JP7408530B2 - Security management system and security management method - Google Patents
Security management system and security management method Download PDFInfo
- Publication number
- JP7408530B2 JP7408530B2 JP2020189129A JP2020189129A JP7408530B2 JP 7408530 B2 JP7408530 B2 JP 7408530B2 JP 2020189129 A JP2020189129 A JP 2020189129A JP 2020189129 A JP2020189129 A JP 2020189129A JP 7408530 B2 JP7408530 B2 JP 7408530B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- ioc
- analysis
- security management
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims description 78
- 238000004458 analytical method Methods 0.000 claims description 189
- 230000010365 information processing Effects 0.000 claims description 28
- 238000012544 monitoring process Methods 0.000 claims description 24
- 238000004891 communication Methods 0.000 claims description 20
- 238000000605 extraction Methods 0.000 claims description 15
- 239000000284 extract Substances 0.000 claims description 10
- 238000010586 diagram Methods 0.000 claims description 9
- 230000001186 cumulative effect Effects 0.000 claims description 3
- 238000000034 method Methods 0.000 description 21
- 238000012545 processing Methods 0.000 description 19
- 230000006870 function Effects 0.000 description 14
- 230000008569 process Effects 0.000 description 13
- 230000014509 gene expression Effects 0.000 description 8
- 238000013500 data storage Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000009118 appropriate response Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、セキュリティ管理システム、及びセキュリティ管理方法に関する。 The present invention relates to a security management system and a security management method.
特許文献1には、危殆化のインジケータであるIoC(Indicator of Compromise)を複
数のセキュリティデータプロバイダから取得し、取得したIoCを使用して、コンピュータシステムから受信したテレメトリデータにおけるセキュリティ脅威の存在を検出することが記載されている。
特許文献2には、SNS(Social Networking Service)における投稿の評価をサイバ
ー脅威インテリジェンスの信頼性に反映させる機能を有する情報処理装置について記載されている。情報処理装置は、サイバー攻撃に関する情報(投稿情報に含まれているサイバー攻撃に関する単語やフレーズ等)を取得すると、取得した情報をサイバー攻撃に関する情報の取得源に基づく信頼度と対応付けて記憶し、当該情報に対応する投稿情報が情報処理端末からアップロードされたことを検知すると、上記投稿情報にかかる信頼度に応じてサイバー攻撃に関する情報に対応付けられた信頼度を更新する。
情報処理システムにおけるセキュリティ管理の手法としてOSINT(Open Source INTelligence)が注目されている。セキュリティ管理においては情報の鮮度が重要であり、鮮度の高い情報がやり取りされるSNS、同業他社から提供されるインシデントチケット、ニュース記事等から取得される、広汎な情報や非定期に発せられる情報を積極的に活用することが有効である。 OSINT (Open Source INTelligence) is attracting attention as a security management method for information processing systems. Freshness of information is important in security management, and it is important to keep a wide range of information and irregularly published information obtained from SNS where highly fresh information is exchanged, incident tickets provided by other companies in the same industry, news articles, etc. It is effective to make active use of it.
特許文献1では、IoCを提供する外部機関からIoCを取得することで監視対象のシステムに対する侵害を検知する。しかし同文献では、OSINTの活用については考慮されていない。また、監視対象がサイバー攻撃を受けた際は多数のIoCが取得される(例えば、マルウエアの感染先ごとに複数のIPアドレスやハッシュ値が取得される等)可能性があるが、同文献の方法では、取得した複数のIoCが同じサイバー攻撃に起因するか否かを関連付けるために多くの工数を必要であり、分析者の負担が大きい。
In
特許文献2に記載の技術は、SNSの投稿情報に含まれているサイバー攻撃に関する単語やフレーズをサイバー攻撃に関する情報として活用している。しかしサイバー攻撃に関する情報の確認は人間系が行っており、取得された膨大な情報の中からセキュリティに関する情報を抽出するには専門的な知識や経験を有する多くの要員が必要となる。
The technology described in
本発明はこのような背景に基づきなされたものであり、様々な情報源から取得される情報を有効に利用してセキュリティ侵害を効率よく確実に検知することが可能な、セキュリティ管理システム、及びセキュリティ管理方法を提供することを目的とする。 The present invention has been made based on this background, and provides a security management system and security system that can efficiently and reliably detect security violations by effectively utilizing information obtained from various information sources. The purpose is to provide a management method.
上記目的を達成するための本発明の一つは、情報処理装置を用いて構成されるセキュリティ管理システムであって、情報提供元から取得したセキュリティインテリジェンスからIoC情報を抽出するIoC情報抽出部と、抽出した前記IoC情報に、当該IoC情報の種類を示す情報である属性ラベルを付与するIoC属性付与部と、前記IoC属性付与部が付与した複数の前記IoC情報同士の関連性を夫々の前記属性ラベルに基づき特定し、特定した関連性を示す情報を前記IoC情報に付与して記憶する関連性付与部と、セキュリティ侵害の監視対象から取得されるログ情報を管理する監視対象ログデータベースと、前記ログ情報からIoC情報を抽出し、抽出した前記IoC情報に前記属性ラベルを付与するとともに、当該属性ラベルが付与された前記IoC情報に基づき、分析の対象とする情報である分析対象を生成するパーサー部と、前記IoC情報抽出部が、情報提供元から新たに取得されたセキュリティインテリジェンスに基づき抽出した新たなIoC情報について、関連する他のIoC情報を取得する関連IoC取得部と、前記新たなIoC情報と前記他のIoC情報の夫々に基づき、前記分析対象の検索に用いるクエリを生成する分析クエリ生成部と、前記クエリを用いて前記分析対象を検索し、検索結果に基づきセキュリティ侵害の有無を分析し、前記分析の結果に関する情報である分析結果を生成する突合分析部と、を備える。 One of the present inventions for achieving the above object is a security management system configured using an information processing device, which includes an IoC information extraction unit that extracts IoC information from security intelligence acquired from an information provider; An IoC attribute assigning unit that assigns an attribute label, which is information indicating the type of the IoC information, to the extracted IoC information; and an IoC attribute assigning unit that assigns an attribute label, which is information indicating the type of the IoC information, to the extracted IoC information; a relevance adding unit that identifies the IoC information based on a label and stores information indicating the identified relationship; a monitoring target log database that manages log information obtained from a security violation monitoring target; A parser that extracts IoC information from log information, adds the attribute label to the extracted IoC information, and generates an analysis target, which is information to be analyzed, based on the IoC information to which the attribute label has been added. a related IoC acquisition unit that acquires other IoC information related to the new IoC information extracted by the IoC information extraction unit based on security intelligence newly acquired from an information provider; an analysis query generation unit that generates a query to be used for searching the analysis target based on the information and the other IoC information, and searching for the analysis target using the query and determining whether there is a security violation based on the search result. and a matching analysis unit that performs analysis and generates an analysis result that is information regarding the result of the analysis.
その他、本願が開示する課題、及びその解決方法は、発明を実施するための形態の欄、及び図面により明らかにされる。 Other problems disclosed in the present application and methods for solving the problems will be made clear by the detailed description section and the drawings.
本発明によれば、様々な情報源から取得される情報を有効に利用してセキュリティ侵害を効率よく確実に検知することができる。 According to the present invention, security violations can be efficiently and reliably detected by effectively utilizing information obtained from various information sources.
以下、図面を参照して本発明の実施形態を説明する。尚、以下の記載及び図面は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略や簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。とくに限定しない限り、各構成要素は単数でも複数でも構わない。 Embodiments of the present invention will be described below with reference to the drawings. Note that the following description and drawings are examples for explaining the present invention, and are omitted or simplified as appropriate to clarify the explanation. The present invention can also be implemented in various other forms. Unless otherwise specified, each component may be singular or plural.
以下の説明において、同一の又は類似する構成に同一の符号を付して重複した説明を省略することがある。また、以下の説明では、「情報」、「テーブル」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されていてもよい。また、識別情報の表現として、「識別情報」、「識別子」、「名」、「ID」、「番号」等の表現があるが、これらについてはお互いに置換が可能である。また、以下の説明
において、「データベース」のことを「DB」と、「テーブル」のことを「TBL」と、夫々表記することがある。
In the following description, the same or similar components may be given the same reference numerals and redundant descriptions may be omitted. Further, in the following description, various information may be described using expressions such as "information" and "table", but various information may be expressed using data structures other than these. In addition, as expressions of identification information, there are expressions such as "identification information", "identifier", "name", "ID", and "number", but these expressions can be replaced with each other. Furthermore, in the following description, a "database" may be referred to as "DB" and a "table" may be referred to as "TBL".
図1に、一実施形態として説明する情報処理システム(以下、「セキュリティ管理システム1」と称する。)の概略的な構成(機能ブロック図)を示している。同図に示すように、セキュリティ管理システム1は、インテリジェンス生成装置100、ログ分析装置200、監視対象14、管理者端末15、及び利用者端末16を含む。
FIG. 1 shows a schematic configuration (functional block diagram) of an information processing system (hereinafter referred to as "
セキュリティ管理システム1は、監視対象14において生成される各種のログ情報を取得して分析することにより、監視対象14におけるセキュリティ侵害の有無を検知する。監視対象14の種類はとくに限定されないが、例えば、企業や官公庁等の組織において運用されている情報通信システムを構成している情報処理装置(サーバ装置、クライアント装置、ネットワーク機器等)や、各種の現場(工場、倉庫、配送センタ等)に設けられている通信機器やIoT機器である。
The
インテリジェンス生成装置100は、通信ネットワーク10を介して、危殆化のインジケータであるIoC(Indicator of Compromise)を提供するプロバイダ(以下、「IoC
プロバイダ11」と称する。)、ニュース配信サイト12、SNS13等の外部機関から、サイバー攻撃に関する情報等のセキュリティに関する情報(以下、「セキュリティインテリジェンス」と称する。)を収集する。以下、セキュリティインテリジェンスの提供元のことを「情報提供元」とも称する。
The
provider 11." ),
インテリジェンス生成装置100は、管理者端末15及び利用者端末16と通信可能に接続されている。管理者端末15は、例えば、セキュリティ管理システム1の管理者等のユーザによって操作される。また、利用者端末16は、例えば、セキュリティ管理システム1の利用者等のユーザによって操作される。
The
インテリジェンス生成装置100によって収集されたセキュリティインテリジェンスは、ログ分析装置200によるログ情報の分析に用いられる。また、収集されたセキュリティインテリジェンスは、利用者端末16を介して行われる情報検索サービスや情報閲覧サービスによってユーザに提供される。
The security intelligence collected by the
同図に示すように、インテリジェンス生成装置100は、クローラ管理部101、クローラ部102、IoC情報抽出部103、IoC属性付与部104、関連性付与部105、IoC情報提供部106、収集先管理DB300、及び収集データ保管DB400の各機能を備える。これらの機能の詳細については後述する。
As shown in the figure, the
ログ分析装置200は、インテリジェンス生成装置100、監視対象14、及び利用者端末16と通信可能に接続している。ログ分析装置200は、インテリジェンス生成装置100がセキュリティインテリジェンスに基づき生成した情報を、監視対象14から送られてくるログ情報と突き合わせる(対照する)ことにより、監視対象14におけるセキュリティ侵害の有無を分析する。
The
ログ分析装置200は、利用者端末16を介してユーザから監視対象14に関する情報を受け付ける。また、ログ分析装置200は、サイバー攻撃の痕跡等の情報を利用者端末16を介してユーザに提供する。
The
同図に示すように、ログ分析装置200は、ルール管理部201、ログ転送部202、パーサー部203、関連IoC取得部204、分析ルール取得部205、分析クエリ生成部206、突合分析部207、通知部208、監視対象ログDB500、ルールDB60
0、及び結果保管DB700の各機能を備える。これらの機能の詳細については後述する。
As shown in the figure, the
0, and result
図2は、インテリジェンス生成装置100、ログ分析装置200、管理者端末15、及び利用者端末16の構成に用いる情報処理装置20のハードウェア構成の一例である。情報処理装置20は、プロセッサ21、主記憶装置22、通信装置23、入力装置24、出力装置25、及び補助記憶装置26を備える。
FIG. 2 is an example of the hardware configuration of the
尚、例示する情報処理装置20は、その全部又は一部が、例えば、クラウドシステムによって提供される仮想サーバのように、仮想化技術やプロセス空間分離技術等を用いて提供される仮想的な情報処理資源を用いて実現されるものであってもよい。また、情報処理装置20によって提供される機能の全部又は一部は、例えば、クラウドシステムがAPI(Application Programming Interface)等を介して提供するサービスによって実現して
もよい。また、情報処理装置20によって提供される機能の全部又は一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)等を利用して実現されるものであってもよい。
Note that the illustrated
プロセッサ21は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、AI(Artificial Intelligence)チップ、FPGA(Field Programmable Gate Array)、SoC(System on Chip)、ASIC(Application Specific Integrated Circuit)等を用いて構成される。
The
主記憶装置22は、プログラムやデータを記憶する装置であり、例えば、ROM(Read
Only Memory)、RAM(Random Access Memory)、不揮発性メモリ(NVRAM(Non Volatile RAM))等である。
The
RAM (Random Access Memory), nonvolatile memory (NVRAM (Non Volatile RAM)), etc.
通信装置23は、通信ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)、インターネット、専用線、公衆通信網等)を介して、他の情報処理装置
(スマートフォン、タブレット、ノートブック型コンピュータ、各種携帯情報端末等)や外部のIoT機器との間で通信を行う装置であり、無線又は有線の通信モジュール(無線通信モジュール、通信ネットワークアダプタ、USBモジュール等)である。
The
入力装置24は、ユーザからの入力や外部の装置からのデータ入力を受け付けるユーザインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、音声入力装置(例えば、マイクロフォン)等である。
The
出力装置25は、各種情報を、画像によって出力する表示装置、音声によって出力する音声出力装置、紙媒体に印刷する印刷装置等である。
The
補助記憶装置26は、プログラムやデータを格納する装置であり、例えば、SSD(Solid State Drive)、ハードディスクドライブ、光学式記憶媒体(CD(Compact Disc)
、DVD(Digital Versatile Disc)等)、ICカード、SDカード等である。補助記憶装置26の全部又は一部は、クラウドが提供する仮想的な記憶領域等であってもよい。補助記憶装置26には、セキュリティ管理システム1の機能を実現するためのプログラムやデータが格納されている。プログラムやデータは、記録媒体の読取装置や通信装置23を介して補助記憶装置26に読み込むことができる。補助記憶装置26に格納(記憶)されているプログラムやデータは主記憶装置22に随時読み込まれる。プロセッサ21は、補助記憶装置26に格納されているプログラムを主記憶装置22に読み出して実行することにより各種の機能を実現する。
The
, DVD (Digital Versatile Disc), etc.), IC card, SD card, etc. All or part of the
情報処理装置20には、例えば、オペレーティングシステム、ファイルシステム、DBMS(DataBase Management System)(リレーショナルデータベース、NoSQL等)、KVS(Key-Value Store)等が導入されていてもよい。
For example, an operating system, a file system, a DBMS (DataBase Management System) (relational database, NoSQL, etc.), a KVS (Key-Value Store), etc. may be installed in the
図3は、セキュリティ管理システム1において行われる主な処理(以下、「メイン処理」と称する。)を説明するフローチャートである。以下、同図とともにメイン処理について説明する。
FIG. 3 is a flowchart illustrating main processing (hereinafter referred to as "main processing") performed in the
インテリジェンス生成装置100は、情報提供元からセキュリティインテリジェンスを収集し、収集したセキュリティインテリジェンスに基づき、ログ分析装置200がログ情報の分析に際して用いる情報(以下、「IoC情報TBL401」と称する。)を生成する処理を行う。以下、上記の処理のことを「IoC情報生成処理S1」と称する。
The
ログ分析装置200は、監視対象14から新たなログ情報を取得した場合や利用者端末16を介してユーザから指示があった場合等、ログ情報を分析するタイミングが到来すると(S2:YES)、ログ情報を分析する処理を行う。以下、上記の処理のことを「ログ情報分析処理S3」と称する。
When the timing to analyze log information arrives, such as when new log information is acquired from the
インテリジェンス生成装置100及びログ分析装置200は、利用者端末16を介してユーザから閲覧要求を受信すると(S4)、要求された情報を利用者端末16に送信し、利用者端末16が送られてきた情報をユーザに提示する(S5)。例えば、インテリジェンス生成装置100は、IoC情報TBL401に基づく情報を利用者端末16に送信する。また、ログ分析装置200は、例えば、侵害の痕跡報告等、ユーザに通知すべき情報を利用者端末16に送信する。尚、ログ分析装置200は、侵害の痕跡報告等、ユーザに緊急に通知すべき情報については、ユーザからの閲覧要求に拘わらず能動的に利用者端末16に送信することもある。
When the
セキュリティ管理システム1では、以上のメイン処理が、例えば、監視対象14についてセキュリティ侵害の有無の監視が行われている期間中、繰り返し実行される。
In the
図4は、図3に示したIoC情報生成処理S1の詳細を説明するフローチャートである。以下、同図を参照しつつ、IoC情報生成処理S1について説明する。 FIG. 4 is a flowchart illustrating details of the IoC information generation process S1 shown in FIG. 3. The IoC information generation process S1 will be described below with reference to the same figure.
まず、インテリジェンス生成装置100のクローラ管理部101が、管理者端末15を介して、セキュリティインテリジェンスの情報提供元に関する情報、情報提供元から取得すべき情報、及び情報提供元からの情報の取得方法を、ユーザから受け付け、受け付けた情報を収集先管理TBL301に登録する(S11)。
First, the
図5に収集先管理TBL301の一例を示す。同図に示すように、例示する収集先管理TBL301は、登録番号302、登録日303、情報提供元304、確認頻度305、及び情報型式306の各項目を有する一つ以上のエントリ(レコード)で構成されている。収集先管理TBL301の一つのエントリは一つの情報提供元に対応する。
FIG. 5 shows an example of the collection
上記項目のうち、登録番号302には、情報提供元ごとに付与される識別子である登録番号が設定される。登録日303には、当該エントリの情報提供元の情報が登録された日(日時でもよい)が設定される。情報提供元304には、当該エントリの情報提供元の所在を示す情報(例えば、「Ioc.com/list」等のリソースの詳細)が設定される。確認頻度305には、当該情報提供元から情報を取得する頻度を示す情報が設定される。情報型式306には、当該情報提供元から取得される情報の形式を示す情報が設定される。例えば、IoCプロバイダ11から提供されるセキュリティインテリジェンスのように、構造的
なIoC形式の情報(以下、「IoC情報」と称する。)が提供される場合は情報型式306に「IoC」が設定される。また、例えば、ニュース配信サイト12やSNS13から提供される情報のように、自然言語(非構造的な形式)で情報が提供される場合は情報型式306に「自然言語」が設定される。
Among the above items, the
図4に戻り、S12では、クローラ部102が、収集先管理TBL301に登録されている情報提供元に通信ネットワーク10(インターネット等)を介してアクセス(クローリング等)することにより情報提供元からセキュリティインテリジェンスを収集する。
Returning to FIG. 4, in S12, the
続くS13~S16の処理は、収集先管理TBL301に登録されている情報提供元の
夫々から取得した各セキュリティインテリジェンスについて行われる。
The subsequent processes of S13 to S16 are performed for each security intelligence acquired from each of the information providers registered in the collection
まず、S13では、IoC情報抽出部103が、クローラ部102が取得したセキュリティインテリジェンスからIoC情報を抽出する。IoC情報抽出部103は、例えば、ニュース配信サイト12やSNS13等から自然言語によって記述されている非構造的な形式で記述されたセキュリティインテリジェンスを取得した場合、取得したセキュリティインテリジェンスに周知の正規表現抽出や固有表現抽出の技術を適用することにより、例えば、「IPアドレス」、「URL」、「脅威アクターの名称」等をIoC情報として抽出する。また、IoC情報抽出部103は、例えば、取得したセキュリティインテリジェンスの提供元がIoCプロバイダ11であり、セキュリティインテリジェンスが元々IoC形式(xml等)で記述されている場合、当該情報をそのままIoC情報として抽出する。
First, in S13, the IoC
続いて、IoC属性付与部104が、IoC情報抽出部103が抽出したIoC情報に、IoC情報の属性(IPアドレス、URL、MD5等)を示す情報である「属性ラベル」を付与する(S14)。IoC属性付与部104は、例えば、正規表現抽出や固有表現抽出等の方法を用いてIoC情報の形式(IPアドレス、URL、MD5等)を特定し、特定した形式に対応する属性ラベル(IP、URL、MD5等)をIoC情報に付与する。
Next, the IoC
続いて、関連性付与部105が、IoC情報同士の関連付けを行う(S15)。関連性付与部105は、上記関連付けをIoC情報の属性ラベルに基づき行う。例えば、属性ラベルが重複するIoC情報が収集データ保管DB400に存在する場合、関連性付与部105は、夫々のIoC情報の抽出元のセキュリティインテリジェンス同士を比較し、比較の結果に応じて、夫々のセキュリティインテリジェンスから抽出される他のIoC情報を関連付ける。例えば、二つのニュース記事の一方に、IoC情報として、URL「URL_a
」と、IPアドレス「IP_a」が含まれており、他方の記事にURL「URL_a」とIPアド
レス「IP_b」が含まれていた場合、関連性付与部105は、二つのニュース記事においてURL「URL_a」が共通していることから、IPアドレス「IP_a」とIPアドレス「IP_b
」について「関連性がある」と判定し、関連性のあるIPアドレス「URL_a」とIPアド
レス「IP_b」とに関連性を付与する。
Subsequently, the
” and the IP address “IP_a”, and the other article contains the URL “URL_a” and the IP address “IP_b”, the
” is determined to be “related,” and the related IP address “URL_a” and IP address “IP_b” are given relevance.
続いて、関連性付与部105が、IoC情報をIoC情報TBL401に登録する(S16)。
Subsequently, the
図6にIoC情報TBL401の一例を示す。同図に示すように、IoC情報TBL401は、登録番号402、取得日403、抽出IoC404、IoC属性405、取得元406、及び関連性407の各項目を有する一つ以上のエントリ(レコード)で構成されている。IoC情報TBL401の一つのエントリは一つのIoC情報に対応している。
FIG. 6 shows an example of the
登録番号402には、当該IoC情報の識別子である登録番号が設定される。取得日403には、当該IoC情報がIoC情報TBL401として登録された日時を示す情報が設定される。抽出IoC404には、当該IoC情報の内容(「IPアドレス」、「URL」、「ハッシュ値」、「脅威アクターの名称」等)が設定される。IoC属性405には、IoC属性付与部104によって付与された属性ラベルが設定される。取得元406には、当該IoC情報の取得元(情報提供元)を示す情報(例えば、当該IoC情報の取得元の所在を示す情報)が設定される。関連性407には、関連性付与部105によって当該IoC情報と関連付けられた他のIoC情報の登録番号が設定される。
A registration number that is an identifier of the IoC information is set in the
図7は、図3のログ情報分析処理S3を説明するフローチャートである。以下、同図とともにログ情報分析処理S3について説明する。尚、ログ分析装置200のログ転送部202は、利用者端末16によって設定された監視対象14からログ情報を随時取得し、取得したログ情報を監視対象ログDB500に登録しているものとする(以下、登録されたログ情報を「ログ情報510」と称する。)。
FIG. 7 is a flowchart illustrating the log information analysis process S3 of FIG. The log information analysis process S3 will be described below with reference to the same figure. It is assumed that the
まず、ログ分析装置200のパーサー部203が、ログ情報510に基づき分析対象ログTBL501を生成し、生成した分析対象ログTBL501を監視対象ログDB500に登録する(S31)。より詳細には、パーサー部203は、まず、ログ情報510に含まれているIoC情報を、例えば、正規表現抽出やパース構文解析等の技術を用いて抽出し、抽出したIoC情報に属性(以下、「ログ属性」と称する。)を付与する。続いて、パーサー部203は、抽出したIoC情報ごとにログ情報510の所定の情報を対応付けた情報を生成し、生成した情報(以下、「分析対象」と称する。)を監視対象ログDB500の分析対象ログTBL501に登録する。
First, the
図8に、分析対象ログTBL501の一例を示す。同図に示すように、分析対象ログTBL501は、登録番号502、取得日時503、ログ属性504、元ファイル名505、rawデータ506、及びパースIoC507の各項目を有する一つ以上のエントリ(レコード)で構成されている。分析対象ログTBL501の一つのエントリは一つの分析対象に対応する。
FIG. 8 shows an example of the analysis target log TBL501. As shown in the figure, the analysis
上記項目のうち、登録番号502には、当該分析対象の識別子である登録番号が設定される。取得日時503には、当該分析対象の抽出元のログ情報510が登録された日時が設定される。ログ属性504には、当該分析対象の抽出元のログ情報510の種類(以下、「ログ属性」と称する。)を示す情報が設定される。元ファイル名505には、当該分析対象の抽出元のログ情報510のファイル名が設定される。rawデータ506には、当該分析対象の抽出元のログ情報510における当該IoC情報の記載部分を示す情報が設定される。パースIoC507には、rawデータ506からパーサー部203が抽出したIoC情報が設定される。例えば、パースIoC507には、rawデータ506から抽出されたIoC情報に当該分析対象の種別に応じて付与した情報(IPアドレスやURL等)が設定される。本例では、パースIoC507には、監視対象14にアクセスしてきた端末のIPアドレスを示す「元IP」、その端末のアクセス先のURLを示す「先URL」、そのアクセスの状態を示す「status」が設定されている。
Among the above items, the
図7に戻り、続いて、ルール管理部201が、監視対象14のログを分析する際の規則を定義した情報を、例えば、利用者端末16を介してユーザから取得し、取得した情報(以下、「分析ルール」と称する。)をルール管理DB600の分析ルールTBL601に登録する(S32)。
Returning to FIG. 7, the
図9に分析ルールTBL601の一例を示す。同図に示すように、分析ルールTBL601は、登録番号602、登録日603、IoC属性604、ログ属性605、生成クエ
リ606、及びスコア607の各項目を有する一つ以上のエントリ(レコード)で構成されている。分析ルールTBL601の一つのエントリは一つの分析ルールに対応する。
FIG. 9 shows an example of the
上記項目のうち、登録番号602には、分析ルールの識別子である登録番号が設定される。登録日603には、当該分析ルールがルール管理DB500に登録された日(又は日時)が設定される。IoC属性604には、前述のIoC属性が設定される。ログ属性605には、前述のログ属性が設定される。生成クエリ606には、監視対象ログDB500からセキュリティ侵害の痕跡に対応する分析対象ログTBL501の検索に用いるクエリの雛型(テンプレート)が設定される。スコア607には、当該分析ルールによる分析によりセキュリティ侵害の痕跡が検知された場合に後述するスコア合計値に加算する危険度が設定される。本例では、スコアの値が大きい程、危険度が高くなるものとする。
Among the above items, the
図7に戻り、関連IoC取得部204は、IoC情報TBL401に新たなIoC情報が登録されたか否かを随時監視している(S33)。IoC情報TBL401に新たなIoC情報が登録されたことを検知すると(S33:YES)、関連IoC取得部204は、登録された新たなIoC情報と、当該新たなIoC情報に関連する他のIoC情報(IoC情報TBL401の関連性407から関連すると判定されるIoC情報)とを取得し(S34)、取得したIoC情報(新たなIoC情報と他のIoC情報)を分析ルール取得部205に入力する。
Returning to FIG. 7, the related
続いて、分析ルール取得部205が、関連IoC取得部204から入力された各IoC情報について、当該IoC情報のIoC属性に応じた分析ルールが分析ルールTBL601に登録されているか否かを判定する(S35)。IoC属性に応じた分析ルールが分析ルールTBL601に登録されている場合(S35:YES)、分析ルール取得部205は、入力されたIoC情報のIoC属性と同じ属性ラベルがIoC属性604に設定されている全ての分析ルールを分析ルールTBL601から抽出し、抽出した分析ルールを分析クエリ生成部206に入力する。その後、処理はS36に進む。一方、IoC属性に応じた分析ルールがルールDB600から抽出されない場合(S35:NO)、ログ情報分析処理S3は終了する。
Next, the analysis
S36では、分析クエリ生成部206が、分析ルール取得部205から入力された分析ルールの生成クエリ606(クエリの雛型)を編集することにより、監視対象ログDB500に適用するクエリ(以下、「分析クエリ」と称する。)を生成し、生成した分析クエリを突合分析部207に入力する。
In S36, the analysis
例えば、関連IoC取得部204が取得したIoC情報のIoC属性が特定のIPアドレスである場合、分析ルール取得部205は、IoC属性604にIPアドレスが設定されている全ての分析ルールTBL601を分析クエリ生成部206に入力する。例えば、分析ルールTBL601が図9に示した内容であり、入力された分析ルールTBL601のIoC属性604が「IPアドレス」でログ属性605が「Proxy」である場合、分析ク
エリ生成部206は、登録番号が「1」の「grep [ip(class C)] proxy_log」という生成クエリ606に含まれる「ip」に、上記の特定のIPアドレス(関連IoC取得部204が取得したIoC情報のIPアドレス)をクエリの雛型に代入することにより分析クエリを生成する。
For example, if the IoC attribute of the IoC information acquired by the related
続いて、突合分析部207が、分析クエリ生成部206から入力された分析クエリを監視対象ログDB500の分析対象ログTBL501に適用し(S37)、該当する分析対象(ログ情報)を検索する。
Subsequently, the matching
続いて、突合分析部207は、分析クエリの生成に用いた分析ルールTBL601に設
定されているスコア607を参照し、検索された分析対象ごとに当該分析対象の検索に用いた分析ルールのスコア607の値を累積した値(以下、「スコア合計値」と称する。)を求める(S38)。尚、該当するログ情報が検索されなかった場合、突合分析部207は、スコア合計値を0とする。
Next, the matching
続いて、突合分析部207は、求めたスコア合計値を含む情報(以下、「分析結果」と称する。)を分析結果TBL701に登録する(S39)。
Subsequently, the matching
図10に、分析結果TBL701の一例を示す。例示する分析結果TBL701は、分析番号702、分析日時703、被疑端末704、痕跡箇所705、分析結果706、及びスコア707の各項目を有する一つ以上のエントリ(レコード)で構成されている。分析結果TBL701の一つのエントリは、ある分析日時に生成された一つの分析結果に対応する。
FIG. 10 shows an example of the
分析番号702には、当該分析結果の識別子である分析番号が設定される。分析日時703には、当該分析結果についての分析が突合分析部207により行われた日時が設定される。被疑端末704には、セキュリティ侵害が有ることが確認された監視対象14(以下、「被疑端末」と称する。)を特定する情報(例えば、監視対象14のIPアドレス)が設定される。痕跡箇所705には、セキュリティ侵害の痕跡の所在を示す情報が設定される。分析結果706には、当該分析結果の具体的な内容(痕跡に関する情報等)が設定される。スコア707には、スコア合計値が設定される。
The
図7に戻り、続いて、通知部208が、結果保管DB700に登録された新たな分析結果のスコア合計値が予め設定された閾値以上であるか否かを判定する(S40)。スコア合計値が上記の閾値以上である場合(S40:YES)、通知部208は、当該分析結果を利用者端末16に送信する(S41)。一方、スコア合計値が上記の閾値未満である場合(S40:NO)、ログ情報分析処理S3は終了する。
Returning to FIG. 7, the
S41において、通知部208は、分析結果を通知する画面(以下、「分析結果通知画面900」と称する。)を生成し、生成した分析結果通知画面900を、例えば、認証手続を経てアクセスしてきた利用者端末16に送付する。利用者端末16は、送られてきた分析結果通知画面900を表示してユーザに提示する。
In S41, the
図11に、分析結果通知画面900の一例を示す。同図に示すように、例示する分析結果通知画面900にはマウスポインタ901が表示されている。通知部208は、分析結果通知画面900に対するマウス操作を受け付けるユーザインタフェースを提供する。
FIG. 11 shows an example of an analysis
分析結果通知画面900は、被疑端末704の情報が表示される通知領域902、分析結果の内容が表示される被害状況表示領域903、及び被疑端末704に関するセキュリティ侵害の痕跡が時系列順に表示される時系列表示領域904を有する。
The analysis
通知領域902には、スコア707が前述の閾値以上である分析結果(本例では、分析結果が生成された日時、被疑端末のIPアドレス)が表示される。尚、分析結果が生成された日時は、例えば、セキュリティ侵害の痕跡が検知された日時となる。通知部208は、通知領域902中の所定の被疑端末がユーザにより指示されると、当該被疑端末のセキュリティ侵害に関する情報を被害状況表示領域903に表示する。また、通知部208は、図8に示した分析対象ログTBL501から、被疑端末704に対するセキュリティ侵害の痕跡を含むIoC情報を抽出し、抽出したIoC情報を、登録番号502に従った時系列順に時系列表示領域904に表示する。
In the
<IoC情報の提供機能>
インテリジェンス生成装置100は、IoC情報を利用者端末16を介してユーザに提示する機能を有する。インテリジェンス生成装置100のIoC情報提供部106は、利用者端末16に、例えば、Webページ等を介してIoC情報の検索機能を提供し、IoC情報の検索結果を利用者端末16に提供する。
<IoC information provision function>
The
図12は、IoC情報の提示に際して利用者端末16に表示される画面(以下、「IoC情報照会画面800」と称する。)の一例である。同図に示すように、例示するIoC情報照会画面800は、IoC情報を検索するための検索条件をユーザに設定させるための検索領域801、検索結果が表示される結果通知領域802、及びIoC情報TBL401の詳細な内容が表示される詳細通知領域803を有する。
FIG. 12 is an example of a screen (hereinafter referred to as "IoC information inquiry screen 800") displayed on the
検索領域801は、キーワードの入力欄805、期間の指定欄806、属性ラベルをプルダウンリスト形式で指定させるIoC属性入力欄807、これらの各入力欄に設定された情報のインテリジェンス生成装置100への送信を指示する検索実行ボタン808を含む。
The search area 801 includes a keyword input field 805, a period specification field 806, an IoC attribute input field 807 for specifying an attribute label in a pull-down list format, and the transmission of information set in each of these input fields to the
IoC情報提供部106は、利用者端末16から、上記の各入力欄に入力された情報を受け付けると、受け付けた情報をインテリジェンス生成装置100に送信する。インテリジェンス生成装置100は、送られてきた情報に該当するIoC情報をIoC情報TBL401から検索し、検索されたIoC情報に基づく情報を利用者端末16に送信する。利用者端末16は、送られてきた情報を結果通知領域802に表示する。
When the IoC
結果通知領域802には、例えば、IoC属性入力欄807で選択されたIoC属性に該当するIoC情報と関連性がある他のIoC情報が表示される。本例では、IoC属性入力欄807にて指定された「Actor」というIoC属性に該当する「APT_AA」という特
定のIoC情報と、「APT_AA」に関連する複数のIoC情報と、関連するIoC情報の夫々の公開日時「date」と、その情報提供元「source」とが結果通知領域802に表示されている。尚、ユーザが検索領域のIoC属性入力欄807に何も入力しなれば、例えば、入力されたキーワードや指定された期間に該当するIoC情報が列挙された情報が結果通知領域802に表示される。
In the result notification area 802, for example, other IoC information that is related to the IoC information corresponding to the IoC attribute selected in the IoC attribute input field 807 is displayed. In this example, specific IoC information "APT_AA" that corresponds to the IoC attribute "Actor" specified in the IoC attribute input field 807, multiple pieces of IoC information related to "APT_AA", and related IoC information Each publication date and time “date” and its information provider “source” are displayed in the result notification area 802. Note that if the user does not input anything in the IoC attribute input field 807 in the search area, for example, information listing IoC information corresponding to the input keyword or specified period is displayed in the result notification area 802. .
ユーザが結果通知領域802に表示されているIoC情報の何れかを指定すると、IoC情報提供部106は、指定されたIoC情報について関連性を表現する相関図810を生成し、生成した相関図810を詳細通知領域803に表示する。例示する詳細通知領域803には、相関図810に含まれるIoC情報の一覧811「IoC list」と、結果通知領域802においてユーザが指定したIoC情報の時系列情報812「Timeline」が表示される。例示するIoC情報照会画面800では、時系列情報812「Timeline」として、ユーザが指定したIoC情報を含むセキュリティインテリジェンスに関する情報と、当該セキュリティインテリジェンスがクローラ部102によって収集された日時とが表示されている。
When the user specifies any of the IoC information displayed in the result notification area 802, the IoC
このように、IoC情報提供部106は、指定されたIoC情報について関連性を表現する相関図810を生成してユーザに提示するので、ユーザは、一つのサイバー攻撃と、そのサイバー攻撃から派生する多数のIoC情報との関係を視覚的に効率よく把握することができる。
In this way, the IoC
以上詳細に説明したように、本実施形態のセキュリティ管理システム1は、IoCプロバイダやニュース配信サイト、SNS等から取得される、広汎な情報や非定期に発せられるセキュリティインテリジェンス(IoC情報)を積極的に活用して監視対象14を監視
するので、セキュリティ侵害を効率よく確実に検知することができる。
As explained in detail above, the
また、セキュリティ管理システム1は、取得したセキュリティインテリジェンスから抽出したIoC情報同士の関連付けを行うことにより、分析対象とするログ情報の範囲を拡大して広汎かつ適切な視点から分析を行い、スコア合計値等によりサイバー攻撃の全体像を把握しつつセキュリティ侵害の有無を判定するので、セキュリティ侵害の有無を精度よく確実に検知することができる。
In addition, by associating the IoC information extracted from the acquired security intelligence, the
また、ログ分析装置200は、IoC情報の属性ラベルに応じた分析ルール(生成クエリ(クエリの雛型))にIoC情報に含まれている属性の値を適用(代入)して生成したクエリを用いてログ情報を検索するので、監視対象14に対するセキュリティ侵害の痕跡を効率よく確実に検知することができる。
Additionally, the
また、ログ分析装置200は、分析結果TBL701にセキュリティ侵害の痕跡を発見すると、セキュリティ侵害の発生事実や内容をユーザに通知するので、専門的な知識や経験を有する者でなくても、監視対象に対するセキュリティ侵害の痕跡を確実かつ迅速に把握することができ、セキュリティ侵害に対して適切な対応を迅速にとることができる。
In addition, when the
このように、本実施形態のセキュリティ管理システム1によれば、様々な情報源から取得される情報を有効に利用してセキュリティ侵害を効率よく確実に検知することができる。
In this way, according to the
以上、本発明の一実施形態について説明したが、本発明は上記の実施形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。例えば、上記の実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、上記実施形態の構成の一部について、他の構成の追加や削除、置換をすることが可能である。 Although one embodiment of the present invention has been described above, it goes without saying that the present invention is not limited to the above-described embodiment and can be modified in various ways without departing from the gist thereof. For example, the above embodiments have been described in detail to explain the present invention in an easy-to-understand manner, and the present invention is not necessarily limited to having all the configurations described. Furthermore, it is possible to add, delete, or replace some of the configurations of the above embodiments with other configurations.
例えば、セキュリティ管理システム1が管理者端末15や利用者端末16としても機能するように構成してもよい。
For example, the
また、以上の実施形態では、ログ分析装置200の通知部208は、アクセスしてきた利用者端末16に対して分析結果通知画面900を送付することで、監視対象14に対するセキュリティ侵害の痕跡をユーザに通知するが、例えば、通知部208が、監視対象14に対するセキュリティ侵害の痕跡についての情報を、予め設定されたユーザのメールアドレスに宛てた電子メールにより通知するようにしてもよい。またその場合、電子メールによる通知を受信したユーザが、利用者端末16を介してログ分析装置200にアクセスし、セキュリティ侵害の痕跡についてのより詳細な情報を取得できるようにしてもよい。
Further, in the above embodiment, the
上記の各構成、機能部、処理部、処理手段等は、それらの一部又は全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD(Solid State Drive)等の記録装置、ICカー
ド、SDカード、DVD等の記録媒体に置くことができる。
Part or all of the above-mentioned configurations, functional units, processing units, processing means, etc. may be realized by hardware, for example, by designing an integrated circuit. Furthermore, each of the above configurations, functions, etc. may be realized by software by a processor interpreting and executing a program for realizing each function. Information such as programs, tables, files, etc. that realize each function can be stored in a recording device such as a memory, a hard disk, an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, or a DVD.
以上に説明した各情報処理装置の各種機能部、各種処理部、各種データベースの配置形態は一例に過ぎない。各種機能部、各種処理部、各種データベースの配置形態は、これらの装置が備えるハードウェアやソフトウェアの性能、処理効率、通信効率等の観点から最適な配置形態に変更し得る。 The arrangements of the various functional units, various processing units, and various databases of each information processing device described above are merely examples. The layout of the various functional units, the various processing units, and the various databases can be changed to an optimal layout from the viewpoint of the performance, processing efficiency, communication efficiency, etc. of the hardware and software included in these devices.
前述した各種のデータを格納するデータベースの構成(スキーマ(Schema)等)は、リソースの効率的な利用、処理効率向上、アクセス効率向上、検索効率向上等の観点から柔軟に変更し得る。 The configuration of the database (schema, etc.) that stores the various types of data described above can be flexibly changed from the viewpoints of efficient use of resources, improvement in processing efficiency, improvement in access efficiency, improvement in search efficiency, etc.
1 セキュリティ管理システム、10 通信ネットワーク、11 IoCプロバイダ、12 ニュース配信サイト、13 SNS、14 監視対象、15 管理者端末、16 利用者端末、100 インテリジェンス生成装置、101 クローラ管理部、102 クローラ部、103 IoC情報抽出部、104 IoC属性付与部、105 関連性付与部、106 IoC情報提供部、200 ログ分析装置、201 ルール管理部、202 ログ転送部、203 パーサー部、204 関連IoC取得部、205 分析ルール取得部、206 分析クエリ生成部、207 突合分析部、208 通知部、300 収集先管理情報、301 収集先管理TBL、400 収集データ保管DB、401 IoC情報TBL、500 監視対象ログDB、501 分析対象ログTBL、510 ログ情報、600 ルールDB、601 分析ルールTBL、700 結果保管DB、701 分析結果TBL、800 IoC情報照会画面、900 分析結果通知画面 1 security management system, 10 communication network, 11 IoC provider, 12 news distribution site, 13 SNS, 14 monitoring target, 15 administrator terminal, 16 user terminal, 100 intelligence generation device, 101 crawler management section, 102 crawler section, 103 IoC information extraction unit, 104 IoC attribute assignment unit, 105 relevance assignment unit, 106 IoC information provision unit, 200 log analysis device, 201 rule management unit, 202 log transfer unit, 203 parser unit, 204 related IoC acquisition unit, 205 analysis Rule acquisition section, 206 Analysis query generation section, 207 Matching analysis section, 208 Notification section, 300 Collection destination management information, 301 Collection destination management TBL, 400 Collected data storage DB, 401 IoC information TBL, 500 Monitoring target log DB, 501 Analysis Target log TBL, 510 Log information, 600 Rule DB, 601 Analysis rule TBL, 700 Result storage DB, 701 Analysis result TBL, 800 IoC information inquiry screen, 900 Analysis result notification screen
Claims (15)
情報提供元から取得したセキュリティインテリジェンスからIoC情報を抽出するIoC情報抽出部と、
抽出した前記IoC情報に、当該IoC情報の種類を示す情報である属性ラベルを付与するIoC属性付与部と、
前記IoC属性付与部が付与した複数の前記IoC情報同士の関連性を夫々の前記属性ラベルに基づき特定し、特定した関連性を示す情報を前記IoC情報に付与して記憶する関連性付与部と、
セキュリティ侵害の監視対象から取得されるログ情報を管理する監視対象ログデータベースと、
前記ログ情報からIoC情報を抽出し、抽出した前記IoC情報に前記属性ラベルを付与するとともに、当該属性ラベルが付与された前記IoC情報に基づき、分析の対象とする情報である分析対象を生成するパーサー部と、
前記IoC情報抽出部が、情報提供元から新たに取得されたセキュリティインテリジェンスに基づき抽出した新たなIoC情報について、関連する他のIoC情報を取得する関連IoC取得部と、
前記新たなIoC情報と前記他のIoC情報の夫々に基づき、前記分析対象の検索に用いるクエリを生成する分析クエリ生成部と、
前記クエリを用いて前記分析対象を検索し、検索結果に基づきセキュリティ侵害の有無を分析し、前記分析の結果に関する情報である分析結果を生成する突合分析部と、
を備える、セキュリティ管理システム。 A security management system configured using an information processing device,
an IoC information extraction unit that extracts IoC information from security intelligence obtained from an information provider;
an IoC attribute adding unit that adds an attribute label, which is information indicating the type of the IoC information, to the extracted IoC information;
a relevance assigning unit that specifies the relevance between the plurality of pieces of IoC information assigned by the IoC attribute assigning unit based on the respective attribute labels, and assigns and stores information indicating the identified association to the IoC information; ,
a monitoring target log database that manages log information obtained from targets to be monitored for security violations;
Extract IoC information from the log information, add the attribute label to the extracted IoC information, and generate an analysis target, which is information to be analyzed, based on the IoC information to which the attribute label has been added. Parser section and
a related IoC acquisition unit that acquires other IoC information related to the new IoC information extracted by the IoC information extraction unit based on security intelligence newly acquired from an information provider;
an analysis query generation unit that generates a query for use in searching for the analysis target based on each of the new IoC information and the other IoC information;
a matching analysis unit that searches for the analysis target using the query, analyzes the presence or absence of a security violation based on the search results, and generates an analysis result that is information regarding the result of the analysis;
Security management system.
前記クエリの雛型を定義した情報である複数の分析ルールを管理するルール管理データベースと、
前記新たなIoC情報又は前記他のIoC情報に含まれている情報に応じた前記分析ルールを取得する分析ルール取得部と、
前記新たなIoC情報又は前記他のIoC情報に含まれている情報を前記分析ルールに適用することにより前記クエリを生成する分析クエリ生成部と、
を更に備える、セキュリティ管理システム。 The security management system according to claim 1,
a rule management database that manages a plurality of analysis rules that are information that defines the query template;
an analysis rule acquisition unit that acquires the analysis rule according to information included in the new IoC information or the other IoC information;
an analysis query generation unit that generates the query by applying information included in the new IoC information or the other IoC information to the analysis rule;
A security management system further equipped with.
前記分析ルールは前記属性ラベルごとに用意され、
前記新たなIoC情報と前記他のIoC情報の夫々について、夫々の属性ラベルに対応する前記分析ルールを取得する分析ルール取得部を更に備え、
前記分析クエリ生成部は、前記新たなIoC情報と前記他のIoC情報の夫々に含まれている情報を、夫々について取得した分析ルールに適用することにより前記クエリを生成する、
セキュリティ管理システム。 The security management system according to claim 2,
The analysis rule is prepared for each attribute label,
Further comprising an analysis rule acquisition unit that acquires the analysis rule corresponding to each attribute label for each of the new IoC information and the other IoC information,
The analysis query generation unit generates the query by applying information included in each of the new IoC information and the other IoC information to analysis rules acquired for each of the new IoC information and the other IoC information.
Security management system.
前記パーサー部は、前記分析対象の生成に際し、生成する前記分析対象に、当該分析対象の生成元の前記ログ情報の属性を示す情報であるログ属性を付与し、
前記分析ルールは、前記属性ラベルごと前記ログ属性ごとに用意され、
前記新たなIoC情報と前記他のIoC情報の夫々について、夫々の前記属性ラベル及び前記ログ属性に対応する前記分析ルールを取得する分析ルール取得部を更に備え、
前記分析クエリ生成部は、前記新たなIoC情報と前記他のIoC情報の夫々に含まれている情報を、夫々について取得した分析ルールに適用することにより前記クエリを生成
する、
セキュリティ管理システム。 The security management system according to claim 2,
When generating the analysis target, the parser section gives the generated analysis target a log attribute that is information indicating an attribute of the log information of the generation source of the analysis target,
The analysis rule is prepared for each attribute label and each log attribute,
Further comprising an analysis rule acquisition unit that acquires the analysis rule corresponding to each of the attribute label and log attribute for each of the new IoC information and the other IoC information,
The analysis query generation unit generates the query by applying information included in each of the new IoC information and the other IoC information to analysis rules acquired for each of the new IoC information and the other IoC information.
Security management system.
前記ルール管理データベースが管理する前記複数の分析ルールには、夫々、セキュリティ侵害の危険度を表わすスコアが付帯しており、
前記突合分析部は、前記分析対象の検索に用いた前記クエリの生成元の前記分析ルールの前記スコアの累積値を求め、前記累積値が予め設定された閾値以上である場合に警告を示す情報を出力する、
セキュリティ管理システム。 The security management system according to claim 2,
Each of the plurality of analysis rules managed by the rule management database is attached with a score indicating the degree of risk of security violation,
The matching analysis unit calculates the cumulative value of the score of the analysis rule that is the generation source of the query used to search for the analysis target, and provides information indicating a warning when the cumulative value is equal to or higher than a preset threshold. output,
Security management system.
ユーザが操作する情報処理装置と通信する通信装置と、
前記警告を示す情報を前記情報処理装置に送信する通知部と、
を更に備える、セキュリティ管理システム。 The security management system according to claim 5,
a communication device that communicates with an information processing device operated by a user;
a notification unit that transmits information indicating the warning to the information processing device;
A security management system that further includes:
ユーザが操作する情報処理装置と通信する通信装置と、
前記分析結果に基づく情報を前記通信装置により前記情報処理装置に送信する通知部と、
を更に備える、セキュリティ管理システム。 The security management system according to claim 1,
a communication device that communicates with an information processing device operated by a user;
a notification unit that transmits information based on the analysis result to the information processing device using the communication device;
A security management system that further includes:
通信ネットワークを介して他の情報処理装置と通信する通信装置と、
前記通信ネットワークを介して前記通信装置により前記情報提供元である他の情報処理装置から前記セキュリティインテリジェンスを取得するクローラ部と、
を更に備える、セキュリティ管理システム。 The security management system according to claim 1,
a communication device that communicates with other information processing devices via a communication network;
a crawler unit that acquires the security intelligence from another information processing device that is the information provider by the communication device via the communication network;
A security management system that further includes:
前記情報提供元に関する情報を管理する収集先管理データベースと、
前記情報提供元に関する情報の設定を受け付けるユーザインタフェースを提供するクローラ管理部と、
を更に備え、
前記クローラ部は、前記情報提供元に関する情報により特定される前記他の情報処理装置から前記セキュリティインテリジェンスを取得する、
セキュリティ管理システム。 The security management system according to claim 8,
a collection destination management database that manages information regarding the information provider;
a crawler management unit that provides a user interface that accepts settings for information regarding the information provider;
further comprising;
The crawler unit acquires the security intelligence from the other information processing device specified by the information regarding the information provider.
Security management system.
前記分析ルールを前記ルール管理データベースに登録するためのユーザインタフェースを提供するルール管理部を更に備える、
セキュリティ管理システム。 The security management system according to claim 2,
further comprising a rule management unit that provides a user interface for registering the analysis rule in the rule management database;
Security management system.
前記IoC情報抽出部が抽出した前記IoC情報に関する情報をユーザに提供するIoC情報提供部、
を更に備える、セキュリティ管理システム。 The security management system according to claim 1,
an IoC information providing unit that provides a user with information regarding the IoC information extracted by the IoC information extraction unit;
A security management system that further includes:
前記IoC情報提供部は、前記IoC情報同士の前記関連性を表した図を生成してユーザに提供する、
セキュリティ管理システム。 The security management system according to claim 11,
The IoC information providing unit generates a diagram representing the relationship between the IoC information and provides the diagram to the user.
Security management system.
情報提供元から取得したセキュリティインテリジェンスからIoC情報を抽出するステップと、
前記IoC情報に、当該IoC情報の種類を示す情報である属性ラベルを付与するステップと、
複数の前記IoC情報同士の関連性を夫々の前記属性ラベルに基づき特定し、特定した関連性を示す情報を前記IoC情報に付与して記憶するステップと、
セキュリティ侵害の監視対象から取得されるログ情報をデータベースに管理するステップと、
前記ログ情報からIoC情報を抽出し、抽出した前記IoC情報に前記属性ラベルを付与するとともに、当該属性ラベルが付与された前記IoC情報に基づき、分析の対象とする情報である分析対象を生成するステップと、
情報提供元から新たに取得されたセキュリティインテリジェンスに基づき抽出した新たなIoC情報について、関連する他のIoC情報を取得するステップと、
前記新たなIoC情報と前記他のIoC情報の夫々に基づき、前記分析対象の検索に用いるクエリを生成するステップと、
前記クエリを用いて前記分析対象を検索し、検索結果に基づきセキュリティ侵害の有無を分析し、前記分析の結果に関する情報である分析結果を生成するステップと、
を実行する、セキュリティ管理方法。 The information processing device
extracting IoC information from security intelligence obtained from an information provider;
adding an attribute label, which is information indicating the type of the IoC information, to the IoC information;
specifying the relationships between the plurality of pieces of IoC information based on the respective attribute labels, and adding and storing information indicating the specified relationships to the IoC information;
managing log information obtained from a target to be monitored for security breaches in a database;
Extract IoC information from the log information, add the attribute label to the extracted IoC information, and generate an analysis target, which is information to be analyzed, based on the IoC information to which the attribute label has been added. step and
a step of acquiring other IoC information related to the new IoC information extracted based on security intelligence newly acquired from the information provider;
generating a query for use in searching for the analysis target based on each of the new IoC information and the other IoC information;
searching for the analysis target using the query, analyzing whether there is a security violation based on the search results, and generating an analysis result that is information about the result of the analysis;
A security management method to implement.
前記情報処理装置が、
前記クエリの雛型を定義した情報である複数の分析ルールを管理するステップと、
前記新たなIoC情報又は前記他のIoC情報に含まれている情報に応じた前記分析ルールを取得するステップと、
前記新たなIoC情報又は前記他のIoC情報に含まれている情報を前記分析ルールに適用することにより前記クエリを生成するステップと、
を更に実行する、セキュリティ管理方法。 14. The security management method according to claim 13,
The information processing device
a step of managing a plurality of analysis rules that are information defining a template for the query;
acquiring the analysis rule according to information included in the new IoC information or the other IoC information;
generating the query by applying information contained in the new IoC information or the other IoC information to the analysis rule;
A security management method that further implements.
前記分析ルールは、前記属性ラベルごとに用意され、
前記情報処理装置が、
前記新たなIoC情報と前記他のIoC情報の夫々について、夫々の属性ラベルに対応する前記分析ルールを取得するステップと、
前記新たなIoC情報と前記他のIoC情報の夫々に含まれている情報を、夫々について取得した分析ルールに適用することにより前記クエリを生成するステップと、
を更に実行する、セキュリティ管理方法。 15. The security management method according to claim 14,
The analysis rule is prepared for each attribute label,
The information processing device
acquiring the analysis rule corresponding to each attribute label for each of the new IoC information and the other IoC information;
generating the query by applying information included in each of the new IoC information and the other IoC information to analysis rules obtained for each;
A security management method that further implements.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020189129A JP7408530B2 (en) | 2020-11-13 | 2020-11-13 | Security management system and security management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020189129A JP7408530B2 (en) | 2020-11-13 | 2020-11-13 | Security management system and security management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022078447A JP2022078447A (en) | 2022-05-25 |
JP7408530B2 true JP7408530B2 (en) | 2024-01-05 |
Family
ID=81707003
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020189129A Active JP7408530B2 (en) | 2020-11-13 | 2020-11-13 | Security management system and security management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7408530B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150128274A1 (en) | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | System and method for identifying infected networks and systems from unknown attacks |
WO2017221711A1 (en) | 2016-06-23 | 2017-12-28 | 日本電信電話株式会社 | Log analysis device, log analysis method, and log analysis program |
JP2018032355A (en) | 2016-08-26 | 2018-03-01 | 富士通株式会社 | Program, method, and device for assisting cyberattack analysis |
JP2018508918A (en) | 2015-01-30 | 2018-03-29 | アノマリ インコーポレイテッド | Space and time efficient threat detection |
JP2020035424A (en) | 2018-07-03 | 2020-03-05 | ザ・ボーイング・カンパニーThe Boeing Company | Network threat indicator extraction and response |
-
2020
- 2020-11-13 JP JP2020189129A patent/JP7408530B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150128274A1 (en) | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | System and method for identifying infected networks and systems from unknown attacks |
JP2018508918A (en) | 2015-01-30 | 2018-03-29 | アノマリ インコーポレイテッド | Space and time efficient threat detection |
WO2017221711A1 (en) | 2016-06-23 | 2017-12-28 | 日本電信電話株式会社 | Log analysis device, log analysis method, and log analysis program |
JP2018032355A (en) | 2016-08-26 | 2018-03-01 | 富士通株式会社 | Program, method, and device for assisting cyberattack analysis |
JP2020035424A (en) | 2018-07-03 | 2020-03-05 | ザ・ボーイング・カンパニーThe Boeing Company | Network threat indicator extraction and response |
Also Published As
Publication number | Publication date |
---|---|
JP2022078447A (en) | 2022-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10972493B2 (en) | Automatically grouping malware based on artifacts | |
US11334602B2 (en) | Methods and systems for alerting based on event classification and for automatic event classification | |
Zipperle et al. | Provenance-based intrusion detection systems: A survey | |
US11188657B2 (en) | Method and system for managing electronic documents based on sensitivity of information | |
US10200390B2 (en) | Automatically determining whether malware samples are similar | |
US9680856B2 (en) | System and methods for scalably identifying and characterizing structural differences between document object models | |
US10075462B2 (en) | System and user context in enterprise threat detection | |
US8874550B1 (en) | Method and apparatus for security information visualization | |
US20200153865A1 (en) | Sensor based rules for responding to malicious activity | |
CN109074454B (en) | Automatic malware grouping based on artifacts | |
JP6042541B2 (en) | Security information management system, security information management method, and security information management program | |
US20170178026A1 (en) | Log normalization in enterprise threat detection | |
US20150207811A1 (en) | Vulnerability vector information analysis | |
EP2560120B1 (en) | Systems and methods for identifying associations between malware samples | |
EA038063B1 (en) | Intelligent control system for cyberthreats | |
Kim et al. | CyTIME: Cyber Threat Intelligence ManagEment framework for automatically generating security rules | |
KR20190138037A (en) | An information retrieval system using knowledge base of cyber security and the method thereof | |
Wei et al. | Graph representation learning based vulnerable target identification in ransomware attacks | |
US11308091B2 (en) | Information collection system, information collection method, and recording medium | |
JP7408530B2 (en) | Security management system and security management method | |
Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
Stoddard et al. | Tanium reveal: a federated search engine for querying unstructured file data on large enterprise networks | |
US20240214406A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
US20240214396A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
Nehe | Malware and Log file Analysis Using Hadoop and Map Reduce |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230222 |
|
TRDD | Decision of grant or rejection written | ||
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231130 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231220 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7408530 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |