zh) 在计算环境中监视特权用户和检测异常活动的方法、系统、介质
US11368481B2 (en) Techniques for discovering and managing security of applications
US11930024B2 (en) Detecting behavior anomalies of cloud users

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220624

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220624

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230829

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230927

R150 Certificate of patent or registration of utility model

Ref document number: 7358564

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150