IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社日立情報通信エンジニアリングの特許一覧

特許7481965複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体
<>
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図1
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図2
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図3
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図4
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図5
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図6
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図7
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図8
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図9
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図10
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図11
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図12
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図13
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図14
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図15
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図16
  • 特許-複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体 図17
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-01
(45)【発行日】2024-05-13
(54)【発明の名称】複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体
(51)【国際特許分類】
   G06F 11/34 20060101AFI20240502BHJP
   G06F 21/55 20130101ALI20240502BHJP
【FI】
G06F11/34 176
G06F21/55 320
【請求項の数】 11
(21)【出願番号】P 2020148881
(22)【出願日】2020-09-04
(65)【公開番号】P2022043553
(43)【公開日】2022-03-16
【審査請求日】2023-02-02
(73)【特許権者】
【識別番号】000233295
【氏名又は名称】株式会社日立情報通信エンジニアリング
(74)【代理人】
【識別番号】110001678
【氏名又は名称】藤央弁理士法人
(72)【発明者】
【氏名】山岸 伶
(72)【発明者】
【氏名】重本 倫宏
(72)【発明者】
【氏名】川口 信隆
(72)【発明者】
【氏名】片山 貴大
(72)【発明者】
【氏名】野澤 篤史
(72)【発明者】
【氏名】山口 環
【審査官】大塚 俊範
(56)【参考文献】
【文献】特開2017-111601(JP,A)
【文献】国際公開第2017/221711(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/34
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
プロセッサとメモリを有して、複数の装置から収集された複数種類のログの分析を支援する複数ログ分析支援装置であって、
前記複数種類のログを読み込んで、前記ログのエントリ間の関連性を示す値を算出して、前記関連性を示す値に基づいて前記ログの各エントリを可視化する際の優先度を算出する優先度算出部と、
前記優先度に応じて前記エントリ間の関連性を表示する可視化部と、を有し、
前記優先度算出部は、
前記ログのエントリ間の関連性を示す値として分析の有効度を算出する分析履歴解析部を有し、
前記分析履歴解析部は、
前記ログのエントリの状態が過去の分析履歴に応じた有効度を算出することを特徴とする複数ログ分析支援装置。
【請求項2】
請求項1に記載の複数ログ分析支援装置であって、
前記優先度算出部は、
前記ログのエントリ間の関連性を示す値として脅威度を算出する脅威度算出部を有し、
前記脅威度算出部は、
前記ログのエントリに現れる脅威の特徴に応じた脅威度を算出することを特徴とする複数ログ分析支援装置。
【請求項3】
請求項1に記載の複数ログ分析支援装置であって、
前記優先度算出部は、
前記ログのエントリ間の関連性を示す値として共通度を算出する共通度算出部を有し、
前記共通度算出部は、
前記ログのエントリの共通性に応じた共通度を算出することを特徴とする複数ログ分析支援装置。
【請求項4】
請求項1に記載の複数ログ分析支援装置であって、
前記優先度算出部は、
前記ログのエントリ間の関連性を示す値として異常度を算出する異常度算出部を有し、
前記異常度算出部は、
前記ログのエントリの状態が予め設定された状態から乖離した異常性に応じた異常度を算出することを特徴とする複数ログ分析支援装置。
【請求項5】
請求項1に記載の複数ログ分析支援装置であって、
前記ログの各エントリに対して実施された分析結果を収集して分析履歴情報を生成する分析履歴作成部をさらに有することを特徴とする複数ログ分析支援装置。
【請求項6】
プロセッサとメモリを有する計算機が、複数の装置から収集した複数種類のログの分析を支援する複数ログ分析支援方法であって、
前記計算機が、前記複数種類のログを読み込んで、前記ログのエントリ間の関連性を示す値を算出して、前記関連性を示す値に基づいて前記ログの各エントリを可視化する際の優先度を算出する優先度算出ステップと、
前記計算機が、前記優先度に応じて前記エントリ間の関連性を表示する可視化ステップと、を含み、
前記優先度算出ステップは、
前記ログのエントリ間の関連性を示す値として分析の有効度を算出する分析履歴解析ステップを含み、
前記分析履歴解析ステップは、
前記ログのエントリの状態が過去の分析履歴に応じた有効度を算出することを特徴とする複数ログ分析支援方法。
【請求項7】
請求項6に記載の複数ログ分析支援方法であって、
前記優先度算出ステップは、
前記ログのエントリ間の関連性を示す値として脅威度を算出する脅威度算出ステップを含み、
前記脅威度算出ステップは、
前記ログのエントリに現れる脅威の特徴に応じた脅威度を算出することを特徴とする複数ログ分析支援方法。
【請求項8】
請求項6に記載の複数ログ分析支援方法であって、
前記優先度算出ステップは、
前記ログのエントリ間の関連性を示す値として共通度を算出する共通度算出ステップを含み、
前記共通度算出ステップは、
前記ログのエントリの共通性に応じた共通度を算出することを特徴とする複数ログ分析支援方法。
【請求項9】
請求項6に記載の複数ログ分析支援方法であって、
前記優先度算出ステップは、
前記ログのエントリ間の関連性を示す値として異常度を算出する異常度算出ステップを含み、
前記異常度算出ステップは、
前記ログのエントリの状態が予め設定された状態から乖離した異常性に応じた異常度を算出することを特徴とする複数ログ分析支援方法。
【請求項10】
請求項6に記載の複数ログ分析支援方法であって、
前記計算機が、前記ログの各エントリに対して実施された分析結果を収集して分析履歴情報を生成する分析履歴作成ステップを、さらに含むことを特徴とする複数ログ分析支援方法。
【請求項11】
プロセッサとメモリを有する計算機で、複数の装置から収集した複数種類のログの分析を支援するプログラムを格納した記憶媒体であって、
前記複数種類のログを読み込んで、前記ログのエントリ間の関連性を示す値を算出して、前記関連性を示す値に基づいて前記ログの各エントリを可視化する際の優先度を算出する優先度算出ステップと、
前記優先度に応じて前記エントリ間の関連性を表示する可視化ステップと、を含み、
前記優先度算出ステップは、
前記ログのエントリ間の関連性を示す値として分析の有効度を算出する分析履歴解析ステップを含み、
前記分析履歴解析ステップは、
前記ログのエントリの状態が過去の分析履歴に応じた有効度を算出する、ことを前記計算機に実行させるためのプログラムを格納した非一時的な計算機読み取り可能な記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、人間による大量かつ複数種類ログの分析を支援する装置に関する。
【背景技術】
【0002】
近年、組織を対象としたサイバー攻撃の高度化が進み、組織にとって大きな脅威となっている。本高度化にともない、既存のセキュリティ機器だけでの脅威検知が困難になってきている。このような背景から、セキュリティ機器に依存しない脅威ハンティングが注目されている。
【0003】
脅威ハンティングは、あるきっかけをもとに、ログの分析でセキュリティ機器が検知できなかった脅威を発見し、発見した脅威を共有するといった一連のプロセスを指す。ここでいうきっかけとは、新規脅威情報の入手や、異常状態の発見や、定期的な検証のいずれかを指す。
【0004】
また、ログの分析では、複数種類のログにある各エントリを関連付け、脅威の証拠を集めることで、全体像を把握して脅威を発見することが求められる。しかし、このログの分析はセキュリティ分野に関する専門的な知見が必要で、容易ではないといった問題が存在する。
【0005】
本問題に対し、特許文献1に記載の技術が知られている。特許文献1には、「分析者は、エンドポイントで収集される膨大なイベント情報に対して、このような探索を効率的に行うことが求められる脅威ハンティングにおける探索を効率的に行う。分析装置100は、モデル生成部160、及び、表示部130を含む。モデル生成部160は、表示された要素に対して行われた操作と、当該要素が表示されるまでの要素の表示履歴と、を含む学習データに基づいて、要素に対して行うべき操作に関する情報を出力するモデルを生成する。表示部130は、要素と、モデルにより得られる当該要素に対して行うべき操作に関する情報と、を表示する。」と記載されている。
【先行技術文献】
【特許文献】
【0006】
【文献】国際公開第2019/176062号
【発明の概要】
【発明が解決しようとする課題】
【0007】
先述した通り、分析では複数種類のログに含まれる各エントリを関連付けて、脅威の証拠を集めることが重要である。特許文献1に記載の技術では、エンドポイントで収集される膨大なイベントに対し、操作と表示履歴を含む学習データに基づき、操作に関する情報を出力することで分析を効率化する。一方で、特許文献1にはエンドポイントに限定されずに複数種類のログを関連付けて、脅威の証拠を集めるといった記載がない。
【0008】
そこで本発明では、ログの分析において複数種類のログにあるエントリを関連付けて、脅威の証拠を集めることを支援する技術の提供を目的とする。
【課題を解決するための手段】
【0009】
本発明は、プロセッサとメモリを有して、複数の装置から収集された複数種類のログの分析を支援する複数ログ分析支援装置であって、前記複数種類のログを読み込んで、前記ログのエントリ間の関連性を示す値を算出して、前記関連性を示す値に基づいて前記ログの各エントリを可視化する際の優先度を算出する優先度算出部と、前記優先度に応じて前記エントリ間の関連性を表示する可視化部と、を有する。
【発明の効果】
【0010】
したがって、本発明は、ログの分析において複数種類のログに含まれる各エントリを関連付けて表示することで、脅威の証拠を集めることを支援することが可能となる。
【0011】
本明細書において開示される主題の、少なくとも一つの実施の詳細は、添付されている図面と以下の記述の中で述べられる。開示される主題のその他の特徴、態様、効果は、以下の開示、図面、請求項により明らかにされる。
【図面の簡単な説明】
【0012】
図1】本発明の実施例1の計算機システムの構成の一例を示すブロック図である。
図2】本発明の実施例1の観点情報データのデータ構造の一例を示す図である。
図3】本発明の実施例1の優先度データのデータ構造の一例を示す図である。
図4】本発明の実施例1の共通情報データのデータ構造の一例を示す図である。
図5】本発明の実施例1の脅威特徴データのデータ構造の一例を示す図である。
図6】本発明の実施例1の異常情報データのデータ構造の一例を示す図である。
図7】本発明の実施例1の分析履歴データのデータ構造の一例を示す図である。
図8】本発明の実施例1の可視化手法データのデータ構造の一例を示す図である。
図9】本発明の実施例1の可視化画面を示す図である。
図10】本発明の実施例1の複数ログ分析支援装置が実行する処理の概要の一例を説明するフローチャートである。
図11】本発明の実施例1の複数ログ分析支援装置が実行する優先度算出部の一例を説明するフローチャートである。
図12】本発明の実施例1の複数ログ分析支援装置が実行する共通度算出部の一例を説明するフローチャートである。
図13】本発明の実施例1の複数ログ分析支援装置が実行する脅威度算出部の一例を説明するフローチャートである。
図14】本発明の実施例1の複数ログ分析支援装置が実行する異常度算出部の一例を説明するフローチャートである。
図15】本発明の実施例1の複数ログ分析支援装置が実行する分析履歴解析部の一例を説明するフローチャートである。
図16】本発明の実施例1の複数ログ分析支援装置が実行する可視化部の一例を説明するフローチャートである。
図17】本発明の実施例2の複数ログ分析支援装置が実行する分析履歴作成部の一例を説明するフローチャートである。
【発明を実施するための形態】
【0013】
以下において、実施形態について、図面を参照して説明する。
【実施例1】
【0014】
図1は計算機システムの構成の一例を示すブロック図である。計算機システムは複数ログ分析支援装置100と、ログ管理端末101と、分析対象環境102、及び分析者端末103で構成される。なお、本発明は、分析対象環境102、及び分析者端末103の数に限定されない。
【0015】
複数ログ分析支援装置100は、ログ管理端末101と、分析者端末103、及びネットワーク104-1を介してインターネット2-1に接続する。
【0016】
分析者端末103-1~103-kは、分析者が操作する端末であり、複数ログ分析支援装置100によって提供された後述する図9の可視化画面900を表示装置(図示省略)へ表示する。なお、分析者端末を個々に特定しない場合には「-」を省略した符号「103」を用いる。他の構成要素の符号についても同様である。
分析者端末103は、例えば、パーソナルコンピュータや、スマートフォンである。なお、本発明は、分析者端末103の種別に限定されない。分析者端末103は図示しないが、メインメモリと、記憶装置と、CPU(Central Processing Unit)と、表示装置と、ネットワークインタフェース及び、通信路を有する。
【0017】
ネットワーク104-1、104-2は、複数ログ分析支援装置100とインターネット2-1、2-2と、後述する分析対象環境102とログ管理端末101を接続する。また、ネットワーク104-1、104-2は、例えば、LAN(Local Area Network)である。なお、本発明は、ネットワークの種別に限定されない。
【0018】
インターネット2は、計算機システムの外部の情報提供装置を含み、複数ログ分析支援装置100の情報更新に貢献する。インターネット2の情報は、例えば、DNS情報や最新の脅威情報である。
【0019】
ログ管理端末101は、ネットワーク104-2を介して、分析対象環境102と接続する。なお、本発明は、ログ管理端末101と分析対象環境102の接続形態に限定されない。
【0020】
ここから、複数ログ分析支援装置100と、ログ管理端末101と、分析対象環境102の詳細について述べる。
【0021】
複数ログ分析支援装置100は、大量かつ複数種類のログの関連付け及び分析者端末103に提供する画面の描画を目的とした装置である。複数ログ分析支援装置100は、メインメモリ105と、記憶装置106と、CPU107と、ネットワークインタフェース108及び、通信路109を有する。また、入出力装置110を有してもよい。入出力装置110は、例えば、キーボードやマウスあるいはタッチパネル等の入力装置と、ディスプレイ等の出力装置で構成することができる。
【0022】
メインメモリ105は、CPU107で実行される機能や必要なデータを一時的に格納する。例えば、メインメモリ105はRAM(Random Access Memory)であるが、本発明はその種別に限定されない。実施例1において、メインメモリ105は、共通度算出部111、脅威度算出部112、異常度算出部113、分析履歴解析部114、優先度算出部115、及び可視化部116をプログラムとして格納する。なお、分析履歴作成部117については、実施例2で説明する。
【0023】
記憶装置106は、CPU107で実行される機能や利用される大容量データを格納する。例えば、記憶装置106は、HDD(Hard Disk Drive)及びSSD(Solid State Drive)であるが、本発明はその種別に限定されない。実施例1で記憶装置106は、観点情報データ120と、優先度データ121と、共通情報データ122と、脅威特徴データ123と、異常情報データ124と、分析履歴データ125、及び可視化手法データ126を格納する。
【0024】
CPU107は、メインメモリ105に格納された各機能部のプログラムに従って処理を実行することによって、所定の機能を提供する機能部として稼働する。例えば、CPU107は、共通度算出プログラムに従って処理を実行することで共通度算出部111として機能する。他のプログラムについても同様である。さらに、CPU107は、各プログラムが実行する複数の処理のそれぞれの機能を提供する機能部としても稼働する。計算機及び計算機システムは、これらの機能部を含む装置及びシステムである。
【0025】
ネットワークインタフェース(NW IF)108は、外部装置と通信するためのインタフェースである。
【0026】
通信路109は、メインメモリ105と、記憶装置106と、CPU107と、ネットワークインタフェース108を接続する。例えば、通信路109は、バスやケーブルなどの情報伝達媒体であるが、本発明はその種別に限定されない。
【0027】
ここから、メインメモリ105及び記憶装置106に格納されたプログラムの機能やデータの詳細ついて述べる。
【0028】
共通度算出部111は、共通性の観点からログの関連性を可視化することを目的とし、ログの各行の共通度を算出する機能を有する。共通性は一見異なる値に見えるが同一あるいは類似している情報の関連性を指す。例えば、共通性は、動的に変更したIPアドレスや、DNS、同一セグメントのIPアドレスである。共通度算出部111の処理については、図12を用いて説明する。
【0029】
脅威度算出部112は、脅威の特徴が有する脅威背景の観点からログの関連性を可視化することを目的とし、ログの各行の脅威度を算出する機能を有する。脅威度が必要な理由は、ログに残る脅威の特徴の確度が低くとも、脅威の背景に一貫性があれば、脅威発見の根拠となるためである。例えば、脅威背景は、攻撃の進行度や攻撃者情報である。脅威度算出部112の処理については、図13を用いて説明する。
【0030】
異常度算出部113は、環境の通常状態から乖離した異常性の観点からログの関連性を可視化することを目的とし、ログの各行の異常度を算出する機能を有する。異常度が必要な理由は、同一の異常性を有する痕跡がある場合、脅威発見の根拠となるためである。
【0031】
例えば、環境の通常状態から乖離した異常性は、業務時間外のアクセスや通常業務ではアクセスしないサイトへのアクセスである。異常度算出部113の処理については、図14を用いて説明する。
【0032】
分析履歴解析部114は、分析履歴の観点からログの関連性を可視化することを目的とし、ログの各行の分析の有効度を算出する機能を有する。分析履歴解析部114の処理については、図15を用いて説明する。
【0033】
優先度算出部115は、共通度、脅威度、異常度、有効度の観点から算出したログの関連性を用いて、ログの各行に対し閲覧すべき優先度を算出する機能を有する。優先度算出部115の処理については、図16を用いて説明する。
【0034】
可視化部116は、ログを描画した画面を出力し、このログの関連性を可視化する機能を有する。可視化する関連性は、共通度、脅威度、異常度、有効度単体、及びこれらを統合して算出した優先度を含む。分析者端末103に出力する可視化画面900の例については、図9を用いて説明する。
【0035】
観点情報データ120は、ログの各行における、共通性、脅威特徴、異常性、分析履歴の観点を有する特徴を列挙した情報データである。ログと各観点での特徴を紐づけることで、前述の優先度算出部115に活用する。観点情報データ120のデータ構造については図2で説明する。
【0036】
優先度データ121は、ログの行間の共通度、脅威度、異常度、有効度、優先度を含む情報データである。観点情報データ120で管理した特徴をもとに、優先度データ121は算出される。優先度データ121のデータ構造については図3で説明する。
【0037】
共通情報データ122は、観点情報データ120におけるログの各行のテキストを共通性の観点で特徴づけるために、共通性の特徴を定義して管理する情報データである。共通情報データ122のデータ構造については図4で説明する。
【0038】
脅威特徴データ123は、観点情報データ120におけるログの各行のテキストを脅威の観点で特徴づけるために、脅威の特徴を定義して管理する情報データである。脅威特徴データ123のデータ構造については図5で説明する。
【0039】
異常情報データ124は、観点情報データ120におけるログの各行のテキストを異常性の観点で特徴づけるために、異常の特徴を定義して管理する情報データである。異常情報データ124のデータ構造については図6で説明する。
【0040】
分析履歴データ125は、観点情報データ120におけるログの各行のテキストを分析履歴の観点で特徴づけるために、分析履歴を管理する情報データである。分析履歴データ125のデータ構造については図7で説明する。
【0041】
可視化手法データ126は、関連性を提供するために、可視化手法を定義して管理する情報データである。可視化手法データ126のデータ構造については図8で説明する。
【0042】
ログ管理端末101は、分析対象環境102から受信した未加工のログを抽出してログとして保管し、呼び出しに応じて複数ログ分析支援装置100へログを提供することを目的とした端末である。ログ管理端末101は、メインメモリ129、記憶装置130、CPU131、ネットワークインタフェース132及び、通信路133を有する。
【0043】
メインメモリ129は、実施例1においてはログ情報抽出部134をプログラムとして格納する。ログ情報抽出部134は、分析対象環境102から受信した未加工のログから情報を抽出して、記憶装置130に格納しやすいログに整形する。
【0044】
未加工のログは端末や機器ごとに形式が異なり記憶装置130に保管しただけでは、そのまま利用するのは難しい。したがって、ログ情報抽出部134では、未加工のログから所定の情報を抽出し、記憶装置130の対応した領域に保管する。例えば、未加工のログに含まれるIPアドレスを抽出し、記憶装置130のIPアドレスの領域に格納する。
【0045】
記憶装置130は、実施例1においてログ135を格納する。ログ135は、ログ情報抽出部134で情報を抽出した加工済みのログ(例えば、IPアドレスやタイムスタンプ)である。
【0046】
分析対象環境102は、端末138-1~138-nと、ネットワーク機器137-1~137-mと、セキュリティ機器136-1~136-lと、を有し、これらで収集された端末138や各機器の未加工のログがログ管理端末101で収集されて脅威ハンティングの対象となる。なお、本発明は、端末138や、ネットワーク機器137や、セキュリティ機器136の数に限定されない。実施例1における分析対象環境102は、例えば、会社や学校といった組織のネットワーク環境である。また、分析対象環境102で生成された未加工のログは、ログ管理端末101に送信される。
【0047】
端末138は、分析対象環境102に配置され、分析対象となる未加工のログを出力する端末である。例えば、端末138は、パーソナルコンピュータや、スマートフォンである。なお、本発明は、端末138の種別に限定されない。端末138の詳細は図示しないが、メインメモリと、記憶装置と、CPUと、入出力装置と、ネットワークインタフェース及び、通信路を有する。
【0048】
ネットワーク機器137は、分析対象環境102内で端末138間を接続するネットワーク機器137であり、分析対象となるログを出力する。ネットワーク機器137は、例えば、ルータやスイッチなどである。
【0049】
セキュリティ機器136は、分析対象環境102内に設置されたセキュリティ機器136であり、分析対象となるログを出力する。セキュリティ機器136は、例えば、EDR(Endpoint Detection and Response)、プロキシ、認証サーバ、及びファイアウォールである。
【0050】
図2は、実施例1の観点情報データ120のデータ構造の一例を示す図である。
【0051】
観点情報データ120は、ログID201と、ログ種類202と、行番号203と、テキスト204と、観点種別205と、観点ID206、及び値207をフィールドとして1つのレコードに格納する。なお、データ構造は一例であって、図示の例に限定されない。前述のフィールドのうちいずれかのフィールドを含まなくてもよいし、他のフィールドを含んでもよい。
【0052】
ログID201は、ログを一意に識別するために割り当てた識別子を格納するフィールドである。実施例1のログID201は、例として数字が割り当てられている。
【0053】
ログ種類202は、ログの収集元の機器の種別をログの種類として格納するフィールドである。ログの種類は後述する共通情報データ122と、脅威特徴データ123と、異常情報データ124、及び分析履歴データ125上でも管理するため、これら4つのデータ(テーブル)と表記を統一することが望ましい。例えば、ログ種類は、ファイアウォール、プロキシ、メール等がある。実施例1のログID「1」のログ種類は「EDR」である。
【0054】
行番号203は、同一のログID201が付与されたログ中のエントリ(行)を一意に識別するために、各テキストに割り当てた識別子を格納するフィールドである。実施例1の行番号203は、例として数字が割り当てられている。行番号203は、例えば、時系列の順序でユニークな値が付与される。
【0055】
テキスト204は、ログ中のテキストを行ごとに格納するフィールドである。本実施例での行はログにおける各イベントやエントリの1つの単位を表している。
【0056】
観点種別205は、行番号203ごとに識別することを目的として、関連性を表す観点の種別を格納するフィールドである。
【0057】
観点種別205は優先度、共通性、脅威特徴、異常性、分析履歴のいずれかが設定される。各テキスト204は、観点に該当しない場合もあるため、観点種別205がブランク又はNULLに設定されてもよい。また、各テキスト204は、複数の観点を有する場合もあるため、観点種別205は1つ以上で構成される。
【0058】
観点ID206は、行番号203ごとに識別することを目的として、各観点のデータで定義されたIDを格納するフィールドである。観点ID206は共通情報データ122や、脅威特徴データ123や、異常情報データ124、又は分析履歴データ125のいずれかのIDフィールドを参照する。
【0059】
実施例1では、関連性を表す観点の種別を格納する観点種別205と、各観点の共通性と、脅威特徴と、異常性と、分析履歴パラメータを識別する観点ID206を組み合わせることで参照元が一意に定まる。したがって、各テキスト204において、観点ID206のエントリ数は観点種別205と同一である。
【0060】
値207は、共通度と、脅威度と、異常度と、有効度のいずれかの値を格納するフィールドである。当該行の観点種別205を参照することで、値の種別は一意に定まる。例えば、図2の2行目の値207に関して、「脅威特徴」を参照することで、脅威度が「0.4」であることがわかる。
【0061】
図3は、実施例1の優先度データ121のデータ構造の一例を示す図である。
【0062】
優先度データ121は、ログID301と、行番号302と、ログID303と、行番号304と、共通度305と、脅威度306と、異常度307と、有効度308、及び優先度309をフィールドとして1つのレコードに格納する。
【0063】
優先度データ121は、2つのログにおける各行の関連性をそれぞれの観点で定量化した共通度と、脅威度と、異常度と、有効度と、関係性の優先度を格納することを目的とするため、同一テーブルにログIDと行番号の組が2つ存在している。また、観点種別205がない場合も存在するため、共通度305、脅威度306、異常度307、有効度308は空欄になることもある。なお、データ構造は一例であって、図示の例に限定されない。前述のフィールドのうちいずれかのフィールドを含まなくてもよいし、他のフィールドを含んでもよい。
【0064】
ログID301は、ログを一意に識別するために割り当てた識別子を格納するフィールドである。実施例1において、ログID301は、観点情報データ120のログID201を参照しており、ログID301の特定の行を参照する行番号302と組み合わせることで一意の行を指定する。また、行番号302とは対応関係にあれば、関連するログのもう一方を参照するログID303とは順不同である。
【0065】
行番号302は、ログID301中のテキストを一意に識別するために割り当てた識別子を格納するフィールドである。実施例1において、行番号302は、観点情報データ120の行番号203を参照しており、行番号302を含むログの識別子であるログID301と組み合わせることで一意の行を指定する。また、ログID301とは対応関係にあれば、関連するログのもう一方を参照する行番号304とは順不同である。
【0066】
ログID303は、ログを一意に識別するために割り当てた識別子を格納するフィールドである。実施例1において、ログID303は、観点情報データ120のログID201を参照しており、ログID303の特定の行を参照する行番号304と組み合わせることで一意の行を指定する。また、行番号304とは対応関係にあれば、関連するログのもう一方を参照するログID301とは順不同である。
【0067】
行番号304は、ログID303中のテキストを一意に識別するために割り当てた識別子を格納するフィールドである。実施例1で、行番号304は、観点情報データ120の行番号203を参照しており、行番号304を含むログの識別子であるログID303と組み合わせることで一意の行を指定する。また、ログID303とは対応関係にあれば、関連するログのもう一方を参照する行番号302とは順不同である。
【0068】
共通度305は、共通性をもとに算出された、各行におけるログID301の行番号302とログID303と行番号304の共通度を格納するフィールドである。例えば、図3の4行目では、ログID「1」の行番号「2」とログID「4」の行番号「102」の共通度は「0.9」である。
【0069】
脅威度306は、脅威の特徴をもとに算出された、各行におけるログID301の行番号302とログID303と行番号304の脅威度を格納するフィールドである。例えば、図3の4行目では、ログID「1」の行番号「2」と、ログID「4」の行番号「102」の脅威度は「0.2」である。
【0070】
異常度307は、異常性をもとに算出された、各行におけるログID301の行番号302とログID303と行番号304の異常度を格納するフィールドである。例えば、図3の4行目では、ログID「1」の行番号「2」とログID「4」の行番号「102」の異常度は「0.7」である。
【0071】
有効度308は、分析履歴をもとに算出された、各行におけるログID301の行番号302とログID303と行番号304の分析に関する有効度を格納するフィールドである。例えば、図3の4行目では、ログID「1」の行番号「2」とログID「4」の行番号「102」の有効度308は「0.3」である。
【0072】
優先度309は、共通度305と、脅威度306と、異常度307と、有効度308をもとに算出された、各行におけるログID301の行番号302とログID303と行番号304の可視化に関する優先度を格納するフィールドである。優先度309が高い行の関係ほど、優先して分析(出力)するべきことを表している。例えば、図3の4行目では、ログID「1」の行番号「2」とログID「4」の行番号「102」の優先度は「0.51」である。
【0073】
換言すれば、ログID301と行番号302は、第1のログ内の第1のエントリを示し、ログID303と行番号304は、第1のログ内の第1のエントリと関連性を有する第2のログ内の第2のエントリを示す。そして、優先度309は、第1のエントリと第2のエントリのペアを可視化(表示)する際の優先度を示す。
【0074】
図4は、実施例1の共通情報データ122のデータ構造の一例を示す図である。
【0075】
共通情報データ122は、ID401と、対象ログ種類402と、共通性種別403と、共通性404と、条件405と、共通度計算式406をフィールドとして1つのレコードに格納する。なお、データ構造は一例であって、図示の例に限定されない。前述のフィールドのうちいずれかのフィールドを含まなくてもよいし、他のフィールドを含んでもよい。
【0076】
ID401は、共通性の種類を一意に識別するために割り当てた識別子を格納するフィールドである。実施例1のID401は、例として数字が割り当てられている。
【0077】
対象ログ種類402は、ログの収集元の機器の種別をログの種類として格納するフィールドである。
【0078】
共通性種別403は、後述する共通性404の分類を目的として、共通性404の種別を格納するフィールドである。例えば、共通性種別403は、グループ、対応関係、置換関係、同値、変更関係などが含まれる。
【0079】
共通性404は、2つ以上のデータの共通性を定義して格納するフィールドである。例えば、共通性404は、同一セグメントIPやDNS、時間の類似性がある。
【0080】
条件405は、共通性が定義された対象を格納するフィールドである。例えば、図4の2行目では、「192.168.0.1、192.168.0.5、192.168.0.122、192.168.0.12を含む」ことが同一セグメントに割り当てられたIPアドレスの条件であることを表している。
【0081】
共通度計算式406は、共通度を算出するための計算方法を格納するフィールドである。共通度計算式406は、定数や計算式を格納することができ、共通性404をはじめとする各行の登録時に登録者が定義する必要がある。
【0082】
図5は、実施例1の脅威特徴データ123のデータ構造の一例を示す図である。
【0083】
脅威特徴データ123は、ID501と、対象ログ種類502と、特徴種別503と、特徴504と、条件505、及び脅威度計算式506をフィールドとして1つのレコードに格納する。なお、データ構造は一例であって、図示の例に限定されない。前述のフィールドのうちいずれかのフィールドを含まなくてもよいし、他のフィールドを含んでもよい。
【0084】
ID501は、脅威特徴の種類を一意に識別するために割り当てた識別子を格納するフィールドである。実施例1のID501は、例として数字が割り当てられている。
【0085】
対象ログ種類502は、ログの収集元の機器の種別をログの種類として格納するフィールドである。
【0086】
特徴種別503は、脅威の分類を目的として、後述する特徴504の種別を格納するフィールドである。例えば、特徴種別503は、攻撃進行度や、攻撃者情報である。
【0087】
特徴504は、脅威の特徴を定義して格納するフィールドである。例えば、特徴種別503が「攻撃進行度」では、サイバーキルチェーンやATT&CK(登録商標)とのフェーズが特徴504となり、攻撃者情報ではAPT(Advanced Persistent Threat)グループ名が特徴504となる。
【0088】
条件505は、特徴504をテキストで表現した条件を格納するフィールドである。言い換えると、特徴504がログ中にどういった痕跡を残すかが定義される。例えば、図5の2行目では、「メール」ログにおける「進行度1」の条件が「ファイル名が‘*.*.exe’に一致」である。これは当該条件が示す二重拡張子は誤クリックによる感染を誘導する攻撃者のテクニックであり、感染前の「進行度1」のテクニックである。
【0089】
脅威度計算式506は、脅威度を算出するための計算方法や値を格納するフィールドである。脅威度計算式506は、定数や計算式で設定され、特徴504をはじめとする各行の登録時に登録者が定義する必要がある。
【0090】
図6は、実施例1の異常情報データ124のデータ構造の一例を示す図である。
【0091】
異常情報データ124は、ID601と、対象ログ種類602と、異常種別603と、異常性604と、条件605、及び異常度計算式606をフィールドとして1つのレコードに格納する。なお、データ構造は一例であって、これに限定されない。前述のフィールドのうちいずれかのフィールドを含まなくてもよいし、他のフィールドを含んでもよい。
【0092】
ID601は、脅威特徴の種類を一意に識別するために割り当てた識別子を格納するフィールドである。実施例1のID601は、例として数字が割り当てられている。
【0093】
対象ログ種類602は、ログの収集元の機器の種別をログの種類として格納するフィールドである。
【0094】
異常種別603は、異常の分類を目的として、後述する異常性604の種別(発生要因)を格納するフィールドである。例えば、異常種別603は、異常通信や異常ログインである。
【0095】
異常性604は異常性を定義して格納するフィールドである。例えば、異常通信では、業務時間外の通信が異常性604となる。
【0096】
条件605は、異常性604を有するログ中のテキストに含まれる条件を格納するフィールドである。例えば、図6の2行目では、「業務時間外通信」の異常を「23:00-5:00」のデータ量の和が前日の2倍であることを定義している。
【0097】
異常度計算式606は、異常度を算出するための計算方法や値を格納するフィールドである。異常度計算式606は、定数や計算式で設定され、異常性604をはじめとする各行の登録時に登録者が定義する必要がある。
【0098】
図7は、実施例1の分析履歴データ125のデータ構造の一例を示す図である。
【0099】
分析履歴データ125は、ID701と、脅威種別702と、表示ログ種類703と、操作種別704と、ルール705、及び有効度706をフィールドとして1つのレコードに格納する。なお、データ構造は一例であって、これに限定されない。前述のフィールドのうちいずれかのフィールドを含まなくてもよいし、他のフィールドを含んでもよい。
【0100】
ID701は、分析履歴の種類を一意に識別するために割り当てた識別子を格納するフィールドである。実施例1のID701は、例として数字が割り当てられている。
【0101】
脅威種別702は、分析の結果発見した脅威の種別を格納するフィールドである。例えば、脅威種別702は、情報漏洩や攻撃者サーバとの通信が含まれる。
【0102】
表示ログ種類703は、分析時に表示したログの種類を格納するフィールドである。例えば、図7の2行目では、「EDR」ログと「Proxy」ログを分析して「情報漏洩」を発見したことがわかる。
【0103】
操作種別704は、分析時に実施した操作の種別を格納するフィールドである。例えば、図7の2行目では、条件式を用いた「フィルタリング」や、詳細閲覧のためにログ中のある情報を「クリック」したことがわかる。
【0104】
ルール705は、分析時に実施された操作の対象をルールとして格納するフィールドである。例えば、図7の2行目では、「URLがmal.com」をルールとしてフィルタリングしたことが格納される。
【0105】
有効度706は、脅威発見における操作の有効度を格納するフィールドである。有効度706は、定数や計算式で設定され、ルール705をはじめとする各行の登録時に登録者が定義する必要がある。
【0106】
図8は、実施例1の可視化手法データ126のデータ構造の一例を示す図である。
【0107】
可視化手法データ126は、ID801と、観点種別802と、観点ID803と、処理方法804をフィールドとして1つのレコードに格納する。可視化手法データ126は、各テキストにどのような可視化処理を施すかを管理することを目的とし、各特徴を観点種別205、観点ID206として管理する観点情報データ120を参照することで、各テキストと可視化手法を紐づける。
【0108】
したがって、観点情報データ120の観点種別205と、観点ID206と観点種別802、観点ID803は対応関係にある。なお、データ構造は一例であって、図示の例に限定されない。前述のフィールドのうちいずれかのフィールドを含まなくてもよいし、他のフィールドを含んでもよい。
【0109】
ID801は、可視化手法の種類を一意に識別するために割り当てた識別子を格納するフィールドである。実施例1のID801は、例として数字が割り当てられている。
【0110】
観点種別802は、関連性を表す観点の種別を格納するフィールドである。観点種別802は優先度、共通性、脅威特徴、異常性、分析履歴のいずれかである。
【0111】
観点ID803は、関連性の識別を目的として、各観点のデータで定義されたIDを格納するフィールドである。観点ID803は共通情報データ122、脅威特徴データ123、異常情報データ124、又は分析履歴データ125のいずれかを参照する。なお、実施例1においては、観点種別802が「優先度」の場合は、参照元が存在しないため、空欄となる。
【0112】
処理方法804は、可視化する際の処理方法を格納するフィールドである。例えば、図8のID「2」は、「脅威特徴」の観点ID「2」が脅威特徴データ123の特徴504の「進行度7」を表すため、「情報部に進行度7アイコンを付与」を可視化する。
【0113】
図9は、実施例1の複数ログ分析支援装置100が分析者端末103へ提供する可視化画面900の一例を示す図である。
【0114】
可視化画面900は、概要部901と、情報部902と、詳細部903、及び関連性表示部904を有する。なお、複数ログ分析支援装置100の可視化部116が表示するログの数に応じて概要部901、情報部902、詳細部903、及び関連性表示部904の数は変化するが、本発明は、概要部901、情報部902、詳細部903、及び関連性表示部904の数に限定されない。
【0115】
実施例1の図9では、ログの数を2(概要部901-1及び901-2)とし、概要部901-1、901-2、情報部902-1、902-2、及び詳細部903-1、903-2で説明する。また、図9の可視化画面900は一例であって、図示の例に限定されない。
【0116】
概要部901は、ログの概要について理解することを目的として、可視化処理を施したログを表示する部分である。後述する詳細部903と同一の情報を有すが、概要理解を目的しているため、縮小したログ(又はアイコン等)が提示される。可視化処理は例えば、文字色の変更、背景色の変更、文字の濃度の変更を指す。
【0117】
なお、可視化処理は後述する複数ログ分析支援装置100の可視化部116の可視化処理により実行される。本可視化処理によって、ログが有する共通性、脅威特徴、異常性、分析履歴の観点で各テキストの特徴が提示され、分析者端末103で関連性を理解することを支援する。
【0118】
情報部902は、ログの各テキストに情報を補足するための可視化処理を表示する部分である。例えば、情報を補足するための可視化処理は、アイコンの付与である。本可視化処理によって、分析者端末103でログが有する共通性、脅威特徴、異常性、分析履歴の観点で各テキストの特徴が提示され、関連性を理解することを支援する。
【0119】
図9の情報部902-2では矢印で進行度を表すアイコンが表示され、上部のアイコン9021は進行度3、下部のアイコン9022は進行度7である。分析者端末103を利用する分析者は、脅威特徴の観点から、進行度アイコンのあるログの各テキストが関連しており、その関連性が攻撃の進行を示唆していることがわかる。なお、アイコンの種類や形状は一例であって、これに限定されない。
【0120】
詳細部903は、可読状態で可視化処理が施されたログを表示する部分である。可視化処理は例えば、文字色の変更、背景色の変更、文字の濃度の変更を指す。なお、可視化処理は後述する複数ログ分析支援装置100の可視化処理により実行される。本可視化処理によって、ログが有する共通性、脅威特徴、異常性、分析履歴の観点で各行の特徴が提示され、関連性の理解を支援する。
【0121】
関連性表示部904は、優先度算出部115で算出した優先度付きでログの行の関連性を表示する部分である。優先度は、可視化処理が施されて表示される。例えば、図9の関連性表示部904では、各行の関連性を線で、優先度をその線の太さで表す。また、共通度、脅威度、異常度、有効度、優先度をそれぞれ別の色で表現することもあるが、一例であって、これに限定されない。
【0122】
次に、複数ログ分析支援装置100が実行する処理について説明する。
【0123】
図10は、実施例1の複数ログ分析支援装置100が優先度算出部115及び可視化部116を実行する処理の一例を説明するフローチャートである。
【0124】
実施例1では、分析を実施する分析者が分析対象環境102の異常状態をすでに把握しており、分析の起点となるログや関連するログを把握しているものとする。なお、複数ログ分析支援装置100は、分析の起点となるログに応じて、関連するログを提案する機能を有していてもよい。
【0125】
複数ログ分析支援装置100は、分析を実施する際、分析者によって分析者端末103あるいは入出力装置110から対象となるログの指定が1つ以上行われたか否かを判定する(ステップS1001)。
【0126】
ログの指定が行われなかった場合、複数ログ分析支援装置100は、ステップS1001に戻り、待機を続ける。ログの指定が行われた場合、複数ログ分析支援装置100は、ステップS1002に進む。
【0127】
ログの指定が行われた場合、複数ログ分析支援装置100は、ログ管理端末101から当該ログを取得する(ステップS1002)。
【0128】
具体的には、複数ログ分析支援装置100は、ログ管理端末101に指定されたログに関するリクエストを送信する。リクエストを受けて、ログ管理端末101は、当該ログデータを複数ログ分析支援装置100に送信する。
【0129】
次に、複数ログ分析支援装置100は、指定したログ135を用いて観点情報データ120を更新する(ステップS1003)。
【0130】
具体的には、複数ログ分析支援装置100は、受け取ったログ135の各行のテキストを観点情報データ120のテキスト204に登録する。また、複数ログ分析支援装置100は、ログID201、行番号203に識別子を振り当てる。また、複数ログ分析支援装置100は、ログ種類202に当該ログの種別を登録する。
【0131】
次に、複数ログ分析支援装置100は、指定されたログ135を用いて優先度算出処理を実行する(ステップS1004)。
【0132】
具体的には、複数ログ分析支援装置100は、優先度算出部115により、指定されたログ135同士の関連性を算出し、その関連性の優先度を算出する。優先度算出処理の実行によって、関連性を分析する際の順番の決定を支援する。優先度算出処理の詳細は、図11を用いて説明する。
【0133】
次に、複数ログ分析支援装置100は、可視化部116により指定されたログ135を用いて可視化処理を実行する(ステップS1005)。
【0134】
具体的には、複数ログ分析支援装置100は、ログ135を描画した画面を分析者端末103へ出力し、ステップS1004で算出したログの関連性とその優先度も可視化して画面内に描画する。可視化処理の詳細は、図16を用いて説明する。
【0135】
図11は、ログの関連性及びその優先度を理由付きで定量化することを目的とし、実施例1の複数ログ分析支援装置100が優先度算出部115を実行する処理の一例を説明するフローチャートである。
【0136】
優先度算出部115は、図10のステップS1004で実行され、ステップS1101~ステップS1104の4種類の処理を並列的に実行し、次にステップS1105を実行する。なお、本発明は、最低1種類以上の処理が必要であり、4種類すべての処理を並列的に実行することに限定されない。
【0137】
優先度算出部115は、観点情報データ120を入力として共通度算出部111を実行する(ステップS1101)。
【0138】
具体的には、優先度算出部115は、観点情報データ120のテキスト204に対し、共通情報データ122の条件405と照合し、パターンマッチングにより共通性を特徴づけて値を算出する。共通度算出部111は、特徴づけた観点と値を用いて、各テキスト204の共通度を算出して、優先度データ121の共通度305に出力する。共通度算出処理の詳細は、図12を用いて説明する。
【0139】
優先度算出部115は、観点情報データ120を入力として脅威度算出部112を実行する(ステップS1102)。
【0140】
具体的には、脅威度算出部112は、観点情報データ120のテキスト204に対し、脅威特徴データ123の条件505と照合し、パターンマッチングにより脅威の観点を特徴づけて値を算出する。特徴づけた観点と値を用いて、各テキスト204の脅威度を算出して、優先度データ121の脅威度306に出力する。脅威度算出処理の詳細は、図13を用いて説明する。
【0141】
優先度算出部115は、観点情報データ120を入力として異常度算出部113を実行する(ステップS1103)。
【0142】
具体的には、優先度算出部115は、観点情報データ120のテキスト204に対し、異常情報データ124の条件605と照合し、パターンマッチングにより異常性を特徴づけて値を算出する。特徴づけた観点と値を用いて、各テキスト204の異常度を算出して、優先度データ121の異常度307に出力する。異常度算出処理の詳細は、図14を用いて説明する。
【0143】
優先度算出部115は、観点情報データ120を入力として分析履歴解析部114を実行する(ステップS1104)。
【0144】
具体的には、複数ログ分析支援装置100は、観点情報データ120のテキスト204に対し、分析履歴データ125のルール705と照合し、パターンマッチングにより分析履歴を特徴づけて値を算出する。特徴づけた観点と値を用いて、各テキスト204の有効度を算出して、優先度データ121の有効度308に出力する。分析履歴解析処理の詳細は、図15を用いて説明する。
【0145】
次に、優先度算出部115は、優先度データ121の未処理のエントリ1つを選択する(ステップS1105)。
【0146】
次に、優先度算出部115は、選択した優先度データ121の未処理のエントリの共通度305、脅威度306、異常度307、有効度308を用いて、優先度309を算出する(ステップS1106)。
【0147】
具体的には、優先度算出部115は、共通度305、脅威度306、異常度307、有効度308を入力として、優先度を算出して出力する。優先度の一例として、共通度305と、脅威度306と、異常度307と、有効度308の平均値を算出し、優先度309として出力する例を示すが、本発明はこの算出方法に限定されない。また、共通度305、脅威度306、異常度307、有効度308はすべてがそろっている必要もない。
【0148】
次に、優先度算出部115は、優先度データ121の全エントリの処理が完了したか否かを判定する(ステップS1107)。
【0149】
全エントリの処理が完了した場合、優先度算出部115は処理を完了する。一方、全エントリの処理が完了していなかった場合、優先度算出部115は、ステップS1105に戻り、未処理のエントリを選択して上記処理を繰り返す。
【0150】
図12は、共通性の観点からログの関連性を理由付きで定量化すること目的とし、実施例1の複数ログ分析支援装置100が実行する共通度算出部111の一例を説明するフローチャートである。
【0151】
共通度算出部111は、優先度算出部115によって実行され、観点情報データ120の未処理のエントリを1つ選択する(ステップS1201)。
【0152】
次に、共通度算出部111は、選択したエントリのテキスト204は共通情報データ122の条件405に該当する否かを判定する(ステップS1202)。
【0153】
条件405に該当する場合、共通度算出部111は、ステップS1203に進む。条件405に該当しない場合、共通度算出部111は、ステップS1204に進む。
【0154】
条件405に該当する場合、共通度算出部111は、観点情報データ120で選択したエントリの値207と、観点種別205と、観点ID206に、条件405が一致した共通情報データ122の共通度計算式406で算出した値と、「共通性」と、条件405が一致した共通情報データ122のID401を格納する(ステップS1203)。
【0155】
なお、共通度計算式406が定数あるいは式によって定義されるため、式によって定義される場合、共通度算出部111は式に基づいて算出を行う。上記ステップS1203では、共通度算出部111が、観点情報データ120の観点種別205に「共通性」のエントリが追加された行番号203のエントリの状態は、予め設定された共通性を有すると判定する。
【0156】
次に、共通度算出部111は、選択したエントリとすべての共通情報データ122の照合が完了したか否かを判定する(ステップS1204)。
【0157】
全データの照合が完了した場合、共通度算出部111は、ステップS1205に進む。全データの照合が完了していない場合、共通度算出部111は、ステップS1202に戻り、照合を続ける。
【0158】
次に、共通度算出部111は、全エントリの処理が完了したか否かを判定する(ステップS1205)。
【0159】
完了した場合、共通度算出部111は、ステップS1206に進み、共通性の算出をする。完了しなかった場合、複数ログ分析支援装置100は、ステップS1201に戻り、エントリの選択を行う。
【0160】
共通度算出部111は、観点情報データ120の中の観点種別205が「共通性」の未処理のエントリを選択する(ステップS1206)。
【0161】
次に、共通度算出部111は、ステップS1206で選択していない未処理のエントリを参照し、観点種別205が「共通性」かつ、ステップS1206で選択したエントリの観点ID206が一致するか否かを判定する(ステップS1207)。
【0162】
観点ID206が一致した場合、共通度算出部111は、ステップS1208に進み、共通度の算出をする。観点ID206が一致しなかった場合、共通度算出部111は、ステップS1209に進む。
【0163】
一致した場合、共通度算出部111は、優先度データ121の更新を行う(ステップS1208)。
【0164】
具体的には、共通度算出部111は、一致したエントリの観点情報データ120のログID201と行番号203をそれぞれ、優先度データ121のログID301と行番号302、及びログID303と行番号に代入する。
【0165】
また、共通度算出部111は、観点情報データ120の値207を入力として、優先度データ121の共通度305を算出する。例として、観点情報データ120の値207を共通度305とするが、本発明はこの算出方法に限定されない。
【0166】
次に、共通度算出部111は、選択したエントリと観点情報データ120の観点種別が「共通性」である未処理エントリをすべて参照したか否かを判定する(ステップS1209)。
【0167】
すべての未処理エントリを参照した場合、共通度算出部111は、ステップS1210に進む。すべての未処理エントリを参照していない場合、共通度算出部111は、ステップS1207に戻り、参照を続ける。
【0168】
次に、共通度算出部111は、全エントリの処理が完了したか否かを判定する(ステップS1210)。
【0169】
完了した場合、共通度算出部111は、処理を完了する。完了しなかった場合、共通度算出部111は、ステップS1206に戻り、エントリの選択を行う。
【0170】
上記処理によって、共通情報データ122の条件405に一致するテキスト204を含む観点情報データ120のエントリ(行番号203)の観点種別205に「共通性」が追加され、共通情報データ122のID401が観点情報データ120の観点ID206に追加される。
【0171】
そして、共通度算出部111は、観点種別205が「共通性」の観点情報データ120のエントリ(行番号203)で観点ID206が一致する他のエントリを、優先度データ121に追加して、当該エントリの共通度を算出して優先度データ121の共通度305に設定する。
【0172】
以上のように、共通性に関する所定の条件405と一致するログのエントリは、観点情報データ120の観点種別205に「共通性」が追加され、さらに、観点ID206(共通性の種別)が一致する他のエントリが存在する場合には、優先度データ121にログIDと行番号のペアが追加され、共通性で関連性を有するエントリの組が追加される。
【0173】
図13は、脅威の特徴が有する脅威背景の観点からログの関連性を定量化することを目的とし、実施例1の複数ログ分析支援装置100が実行する脅威度算出部112の一例を説明するフローチャートである。
【0174】
脅威度算出部112は、優先度算出部115によって実行され、観点情報データ120の未処理のエントリを選択する(ステップS1301)。
【0175】
次に、脅威度算出部112は、選択したエントリのテキスト204は脅威特徴データ123の条件505に該当するか否かを判定する(ステップS1302)。
【0176】
条件505に該当した場合、脅威度算出部112は、ステップS1303に進む。条件505に該当しなかった場合、脅威度算出部112は、ステップS1304に進む。
【0177】
条件505に該当した場合、脅威度算出部112は、観点情報データ120で選択したエントリの値207と、観点種別205と、観点ID206に、条件505が一致した脅威特徴データ123の脅威度計算式506で算出した値と、「脅威特徴」と、条件505が一致した脅威特徴データ123のID501を格納する(ステップS1303)。
【0178】
上記ステップS1303では、脅威度算出部112が、観点情報データ120の観点種別205に「脅威特徴」のエントリが追加された行番号203のエントリの状態は、予め設定された脅威の特徴を有すると判定する。
【0179】
次に、脅威度算出部112は、選択したエントリとすべての脅威特徴データ123の照合が完了したか否かを判定する(ステップS1304)。
【0180】
全データの照合が完了した場合、脅威度算出部112は、ステップS1305に進む。全データの照合が完了していない場合、脅威度算出部112は、ステップS1302に戻り、照合を続ける。
【0181】
次に、脅威度算出部112は、全エントリの処理が完了したか否かを判定する(ステップS1305)。
【0182】
全エントリの処理が完了した場合、脅威度算出部112は、ステップS1306に進み、脅威度の算出をする。全エントリの処理が完了しなかった場合、脅威度算出部112は、ステップS1301に戻り、エントリの選択を行う。
【0183】
脅威度算出部112は、観点情報データ120の中の観点種別が「脅威特徴」の未処理のエントリを選択する(ステップS1306)。
【0184】
次に、脅威度算出部112は、ステップS1306で選択していない未処理のエントリを参照し、観点種別205が「脅威特徴」かつ、ステップS1306で選択したエントリの観点ID206が一致するか否かを判定する(ステップS1307)。
【0185】
観点ID206が一致した場合、脅威度算出部112は、ステップS1308に進み、脅威度の算出をする。観点ID206が一致しなかった場合、脅威度算出部112は、ステップS1309に進む。
【0186】
観点ID206が一致した場合、脅威度算出部112は、優先度データ121の更新を行う(ステップS1308)。
【0187】
具体的には、脅威度算出部112は、一致したエントリの観点情報データ120のログID201と行番号203をそれぞれ、優先度データ121のログID301と行番号302、及びログID303と行番号304に代入する。また、脅威度算出部112は観点情報データ120の値207を入力として、優先度データ121の脅威度306を算出する。例として、観点情報データ120の値207を脅威度306とするが、本発明はこの算出方法に限定されない。
【0188】
次に、脅威度算出部112は、選択したエントリと観点情報データ120の観点種別205が「脅威特徴」で未処理のエントリをすべて参照したか否かを判定する(ステップS1309)。
【0189】
未処理のエントリをすべて参照した場合、脅威度算出部112は、ステップS1310に進む。未処理のエントリをすべて参照していない場合、脅威度算出部112は、ステップS1307に戻り、参照を続ける。
【0190】
次に、脅威度算出部112は、全エントリの処理が完了したか否かを判定する(ステップS1310)。
【0191】
全エントリの処理が完了した場合、脅威度算出部112は、処理を完了する。全エントリの処理が完了しなかった場合、脅威度算出部112は、ステップS1306に戻り、エントリの選択を行う。
【0192】
上記処理によって、脅威特徴データ123の条件505に一致するテキスト204を含む観点情報データ120のエントリ(行番号203)の観点種別205に「脅威特徴」が追加され、脅威特徴データ123のID501が観点情報データ120の観点ID206に追加される。
【0193】
そして、脅威度算出部112は、観点種別205が「脅威特徴」の観点情報データ120のエントリ(行番号203)で観点ID206が一致する他のエントリを、優先度データ121に追加して、当該エントリの脅威度を算出して優先度データ121の脅威度306に設定する。
【0194】
以上のように、脅威に関する所定の条件505と一致するログのエントリは、観点情報データ120の観点種別205に「脅威特徴」が追加され、さらに、観点ID206(脅威の特徴)が一致する他のエントリが存在する場合には、優先度データ121にログIDと行番号のペアが追加され、脅威について関連性を有するエントリの組が追加される。
【0195】
図14は、環境の通常状態から乖離した異常性の観点からログの関連性を理由付きで定量化することを目的とし、実施例1の複数ログ分析支援装置100が実行する異常度算出部113の一例を説明するフローチャートである。
【0196】
異常度算出部113は、優先度算出部115によって実行され、観点情報データ120の未処理のエントリを選択する(ステップS1401)。
【0197】
次に、異常度算出部113は、選択したエントリのテキスト204は異常情報データ124の条件605に該当するか否かを判定する(ステップS1402)。
【0198】
条件605に該当した場合、異常度算出部113は、ステップS1403に進む。条件605に該当しなかった場合、異常度算出部113は、ステップS1404に進む。
【0199】
条件605に該当した場合、異常度算出部113は、観点情報データ120で選択したエントリの値207と、観点種別205と、観点ID206に、条件605が一致した異常情報データ124の異常度計算式606で算出した値と、「異常性」と、条件605が一致した異常情報データ124のID601を格納する(ステップS1403)。
【0200】
上記ステップS1403では、異常度算出部113が、観点情報データ120の観点種別205に「異常性」のエントリが追加された行番号203のエントリの状態は、予め設定された状態から乖離した異常性を有すると判定する。
【0201】
次に、異常度算出部113は、選択したエントリと異常情報データ124を照合したか否かを判定する(ステップS1404)。
【0202】
全データを照合した場合、異常度算出部113は、ステップS1405に進む。全データの照合が完了していない場合、異常度算出部113は、ステップS1402に戻り、照合を続ける。
【0203】
次に、異常度算出部113は、全エントリの処理が完了したか否かを判定する(ステップS1405)。
【0204】
全エントリの処理が完了した場合、異常度算出部113は、ステップS1406に進み、異常度の算出をする。全エントリの処理が完了しなかった場合、異常度算出部113は、ステップS1401に戻り、エントリの選択を行う。
【0205】
異常度算出部113は、観点情報データ120の中の観点種別205が「異常性」の未処理のエントリを選択する(ステップS1406)。
【0206】
次に、異常度算出部113は、ステップS1406で選択していない未処理のエントリを参照し、観点種別205が「異常性」かつ、ステップS1406で選択したエントリの観点ID206が一致するか否かを判定する(ステップS1407)。
【0207】
観点ID206が一致した場合、異常度算出部113は、ステップS1408に進み、異常度の算出をする。観点ID206が一致しなかった場合、異常度算出部113は、ステップS1409に進む。
【0208】
観点ID206が一致した場合、異常度算出部113は、優先度データ121の更新を行う(ステップS1408)。
【0209】
具体的には、異常度算出部113は、一致したエントリの観点情報データ120のログID201と行番号203をそれぞれ、優先度データ121のログID301と行番号302、及びログID303と行番号304に代入する。
【0210】
また、異常度算出部113は、観点情報データ120の値207を入力として、優先度データ121の異常度307を算出する。例として、観点情報データ120の値207を異常度307とするが、本発明はこの算出方法に限定されない。
【0211】
次に、異常度算出部113は、選択したエントリと観点情報データ120の観点種別205が「異常性」で未処理のエントリとすべて参照したか否かを判定する(ステップS1409)。
【0212】
すべて参照した場合、異常度算出部113は、ステップS1410に進む。すべて参照していない場合、異常度算出部113は、ステップS1407に戻り、参照を続ける。
【0213】
次に、異常度算出部113は、全エントリの処理が完了したか否かを判定する(ステップS1410)。
【0214】
全エントリの処理が完了した場合、異常度算出部113は、処理を完了する。全エントリの処理が完了しなかった場合、異常度算出部113は、ステップS1406に戻り、未処理のエントリの選択を行う。
【0215】
上記処理によって、異常情報データ124の条件605に一致するテキスト204を含む観点情報データ120のエントリ(行番号203)の観点種別205に「異常性」が追加され、異常情報データ124のID601が観点情報データ120の観点ID206に追加される。
【0216】
そして、異常度算出部113は、観点種別205が「異常性」の観点情報データ120のエントリ(行番号203)で観点ID206が一致する他のエントリを、優先度データ121に追加して、当該エントリの異常度を算出して優先度データ121の異常度307に設定する。
【0217】
以上のように、異常性に関する所定の条件605と一致するログのエントリは、観点情報データ120の観点種別205に「異常性」が追加され、さらに、観点ID206(以上の種別)が一致する他のエントリが存在する場合には、優先度データ121にログIDと行番号のペアが追加され、異常性で関連性を有するエントリの組が追加される。
【0218】
図15は、分析履歴の観点からログの関連性を理由付きで定量化することを目的とし、実施例1の複数ログ分析支援装置100が実行する分析履歴解析部114の一例を説明するフローチャートである。
【0219】
分析履歴解析部114は、観点情報データ120の未処理のエントリを選択する(ステップS1501)。
【0220】
次に、分析履歴解析部114は、選択したエントリのテキスト204は分析履歴データ125の中のルール705に該当するか否かを判定する(ステップS1502)。
【0221】
ルール705に該当した場合、分析履歴解析部114は、ステップS1503に進む。ルール705に該当しなかった場合、分析履歴解析部114は、ステップS1504に進む。
【0222】
ルール705に該当した場合、分析履歴解析部114は、観点情報データ120で選択したエントリの値207と、観点種別205と、観点ID206に、ルール705に一致した分析履歴データ125の有効度706と、「分析履歴」と、ルール705に一致した分析履歴データ125のID701を格納する(ステップS1503)。
【0223】
上記ステップS1503では、分析履歴解析部114が、観点情報データ120の観点種別205に「分析履歴」のエントリが追加された行番号203のエントリの状態は、予め設定された有効度の特徴を有すると判定する。
【0224】
次に、分析履歴解析部114は、選択したエントリとすべての分析履歴データ125の照合が完了したか否かを判定する(ステップS1504)。
【0225】
全データの照合が完了した場合、分析履歴解析部114は、ステップS1505に進む。全データの照合が完了していない場合、分析履歴解析部114は、ステップS1502に戻り、照合を続ける。
【0226】
次に、分析履歴解析部114は、全エントリの処理が完了したか否かを判定する(ステップS1505)。
【0227】
全エントリの処理が完了した場合、分析履歴解析部114は、ステップS1506に進む。全エントリの処理が完了していない場合、分析履歴解析部114は、ステップS1501に戻り、エントリの選択を行う。
【0228】
分析履歴解析部114は、分析履歴データ125の未処理のエントリと次に位置する未処理のエントリを選択する(ステップS1506)。
【0229】
次に、分析履歴解析部114は、観点情報データ120の中に観点種別205が「分析履歴」であり、かつ、観点ID206で選択した2エントリを参照するレコードがともに存在するか否かを照合する(ステップS1507)。
【0230】
2エントリとも存在した場合、分析履歴解析部114は、ステップS1508に進む。2エントリが存在しなかった場合、分析履歴解析部114は、ステップS1509に進む。
【0231】
2エントリが存在した場合、分析履歴解析部114は、照合し一致した観点情報データ120の行番号203と有効度206を用いて、優先度データ121を更新する(ステップS1508)。
【0232】
具体的には、分析履歴解析部114は、一致したエントリの観点情報データ120のログID201と行番号203をそれぞれ、優先度データ121のログID301と行番号302、及びログID303と行番号304に代入する。
【0233】
また、分析履歴解析部114は、優先度データ121の有効度308に関して、一致した2エントリの値207を入力として、有効度308を算出して更新する。例として、2エントリの値207の平均値を有効度308とするが、本発明はこの算出方法に限定されない。
【0234】
次に、分析履歴解析部114は、分析履歴データ125の次に位置する未処理のエントリと次の次に位置する未処理のエントリを選択する(ステップS1509)。
【0235】
次に、分析履歴解析部114は、全エントリの処理が完了したか否かを判定する(ステップS1510)。
【0236】
全エントリの処理が完了した場合、分析履歴解析部114は、処理を完了する。全エントリの処理が完了していない場合、分析履歴解析部114は、ステップS1507に戻り、参照を行う。
【0237】
上記処理によって、分析履歴データ125のルール705に一致するテキスト204を含む観点情報データ120のエントリ(行番号203)の観点種別205に「分析履歴」が追加され、分析履歴データ125のID701が観点情報データ120の観点ID206に追加される。
【0238】
そして、分析履歴解析部114は、観点種別205が「分析履歴」の観点情報データ120のエントリ(行番号203)で観点ID206が一致する他のエントリを、優先度データ121に追加して、当該エントリの有効度を算出して優先度データ121の有効度308に設定する。
【0239】
以上のように、分析履歴の有効性に関する所定のルール705と一致するログのエントリは、観点情報データ120の観点種別205に「分析履歴」が追加され、さらに、観点ID206(以上の種別)が一致する他のエントリが存在する場合には、優先度データ121にログIDと行番号のペアが追加され、有効性で関連性を有するエントリの組が追加される。
【0240】
図16は、実施例1の複数ログ分析支援装置100が実行する可視化部116の一例を説明するフローチャートである。
【0241】
可視化部116は、図10のステップS1005で実行され、観点情報データ120のテキスト204を描画した画面を出力する(ステップS1601)。
【0242】
具体的には、可視化部116は、観点情報データ120のテキスト204をすべて可視化画面900の詳細部903に描画する。
【0243】
次に、可視化部116は、優先度データ121の未処理のエントリを選択する(ステップS1602)。
【0244】
次に、可視化部116は、選択したエントリのログID301と行番号302、及びログID303と行番号304が参照する観点情報データ120のテキスト204に対し、可視化処理を施す(ステップS1603)。
【0245】
具体的には、可視化部116は、選択したエントリのログID301と行番号302、及びログID303と行番号304が参照する観点情報データ120のテキスト204に対し、当該テキストが描画された可視化画面900の関連性表示部904に可視化処理をする。可視化処理に関しては、可視化手法データ126の観点種別802が「優先度」のエントリの処理方法804を参照し決定する。
【0246】
次に、可視化部116は、優先度データ121の全エントリの処理が完了したか否かを判定する(ステップS1604)。
【0247】
全エントリの処理が完了した場合、可視化部116は、ステップS1605に進む。全エントリの処理が完了しなかった場合、可視化部116は、ステップS1602に戻り、エントリの選択を行う。
【0248】
次に、可視化部116は、観点情報データ120の中の未処理のエントリを選択する(ステップS1605)。
【0249】
次に、可視化部116は、選択したエントリに含まれる観点種別205と観点ID206の組で未処理のレコードが存在しているかを判定する(ステップS1606)。
【0250】
未処理のレコードが存在した場合、可視化部116は、ステップS1607に進む。未処理のレコード存在しなかった場合、可視化部116は、ステップS1608に進む。
【0251】
未処理のレコード存在した場合、可視化部116は、当該レコードの観点種別205が示す各観点での可視化処理を行う(ステップS1607)。
【0252】
具体的には、可視化部116は、選択したレコードの観点種別205と観点ID206に対応する可視化処理を可視化画面900の概要部901、情報部902、詳細部903に施し、描画する。可視化処理に関しては、選択したレコードの観点種別205と観点ID206に対応する可視化手法データ126の観点種別802と観点ID803を参照する。
【0253】
次に、可視化部116は、選択したエントリの全レコードを処理したか否かを判定する(ステップS1608)。
【0254】
すべて処理した場合、可視化部116は、ステップS1609に進む。すべての処理が完了していない場合、可視化部116は、ステップS1606に戻り、可視化処理を続ける。
【0255】
次に、可視化部116は、全エントリの処理が完了したか否かを判定する(ステップS1609)。
【0256】
全エントリの処理が完了した場合、可視化部116は、可視化処理を終了する。全エントリの処理が完了していない場合、可視化部116は、ステップS1605に戻り、エントリの選択を行う。
【0257】
上記処理によって、観点情報データ120と優先度データ121に基づいて可視化画面900が描画されて分析者端末103へ送信される。分析者端末103の利用者は、ログの分析において複数種類のログにあるエントリを関連付けて、脅威の証拠を可視化画面900で参照することが可能となる。
【0258】
本実施例の複数ログ分析支援装置100は、エンドポイントに限らない複数種類のログを共通度や、脅威度や、異常度や、有効度を関連付けて、脅威の証拠に優先度を付与することで、脅威の証拠を可視化して提供することが可能となる。これにより、脅威の発生に限らず、脅威の予兆などの発見を支援することが可能となる。
【実施例2】
【0259】
実施例2の複数ログ分析支援装置100は、分析者端末103を利用する分析者の操作を抽出し、分析履歴データ125を作成する例を示す。以下、実施例1との差異を中心に実施例2について説明する。
【0260】
複数ログ分析支援装置100は、図1の実施例1の構成を含み、メインメモリ105上に分析履歴作成部117を有する。
【0261】
分析履歴作成部117は、実施例1の処理後に、分析者端末103あるいは入出力装置110上の可視化画面900において、分析者の操作を抽出して分析履歴データ125の更新を実施する。分析履歴作成部117の処理については、図17を用いて説明する。
【0262】
以下、実施例1と異なる処理のフローチャートについて述べる。
【0263】
図17は、分析履歴データ125の作成を目的とし、実施例2の複数ログ分析支援装置100が実行する分析履歴作成部117の一例を説明するフローチャートである。
【0264】
分析履歴作成部117は、分析者端末103あるいは入出力装置110上の可視化画面900上で、分析者による操作が発生したか否かを判定する(ステップS1701)。
【0265】
操作が発生しなかった場合、分析履歴作成部117は、ステップS1701に戻り、待機を続ける。操作が発生した場合、分析履歴作成部117は、ステップS1702に進む。
【0266】
操作が発生した場合、分析履歴作成部117は、分析者の操作を抽出する(ステップS1702)。
【0267】
具体的には、可視化画面900を参照した分析者の操作を取得し、分析履歴作成部117に送信する。なお、例えば、分析者の操作は、フィルタリング、メモ、クリック、及びドラッグである。
【0268】
次に、分析履歴作成部117は、受信した分析者の操作を分析履歴データ125に格納する(ステップS1703)。
【0269】
具体的には、分析履歴作成部117は、分析者が可視化画面900で分析中のログに対応する分析履歴データ125のID701に対し、分析者が実施した操作を操作種別704として、操作対象をルール705として、初期値を有効度706として更新する。有効度706の初期値は、例えば、0.5などの定数値であるが、本発明はこの算出方法に限らない。また、操作が初めての場合には新たに分析履歴データ125のID701を生成する。
【0270】
次に、分析履歴作成部117は、分析者の分析がすべて完了したか否かを判定する(ステップS1704)。
【0271】
分析が完了した場合、分析履歴作成部117は、分析履歴作成処理を完了する。一方、分析が完了していない場合、ステップS1701に戻り、分析者の操作を待機する。
【0272】
以上のように実施例2によれば、分析履歴作成部117は、分析者の操作を抽出し、分析履歴データ125を作成する。これによって、分析履歴を更新する負担を軽減することができる。
【0273】
なお、複数ログ分析支援装置100は、作成された分析履歴データ125に基づき、分析の報告書や共有用フォーマットへの自動変換を行ってもよい。
【実施例3】
【0274】
実施例3の複数ログ分析支援装置100は、分析を行う分析者が分析の起点となるログを把握していない場合である。以下、実施例1との差異を中心に実施例3について説明する。
【0275】
複数ログ分析支援装置100は、図1の実施例1の構成を含む。実施例1では、分析を実施する分析者が分析の起点となるログや関連するログを知っていたが、実施例3では、分析者は分析の起点を知らない。
【0276】
したがって、前記実施例1の図10に示したステップS1001において、分析者は分析対象となる、分析目的を持たずにログを指定する。なお、複数ログ分析支援装置100は、分析の起点を知らない分析者が指定すべきログを推薦する機能を有してもよい。
【0277】
分析の起点を知らない場合、分析者は、可視化部116が可視化を施したログを用いて、新たな分析の起点を発見することができる。具体的には、可視化画面900の概要部901や情報部902に提示された可視化情報を用いる。
【0278】
例えば、概要部901はログ全体の傾向を提供するため、同一セグメントのIPアドレスが色分けされた可視化処理を施していた場合、分析者は概要部901上で、同一セグメントの端末からの類似した通信発生を発見することができる。同一セグメントの端末からの類似した通信は、マルウェア感染の横展開を示唆しており、分析の起点となる。
【0279】
例えば、情報部902はログの各行の特徴を情報として提供するため、特定の攻撃者だと疑われる特徴を有するログに当該攻撃者の固有アイコンを付与する可視化処理を施していた場合、分析者は情報部902上で、ある攻撃者からの攻撃だと疑われる特徴が多数発生していることを発見できる。各特徴のひとつひとつは当該攻撃者からの攻撃と確信づけるには説得力が薄いが、分析者は特徴が多数あることに気づくことで、新たな分析の起点を発見することができる。
【0280】
以上のように、本実施例の複数ログ分析支援装置100は、分析者が分析の起点となるログを把握していない場合であっても、複数種類のログにあるエントリを関連付けた可視化画面900を提示することで、脅威の証拠を収集する作業を支援することが可能となる。
【0281】
<結び>
以上のように、上記各実施例の複数ログ分析支援装置100は、以下のような構成とすることができる。
【0282】
(1)プロセッサ(CPU107)とメモリ(メインメモリ105)を有して、複数の装置(分析対象環境102)から収集された複数種類のログ(135)の分析を支援する複数ログ分析支援装置(100)であって、前記複数種類のログ(135)を読み込んで、前記ログ(135)のエントリ(行番号203)間の関連性を示す値を算出して、前記関連性を示す値に基づいて前記ログ(135)の各エントリ(203)を可視化する際の優先度(309)を算出する優先度算出部(115)と、前記優先度(309)に応じて前記エントリ(203)間の関連性を表示する可視化部(116)と、を有することを特徴とする複数ログ分析支援装置。
【0283】
上記構成により、観点情報データ120と優先度データ121に基づいて可視化画面900が描画されて分析者端末103へ送信される。分析者端末103の利用者は、ログの分析において複数種類のログにあるエントリを関連付けて、脅威の証拠を可視化画面900で参照することが可能となる。本実施例の複数ログ分析支援装置100は、エンドポイントに限定されない複数種類のログを共通度や、脅威度や、異常度や、有効度を関連付けて、脅威の証拠に優先度を付与することで、脅威の証拠を可視化して提供することが可能となる。これにより、脅威の発生に限らず、脅威の予兆などの発見を支援することが可能となる。
【0284】
(2)上記(1)に記載の複数ログ分析支援装置(100)であって、前記優先度算出部(115)は、前記ログ(135)のエントリ(203)間の関連性を示す値として脅威度(306)を算出する脅威度算出部(112)を有し、前記脅威度算出部(112)は、前記ログ(135)のエントリ(203)に現れる脅威の特徴に応じた脅威度(306)を算出することを特徴とする複数ログ分析支援装置。
【0285】
上記構成により、脅威に関する所定の条件505と一致するログのエントリは、観点情報データ120の観点種別205に「脅威特徴」が追加され、さらに、観点ID206(脅威の特徴)が一致する他のエントリが存在する場合には、優先度データ121にログIDと行番号のペアが追加され、脅威について関連性を有するエントリの組が追加される。これにより、脅威特徴で関連性を有するログのエントリの組を抽出することができる。
【0286】
(3)上記(1)に記載の複数ログ分析支援装置(100)であって、前記優先度算出部(115)は、前記ログのエントリ(203)間の関連性を示す値として共通度(305)を算出する共通度算出部(111)を有し、前記共通度算出部(111)は、前記ログ(135)のエントリ(203)の共通性に応じた共通度(305)を算出することを特徴とする複数ログ分析支援装置。
【0287】
上記構成により、共通性に関する所定の条件405と一致するログのエントリは、観点情報データ120の観点種別205に「共通性」が追加され、さらに、観点ID206(共通性の種別)が一致する他のエントリが存在する場合には、優先度データ121にログIDと行番号のペアが追加され、共通性で関連性を有するエントリの組が追加される。これにより、共通性で関連性を有するログのエントリの組を抽出することができる。
【0288】
(4)上記(1)に記載の複数ログ分析支援装置(100)であって、前記優先度算出部(115)は、前記ログ(135)のエントリ(203)間の関連性を示す値として異常度(307)を算出する異常度算出部(113)を有し、前記異常度算出部(113)は、前記ログ(135)のエントリ(203)の状態が予め設定された状態から乖離した異常性に応じた異常度(307)を算出することを特徴とする複数ログ分析支援装置。
【0289】
上記構成により、異常性に関する所定の条件605と一致するログのエントリは、観点情報データ120の観点種別205に「異常性」が追加され、さらに、観点ID206(以上の種別)が一致する他のエントリが存在する場合には、優先度データ121にログIDと行番号のペアが追加され、異常性で関連性を有するエントリの組が追加される。これにより、異常性で関連性を有するログのエントリの組を抽出することができる。
【0290】
(5)上記(1)に記載の複数ログ分析支援装置(100)であって、前記優先度算出部(115)は、前記ログ(135)のエントリ(203)間の関連性を示す値として分析の有効度(308)を算出する分析履歴解析部(114)を有し、前記分析履歴解析部(114)は、前記ログ(135)のエントリ(203)の状態が過去の分析履歴に応じた有効度(308)を算出することを特徴とする複数ログ分析支援装置。
【0291】
上記構成により、分析履歴の有効性に関する所定のルール705と一致するログのエントリは、観点情報データ120の観点種別205に「分析履歴」が追加され、さらに、観点ID206(以上の種別)が一致する他のエントリが存在する場合には、優先度データ121にログIDと行番号のペアが追加され、有効性で関連性を有するエントリの組が追加される。これにより、分析の有効性で関連性を有するログのエントリの組を抽出することができる。
【0292】
(6)上記(5)に記載の複数ログ分析支援装置(100)であって、前記ログ(135)の各エントリ(203)に対して実施された分析結果を収集して分析履歴情報(分析履歴データ125)を生成する分析履歴作成部(117)をさらに有することを特徴とする複数ログ分析支援装置。
【0293】
上記構成により、分析履歴作成部117は、分析者の分析操作を抽出し、分析履歴データ125を作成する。これによって、分析履歴を更新する負担を軽減することができる。
【0294】
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明をわかりやすく説明するために詳細に記載したものであり、必ずしも説明したすべての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加、削除、又は置換のいずれもが、単独で、又は組み合わせても適用可能である。
【0295】
また、上記の各構成、機能、処理部、及び処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、及び機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、又は、ICカード、SDカード、DVD等の記録媒体に置くことができる。
【0296】
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしもすべての制御線や情報線を示しているとは限らない。実際には殆どすべての構成が相互に接続されていると考えてもよい。
【符号の説明】
【0297】
100 複数ログ分析支援装置
111 共通性算出部
112 脅威度算出部
113 異常度算出部
114 分析履歴解析部
115 優先度算出部
116 可視化部
117 分析履歴作成部
900 可視化画面
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17