JP7408530B2 - Security management system and security management method - Google Patents

Security management system and security management method Download PDF

Info

Publication number
JP7408530B2
JP7408530B2 JP2020189129A JP2020189129A JP7408530B2 JP 7408530 B2 JP7408530 B2 JP 7408530B2 JP 2020189129 A JP2020189129 A JP 2020189129A JP 2020189129 A JP2020189129 A JP 2020189129A JP 7408530 B2 JP7408530 B2 JP 7408530B2
Authority
JP
Japan
Prior art keywords
information
ioc
analysis
security management
management system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020189129A
Other languages
Japanese (ja)
Other versions
JP2022078447A (en
Inventor
貴大 片山
倫宏 重本
信隆 川口
暁彦 杉本
翔太 藤井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2020189129A priority Critical patent/JP7408530B2/en
Publication of JP2022078447A publication Critical patent/JP2022078447A/en
Application granted granted Critical
Publication of JP7408530B2 publication Critical patent/JP7408530B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、セキュリティ管理システム、及びセキュリティ管理方法に関する。 The present invention relates to a security management system and a security management method.

特許文献1には、危殆化のインジケータであるIoC(Indicator of Compromise)を複
数のセキュリティデータプロバイダから取得し、取得したIoCを使用して、コンピュータシステムから受信したテレメトリデータにおけるセキュリティ脅威の存在を検出することが記載されている。 Patent Document 1 discloses a method of acquiring IoC (Indicator of Compromise), which is an indicator of compromise, from a plurality of security data providers, and using the acquired IoC to detect the existence of a security threat in telemetry data received from a computer system. It is stated that

特許文献2には、SNS(Social Networking Service)における投稿の評価をサイバ
ー脅威インテリジェンスの信頼性に反映させる機能を有する情報処理装置について記載されている。情報処理装置は、サイバー攻撃に関する情報(投稿情報に含まれているサイバー攻撃に関する単語やフレーズ等)を取得すると、取得した情報をサイバー攻撃に関する情報の取得源に基づく信頼度と対応付けて記憶し、当該情報に対応する投稿情報が情報処理端末からアップロードされたことを検知すると、上記投稿情報にかかる信頼度に応じてサイバー攻撃に関する情報に対応付けられた信頼度を更新する。 Patent Document 2 describes an information processing device that has a function of reflecting the evaluation of posts on SNS (Social Networking Service) in the reliability of cyber threat intelligence. When the information processing device acquires information related to cyber attacks (words and phrases related to cyber attacks included in posted information, etc.), the information processing device stores the acquired information in association with reliability based on the source of the information regarding cyber attacks. , upon detecting that posted information corresponding to the information has been uploaded from an information processing terminal, updates the reliability associated with the information regarding the cyber attack according to the reliability of the posted information.

特表2020-503635号公報Special Publication No. 2020-503635 特開2019-101672号公報JP 2019-101672 Publication

情報処理システムにおけるセキュリティ管理の手法としてOSINT(Open Source INTelligence)が注目されている。セキュリティ管理においては情報の鮮度が重要であり、鮮度の高い情報がやり取りされるSNS、同業他社から提供されるインシデントチケット、ニュース記事等から取得される、広汎な情報や非定期に発せられる情報を積極的に活用することが有効である。 OSINT (Open Source INTelligence) is attracting attention as a security management method for information processing systems. Freshness of information is important in security management, and it is important to keep a wide range of information and irregularly published information obtained from SNS where highly fresh information is exchanged, incident tickets provided by other companies in the same industry, news articles, etc. It is effective to make active use of it.

特許文献1では、IoCを提供する外部機関からIoCを取得することで監視対象のシステムに対する侵害を検知する。しかし同文献では、OSINTの活用については考慮されていない。また、監視対象がサイバー攻撃を受けた際は多数のIoCが取得される(例えば、マルウエアの感染先ごとに複数のIPアドレスやハッシュ値が取得される等)可能性があるが、同文献の方法では、取得した複数のIoCが同じサイバー攻撃に起因するか否かを関連付けるために多くの工数を必要であり、分析者の負担が大きい。 In Patent Document 1, a violation of a system to be monitored is detected by acquiring an IoC from an external organization that provides the IoC. However, this document does not consider the use of OSINT. Furthermore, when a monitoring target suffers a cyber attack, there is a possibility that a large number of IoCs will be obtained (for example, multiple IP addresses and hash values will be obtained for each destination of malware infection), but in the same document, This method requires a lot of man-hours to correlate whether or not multiple acquired IoCs are caused by the same cyber attack, which places a heavy burden on the analyst.

特許文献2に記載の技術は、SNSの投稿情報に含まれているサイバー攻撃に関する単語やフレーズをサイバー攻撃に関する情報として活用している。しかしサイバー攻撃に関する情報の確認は人間系が行っており、取得された膨大な情報の中からセキュリティに関する情報を抽出するには専門的な知識や経験を有する多くの要員が必要となる。 The technology described in Patent Document 2 utilizes words and phrases related to cyber attacks included in posted information on SNS as information related to cyber attacks. However, information regarding cyberattacks is checked by humans, and many personnel with specialized knowledge and experience are required to extract security information from the vast amount of information obtained.

本発明はこのような背景に基づきなされたものであり、様々な情報源から取得される情報を有効に利用してセキュリティ侵害を効率よく確実に検知することが可能な、セキュリティ管理システム、及びセキュリティ管理方法を提供することを目的とする。 The present invention has been made based on this background, and provides a security management system and security system that can efficiently and reliably detect security violations by effectively utilizing information obtained from various information sources. The purpose is to provide a management method.

上記目的を達成するための本発明の一つは、情報処理装置を用いて構成されるセキュリティ管理システムであって、情報提供元から取得したセキュリティインテリジェンスからIoC情報を抽出するIoC情報抽出部と、抽出した前記IoC情報に、当該IoC情報の種類を示す情報である属性ラベルを付与するIoC属性付与部と、前記IoC属性付与部が付与した複数の前記IoC情報同士の関連性を夫々の前記属性ラベルに基づき特定し、特定した関連性を示す情報を前記IoC情報に付与して記憶する関連性付与部と、セキュリティ侵害の監視対象から取得されるログ情報を管理する監視対象ログデータベースと、前記ログ情報からIoC情報を抽出し、抽出した前記IoC情報に前記属性ラベルを付与するとともに、当該属性ラベルが付与された前記IoC情報に基づき、分析の対象とする情報である分析対象を生成するパーサー部と、前記IoC情報抽出部が、情報提供元から新たに取得されたセキュリティインテリジェンスに基づき抽出した新たなIoC情報について、関連する他のIoC情報を取得する関連IoC取得部と、前記新たなIoC情報と前記他のIoC情報の夫々に基づき、前記分析対象の検索に用いるクエリを生成する分析クエリ生成部と、前記クエリを用いて前記分析対象を検索し、検索結果に基づきセキュリティ侵害の有無を分析し、前記分析の結果に関する情報である分析結果を生成する突合分析部と、を備える。 One of the present inventions for achieving the above object is a security management system configured using an information processing device, which includes an IoC information extraction unit that extracts IoC information from security intelligence acquired from an information provider; An IoC attribute assigning unit that assigns an attribute label, which is information indicating the type of the IoC information, to the extracted IoC information; and an IoC attribute assigning unit that assigns an attribute label, which is information indicating the type of the IoC information, to the extracted IoC information; a relevance adding unit that identifies the IoC information based on a label and stores information indicating the identified relationship; a monitoring target log database that manages log information obtained from a security violation monitoring target; A parser that extracts IoC information from log information, adds the attribute label to the extracted IoC information, and generates an analysis target, which is information to be analyzed, based on the IoC information to which the attribute label has been added. a related IoC acquisition unit that acquires other IoC information related to the new IoC information extracted by the IoC information extraction unit based on security intelligence newly acquired from an information provider; an analysis query generation unit that generates a query to be used for searching the analysis target based on the information and the other IoC information, and searching for the analysis target using the query and determining whether there is a security violation based on the search result. and a matching analysis unit that performs analysis and generates an analysis result that is information regarding the result of the analysis.

その他、本願が開示する課題、及びその解決方法は、発明を実施するための形態の欄、及び図面により明らかにされる。 Other problems disclosed in the present application and methods for solving the problems will be made clear by the detailed description section and the drawings.

本発明によれば、様々な情報源から取得される情報を有効に利用してセキュリティ侵害を効率よく確実に検知することができる。 According to the present invention, security violations can be efficiently and reliably detected by effectively utilizing information obtained from various information sources.

セキュリティ管理システムの概略的な構成を示す図である。1 is a diagram showing a schematic configuration of a security management system. セキュリティ管理システムを構成する情報処理装置のハードウェア構成の一例を示す図である。1 is a diagram illustrating an example of a hardware configuration of an information processing device that constitutes a security management system. メイン処理を説明するフローチャートである。It is a flowchart explaining main processing. IoC情報生成処理を説明するフローチャートである。It is a flowchart explaining IoC information generation processing. 収集先管理TBLの一例である。This is an example of a collection destination management TBL. IoC情報TBLの一例である。This is an example of the IoC information TBL. ログ情報分析処理を説明するフローチャートである。It is a flowchart explaining log information analysis processing. 分析対象TBLの一例である。This is an example of an analysis target TBL. 分析ルールTBLの一例である。This is an example of the analysis rule TBL. 分析結果TBLの一例である。This is an example of an analysis result TBL. 分析結果通知画面の一例である。This is an example of an analysis result notification screen. IoC情報照会画面の一例である。This is an example of an IoC information inquiry screen.

以下、図面を参照して本発明の実施形態を説明する。尚、以下の記載及び図面は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略や簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。とくに限定しない限り、各構成要素は単数でも複数でも構わない。 Embodiments of the present invention will be described below with reference to the drawings. Note that the following description and drawings are examples for explaining the present invention, and are omitted or simplified as appropriate to clarify the explanation. The present invention can also be implemented in various other forms. Unless otherwise specified, each component may be singular or plural.

以下の説明において、同一の又は類似する構成に同一の符号を付して重複した説明を省略することがある。また、以下の説明では、「情報」、「テーブル」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されていてもよい。また、識別情報の表現として、「識別情報」、「識別子」、「名」、「ID」、「番号」等の表現があるが、これらについてはお互いに置換が可能である。また、以下の説明
において、「データベース」のことを「DB」と、「テーブル」のことを「TBL」と、夫々表記することがある。 In the following description, the same or similar components may be given the same reference numerals and redundant descriptions may be omitted. Further, in the following description, various information may be described using expressions such as "information" and "table", but various information may be expressed using data structures other than these. In addition, as expressions of identification information, there are expressions such as "identification information", "identifier", "name", "ID", and "number", but these expressions can be replaced with each other. Furthermore, in the following description, a "database" may be referred to as "DB" and a "table" may be referred to as "TBL".

図1に、一実施形態として説明する情報処理システム(以下、「セキュリティ管理システム1」と称する。)の概略的な構成(機能ブロック図)を示している。同図に示すように、セキュリティ管理システム1は、インテリジェンス生成装置100、ログ分析装置200、監視対象14、管理者端末15、及び利用者端末16を含む。 FIG. 1 shows a schematic configuration (functional block diagram) of an information processing system (hereinafter referred to as "security management system 1") described as an embodiment. As shown in the figure, the security management system 1 includes an intelligence generation device 100, a log analysis device 200, a monitoring target 14, an administrator terminal 15, and a user terminal 16.

セキュリティ管理システム1は、監視対象14において生成される各種のログ情報を取得して分析することにより、監視対象14におけるセキュリティ侵害の有無を検知する。監視対象14の種類はとくに限定されないが、例えば、企業や官公庁等の組織において運用されている情報通信システムを構成している情報処理装置(サーバ装置、クライアント装置、ネットワーク機器等)や、各種の現場(工場、倉庫、配送センタ等)に設けられている通信機器やIoT機器である。 The security management system 1 detects whether there is a security violation in the monitored target 14 by acquiring and analyzing various types of log information generated in the monitored target 14. The types of monitoring targets 14 are not particularly limited, but include, for example, information processing devices (server devices, client devices, network devices, etc.) that constitute information communication systems operated by organizations such as companies and government offices, and various types of monitoring targets 14. These are communication devices and IoT devices installed at sites (factories, warehouses, distribution centers, etc.).

インテリジェンス生成装置100は、通信ネットワーク10を介して、危殆化のインジケータであるIoC(Indicator of Compromise)を提供するプロバイダ(以下、「IoC
プロバイダ11」と称する。)、ニュース配信サイト12、SNS13等の外部機関から、サイバー攻撃に関する情報等のセキュリティに関する情報(以下、「セキュリティインテリジェンス」と称する。)を収集する。以下、セキュリティインテリジェンスの提供元のことを「情報提供元」とも称する。 The intelligence generation device 100 communicates with a provider (hereinafter referred to as “IoC
provider 11." ), news distribution site 12, SNS 13, and other external organizations to collect security-related information (hereinafter referred to as "security intelligence") such as information related to cyber attacks. Hereinafter, the security intelligence provider will also be referred to as the "information provider".

インテリジェンス生成装置100は、管理者端末15及び利用者端末16と通信可能に接続されている。管理者端末15は、例えば、セキュリティ管理システム1の管理者等のユーザによって操作される。また、利用者端末16は、例えば、セキュリティ管理システム1の利用者等のユーザによって操作される。 The intelligence generation device 100 is communicably connected to an administrator terminal 15 and a user terminal 16. The administrator terminal 15 is operated by a user such as an administrator of the security management system 1, for example. Further, the user terminal 16 is operated by a user such as a user of the security management system 1, for example.

インテリジェンス生成装置100によって収集されたセキュリティインテリジェンスは、ログ分析装置200によるログ情報の分析に用いられる。また、収集されたセキュリティインテリジェンスは、利用者端末16を介して行われる情報検索サービスや情報閲覧サービスによってユーザに提供される。 The security intelligence collected by the intelligence generation device 100 is used by the log analysis device 200 to analyze log information. Further, the collected security intelligence is provided to the user through an information search service and an information viewing service performed via the user terminal 16.

同図に示すように、インテリジェンス生成装置100は、クローラ管理部101、クローラ部102、IoC情報抽出部103、IoC属性付与部104、関連性付与部105、IoC情報提供部106、収集先管理DB300、及び収集データ保管DB400の各機能を備える。これらの機能の詳細については後述する。 As shown in the figure, the intelligence generation device 100 includes a crawler management section 101, a crawler section 102, an IoC information extraction section 103, an IoC attribute assignment section 104, a relevance assignment section 105, an IoC information provision section 106, and a collection destination management DB 300. , and a collected data storage DB 400. Details of these functions will be described later.

ログ分析装置200は、インテリジェンス生成装置100、監視対象14、及び利用者端末16と通信可能に接続している。ログ分析装置200は、インテリジェンス生成装置100がセキュリティインテリジェンスに基づき生成した情報を、監視対象14から送られてくるログ情報と突き合わせる(対照する)ことにより、監視対象14におけるセキュリティ侵害の有無を分析する。 The log analysis device 200 is communicably connected to the intelligence generation device 100, the monitoring target 14, and the user terminal 16. The log analysis device 200 analyzes whether there is a security violation in the monitored target 14 by matching (contrasting) the information generated by the intelligence generation device 100 based on security intelligence with the log information sent from the monitored target 14. do.

ログ分析装置200は、利用者端末16を介してユーザから監視対象14に関する情報を受け付ける。また、ログ分析装置200は、サイバー攻撃の痕跡等の情報を利用者端末16を介してユーザに提供する。 The log analysis device 200 receives information regarding the monitoring target 14 from the user via the user terminal 16. Additionally, the log analysis device 200 provides information such as traces of cyber attacks to the user via the user terminal 16.

同図に示すように、ログ分析装置200は、ルール管理部201、ログ転送部202、パーサー部203、関連IoC取得部204、分析ルール取得部205、分析クエリ生成部206、突合分析部207、通知部208、監視対象ログDB500、ルールDB60
0、及び結果保管DB700の各機能を備える。これらの機能の詳細については後述する。 As shown in the figure, the log analysis device 200 includes a rule management section 201, a log transfer section 202, a parser section 203, a related IoC acquisition section 204, an analysis rule acquisition section 205, an analysis query generation section 206, a matching analysis section 207, Notification unit 208, monitoring target log DB 500, rule DB 60
0, and result storage DB 700. Details of these functions will be described later.

図2は、インテリジェンス生成装置100、ログ分析装置200、管理者端末15、及び利用者端末16の構成に用いる情報処理装置20のハードウェア構成の一例である。情報処理装置20は、プロセッサ21、主記憶装置22、通信装置23、入力装置24、出力装置25、及び補助記憶装置26を備える。 FIG. 2 is an example of the hardware configuration of the information processing device 20 used to configure the intelligence generation device 100, the log analysis device 200, the administrator terminal 15, and the user terminal 16. The information processing device 20 includes a processor 21 , a main storage device 22 , a communication device 23 , an input device 24 , an output device 25 , and an auxiliary storage device 26 .

尚、例示する情報処理装置20は、その全部又は一部が、例えば、クラウドシステムによって提供される仮想サーバのように、仮想化技術やプロセス空間分離技術等を用いて提供される仮想的な情報処理資源を用いて実現されるものであってもよい。また、情報処理装置20によって提供される機能の全部又は一部は、例えば、クラウドシステムがAPI(Application Programming Interface)等を介して提供するサービスによって実現して
もよい。また、情報処理装置20によって提供される機能の全部又は一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)等を利用して実現されるものであってもよい。 Note that the illustrated information processing device 20 is based on virtual information provided using virtualization technology, process space separation technology, etc., such as a virtual server provided by a cloud system, in whole or in part. It may also be realized using processing resources. Further, all or part of the functions provided by the information processing device 20 may be realized by, for example, a service provided by a cloud system via an API (Application Programming Interface) or the like. Further, all or part of the functions provided by the information processing device 20 may be realized using, for example, SaaS (Software as a Service), PaaS (Platform as a Service), IaaS (Infrastructure as a Service), etc. It may be something that

プロセッサ21は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、AI(Artificial Intelligence)チップ、FPGA(Field Programmable Gate Array)、SoC(System on Chip)、ASIC(Application Specific Integrated Circuit)等を用いて構成される。 The processor 21 is, for example, a CPU (Central Processing Unit), an MPU (Micro Processing Unit), a GPU (Graphics Processing Unit), an AI (Artificial Intelligence) chip, an FPGA (Field Programmable Gate Array), an SoC (System on Chip), or an ASIC. (Application Specific Integrated Circuit) etc.

主記憶装置22は、プログラムやデータを記憶する装置であり、例えば、ROM(Read
Only Memory)、RAM(Random Access Memory)、不揮発性メモリ(NVRAM(Non Volatile RAM))等である。 The main storage device 22 is a device that stores programs and data, and is, for example, a ROM (Read
RAM (Random Access Memory), nonvolatile memory (NVRAM (Non Volatile RAM)), etc.

通信装置23は、通信ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)、インターネット、専用線、公衆通信網等)を介して、他の情報処理装置
(スマートフォン、タブレット、ノートブック型コンピュータ、各種携帯情報端末等)や外部のIoT機器との間で通信を行う装置であり、無線又は有線の通信モジュール(無線通信モジュール、通信ネットワークアダプタ、USBモジュール等)である。 The communication device 23 communicates with other information processing devices (smartphones, tablets, notebook computers, etc.) via a communication network (LAN (Local Area Network), WAN (Wide Area Network), Internet, leased line, public communication network, etc.). , various mobile information terminals, etc.) and external IoT devices, and is a wireless or wired communication module (wireless communication module, communication network adapter, USB module, etc.).

入力装置24は、ユーザからの入力や外部の装置からのデータ入力を受け付けるユーザインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、音声入力装置(例えば、マイクロフォン)等である。 The input device 24 is a user interface that accepts input from a user or data input from an external device, and is, for example, a keyboard, a mouse, a touch panel, a card reader, a voice input device (for example, a microphone), or the like.

出力装置25は、各種情報を、画像によって出力する表示装置、音声によって出力する音声出力装置、紙媒体に印刷する印刷装置等である。 The output device 25 is a display device that outputs various information as an image, an audio output device that outputs audio, a printing device that prints on a paper medium, or the like.

補助記憶装置26は、プログラムやデータを格納する装置であり、例えば、SSD(Solid State Drive)、ハードディスクドライブ、光学式記憶媒体(CD(Compact Disc)
、DVD(Digital Versatile Disc)等)、ICカード、SDカード等である。補助記憶装置26の全部又は一部は、クラウドが提供する仮想的な記憶領域等であってもよい。補助記憶装置26には、セキュリティ管理システム1の機能を実現するためのプログラムやデータが格納されている。プログラムやデータは、記録媒体の読取装置や通信装置23を介して補助記憶装置26に読み込むことができる。補助記憶装置26に格納(記憶)されているプログラムやデータは主記憶装置22に随時読み込まれる。プロセッサ21は、補助記憶装置26に格納されているプログラムを主記憶装置22に読み出して実行することにより各種の機能を実現する。 The auxiliary storage device 26 is a device that stores programs and data, and includes, for example, an SSD (Solid State Drive), a hard disk drive, and an optical storage medium (CD (Compact Disc)).
, DVD (Digital Versatile Disc), etc.), IC card, SD card, etc. All or part of the auxiliary storage device 26 may be a virtual storage area provided by a cloud. The auxiliary storage device 26 stores programs and data for realizing the functions of the security management system 1. Programs and data can be read into the auxiliary storage device 26 via the recording medium reading device and the communication device 23. Programs and data stored in the auxiliary storage device 26 are read into the main storage device 22 at any time. The processor 21 implements various functions by reading programs stored in the auxiliary storage device 26 into the main storage device 22 and executing them.

情報処理装置20には、例えば、オペレーティングシステム、ファイルシステム、DBMS(DataBase Management System)(リレーショナルデータベース、NoSQL等)、KVS(Key-Value Store)等が導入されていてもよい。 For example, an operating system, a file system, a DBMS (DataBase Management System) (relational database, NoSQL, etc.), a KVS (Key-Value Store), etc. may be installed in the information processing device 20.

図3は、セキュリティ管理システム1において行われる主な処理(以下、「メイン処理」と称する。)を説明するフローチャートである。以下、同図とともにメイン処理について説明する。 FIG. 3 is a flowchart illustrating main processing (hereinafter referred to as "main processing") performed in the security management system 1. The main processing will be explained below with reference to the same figure.

インテリジェンス生成装置100は、情報提供元からセキュリティインテリジェンスを収集し、収集したセキュリティインテリジェンスに基づき、ログ分析装置200がログ情報の分析に際して用いる情報(以下、「IoC情報TBL401」と称する。)を生成する処理を行う。以下、上記の処理のことを「IoC情報生成処理S1」と称する。 The intelligence generation device 100 collects security intelligence from information providers, and based on the collected security intelligence, generates information (hereinafter referred to as "IoC information TBL 401") that the log analysis device 200 uses when analyzing log information. Perform processing. Hereinafter, the above process will be referred to as "IoC information generation process S1."

ログ分析装置200は、監視対象14から新たなログ情報を取得した場合や利用者端末16を介してユーザから指示があった場合等、ログ情報を分析するタイミングが到来すると(S2:YES)、ログ情報を分析する処理を行う。以下、上記の処理のことを「ログ情報分析処理S3」と称する。 When the timing to analyze log information arrives, such as when new log information is acquired from the monitoring target 14 or when there is an instruction from the user via the user terminal 16, the log analysis device 200 analyzes the log information (S2: YES). Performs processing to analyze log information. Hereinafter, the above process will be referred to as "log information analysis process S3."

インテリジェンス生成装置100及びログ分析装置200は、利用者端末16を介してユーザから閲覧要求を受信すると(S4)、要求された情報を利用者端末16に送信し、利用者端末16が送られてきた情報をユーザに提示する(S5)。例えば、インテリジェンス生成装置100は、IoC情報TBL401に基づく情報を利用者端末16に送信する。また、ログ分析装置200は、例えば、侵害の痕跡報告等、ユーザに通知すべき情報を利用者端末16に送信する。尚、ログ分析装置200は、侵害の痕跡報告等、ユーザに緊急に通知すべき情報については、ユーザからの閲覧要求に拘わらず能動的に利用者端末16に送信することもある。 When the intelligence generation device 100 and the log analysis device 200 receive a viewing request from the user via the user terminal 16 (S4), they transmit the requested information to the user terminal 16, and the user terminal 16 receives the requested information. The information obtained is presented to the user (S5). For example, the intelligence generation device 100 transmits information based on the IoC information TBL 401 to the user terminal 16. Further, the log analysis device 200 transmits information to be notified to the user, such as a report of traces of infringement, to the user terminal 16. Note that the log analysis device 200 may actively transmit information that should be urgently notified to the user, such as a report of traces of infringement, to the user terminal 16 regardless of a viewing request from the user.

セキュリティ管理システム1では、以上のメイン処理が、例えば、監視対象14についてセキュリティ侵害の有無の監視が行われている期間中、繰り返し実行される。 In the security management system 1, the above main processing is repeatedly executed, for example, during a period when the monitoring target 14 is being monitored for the presence or absence of a security violation.

図4は、図3に示したIoC情報生成処理S1の詳細を説明するフローチャートである。以下、同図を参照しつつ、IoC情報生成処理S1について説明する。 FIG. 4 is a flowchart illustrating details of the IoC information generation process S1 shown in FIG. 3. The IoC information generation process S1 will be described below with reference to the same figure.

まず、インテリジェンス生成装置100のクローラ管理部101が、管理者端末15を介して、セキュリティインテリジェンスの情報提供元に関する情報、情報提供元から取得すべき情報、及び情報提供元からの情報の取得方法を、ユーザから受け付け、受け付けた情報を収集先管理TBL301に登録する(S11)。 First, the crawler management unit 101 of the intelligence generation device 100 transmits, via the administrator terminal 15, information regarding the security intelligence information provider, information to be obtained from the information provider, and a method for obtaining information from the information provider. , is received from the user, and the received information is registered in the collection destination management TBL 301 (S11).

図5に収集先管理TBL301の一例を示す。同図に示すように、例示する収集先管理TBL301は、登録番号302、登録日303、情報提供元304、確認頻度305、及び情報型式306の各項目を有する一つ以上のエントリ(レコード)で構成されている。収集先管理TBL301の一つのエントリは一つの情報提供元に対応する。 FIG. 5 shows an example of the collection destination management TBL 301. As shown in the figure, the illustrated collection destination management TBL 301 includes one or more entries (records) having the following items: registration number 302, registration date 303, information provider 304, confirmation frequency 305, and information type 306. It is configured. One entry in the collection destination management TBL 301 corresponds to one information provider.

上記項目のうち、登録番号302には、情報提供元ごとに付与される識別子である登録番号が設定される。登録日303には、当該エントリの情報提供元の情報が登録された日(日時でもよい)が設定される。情報提供元304には、当該エントリの情報提供元の所在を示す情報(例えば、「Ioc.com/list」等のリソースの詳細)が設定される。確認頻度305には、当該情報提供元から情報を取得する頻度を示す情報が設定される。情報型式306には、当該情報提供元から取得される情報の形式を示す情報が設定される。例えば、IoCプロバイダ11から提供されるセキュリティインテリジェンスのように、構造的
なIoC形式の情報(以下、「IoC情報」と称する。)が提供される場合は情報型式306に「IoC」が設定される。また、例えば、ニュース配信サイト12やSNS13から提供される情報のように、自然言語(非構造的な形式)で情報が提供される場合は情報型式306に「自然言語」が設定される。 Among the above items, the registration number 302 is set to a registration number that is an identifier given to each information provider. The registration date 303 is set to the date (or date and time) when the information on the information provider of the entry was registered. Information indicating the location of the information provider of the entry (for example, details of a resource such as "Ioc.com/list") is set in the information provider 304. In the confirmation frequency 305, information indicating the frequency of acquiring information from the information provider is set. The information type 306 is set with information indicating the format of the information acquired from the information provider. For example, when information in a structural IoC format (hereinafter referred to as "IoC information") is provided, such as security intelligence provided by the IoC provider 11, "IoC" is set in the information type 306. . Furthermore, for example, when information is provided in natural language (unstructured format), such as information provided from the news distribution site 12 or SNS 13, "natural language" is set in the information type 306.

図4に戻り、S12では、クローラ部102が、収集先管理TBL301に登録されている情報提供元に通信ネットワーク10(インターネット等)を介してアクセス(クローリング等)することにより情報提供元からセキュリティインテリジェンスを収集する。 Returning to FIG. 4, in S12, the crawler unit 102 acquires security information from the information provider by accessing (crawling, etc.) the information provider registered in the collection destination management TBL 301 via the communication network 10 (Internet, etc.). Collect.

続くS13~S16の処理は、収集先管理TBL301に登録されている情報提供元の
夫々から取得した各セキュリティインテリジェンスについて行われる。 The subsequent processes of S13 to S16 are performed for each security intelligence acquired from each of the information providers registered in the collection destination management TBL 301.

まず、S13では、IoC情報抽出部103が、クローラ部102が取得したセキュリティインテリジェンスからIoC情報を抽出する。IoC情報抽出部103は、例えば、ニュース配信サイト12やSNS13等から自然言語によって記述されている非構造的な形式で記述されたセキュリティインテリジェンスを取得した場合、取得したセキュリティインテリジェンスに周知の正規表現抽出や固有表現抽出の技術を適用することにより、例えば、「IPアドレス」、「URL」、「脅威アクターの名称」等をIoC情報として抽出する。また、IoC情報抽出部103は、例えば、取得したセキュリティインテリジェンスの提供元がIoCプロバイダ11であり、セキュリティインテリジェンスが元々IoC形式(xml等)で記述されている場合、当該情報をそのままIoC情報として抽出する。 First, in S13, the IoC information extraction unit 103 extracts IoC information from the security intelligence acquired by the crawler unit 102. For example, when the IoC information extraction unit 103 acquires security intelligence written in an unstructured format written in natural language from the news distribution site 12 or SNS 13, the IoC information extraction unit 103 extracts well-known regular expressions from the acquired security intelligence. For example, "IP address", "URL", "name of threat actor", etc. are extracted as IoC information by applying a unique expression extraction technique. In addition, for example, if the provider of the acquired security intelligence is the IoC provider 11 and the security intelligence is originally written in an IoC format (xml, etc.), the IoC information extraction unit 103 extracts the information as is as IoC information. do.

続いて、IoC属性付与部104が、IoC情報抽出部103が抽出したIoC情報に、IoC情報の属性(IPアドレス、URL、MD5等)を示す情報である「属性ラベル」を付与する(S14)。IoC属性付与部104は、例えば、正規表現抽出や固有表現抽出等の方法を用いてIoC情報の形式(IPアドレス、URL、MD5等)を特定し、特定した形式に対応する属性ラベル(IP、URL、MD5等)をIoC情報に付与する。 Next, the IoC attribute adding unit 104 adds an “attribute label” that is information indicating the attributes (IP address, URL, MD5, etc.) of the IoC information to the IoC information extracted by the IoC information extracting unit 103 (S14). . The IoC attribute assigning unit 104 specifies the format of the IoC information (IP address, URL, MD5, etc.) using a method such as regular expression extraction or named entity extraction, and assigns an attribute label (IP, (URL, MD5, etc.) to the IoC information.

続いて、関連性付与部105が、IoC情報同士の関連付けを行う(S15)。関連性付与部105は、上記関連付けをIoC情報の属性ラベルに基づき行う。例えば、属性ラベルが重複するIoC情報が収集データ保管DB400に存在する場合、関連性付与部105は、夫々のIoC情報の抽出元のセキュリティインテリジェンス同士を比較し、比較の結果に応じて、夫々のセキュリティインテリジェンスから抽出される他のIoC情報を関連付ける。例えば、二つのニュース記事の一方に、IoC情報として、URL「URL_a
」と、IPアドレス「IP_a」が含まれており、他方の記事にURL「URL_a」とIPアド
レス「IP_b」が含まれていた場合、関連性付与部105は、二つのニュース記事においてURL「URL_a」が共通していることから、IPアドレス「IP_a」とIPアドレス「IP_b
」について「関連性がある」と判定し、関連性のあるIPアドレス「URL_a」とIPアド
レス「IP_b」とに関連性を付与する。 Subsequently, the association adding unit 105 associates the IoC information with each other (S15). The association assigning unit 105 performs the association based on the attribute label of the IoC information. For example, if IoC information with duplicate attribute labels exists in the collected data storage DB 400, the association adding unit 105 compares the security intelligence from which each IoC information is extracted, and depending on the result of the comparison, Correlate other IoC information extracted from security intelligence. For example, one of two news articles may contain the URL "URL_a" as IoC information.
” and the IP address “IP_a”, and the other article contains the URL “URL_a” and the IP address “IP_b”, the relevance assignment unit 105 sets the URL “URL_a” in the two news articles. ” are common, the IP address “IP_a” and the IP address “IP_b
” is determined to be “related,” and the related IP address “URL_a” and IP address “IP_b” are given relevance.

続いて、関連性付与部105が、IoC情報をIoC情報TBL401に登録する(S16)。 Subsequently, the association adding unit 105 registers the IoC information in the IoC information TBL 401 (S16).

図6にIoC情報TBL401の一例を示す。同図に示すように、IoC情報TBL401は、登録番号402、取得日403、抽出IoC404、IoC属性405、取得元406、及び関連性407の各項目を有する一つ以上のエントリ(レコード)で構成されている。IoC情報TBL401の一つのエントリは一つのIoC情報に対応している。 FIG. 6 shows an example of the IoC information TBL 401. As shown in the figure, the IoC information TBL 401 is composed of one or more entries (records) having the following items: registration number 402, acquisition date 403, extracted IoC 404, IoC attribute 405, acquisition source 406, and relevance 407. has been done. One entry in the IoC information TBL 401 corresponds to one piece of IoC information.

登録番号402には、当該IoC情報の識別子である登録番号が設定される。取得日403には、当該IoC情報がIoC情報TBL401として登録された日時を示す情報が設定される。抽出IoC404には、当該IoC情報の内容(「IPアドレス」、「URL」、「ハッシュ値」、「脅威アクターの名称」等)が設定される。IoC属性405には、IoC属性付与部104によって付与された属性ラベルが設定される。取得元406には、当該IoC情報の取得元(情報提供元)を示す情報(例えば、当該IoC情報の取得元の所在を示す情報)が設定される。関連性407には、関連性付与部105によって当該IoC情報と関連付けられた他のIoC情報の登録番号が設定される。 A registration number that is an identifier of the IoC information is set in the registration number 402. Information indicating the date and time when the IoC information was registered as the IoC information TBL 401 is set in the acquisition date 403. The content of the IoC information (“IP address”, “URL”, “hash value”, “name of threat actor”, etc.) is set in the extracted IoC 404. The IoC attribute 405 is set with an attribute label assigned by the IoC attribute assignment unit 104. In the acquisition source 406, information indicating the acquisition source (information provider) of the IoC information (for example, information indicating the location of the acquisition source of the IoC information) is set. In the relevance 407, the registration number of other IoC information associated with the relevant IoC information is set by the relevance assigning unit 105.

図7は、図3のログ情報分析処理S3を説明するフローチャートである。以下、同図とともにログ情報分析処理S3について説明する。尚、ログ分析装置200のログ転送部202は、利用者端末16によって設定された監視対象14からログ情報を随時取得し、取得したログ情報を監視対象ログDB500に登録しているものとする(以下、登録されたログ情報を「ログ情報510」と称する。)。 FIG. 7 is a flowchart illustrating the log information analysis process S3 of FIG. The log information analysis process S3 will be described below with reference to the same figure. It is assumed that the log transfer unit 202 of the log analysis device 200 acquires log information from the monitoring target 14 set by the user terminal 16 at any time, and registers the acquired log information in the monitoring target log DB 500 ( Hereinafter, the registered log information will be referred to as "log information 510").

まず、ログ分析装置200のパーサー部203が、ログ情報510に基づき分析対象ログTBL501を生成し、生成した分析対象ログTBL501を監視対象ログDB500に登録する(S31)。より詳細には、パーサー部203は、まず、ログ情報510に含まれているIoC情報を、例えば、正規表現抽出やパース構文解析等の技術を用いて抽出し、抽出したIoC情報に属性(以下、「ログ属性」と称する。)を付与する。続いて、パーサー部203は、抽出したIoC情報ごとにログ情報510の所定の情報を対応付けた情報を生成し、生成した情報(以下、「分析対象」と称する。)を監視対象ログDB500の分析対象ログTBL501に登録する。 First, the parser unit 203 of the log analysis device 200 generates an analysis target log TBL 501 based on the log information 510, and registers the generated analysis target log TBL 501 in the monitoring target log DB 500 (S31). More specifically, the parser unit 203 first extracts the IoC information included in the log information 510 using techniques such as regular expression extraction and parsing, and adds attributes (hereinafter referred to as , referred to as "log attributes"). Next, the parser unit 203 generates information in which predetermined information of the log information 510 is associated with each extracted IoC information, and the generated information (hereinafter referred to as "analysis target") is stored in the monitoring target log DB 500. Register in the analysis target log TBL 501.

図8に、分析対象ログTBL501の一例を示す。同図に示すように、分析対象ログTBL501は、登録番号502、取得日時503、ログ属性504、元ファイル名505、rawデータ506、及びパースIoC507の各項目を有する一つ以上のエントリ(レコード)で構成されている。分析対象ログTBL501の一つのエントリは一つの分析対象に対応する。 FIG. 8 shows an example of the analysis target log TBL501. As shown in the figure, the analysis target log TBL 501 includes one or more entries (records) having the following items: registration number 502, acquisition date and time 503, log attribute 504, original file name 505, raw data 506, and parse IoC 507. It consists of One entry in the analysis target log TBL 501 corresponds to one analysis target.

上記項目のうち、登録番号502には、当該分析対象の識別子である登録番号が設定される。取得日時503には、当該分析対象の抽出元のログ情報510が登録された日時が設定される。ログ属性504には、当該分析対象の抽出元のログ情報510の種類(以下、「ログ属性」と称する。)を示す情報が設定される。元ファイル名505には、当該分析対象の抽出元のログ情報510のファイル名が設定される。rawデータ506には、当該分析対象の抽出元のログ情報510における当該IoC情報の記載部分を示す情報が設定される。パースIoC507には、rawデータ506からパーサー部203が抽出したIoC情報が設定される。例えば、パースIoC507には、rawデータ506から抽出されたIoC情報に当該分析対象の種別に応じて付与した情報(IPアドレスやURL等)が設定される。本例では、パースIoC507には、監視対象14にアクセスしてきた端末のIPアドレスを示す「元IP」、その端末のアクセス先のURLを示す「先URL」、そのアクセスの状態を示す「status」が設定されている。 Among the above items, the registration number 502 is set to a registration number that is an identifier of the analysis target. The acquisition date and time 503 is set to the date and time when the log information 510 from which the analysis target is extracted is registered. The log attribute 504 is set with information indicating the type of log information 510 from which the analysis target is extracted (hereinafter referred to as "log attribute"). The original file name 505 is set to the file name of the log information 510 from which the analysis target is extracted. The raw data 506 is set with information indicating the portion where the IoC information is described in the log information 510 from which the analysis target is extracted. IoC information extracted by the parser unit 203 from the raw data 506 is set in the parse IoC 507. For example, the parse IoC 507 is set with information (IP address, URL, etc.) added to the IoC information extracted from the raw data 506 according to the type of the analysis target. In this example, the parse IoC 507 includes "source IP" indicating the IP address of the terminal that accessed the monitoring target 14, "destination URL" indicating the URL to which the terminal accessed, and "status" indicating the access status. is set.

図7に戻り、続いて、ルール管理部201が、監視対象14のログを分析する際の規則を定義した情報を、例えば、利用者端末16を介してユーザから取得し、取得した情報(以下、「分析ルール」と称する。)をルール管理DB600の分析ルールTBL601に登録する(S32)。 Returning to FIG. 7, the rule management unit 201 acquires, for example, information defining rules for analyzing logs of the monitoring target 14 from the user via the user terminal 16, and the acquired information (hereinafter referred to as , referred to as "analysis rule") in the analysis rule TBL 601 of the rule management DB 600 (S32).

図9に分析ルールTBL601の一例を示す。同図に示すように、分析ルールTBL601は、登録番号602、登録日603、IoC属性604、ログ属性605、生成クエ
リ606、及びスコア607の各項目を有する一つ以上のエントリ(レコード)で構成されている。分析ルールTBL601の一つのエントリは一つの分析ルールに対応する。 FIG. 9 shows an example of the analysis rule TBL 601. As shown in the figure, the analysis rule TBL 601 is composed of one or more entries (records) having the following items: registration number 602, registration date 603, IoC attribute 604, log attribute 605, generated query 606, and score 607. has been done. One entry in the analysis rule TBL 601 corresponds to one analysis rule.

上記項目のうち、登録番号602には、分析ルールの識別子である登録番号が設定される。登録日603には、当該分析ルールがルール管理DB500に登録された日(又は日時)が設定される。IoC属性604には、前述のIoC属性が設定される。ログ属性605には、前述のログ属性が設定される。生成クエリ606には、監視対象ログDB500からセキュリティ侵害の痕跡に対応する分析対象ログTBL501の検索に用いるクエリの雛型(テンプレート)が設定される。スコア607には、当該分析ルールによる分析によりセキュリティ侵害の痕跡が検知された場合に後述するスコア合計値に加算する危険度が設定される。本例では、スコアの値が大きい程、危険度が高くなるものとする。 Among the above items, the registration number 602 is set to a registration number that is an identifier of the analysis rule. The registration date 603 is set to the date (or date and time) when the analysis rule was registered in the rule management DB 500. The above-mentioned IoC attribute is set in the IoC attribute 604. The log attributes described above are set in the log attributes 605. A template of a query used to search the analysis target log TBL 501 corresponding to traces of security violation from the monitoring target log DB 500 is set in the generated query 606. The score 607 is set with a degree of risk that is added to the total score value, which will be described later, when traces of a security violation are detected through analysis based on the analysis rule. In this example, it is assumed that the larger the score value, the higher the risk level.

図7に戻り、関連IoC取得部204は、IoC情報TBL401に新たなIoC情報が登録されたか否かを随時監視している(S33)。IoC情報TBL401に新たなIoC情報が登録されたことを検知すると(S33:YES)、関連IoC取得部204は、登録された新たなIoC情報と、当該新たなIoC情報に関連する他のIoC情報(IoC情報TBL401の関連性407から関連すると判定されるIoC情報)とを取得し(S34)、取得したIoC情報(新たなIoC情報と他のIoC情報)を分析ルール取得部205に入力する。 Returning to FIG. 7, the related IoC acquisition unit 204 constantly monitors whether new IoC information is registered in the IoC information TBL 401 (S33). When detecting that new IoC information has been registered in the IoC information TBL 401 (S33: YES), the related IoC acquisition unit 204 retrieves the registered new IoC information and other IoC information related to the new IoC information. (IoC information determined to be related based on the relevance 407 of the IoC information TBL 401) is acquired (S34), and the acquired IoC information (new IoC information and other IoC information) is input to the analysis rule acquisition unit 205.

続いて、分析ルール取得部205が、関連IoC取得部204から入力された各IoC情報について、当該IoC情報のIoC属性に応じた分析ルールが分析ルールTBL601に登録されているか否かを判定する(S35)。IoC属性に応じた分析ルールが分析ルールTBL601に登録されている場合(S35:YES)、分析ルール取得部205は、入力されたIoC情報のIoC属性と同じ属性ラベルがIoC属性604に設定されている全ての分析ルールを分析ルールTBL601から抽出し、抽出した分析ルールを分析クエリ生成部206に入力する。その後、処理はS36に進む。一方、IoC属性に応じた分析ルールがルールDB600から抽出されない場合(S35:NO)、ログ情報分析処理S3は終了する。 Next, the analysis rule acquisition unit 205 determines, for each IoC information input from the related IoC acquisition unit 204, whether an analysis rule corresponding to the IoC attribute of the IoC information is registered in the analysis rule TBL 601 ( S35). If an analysis rule corresponding to the IoC attribute is registered in the analysis rule TBL 601 (S35: YES), the analysis rule acquisition unit 205 determines whether the same attribute label as the IoC attribute of the input IoC information is set in the IoC attribute 604. All the analysis rules that are present are extracted from the analysis rule TBL 601, and the extracted analysis rules are input to the analysis query generation unit 206. After that, the process proceeds to S36. On the other hand, if the analysis rule corresponding to the IoC attribute is not extracted from the rule DB 600 (S35: NO), the log information analysis process S3 ends.

S36では、分析クエリ生成部206が、分析ルール取得部205から入力された分析ルールの生成クエリ606(クエリの雛型)を編集することにより、監視対象ログDB500に適用するクエリ(以下、「分析クエリ」と称する。)を生成し、生成した分析クエリを突合分析部207に入力する。 In S36, the analysis query generation unit 206 edits the analysis rule generation query 606 (query template) input from the analysis rule acquisition unit 205 to create a query (hereinafter referred to as “analysis template”) to be applied to the monitored log DB 500. query") and inputs the generated analysis query to the matching analysis unit 207.

例えば、関連IoC取得部204が取得したIoC情報のIoC属性が特定のIPアドレスである場合、分析ルール取得部205は、IoC属性604にIPアドレスが設定されている全ての分析ルールTBL601を分析クエリ生成部206に入力する。例えば、分析ルールTBL601が図9に示した内容であり、入力された分析ルールTBL601のIoC属性604が「IPアドレス」でログ属性605が「Proxy」である場合、分析ク
エリ生成部206は、登録番号が「1」の「grep [ip(class C)] proxy_log」という生成クエリ606に含まれる「ip」に、上記の特定のIPアドレス(関連IoC取得部204が取得したIoC情報のIPアドレス)をクエリの雛型に代入することにより分析クエリを生成する。 For example, if the IoC attribute of the IoC information acquired by the related IoC acquisition unit 204 is a specific IP address, the analysis rule acquisition unit 205 sends an analysis query to all analysis rules TBL 601 for which an IP address is set in the IoC attribute 604. Input to the generation unit 206. For example, if the analysis rule TBL 601 has the contents shown in FIG. "ip" included in the generated query 606 "grep [ip(class C)] proxy_log" whose number is "1" is the above specific IP address (IP address of the IoC information acquired by the related IoC acquisition unit 204) An analysis query is generated by assigning to the query template.

続いて、突合分析部207が、分析クエリ生成部206から入力された分析クエリを監視対象ログDB500の分析対象ログTBL501に適用し(S37)、該当する分析対象(ログ情報)を検索する。 Subsequently, the matching analysis unit 207 applies the analysis query input from the analysis query generation unit 206 to the analysis target log TBL 501 of the monitoring target log DB 500 (S37), and searches for the corresponding analysis target (log information).

続いて、突合分析部207は、分析クエリの生成に用いた分析ルールTBL601に設
定されているスコア607を参照し、検索された分析対象ごとに当該分析対象の検索に用いた分析ルールのスコア607の値を累積した値(以下、「スコア合計値」と称する。)を求める(S38)。尚、該当するログ情報が検索されなかった場合、突合分析部207は、スコア合計値を0とする。 Next, the matching analysis unit 207 refers to the score 607 set in the analysis rule TBL 601 used to generate the analysis query, and calculates the score 607 of the analysis rule used to search for the analysis object for each searched analysis object. A cumulative value (hereinafter referred to as "score total value") is calculated (S38). Note that if the corresponding log information is not retrieved, the matching analysis unit 207 sets the total score value to zero.

続いて、突合分析部207は、求めたスコア合計値を含む情報(以下、「分析結果」と称する。)を分析結果TBL701に登録する(S39)。 Subsequently, the matching analysis unit 207 registers information including the obtained total score (hereinafter referred to as "analysis result") in the analysis result TBL 701 (S39).

図10に、分析結果TBL701の一例を示す。例示する分析結果TBL701は、分析番号702、分析日時703、被疑端末704、痕跡箇所705、分析結果706、及びスコア707の各項目を有する一つ以上のエントリ(レコード)で構成されている。分析結果TBL701の一つのエントリは、ある分析日時に生成された一つの分析結果に対応する。 FIG. 10 shows an example of the analysis result TBL 701. The illustrated analysis result TBL 701 is composed of one or more entries (records) having the following items: analysis number 702, analysis date and time 703, suspect terminal 704, trace location 705, analysis result 706, and score 707. One entry in the analysis result TBL 701 corresponds to one analysis result generated at a certain analysis date and time.

分析番号702には、当該分析結果の識別子である分析番号が設定される。分析日時703には、当該分析結果についての分析が突合分析部207により行われた日時が設定される。被疑端末704には、セキュリティ侵害が有ることが確認された監視対象14(以下、「被疑端末」と称する。)を特定する情報(例えば、監視対象14のIPアドレス)が設定される。痕跡箇所705には、セキュリティ侵害の痕跡の所在を示す情報が設定される。分析結果706には、当該分析結果の具体的な内容(痕跡に関する情報等)が設定される。スコア707には、スコア合計値が設定される。 The analysis number 702 is set with an analysis number that is an identifier of the analysis result. The analysis date and time 703 is set to the date and time when the matching analysis unit 207 performed an analysis of the analysis result. The suspect terminal 704 is set with information (for example, the IP address of the monitored target 14) that identifies the monitored target 14 (hereinafter referred to as "suspected terminal") that has been confirmed to have a security violation. In the trace location 705, information indicating the location of traces of security violation is set. In the analysis result 706, specific contents of the analysis result (information regarding traces, etc.) are set. The score 707 is set to the total score value.

図7に戻り、続いて、通知部208が、結果保管DB700に登録された新たな分析結果のスコア合計値が予め設定された閾値以上であるか否かを判定する(S40)。スコア合計値が上記の閾値以上である場合(S40:YES)、通知部208は、当該分析結果を利用者端末16に送信する(S41)。一方、スコア合計値が上記の閾値未満である場合(S40:NO)、ログ情報分析処理S3は終了する。 Returning to FIG. 7, the notification unit 208 then determines whether the total score of the new analysis results registered in the result storage DB 700 is equal to or greater than a preset threshold (S40). If the total score is equal to or greater than the above threshold (S40: YES), the notification unit 208 transmits the analysis result to the user terminal 16 (S41). On the other hand, if the total score value is less than the above threshold (S40: NO), the log information analysis process S3 ends.

S41において、通知部208は、分析結果を通知する画面(以下、「分析結果通知画面900」と称する。)を生成し、生成した分析結果通知画面900を、例えば、認証手続を経てアクセスしてきた利用者端末16に送付する。利用者端末16は、送られてきた分析結果通知画面900を表示してユーザに提示する。 In S41, the notification unit 208 generates a screen for notifying analysis results (hereinafter referred to as "analysis result notification screen 900"), and the generated analysis result notification screen 900 is accessed, for example, through an authentication procedure. It is sent to the user terminal 16. The user terminal 16 displays the sent analysis result notification screen 900 and presents it to the user.

図11に、分析結果通知画面900の一例を示す。同図に示すように、例示する分析結果通知画面900にはマウスポインタ901が表示されている。通知部208は、分析結果通知画面900に対するマウス操作を受け付けるユーザインタフェースを提供する。 FIG. 11 shows an example of an analysis result notification screen 900. As shown in the figure, a mouse pointer 901 is displayed on the illustrated analysis result notification screen 900. The notification unit 208 provides a user interface that accepts mouse operations on the analysis result notification screen 900.

分析結果通知画面900は、被疑端末704の情報が表示される通知領域902、分析結果の内容が表示される被害状況表示領域903、及び被疑端末704に関するセキュリティ侵害の痕跡が時系列順に表示される時系列表示領域904を有する。 The analysis result notification screen 900 includes a notification area 902 where information about the suspect terminal 704 is displayed, a damage status display area 903 where the contents of the analysis results are displayed, and traces of security violation regarding the suspect terminal 704 are displayed in chronological order. It has a time series display area 904.

通知領域902には、スコア707が前述の閾値以上である分析結果(本例では、分析結果が生成された日時、被疑端末のIPアドレス)が表示される。尚、分析結果が生成された日時は、例えば、セキュリティ侵害の痕跡が検知された日時となる。通知部208は、通知領域902中の所定の被疑端末がユーザにより指示されると、当該被疑端末のセキュリティ侵害に関する情報を被害状況表示領域903に表示する。また、通知部208は、図8に示した分析対象ログTBL501から、被疑端末704に対するセキュリティ侵害の痕跡を含むIoC情報を抽出し、抽出したIoC情報を、登録番号502に従った時系列順に時系列表示領域904に表示する。 In the notification area 902, analysis results (in this example, the date and time when the analysis results were generated and the IP address of the suspected terminal) whose score 707 is equal to or higher than the above-mentioned threshold are displayed. Note that the date and time when the analysis result was generated is, for example, the date and time when traces of security violation were detected. When the user designates a predetermined suspect terminal in the notification area 902, the notification unit 208 displays information regarding the security violation of the suspect terminal in the damage status display area 903. Further, the notification unit 208 extracts IoC information including traces of security violation against the suspect terminal 704 from the analysis target log TBL 501 shown in FIG. It is displayed in the series display area 904.

<IoC情報の提供機能>
インテリジェンス生成装置100は、IoC情報を利用者端末16を介してユーザに提示する機能を有する。インテリジェンス生成装置100のIoC情報提供部106は、利用者端末16に、例えば、Webページ等を介してIoC情報の検索機能を提供し、IoC情報の検索結果を利用者端末16に提供する。 <IoC information provision function>
The intelligence generation device 100 has a function of presenting IoC information to the user via the user terminal 16. The IoC information providing unit 106 of the intelligence generation device 100 provides the user terminal 16 with a search function for IoC information via, for example, a web page, and provides the user terminal 16 with the search results of the IoC information.

図12は、IoC情報の提示に際して利用者端末16に表示される画面(以下、「IoC情報照会画面800」と称する。)の一例である。同図に示すように、例示するIoC情報照会画面800は、IoC情報を検索するための検索条件をユーザに設定させるための検索領域801、検索結果が表示される結果通知領域802、及びIoC情報TBL401の詳細な内容が表示される詳細通知領域803を有する。 FIG. 12 is an example of a screen (hereinafter referred to as "IoC information inquiry screen 800") displayed on the user terminal 16 when presenting IoC information. As shown in the figure, the illustrated IoC information inquiry screen 800 includes a search area 801 for allowing the user to set search conditions for searching IoC information, a result notification area 802 where search results are displayed, and IoC information It has a detailed notification area 803 in which detailed contents of TBL 401 are displayed.

検索領域801は、キーワードの入力欄805、期間の指定欄806、属性ラベルをプルダウンリスト形式で指定させるIoC属性入力欄807、これらの各入力欄に設定された情報のインテリジェンス生成装置100への送信を指示する検索実行ボタン808を含む。 The search area 801 includes a keyword input field 805, a period specification field 806, an IoC attribute input field 807 for specifying an attribute label in a pull-down list format, and the transmission of information set in each of these input fields to the intelligence generation device 100. It includes a search execution button 808 for instructing.

IoC情報提供部106は、利用者端末16から、上記の各入力欄に入力された情報を受け付けると、受け付けた情報をインテリジェンス生成装置100に送信する。インテリジェンス生成装置100は、送られてきた情報に該当するIoC情報をIoC情報TBL401から検索し、検索されたIoC情報に基づく情報を利用者端末16に送信する。利用者端末16は、送られてきた情報を結果通知領域802に表示する。 When the IoC information providing unit 106 receives information input into each of the above input fields from the user terminal 16, it transmits the received information to the intelligence generation device 100. The intelligence generation device 100 searches the IoC information TBL 401 for IoC information corresponding to the sent information, and transmits information based on the searched IoC information to the user terminal 16. The user terminal 16 displays the sent information in the result notification area 802.

結果通知領域802には、例えば、IoC属性入力欄807で選択されたIoC属性に該当するIoC情報と関連性がある他のIoC情報が表示される。本例では、IoC属性入力欄807にて指定された「Actor」というIoC属性に該当する「APT_AA」という特
定のIoC情報と、「APT_AA」に関連する複数のIoC情報と、関連するIoC情報の夫々の公開日時「date」と、その情報提供元「source」とが結果通知領域802に表示されている。尚、ユーザが検索領域のIoC属性入力欄807に何も入力しなれば、例えば、入力されたキーワードや指定された期間に該当するIoC情報が列挙された情報が結果通知領域802に表示される。 In the result notification area 802, for example, other IoC information that is related to the IoC information corresponding to the IoC attribute selected in the IoC attribute input field 807 is displayed. In this example, specific IoC information "APT_AA" that corresponds to the IoC attribute "Actor" specified in the IoC attribute input field 807, multiple pieces of IoC information related to "APT_AA", and related IoC information Each publication date and time “date” and its information provider “source” are displayed in the result notification area 802. Note that if the user does not input anything in the IoC attribute input field 807 in the search area, for example, information listing IoC information corresponding to the input keyword or specified period is displayed in the result notification area 802. .

ユーザが結果通知領域802に表示されているIoC情報の何れかを指定すると、IoC情報提供部106は、指定されたIoC情報について関連性を表現する相関図810を生成し、生成した相関図810を詳細通知領域803に表示する。例示する詳細通知領域803には、相関図810に含まれるIoC情報の一覧811「IoC list」と、結果通知領域802においてユーザが指定したIoC情報の時系列情報812「Timeline」が表示される。例示するIoC情報照会画面800では、時系列情報812「Timeline」として、ユーザが指定したIoC情報を含むセキュリティインテリジェンスに関する情報と、当該セキュリティインテリジェンスがクローラ部102によって収集された日時とが表示されている。 When the user specifies any of the IoC information displayed in the result notification area 802, the IoC information providing unit 106 generates a correlation diagram 810 expressing the relevance of the specified IoC information, and the generated correlation diagram 810 is displayed in the detailed notification area 803. In the example detailed notification area 803, a list 811 "IoC list" of IoC information included in the correlation diagram 810 and time series information 812 "Timeline" of IoC information specified by the user in the result notification area 802 are displayed. In the illustrated IoC information inquiry screen 800, information regarding security intelligence including IoC information specified by the user and the date and time when the security intelligence was collected by the crawler unit 102 are displayed as time series information 812 "Timeline". .

このように、IoC情報提供部106は、指定されたIoC情報について関連性を表現する相関図810を生成してユーザに提示するので、ユーザは、一つのサイバー攻撃と、そのサイバー攻撃から派生する多数のIoC情報との関係を視覚的に効率よく把握することができる。 In this way, the IoC information providing unit 106 generates the correlation diagram 810 that expresses the relevance of the specified IoC information and presents it to the user, so the user can understand one cyber attack and the information derived from that cyber attack. It is possible to visually and efficiently understand relationships with a large amount of IoC information.

以上詳細に説明したように、本実施形態のセキュリティ管理システム1は、IoCプロバイダやニュース配信サイト、SNS等から取得される、広汎な情報や非定期に発せられるセキュリティインテリジェンス(IoC情報)を積極的に活用して監視対象14を監視
するので、セキュリティ侵害を効率よく確実に検知することができる。 As explained in detail above, the security management system 1 of the present embodiment proactively collects a wide range of information obtained from IoC providers, news distribution sites, SNS, etc. and security intelligence (IoC information) issued irregularly. Since the monitoring target 14 is monitored by utilizing the above information, security violations can be efficiently and reliably detected.

また、セキュリティ管理システム1は、取得したセキュリティインテリジェンスから抽出したIoC情報同士の関連付けを行うことにより、分析対象とするログ情報の範囲を拡大して広汎かつ適切な視点から分析を行い、スコア合計値等によりサイバー攻撃の全体像を把握しつつセキュリティ侵害の有無を判定するので、セキュリティ侵害の有無を精度よく確実に検知することができる。 In addition, by associating the IoC information extracted from the acquired security intelligence, the security management system 1 expands the range of log information to be analyzed, performs analysis from a wide and appropriate perspective, and calculates the total score. Since the presence or absence of a security violation is determined while grasping the overall picture of a cyber attack, it is possible to accurately and reliably detect the presence or absence of a security violation.

また、ログ分析装置200は、IoC情報の属性ラベルに応じた分析ルール(生成クエリ(クエリの雛型))にIoC情報に含まれている属性の値を適用(代入)して生成したクエリを用いてログ情報を検索するので、監視対象14に対するセキュリティ侵害の痕跡を効率よく確実に検知することができる。 Additionally, the log analysis device 200 generates a query by applying (substituting) the value of the attribute included in the IoC information to an analysis rule (generated query (query template)) corresponding to the attribute label of the IoC information. Since the log information is searched using the above information, traces of security violations against the monitored target 14 can be efficiently and reliably detected.

また、ログ分析装置200は、分析結果TBL701にセキュリティ侵害の痕跡を発見すると、セキュリティ侵害の発生事実や内容をユーザに通知するので、専門的な知識や経験を有する者でなくても、監視対象に対するセキュリティ侵害の痕跡を確実かつ迅速に把握することができ、セキュリティ侵害に対して適切な対応を迅速にとることができる。 In addition, when the log analysis device 200 discovers traces of a security violation in the analysis result TBL 701, it notifies the user of the occurrence and contents of the security violation, so even those who do not have specialized knowledge or experience can monitor the It is possible to reliably and quickly grasp the traces of a security violation, and to quickly take an appropriate response to the security violation.

このように、本実施形態のセキュリティ管理システム1によれば、様々な情報源から取得される情報を有効に利用してセキュリティ侵害を効率よく確実に検知することができる。 In this way, according to the security management system 1 of the present embodiment, it is possible to efficiently and reliably detect security violations by effectively utilizing information obtained from various information sources.

以上、本発明の一実施形態について説明したが、本発明は上記の実施形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。例えば、上記の実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、上記実施形態の構成の一部について、他の構成の追加や削除、置換をすることが可能である。 Although one embodiment of the present invention has been described above, it goes without saying that the present invention is not limited to the above-described embodiment and can be modified in various ways without departing from the gist thereof. For example, the above embodiments have been described in detail to explain the present invention in an easy-to-understand manner, and the present invention is not necessarily limited to having all the configurations described. Furthermore, it is possible to add, delete, or replace some of the configurations of the above embodiments with other configurations.

例えば、セキュリティ管理システム1が管理者端末15や利用者端末16としても機能するように構成してもよい。 For example, the security management system 1 may be configured to function as the administrator terminal 15 and the user terminal 16.

また、以上の実施形態では、ログ分析装置200の通知部208は、アクセスしてきた利用者端末16に対して分析結果通知画面900を送付することで、監視対象14に対するセキュリティ侵害の痕跡をユーザに通知するが、例えば、通知部208が、監視対象14に対するセキュリティ侵害の痕跡についての情報を、予め設定されたユーザのメールアドレスに宛てた電子メールにより通知するようにしてもよい。またその場合、電子メールによる通知を受信したユーザが、利用者端末16を介してログ分析装置200にアクセスし、セキュリティ侵害の痕跡についてのより詳細な情報を取得できるようにしてもよい。 Further, in the above embodiment, the notification unit 208 of the log analysis device 200 sends the analysis result notification screen 900 to the user terminal 16 that has accessed it, thereby informing the user of traces of security violations against the monitored target 14. However, for example, the notification unit 208 may notify information about traces of security violation against the monitoring target 14 by e-mail addressed to a preset user e-mail address. In that case, the user who has received the e-mail notification may be able to access the log analysis device 200 via the user terminal 16 and obtain more detailed information about the traces of the security violation.

上記の各構成、機能部、処理部、処理手段等は、それらの一部又は全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD(Solid State Drive)等の記録装置、ICカー
ド、SDカード、DVD等の記録媒体に置くことができる。 Part or all of the above-mentioned configurations, functional units, processing units, processing means, etc. may be realized by hardware, for example, by designing an integrated circuit. Furthermore, each of the above configurations, functions, etc. may be realized by software by a processor interpreting and executing a program for realizing each function. Information such as programs, tables, files, etc. that realize each function can be stored in a recording device such as a memory, a hard disk, an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, or a DVD.

以上に説明した各情報処理装置の各種機能部、各種処理部、各種データベースの配置形態は一例に過ぎない。各種機能部、各種処理部、各種データベースの配置形態は、これらの装置が備えるハードウェアやソフトウェアの性能、処理効率、通信効率等の観点から最適な配置形態に変更し得る。 The arrangements of the various functional units, various processing units, and various databases of each information processing device described above are merely examples. The layout of the various functional units, the various processing units, and the various databases can be changed to an optimal layout from the viewpoint of the performance, processing efficiency, communication efficiency, etc. of the hardware and software included in these devices.

前述した各種のデータを格納するデータベースの構成(スキーマ(Schema)等)は、リソースの効率的な利用、処理効率向上、アクセス効率向上、検索効率向上等の観点から柔軟に変更し得る。 The configuration of the database (schema, etc.) that stores the various types of data described above can be flexibly changed from the viewpoints of efficient use of resources, improvement in processing efficiency, improvement in access efficiency, improvement in search efficiency, etc.

1 セキュリティ管理システム、10 通信ネットワーク、11 IoCプロバイダ、12 ニュース配信サイト、13 SNS、14 監視対象、15 管理者端末、16 利用者端末、100 インテリジェンス生成装置、101 クローラ管理部、102 クローラ部、103 IoC情報抽出部、104 IoC属性付与部、105 関連性付与部、106 IoC情報提供部、200 ログ分析装置、201 ルール管理部、202 ログ転送部、203 パーサー部、204 関連IoC取得部、205 分析ルール取得部、206 分析クエリ生成部、207 突合分析部、208 通知部、300 収集先管理情報、301 収集先管理TBL、400 収集データ保管DB、401 IoC情報TBL、500 監視対象ログDB、501 分析対象ログTBL、510 ログ情報、600 ルールDB、601 分析ルールTBL、700 結果保管DB、701 分析結果TBL、800 IoC情報照会画面、900 分析結果通知画面 1 security management system, 10 communication network, 11 IoC provider, 12 news distribution site, 13 SNS, 14 monitoring target, 15 administrator terminal, 16 user terminal, 100 intelligence generation device, 101 crawler management section, 102 crawler section, 103 IoC information extraction unit, 104 IoC attribute assignment unit, 105 relevance assignment unit, 106 IoC information provision unit, 200 log analysis device, 201 rule management unit, 202 log transfer unit, 203 parser unit, 204 related IoC acquisition unit, 205 analysis Rule acquisition section, 206 Analysis query generation section, 207 Matching analysis section, 208 Notification section, 300 Collection destination management information, 301 Collection destination management TBL, 400 Collected data storage DB, 401 IoC information TBL, 500 Monitoring target log DB, 501 Analysis Target log TBL, 510 Log information, 600 Rule DB, 601 Analysis rule TBL, 700 Result storage DB, 701 Analysis result TBL, 800 IoC information inquiry screen, 900 Analysis result notification screen

Claims (15)

情報処理装置を用いて構成されるセキュリティ管理システムであって、
情報提供元から取得したセキュリティインテリジェンスからIoC情報を抽出するIoC情報抽出部と、
抽出した前記IoC情報に、当該IoC情報の種類を示す情報である属性ラベルを付与するIoC属性付与部と、
前記IoC属性付与部が付与した複数の前記IoC情報同士の関連性を夫々の前記属性ラベルに基づき特定し、特定した関連性を示す情報を前記IoC情報に付与して記憶する関連性付与部と、
セキュリティ侵害の監視対象から取得されるログ情報を管理する監視対象ログデータベースと、
前記ログ情報からIoC情報を抽出し、抽出した前記IoC情報に前記属性ラベルを付与するとともに、当該属性ラベルが付与された前記IoC情報に基づき、分析の対象とする情報である分析対象を生成するパーサー部と、
前記IoC情報抽出部が、情報提供元から新たに取得されたセキュリティインテリジェンスに基づき抽出した新たなIoC情報について、関連する他のIoC情報を取得する関連IoC取得部と、
前記新たなIoC情報と前記他のIoC情報の夫々に基づき、前記分析対象の検索に用いるクエリを生成する分析クエリ生成部と、
前記クエリを用いて前記分析対象を検索し、検索結果に基づきセキュリティ侵害の有無を分析し、前記分析の結果に関する情報である分析結果を生成する突合分析部と、
を備える、セキュリティ管理システム。 A security management system configured using an information processing device,
an IoC information extraction unit that extracts IoC information from security intelligence obtained from an information provider;
an IoC attribute adding unit that adds an attribute label, which is information indicating the type of the IoC information, to the extracted IoC information;
a relevance assigning unit that specifies the relevance between the plurality of pieces of IoC information assigned by the IoC attribute assigning unit based on the respective attribute labels, and assigns and stores information indicating the identified association to the IoC information; ,
a monitoring target log database that manages log information obtained from targets to be monitored for security violations;
Extract IoC information from the log information, add the attribute label to the extracted IoC information, and generate an analysis target, which is information to be analyzed, based on the IoC information to which the attribute label has been added. Parser section and
a related IoC acquisition unit that acquires other IoC information related to the new IoC information extracted by the IoC information extraction unit based on security intelligence newly acquired from an information provider;
an analysis query generation unit that generates a query for use in searching for the analysis target based on each of the new IoC information and the other IoC information;
a matching analysis unit that searches for the analysis target using the query, analyzes the presence or absence of a security violation based on the search results, and generates an analysis result that is information regarding the result of the analysis;
Security management system. 請求項1に記載のセキュリティ管理システムであって、
前記クエリの雛型を定義した情報である複数の分析ルールを管理するルール管理データベースと、
前記新たなIoC情報又は前記他のIoC情報に含まれている情報に応じた前記分析ルールを取得する分析ルール取得部と、
前記新たなIoC情報又は前記他のIoC情報に含まれている情報を前記分析ルールに適用することにより前記クエリを生成する分析クエリ生成部と、
を更に備える、セキュリティ管理システム。 The security management system according to claim 1,
a rule management database that manages a plurality of analysis rules that are information that defines the query template;
an analysis rule acquisition unit that acquires the analysis rule according to information included in the new IoC information or the other IoC information;
an analysis query generation unit that generates the query by applying information included in the new IoC information or the other IoC information to the analysis rule;
A security management system further equipped with. 請求項2に記載のセキュリティ管理システムであって、
前記分析ルールは前記属性ラベルごとに用意され、
前記新たなIoC情報と前記他のIoC情報の夫々について、夫々の属性ラベルに対応する前記分析ルールを取得する分析ルール取得部を更に備え、
前記分析クエリ生成部は、前記新たなIoC情報と前記他のIoC情報の夫々に含まれている情報を、夫々について取得した分析ルールに適用することにより前記クエリを生成する、
セキュリティ管理システム。 The security management system according to claim 2,
The analysis rule is prepared for each attribute label,
Further comprising an analysis rule acquisition unit that acquires the analysis rule corresponding to each attribute label for each of the new IoC information and the other IoC information,
The analysis query generation unit generates the query by applying information included in each of the new IoC information and the other IoC information to analysis rules acquired for each of the new IoC information and the other IoC information.
Security management system. 請求項2に記載のセキュリティ管理システムであって、
前記パーサー部は、前記分析対象の生成に際し、生成する前記分析対象に、当該分析対象の生成元の前記ログ情報の属性を示す情報であるログ属性を付与し、
前記分析ルールは、前記属性ラベルごと前記ログ属性ごとに用意され、
前記新たなIoC情報と前記他のIoC情報の夫々について、夫々の前記属性ラベル及び前記ログ属性に対応する前記分析ルールを取得する分析ルール取得部を更に備え、
前記分析クエリ生成部は、前記新たなIoC情報と前記他のIoC情報の夫々に含まれている情報を、夫々について取得した分析ルールに適用することにより前記クエリを生成
する、
セキュリティ管理システム。 The security management system according to claim 2,
When generating the analysis target, the parser section gives the generated analysis target a log attribute that is information indicating an attribute of the log information of the generation source of the analysis target,
The analysis rule is prepared for each attribute label and each log attribute,
Further comprising an analysis rule acquisition unit that acquires the analysis rule corresponding to each of the attribute label and log attribute for each of the new IoC information and the other IoC information,
The analysis query generation unit generates the query by applying information included in each of the new IoC information and the other IoC information to analysis rules acquired for each of the new IoC information and the other IoC information.
Security management system. 請求項2に記載のセキュリティ管理システムであって、
前記ルール管理データベースが管理する前記複数の分析ルールには、夫々、セキュリティ侵害の危険度を表わすスコアが付帯しており、
前記突合分析部は、前記分析対象の検索に用いた前記クエリの生成元の前記分析ルールの前記スコアの累積値を求め、前記累積値が予め設定された閾値以上である場合に警告を示す情報を出力する、
セキュリティ管理システム。 The security management system according to claim 2,
Each of the plurality of analysis rules managed by the rule management database is attached with a score indicating the degree of risk of security violation,
The matching analysis unit calculates the cumulative value of the score of the analysis rule that is the generation source of the query used to search for the analysis target, and provides information indicating a warning when the cumulative value is equal to or higher than a preset threshold. output,
Security management system. 請求項5に記載のセキュリティ管理システムであって、
ユーザが操作する情報処理装置と通信する通信装置と、
前記警告を示す情報を前記情報処理装置に送信する通知部と、
を更に備える、セキュリティ管理システム。 The security management system according to claim 5,
a communication device that communicates with an information processing device operated by a user;
a notification unit that transmits information indicating the warning to the information processing device;
A security management system that further includes: 請求項1に記載のセキュリティ管理システムであって、
ユーザが操作する情報処理装置と通信する通信装置と、
前記分析結果に基づく情報を前記通信装置により前記情報処理装置に送信する通知部と、
を更に備える、セキュリティ管理システム。 The security management system according to claim 1,
a communication device that communicates with an information processing device operated by a user;
a notification unit that transmits information based on the analysis result to the information processing device using the communication device;
A security management system that further includes: 請求項1に記載のセキュリティ管理システムであって、
通信ネットワークを介して他の情報処理装置と通信する通信装置と、
前記通信ネットワークを介して前記通信装置により前記情報提供元である他の情報処理装置から前記セキュリティインテリジェンスを取得するクローラ部と、
を更に備える、セキュリティ管理システム。 The security management system according to claim 1,
a communication device that communicates with other information processing devices via a communication network;
a crawler unit that acquires the security intelligence from another information processing device that is the information provider by the communication device via the communication network;
A security management system that further includes: 請求項8に記載のセキュリティ管理システムであって、
前記情報提供元に関する情報を管理する収集先管理データベースと、
前記情報提供元に関する情報の設定を受け付けるユーザインタフェースを提供するクローラ管理部と、
を更に備え、
前記クローラ部は、前記情報提供元に関する情報により特定される前記他の情報処理装置から前記セキュリティインテリジェンスを取得する、
セキュリティ管理システム。 The security management system according to claim 8,
a collection destination management database that manages information regarding the information provider;
a crawler management unit that provides a user interface that accepts settings for information regarding the information provider;
further comprising;
The crawler unit acquires the security intelligence from the other information processing device specified by the information regarding the information provider.
Security management system. 請求項2に記載のセキュリティ管理システムであって、
前記分析ルールを前記ルール管理データベースに登録するためのユーザインタフェースを提供するルール管理部を更に備える、
セキュリティ管理システム。 The security management system according to claim 2,
further comprising a rule management unit that provides a user interface for registering the analysis rule in the rule management database;
Security management system. 請求項1に記載のセキュリティ管理システムであって、
前記IoC情報抽出部が抽出した前記IoC情報に関する情報をユーザに提供するIoC情報提供部、
を更に備える、セキュリティ管理システム。 The security management system according to claim 1,
an IoC information providing unit that provides a user with information regarding the IoC information extracted by the IoC information extraction unit;
A security management system that further includes: 請求項11に記載のセキュリティ管理システムであって、
前記IoC情報提供部は、前記IoC情報同士の前記関連性を表した図を生成してユーザに提供する、
セキュリティ管理システム。 The security management system according to claim 11,
The IoC information providing unit generates a diagram representing the relationship between the IoC information and provides the diagram to the user.
Security management system. 情報処理装置が、
情報提供元から取得したセキュリティインテリジェンスからIoC情報を抽出するステップと、
前記IoC情報に、当該IoC情報の種類を示す情報である属性ラベルを付与するステップと、
複数の前記IoC情報同士の関連性を夫々の前記属性ラベルに基づき特定し、特定した関連性を示す情報を前記IoC情報に付与して記憶するステップと、
セキュリティ侵害の監視対象から取得されるログ情報をデータベースに管理するステップと、
前記ログ情報からIoC情報を抽出し、抽出した前記IoC情報に前記属性ラベルを付与するとともに、当該属性ラベルが付与された前記IoC情報に基づき、分析の対象とする情報である分析対象を生成するステップと、
情報提供元から新たに取得されたセキュリティインテリジェンスに基づき抽出した新たなIoC情報について、関連する他のIoC情報を取得するステップと、
前記新たなIoC情報と前記他のIoC情報の夫々に基づき、前記分析対象の検索に用いるクエリを生成するステップと、
前記クエリを用いて前記分析対象を検索し、検索結果に基づきセキュリティ侵害の有無を分析し、前記分析の結果に関する情報である分析結果を生成するステップと、
を実行する、セキュリティ管理方法。 The information processing device
extracting IoC information from security intelligence obtained from an information provider;
adding an attribute label, which is information indicating the type of the IoC information, to the IoC information;
specifying the relationships between the plurality of pieces of IoC information based on the respective attribute labels, and adding and storing information indicating the specified relationships to the IoC information;
managing log information obtained from a target to be monitored for security breaches in a database;
Extract IoC information from the log information, add the attribute label to the extracted IoC information, and generate an analysis target, which is information to be analyzed, based on the IoC information to which the attribute label has been added. step and
a step of acquiring other IoC information related to the new IoC information extracted based on security intelligence newly acquired from the information provider;
generating a query for use in searching for the analysis target based on each of the new IoC information and the other IoC information;
searching for the analysis target using the query, analyzing whether there is a security violation based on the search results, and generating an analysis result that is information about the result of the analysis;
A security management method to implement. 請求項13に記載のセキュリティ管理方法であって、
前記情報処理装置が、
前記クエリの雛型を定義した情報である複数の分析ルールを管理するステップと、
前記新たなIoC情報又は前記他のIoC情報に含まれている情報に応じた前記分析ルールを取得するステップと、
前記新たなIoC情報又は前記他のIoC情報に含まれている情報を前記分析ルールに適用することにより前記クエリを生成するステップと、
を更に実行する、セキュリティ管理方法。 14. The security management method according to claim 13,
The information processing device
a step of managing a plurality of analysis rules that are information defining a template for the query;
acquiring the analysis rule according to information included in the new IoC information or the other IoC information;
generating the query by applying information contained in the new IoC information or the other IoC information to the analysis rule;
A security management method that further implements. 請求項14に記載のセキュリティ管理方法であって、
前記分析ルールは、前記属性ラベルごとに用意され、
前記情報処理装置が、
前記新たなIoC情報と前記他のIoC情報の夫々について、夫々の属性ラベルに対応する前記分析ルールを取得するステップと、
前記新たなIoC情報と前記他のIoC情報の夫々に含まれている情報を、夫々について取得した分析ルールに適用することにより前記クエリを生成するステップと、
を更に実行する、セキュリティ管理方法。 15. The security management method according to claim 14,
The analysis rule is prepared for each attribute label,
The information processing device
acquiring the analysis rule corresponding to each attribute label for each of the new IoC information and the other IoC information;
generating the query by applying information included in each of the new IoC information and the other IoC information to analysis rules obtained for each;
A security management method that further implements.
JP2020189129A 2020-11-13 2020-11-13 Security management system and security management method Active JP7408530B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020189129A JP7408530B2 (en) 2020-11-13 2020-11-13 Security management system and security management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020189129A JP7408530B2 (en) 2020-11-13 2020-11-13 Security management system and security management method

Publications (2)

Publication Number Publication Date
JP2022078447A JP2022078447A (en) 2022-05-25
JP7408530B2 true JP7408530B2 (en) 2024-01-05

Family

ID=81707003

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020189129A Active JP7408530B2 (en) 2020-11-13 2020-11-13 Security management system and security management method

Country Status (1)

Country Link
JP (1) JP7408530B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150128274A1 (en) 2013-11-04 2015-05-07 Crypteia Networks S.A. System and method for identifying infected networks and systems from unknown attacks
WO2017221711A1 (en) 2016-06-23 2017-12-28 日本電信電話株式会社 Log analysis device, log analysis method, and log analysis program
JP2018032355A (en) 2016-08-26 2018-03-01 富士通株式会社 Program, method, and device for assisting cyberattack analysis
JP2018508918A (en) 2015-01-30 2018-03-29 アノマリ インコーポレイテッド Space and time efficient threat detection
JP2020035424A (en) 2018-07-03 2020-03-05 ザ・ボーイング・カンパニーThe Boeing Company Network threat indicator extraction and response

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150128274A1 (en) 2013-11-04 2015-05-07 Crypteia Networks S.A. System and method for identifying infected networks and systems from unknown attacks
JP2018508918A (en) 2015-01-30 2018-03-29 アノマリ インコーポレイテッド Space and time efficient threat detection
WO2017221711A1 (en) 2016-06-23 2017-12-28 日本電信電話株式会社 Log analysis device, log analysis method, and log analysis program
JP2018032355A (en) 2016-08-26 2018-03-01 富士通株式会社 Program, method, and device for assisting cyberattack analysis
JP2020035424A (en) 2018-07-03 2020-03-05 ザ・ボーイング・カンパニーThe Boeing Company Network threat indicator extraction and response

Also Published As

Publication number Publication date
JP2022078447A (en) 2022-05-25

Similar Documents

Publication Publication Date Title
US10972493B2 (en) Automatically grouping malware based on artifacts
US11334602B2 (en) Methods and systems for alerting based on event classification and for automatic event classification
Zipperle et al. Provenance-based intrusion detection systems: A survey
US11188657B2 (en) Method and system for managing electronic documents based on sensitivity of information
US10200390B2 (en) Automatically determining whether malware samples are similar
US9680856B2 (en) System and methods for scalably identifying and characterizing structural differences between document object models
US10075462B2 (en) System and user context in enterprise threat detection
US8874550B1 (en) Method and apparatus for security information visualization
US20200153865A1 (en) Sensor based rules for responding to malicious activity
CN109074454B (en) Automatic malware grouping based on artifacts
JP6042541B2 (en) Security information management system, security information management method, and security information management program
US20170178026A1 (en) Log normalization in enterprise threat detection
US20150207811A1 (en) Vulnerability vector information analysis
EP2560120B1 (en) Systems and methods for identifying associations between malware samples
EA038063B1 (en) Intelligent control system for cyberthreats
Kim et al. CyTIME: Cyber Threat Intelligence ManagEment framework for automatically generating security rules
KR20190138037A (en) An information retrieval system using knowledge base of cyber security and the method thereof
Wei et al. Graph representation learning based vulnerable target identification in ransomware attacks
US11308091B2 (en) Information collection system, information collection method, and recording medium
JP7408530B2 (en) Security management system and security management method
Bo et al. Tom: A threat operating model for early warning of cyber security threats
Stoddard et al. Tanium reveal: a federated search engine for querying unstructured file data on large enterprise networks
US20240214406A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
US20240214396A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
Nehe Malware and Log file Analysis Using Hadoop and Map Reduce

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230222

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231130

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231220

R150 Certificate of patent or registration of utility model

Ref document number: 7408530

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150