ホーム > 特許ランキング > BlueVoyant LLC
知財求人 - 知財ポータルサイト「IP Force」
特許7551948複数のテナントのためのセキュリティ情報およびイベント管理アーチファクトの導入の標準化および合理化のためのデバイス、システム、および方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-06
(45)【発行日】2024-09-17
(54)【発明の名称】複数のテナントのためのセキュリティ情報およびイベント管理アーチファクトの導入の標準化および合理化のためのデバイス、システム、および方法
(51)【国際特許分類】
G06F 11/34 20060101AFI20240909BHJP
G06F 21/55 20130101ALI20240909BHJP
G06F 21/57 20130101ALI20240909BHJP
【FI】
G06F11/34 176
G06F21/55 320
G06F21/57 370
【請求項の数】
19
(21)【出願番号】P 2023574833
(86)(22)【出願日】2022-06-03
(65)【公表番号】
(43)【公表日】2024-07-10
(86)【国際出願番号】 US2022072743
(87)【国際公開番号】W WO2022256833
(87)【国際公開日】2022-12-08
【審査請求日】2024-03-29
(31)【優先権主張番号】63/196,991
(32)【優先日】2021-06-04
(33)【優先権主張国・地域又は機関】US
【早期審査対象出願】
(73)【特許権者】
【識別番号】523454588
【氏名又は名称】ブルーボヤント エルエルシー
【氏名又は名称原語表記】BlueVoyant LLC
【住所又は居所原語表記】335 Madison Avenue, Suite 5G, New York, New York 10017 United States of America
(74)【代理人】
【識別番号】110000110
【氏名又は名称】弁理士法人 快友国際特許事務所
(72)【発明者】
【氏名】ドリアン ビアサン
(72)【発明者】
【氏名】マリウス モカヌ
(72)【発明者】
【氏名】イゴール ボロガン
【審査官】児玉 崇晶
(56)【参考文献】
【文献】特開2017-097858(JP,A)
【文献】米国特許出願公開第2021/0117251(US,A1)
【文献】米国特許出願公開第2020/0186569(US,A1)
【文献】国際公開第2017/151515(WO,A1)
【文献】国際公開第2016/138067(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/34
G06F 21/55
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
複数のクライアントアプリケーションをホストするように構成された複数のテナントにわたってネットワークセキュリティを強化する方法であって、セキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、前記SIEMプロバイダサーバがテナントサーバに通信可能に結合される、前記SIEMプロバイダサーバによってホストされるように構成された、SIEM管理アプリケーションを提供することと、
データコネクタを介して、前記SIEM管理アプリケーションを前記テナントサーバによってホストされるログソースに結合することであって、前記データコネクタが前記ログソースとの間のデータの流れを制御するように構成される、前記結合することと、
前記SIEM管理アプリケーションを介して、前記ログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成することと、
前記SIEM管理アプリケーションのユーザインターフェースを介して、前記JSONベースのソリューションバンドルに少なくとも部分的に基づいて、前記テナントサーバ用に提案されたSIEMプロトコルを視覚的に表示することと、
前記SIEM管理アプリケーションを介して、前記SIEMプロバイダサーバから前記テナントサーバに前記提案されたSIEMプロトコルを導入することと、を含み、
前記提案されたバンドルが、前記データコネクタが前記ログソースとの間の前記データの流れを制御する方法を管理するように構成された複数のSIEMアーチファクトを含む、方法。
【請求項2】
前記SIEM管理アプリケーションを介して、前記複数のSIEMアーチファクトのうちの少なくとも一つを生成することをさらに含む、請求項1に記載の方法。
【請求項3】
前記生成されたSIEMアーチファクトに少なくとも部分的に基づいて前記データコネクタを構成することをさらに含む、請求項2に記載の方法。
【請求項4】
前記データコネクタを構成することが、前記SIEMプロバイダサーバによって自律的に実行される、請求項2に記載の方法。
【請求項5】
前記複数のSIEMアーチファクトが、リソースグループ、ログ分析ワークスペース、プレイブック、およびワークブック、またはそれらの組み合わせのうちの少なくとも一つを含む、請求項1に記載の方法。
【請求項6】
前記複数のうちの少なくとも一つのSIEMアーチファクトが、前記データコネクタが前記ログソースとの間の前記データの流れを制御する方法を管理するように構成された複数のアラートルールを含む、請求項5に記載の方法。
【請求項7】
前記テナントサーバ用に前記提案されたSIEMプロトコルが、前記JSONベースのソリューションバンドルに少なくとも部分的に基づいて生成された複数の提案されたSIEMプロトコルの第一の提案されたSIEMプロトコルであり、前記方法が、前記SIEM管理アプリケーションのユーザインターフェースを介して、前記複数の提案されたSIEMプロトコルを視覚的に表示することをさらに含む、請求項1に記載の方法。
【請求項8】
前記SIEMプロバイダサーバから前記テナントサーバに前記提案されたSIEMプロトコルを導入することが、前記複数の提案されたSIEMプロトコルからの前記提案されたSIEMプロトコルのユーザ選択に少なくとも部分的に基づいている、請求項7に記載の方法。
【請求項9】
前記テナントサーバが、前記SIEMプロバイダサーバに通信可能に結合された複数のテナントサーバの第一のテナントサーバであり、前記提案されたソリューションバンドルが、前記複数のテナントサーバの少なくともサブセットに共通であり、前記方法が、前記SIEM管理アプリケーションを介して、前記複数のテナントサーバを、少なくとも部分的に、前記共通のソリューションバンドルに基づいてワークスペースに集約することをさらに含む、請求項1に記載の方法。
【請求項10】
前記提案されたSIEMプロトコルを導入することが、前記提案されたSIEMプロトコルを前記SIEMプロバイダサーバから前記複数のテナントサーバの前記サブセットの各テナントサーバに導入することをさらに含む、請求項9に記載の方法。
【請求項11】
ネットワークセキュリティを強化するためのシステムであって、ディスプレイと、
データコネクタおよびログソースをホストするように構成されたテナントサーバであって、前記データコネクタが前記ログソースとの間の前記データの流れを制御するように構成される、テナントサーバと、
前記テナントサーバおよび前記ディスプレイに通信可能に結合された、セキュリティ情報およびイベント管理(SIEM)プロバイダサーバと、
を備え、
前記SIEMプロバイダサーバは、SIEM管理アプリケーションを格納および実行するように構成され、
前記SIEM管理アプリケーションは、前記SIEMプロバイダサーバを、
前記SIEMプロバイダサーバを前記データコネクタに結合させ、
前記ログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成させ、
前記ディスプレイに、前記テナントサーバ用に提案されたSIEMプロトコルであって、前記SIEMプロトコルが、少なくとも部分的に前記JSONベースのソリューションバンドルに基づく、SIEMプロトコルを含むSIEM管理アプリケーションのユーザインターフェースを可視化させるようにさせ、
前記SIEMプロバイダサーバから前記テナントサーバに前記提案されたSIEMプロトコルを導入させるように構成され、
前記提案されたバンドルが、前記データコネクタが前記ログソースとの間の前記データの流れを制御する方法を管理するように構成された複数のSIEMアーチファクトを含む、システム。
【請求項12】
前記SIEM管理アプリケーションが、前記SIEMプロバイダサーバに、前記複数のSIEMアーチファクトのうちの少なくとも一つを生成させるようにさらに構成される、請求項11に記載のシステム。
【請求項13】
前記SIEM管理アプリケーションが、前記SIEMプロバイダサーバに、前記生成されたSIEMアーチファクトに少なくとも部分的に基づいて、前記データコネクタを構成させるようにさらに構成される、請求項12に記載のシステム。
【請求項14】
前記SIEM管理アプリケーションが、前記SIEMプロバイダサーバに前記データコネクタを自律的に構成させるようにさらに構成される、請求項13に記載のシステム。
【請求項15】
前記複数のSIEMアーチファクトが、リソースグループ、ログ分析ワークスペース、プレイブック、およびワークブック、またはそれらの組み合わせのうちの少なくとも一つを含む、請求項11に記載のシステム。
【請求項16】
前記複数のうちの少なくとも一つのSIEMアーチファクトが、前記データコネクタが前記ログソースとの間の前記データの流れを制御する方法を管理するように構成された複数のアラートルールを含む、請求項15に記載のシステム。
【請求項17】
前記テナントサーバ用に前記提案されたSIEMプロトコルが、前記JSONベースのソリューションバンドルに少なくとも部分的に基づいて生成された複数の提案されたSIEMプロトコルの第一の提案されたSIEMプロトコルであり、前記方法が、前記SIEM管理アプリケーションのユーザインターフェースを介して、前記複数の提案されたSIEMプロトコルを視覚的に表示することをさらに含む、請求項11に記載のシステム。
【請求項18】
前記SIEMプロバイダサーバから前記テナントサーバに前記提案されたSIEMプロトコルを導入することが、前記複数の提案されたSIEMプロトコルからの前記提案されたSIEMプロトコルのユーザ選択に少なくとも部分的に基づいている、請求項17に記載のシステム。
【請求項19】
テナントサーバおよびディスプレイに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、SIEM管理アプリケーションを格納および実行するように構成され、
前記SIEM管理アプリケーションは、前記SIEMプロバイダサーバに、
前記SIEMプロバイダサーバを前記データコネクタに結合させ、
前記テナントサーバによってホストされるログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成させ、
前記ディスプレイに、前記テナントサーバ用に提案されたSIEMプロトコルであって、前記SIEMプロトコルが、少なくとも部分的に前記JSONベースのソリューションバンドルに基づく、SIEMプロトコルを含むSIEM管理アプリケーションのユーザインターフェースを可視化させるようにさせ、
前記SIEMプロバイダサーバから前記テナントサーバに前記提案されたSIEMプロトコルを導入させるように構成され、
前記提案されたバンドルが、データコネクタが前記ログソースとの間の前記データの流れを制御する方法を管理するように構成された複数のSIEMアーチファクトを含む、SIEMプロバイダサーバ。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、35 U.S.C.§ 119(e)に基づき、2021年6月4日に出願された「DEVICES,SYSTEMS,AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS」と題する米国仮特許出願第63/196,991号の優先権の利益を主張するものであり、開示全体が参照により本明細書に組み込まれる。
本出願は、35 U.S.C.§ 119(e)に基づき、2021年6月4日に出願された「DEVICES,SYSTEMS,AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS」と題する米国仮特許出願第63/196,991号の優先権の利益を主張するものであり、開示全体が参照により本明細書に組み込まれる。
【0002】
本開示は、概してネットワークセキュリティに関連し、より詳細には、セキュリティ情報およびイベント管理(SIEM)クライアント更新を発行するための改善されたデバイス、システム、および方法を対象とする。
【発明の概要】
【0003】
以下の概要は、本明細書に開示される態様に特有の革新的な特徴の一部の理解を容易にするために提供されており、完全な説明を意図するものではない。様々な態様の完全な理解は、明細書、特許請求の範囲、および要約全体を取ることによって得ることができる。
【0004】
様々な態様では、複数のクライアントアプリケーションをホストするように構成された複数のテナントにわたってネットワークセキュリティを強化する方法が開示されている。本方法は、テナントサーバに通信可能に結合された、セキュリティ情報、およびイベント管理(SIEM)プロバイダサーバによってホストされるように構成されたSIEM管理アプリケーションを提供することと、データコネクタを介して、SIEM管理アプリケーションを、テナントサーバによってホストされるログソースに結合することであって、データコネクタが、ログソースとの間のデータの流れの制御を構成される、結合することと、SIEM管理アプリケーションを介してログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成することと、SIEM管理アプリケーションのユーザインターフェースを介して、少なくとも部分的に、JSONベースのソリューションバンドルに基づいてテナントサーバ用に提案されたSIEMプロトコルを視覚的に表示することと、SIEM管理アプリケーションを介して、SIEMプロバイダサーバからテナントサーバへ提案されたSIEMプロトコルを導入することとを含む。
【0005】
様々な態様では、ネットワークセキュリティを強化するためのシステムが開示される。システムは、ディスプレイと、ログソースとの間のデータの流れの制御を構成されるデータコネクタおよびログソースをホストするように構成されたテナントサーバと、テナントサーバおよびディスプレイに通信可能に結合されたセキュリティ情報、およびイベント管理(SIEM)プロバイダサーバであって、SIEMプロバイダサーバが、SIEMプロバイダサーバに、SIEMプロバイダサーバをデータコネクタに結合させ、ログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成させ、ディスプレイに、テナントサーバ用に提案されたSIEMプロトコルであって、SIEMプロトコルが少なくとも部分的にJSONベースのソリューションバンドルに基づく、SIEMプロトコルを含むSIEM管理アプリケーションのユーザインターフェースを可視化させるようにさせ、SIEMプロバイダサーバからテナントサーバに提案されたSIEMプロトコルを導入させるように構成されたSIEM管理アプリケーションを格納および実行するように構成される、セキュリティ情報、およびイベント管理(SIEM)プロバイダサーバと、を含むことができる。
【0006】
様々な態様では、テナントサーバとディスプレイに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバが、開示される。SIEMプロバイダサーバは、SIEMプロバイダサーバに、SIEMプロバイダサーバをデータコネクタに連結させ、テナントサーバによってホストされるログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成させ、ディスプレイに、テナントサーバ用に提案されたSIEMプロトコルであって、SIEMプロトコルが、少なくとも部分的に、JSONベースのソリューションバンドルに基づく、SIEMプロトコルを含むSIEM管理アプリケーションのユーザインターフェースを可視化させるようにさせ、SIEMプロバイダサーバからテナントサーバに提案されたSIEMプロトコルを導入させるように構成されたSIEMアプリケーションを格納および実行するように構成される。
【0007】
これらとその他の物体、機能、および本発明の特性ならびに操作方法、関連する構造要素の機能、部品の組み合わせ、製造の経済は、以下の記述、および添付の図面を参照する添付の特許請求の範囲を考慮すると、より明らかになり、それらすべては本明細書の一部を形成し、同様の参照符号は、様々な図において対応する部分を示す。しかしながら、図面は例示および説明のみを目的としており、本発明の限界の定義として意図されていないことが明示的に理解されるべきである。
【図面の簡単な説明】
【0008】
本明細書に記載される態様の様々な特徴が、添付の特許請求の範囲に詳細に記載されている。しかしながら、組織、および運用方法の両方に関する様々な態様、ならびにその利点は、以下の通り添付図面と共に以下の説明に従って理解され得る。
【0009】
【0010】
【0011】
【0012】
【0013】
【0014】
対応する参照符号は、いくつかの図全体にわたり対応する部品を示す。本明細書に記載する実施例は、本発明の様々な態様を一つの形態で例示するものであり、こうした実施例は、任意の方法で本発明の範囲を限定するものとして解釈されるべきではない。
【発明を実施するための形態】
【0015】
本願の出願人は、以下の米国仮特許出願を所有し、その各開示は参照によりその全体が本明細書に組み込まれる。
-2021年12月29日に出願された、DEVICES,SYSTEMS,AND METHODS FOR PROVISIONING AND UPDATING SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、米国仮特許出願第63/294,570号、
-2021年12月30日に出願された、DEVICES,SYSTEMS,AND METHODS FOR STREAMLINING AND STANDARDIZING THE INGEST OF SECURITY DATA ACROSS MULTIPLE TENANTSと題する、米国仮特許出願第63/295,150号、
-2022年1月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR REMOTELY MANAGING ANOTHER ORGANIZATION’S SECURITY ORCHESTRATION,AUTOMATION,AND RESPONSEと題する、米国仮特許出願第63/302,828号、
-2022年2月24日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTION BASED ON DOMAIN REDIRECTSと題する、米国仮特許出願第63/313,422号、
-2022年5月12日に出願された、DEVICES,SYSTEMS,AND METHODS FOR SUMMARIZING ANALYTIC OBSERVATIONSと題する、米国仮特許出願第63/341,264号、
-2022年5月20日に出願された、DEVICES,SYSTEMS,AND METHODS FOR INGESTING & ENRICHING SECURITY INFORMATION TO AUTONOMOUSLY SECURE A PLURALITY OF TENANT NETWORKSと題する、米国仮特許出願第63/344,305号、
-2022年5月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON A DEMOCRATIC MATCHING ALGORITHMと題する、米国仮特許出願第63/345,679号、
-2022年6月3日に出願された、その開示は参照によりその全体が本明細書に組み込まれるDEVICES,SYSTEMS,AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED,AND SYNERGISTIC DEPLOYMENT NEEDSと題する、国際特許出願第PCT/2022/072739号。
-2021年12月29日に出願された、DEVICES,SYSTEMS,AND METHODS FOR PROVISIONING AND UPDATING SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、米国仮特許出願第63/294,570号、
-2021年12月30日に出願された、DEVICES,SYSTEMS,AND METHODS FOR STREAMLINING AND STANDARDIZING THE INGEST OF SECURITY DATA ACROSS MULTIPLE TENANTSと題する、米国仮特許出願第63/295,150号、
-2022年1月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR REMOTELY MANAGING ANOTHER ORGANIZATION’S SECURITY ORCHESTRATION,AUTOMATION,AND RESPONSEと題する、米国仮特許出願第63/302,828号、
-2022年2月24日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTION BASED ON DOMAIN REDIRECTSと題する、米国仮特許出願第63/313,422号、
-2022年5月12日に出願された、DEVICES,SYSTEMS,AND METHODS FOR SUMMARIZING ANALYTIC OBSERVATIONSと題する、米国仮特許出願第63/341,264号、
-2022年5月20日に出願された、DEVICES,SYSTEMS,AND METHODS FOR INGESTING & ENRICHING SECURITY INFORMATION TO AUTONOMOUSLY SECURE A PLURALITY OF TENANT NETWORKSと題する、米国仮特許出願第63/344,305号、
-2022年5月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON A DEMOCRATIC MATCHING ALGORITHMと題する、米国仮特許出願第63/345,679号、
-2022年6月3日に出願された、その開示は参照によりその全体が本明細書に組み込まれるDEVICES,SYSTEMS,AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED,AND SYNERGISTIC DEPLOYMENT NEEDSと題する、国際特許出願第PCT/2022/072739号。
【0016】
多数の具体的な詳細が、本開示に記載され、添付図面に図示される態様の全体的な構造、機能、製造、および使用についての完全な理解を提供するために記載される。周知の動作、構成要素、および要素は、本明細書に記述される態様を不明瞭にしないように、詳細に説明されていない。読み手は、本明細書に説明および図示される態様が非限定的な態様であることを理解するであろう。したがって、本明細書に開示される特定の構造および機能の詳細は、代表的および例示的であり得ることが理解されよう。特許請求の範囲から逸脱することなく、変更および変更を行うことができる。さらに、そのような用語は、「前方」、「後方」、「左」、「右」、「上方」、「下方」、および類似の用語は、利便性の用語であり、限定用語として解釈されるべきではないことが理解されるべきである。
【0017】
以下の説明では、同様の参照符号は、図面のいくつかの図を通して同様の部品または対応する部品を示す。また、以下の説明では、そのような用語は、「前方」、「後方」、「左」、「右」、「上方」、「下方」などは、利便性の用語であり、限定用語として解釈されるべきではないことが理解されるべきである。
【0018】
本明細書に開示するシステムの様々な態様および方法を詳細に説明する前に、例示的態様は、添付図面および説明に開示する詳細への適用または使用に限定されないことに留意されたい。当然のことながら、例示的な態様は、他の態様、変形、および修正において実装または組み込まれてもよく、様々な方法で実践または実施されてもよい。さらに、別段の示唆が無い限り、本明細書で使用される用語および表現は、読者の利便性のために例示的な態様を説明する目的で選択されており、その限定を目的としていない。例えば、本明細書に開示する特定の製造業者、ソフトウェアスイート、アプリケーション、または開発プラットフォームへの任意の参照は、本開示の多くの態様のいくつかを例示することを単に意図するに過ぎないことが理解されよう。これには、商標に関するあらゆる参照が含まれる。したがって、本明細書に開示されるデバイス、システム、および方法は、任意の使用目的および/またはユーザの好みに従って、任意のソフトウェア更新を強化するために実装できることが理解されるべきである。
【0019】
本明細書で使用される場合、用語「サーバ」は、インターネットまたは任意のパブリックネットワークもしくはプライベートネットワークなどのネットワーク環境で、複数の当事者のために通信および処理によって操作されるか、またはそれらを容易にする、一つ以上のコンピューティングデバイスを指すか、またはそれを含み得る。本明細書で使用される場合、「サーバ」または「プロセッサ」への言及は、以前のステップまたは機能、異なるサーバ、および/またはプロセッサ、および/またはサーバの組み合わせ、および/またはプロセッサの組み合わせを実行すると列挙される、以前に列挙されたサーバおよび/またはプロセッサを指し得る。
【0020】
本明細書で使用される場合、用語「定数」は、アラートの発行中に変化しない一つ以上のSIEM関数を指し得る。例えば、定数には、特にAzure Sentinel Log Analytics関数を含めることができる。一部の非限定的な態様によれば、定数は、個々のクライアントの好みおよび/または要件に従って、具体的に構成され得る。例えば、本明細書で説明したように、アラートルールは、すべてのクライアントの導入に対して同じであってもよい。しかしながら、本明細書に開示する装置の使用、システム、および方法は、クライアント固有の定数を使用して、各特定のクライアントに対するアラートの管理方法を「微調整」することができる。言い換えれば、各定数は、特定のプロトコル、アカウントなどの、アラートルールがそれらの定数を別々に管理する(例えば、それらをスキップする)ホワイトリストを含んでもよい。
【0021】
本明細書で使用される場合、用語「プラットフォーム」は、ソフトウェアおよび/またはソフトウェアによって提供される技術的利益を可能にするために必要な物理的資源のエコシステムを含むものとする。例えば、プラットフォームは、スタンドアローンのソフトウェア製品、またはソフトウェアがその技術的利益を提供するために必要なエコシステム内の他のソフトウェアまたは物理リソースと統合するように構成されたソフトウェア製品のいずれかを含み得る。一部の非限定的な態様によれば、ソフトウェアによって提供される技術的利益は、エコシステムの物理的リソース、またはエコシステム内の物理的リソース(例えば、API、サービスなど)によって採用される他のソフトウェアに提供される。他の非限定的な態様によれば、プラットフォームは、共に機能するように意図され、かつ設計されたいくつかのソフトウェアアプリケーションのフレームワークを含み得る。
【0022】
本明細書で使用される場合、用語「ネットワーク」は、テナントが導入する企業情報技術(IT)システム全体を含むものとする。例えば、ネットワークは、任意の物理的および/または無線接続によって接続され、他の一つ以上のノードと情報を通信および共有するよう構成される、二つ以上のノード(例えば、デバイス)のグループを含み得る。ただし、ネットワークという用語は、任意の特定のノード、またはそれらのノードを接続する任意の特定の手段に限定されるものではない。ネットワークは、イーサネット、イントラネット、および/またはエクストラネットに接続し、各デバイスの物理的な場所に関係なく、アドホック接続(例えば、Bluetooth(登録商標)、近距離無線通信(NFC)など)、ローカルエリア接続(LAN)、無線ローカルエリアネットワーク(WLAN)、および/または仮想プライベートネットワーク(VPN)を介して互いに通信するよう構成されたデバイス(例えば、サーバ、デスクトップコンピュータ、ラップトップコンピュータ、パーソナルデジタルアシスタント、携帯電話、ウェアラブル、スマート家電、など)の任意の組み合わせを含むことができる。ネットワークには、デバイスによって配備されるか、またはその他の方法でファイアウォール、電子メールクライアント、文書管理システム、オフィスシステムなどの企業ITシステムによって利用される、任意のツール、アプリケーション、および/またはサービスがさらに含まれ得る。一部の非限定的な態様では、「ネットワーク」は、第三者によって所有および制御されているが、テナントが企業ITシステムにアクセスすることを承認されている、第三者デバイス、アプリケーション、および/またはサービスを含む場合がある。
【0023】
セキュリティ情報およびイベント管理(SIEM)には、情報技術(IT)インフラ全体にわたり、多くの異なるリソースからの活動を集約および分析するように構成されたソフトウェアが含まれる。例えば、SIEMを実装して、複数のシステムからデータを集約し、そのデータを分析して、異常な行動または潜在的なサイバー攻撃を捕捉することができる。例えば、SIEMは、ネットワークデバイス、サーバ、ドメインコントローラなどからセキュリティデータを収集し得る。SIEMを実装して、そのデータを格納、正規化、集約、および分析を適用し、トレンドを検出し、脅威を検知し、組織が任意のアラートを調査できるようにし得る。既知のSIEMツールは、イベントの監視、データの収集、ネットワーク全体のセキュリティアラートの発行など、優れた機能を提供するが、このようなツールは、通常、実装する組織、すなわち、より具体的には、多くの場合は複雑であり得る特定のネットワークアーキテクチャに合わせてカスタマイズされる。したがって、SIEMは高価で、リソース集約的であり得、多くの場合、SIEMデータを用いて問題を解決することは困難であり得る。
【0024】
一般的に実装されるSIEMの例としては、Azure Sentinelと Salesforce Cloud、Devo、LogRhythm、IBM’s QRadar、Securonix、McAfee Enterprise Security Manager、LogPoint、Elastic Stack、ArcCyto Enterprise Security Manager、InsightIDRなどが挙げられる。クラウドベースのツールとして Azure Sentinelを導入することは、マネージドセキュリティサービスプロバイダ(MSSP)の間で広く受け入れられており、そのため、Azure Sentinelは非限定的な例として説明される。しかしながら、当然のことながら、他のSIEMが本開示によって企図される。ほとんどのSIEMと同様、Azure Sentinelの導入には高度なスキルが必要であると同時に時間のかかる作業であり、エラーが発生しやすい可能性がある。セキュリティソリューションを必要とする各組織には、取り込みログソース、検出/アラートルール、応答の自動化、レポートなどの監視、およびアラートに関する特別なニーズがある。マイクロソフト(MSFT)は多くの場合、複数のクライアントを管理するためにMSSPによって使用されるが、アーチファクト(例えば、リソースグループ、ログ分析ワークスペース、アラートルール、ワークブック、プレイブックなど)の初期構成、導入、および継続的なメンテナンスの複雑さは大幅に増大している。これにより、より高価なスペシャリストを採用しなければならないMSSPと、増加している費用の少なくとも一部を負担することが多いクライアントの両方にとって、高いコストが生じる可能性がある。ただし、多くの場合、さまざまなクライアントの一部の導入ニーズの間に重複がある。例えば、多くの組織が同様のファイアウォール監視ソリューションを必要としている可能性がある。こうした場合、資産の再利用および再導入(および更新)は、大幅なコスト削減および運用の簡素化につながる可能性がある。残念ながら、既知のSIEMツールは、こうした相乗効果を利用することは技術的に不可能である。そのため、初回のプロビジョニングからインシデント対応の自動化に至るまで、MSSPには、複数のクライアント間で効率を捕捉するための再利用の機会が限定されている。したがって、改良されたデバイス、システム、および実装方法、ならびにSIEMクライアント更新の発行が必要である。こうした機能強化により、検出ルール、可視化、調査ワークブック、継続的なメンテナンスの導入を含む、SIEMの技術性能とコスト効率が改善され得る。
【0025】
したがって、完全なエンドツーエンドのSIEMソリューションを提供しながら、単一のステップで実行できる再利用可能な事前パッケージ化されたソリューションを生成および導入するために、自動化された「サービスとしての」アプローチを採用するデバイス、システム、および方法に対するニーズがある。このようなデバイス、システム、および方法は、SIEM(例えば、Sentinel、Azureなど)の最低限の理解のみでボタンを一回クリックすることでSentinelの実装を導入できる。したがって、こうしたデバイス、システム、および方法は、クラウドベースのSIEM実装を、一貫性を持って繰り返し拡張するために使用することができる。ユーザは、導入全体が行われる場所、および/またはそれぞれのクライアントに対するログイン認証情報を提供するだけでよい。
【0026】
本開示は、こうしたデバイス、システム、および方法を提示し、それらすべてが多くの技術的利益を提供し、MSSPは、一つの非限定的態様による、Azure Sentinelの実装などのクラウドベースのSIEMの実装を、大規模に、繰り返し、および一貫して導入することを可能にする。例えば、デバイス、システム、および本明細書に開示される方法は、(1)本明細書で「SIEM-in-a-Box」と呼ばれる各種Sentinelアーチファクト(例えば、リソースグループ、ログ分析ワークスペース、データコネクタ、アラートルール、プレイブック、ワークブック、など)のJavaScript Object Notation(“JSON”)ベースのソリューションバンドル記述を動的にプラグインする手段、(2)所望のSIEM-in-a-boxバンドルを選択するための、承認されたユーザのための視覚的インターフェース、(3)すべての必要なアーチファクト(例えば、リソースグループ、ログ分析ワークスペース、など)を本質的に作成し、適切なデータコネクタ(選択したバンドルに固有の)を構成し、特定のバンドルされた構成によって必要に応じて、ソリューションに必要な分析/アラートルール、およびプレイブック、ワークブック、問い合わせを作成する、選択されたバンドルをユーザの所望のSIEMサブスクリプションに「導入する」ためのアクションボタン、(4)特定のバンドルに対して構成されたアラート/検出によってトリガされるイベントに応答して、明確に定義された自動化ルールで、新しいクライアントにオンボードするバックエンドサービスオペレーティングセンター(SOC)を構成、および(5)クライアントのAzure環境にアクセスできるサービスプロバイダ(例えば、Azure Lighthouse、などを介して)がバンドルをクライアントに代わってクライアントの各ワークスペースに導入できる、MSSP/CSPモデルを提供できる。したがって、バンドルプロバイダは、特定のアラート/インシデントに対応する、クライアントワークスペースによる十分なフィルタリングにより、MSSP/CSPとの関係のみを管理する。これは、請求の効率化、サポート、および不必要なクライアントとのやり取りの回避に重要となる可能性がある。
【0027】
従来のMSSPのデバイス、システム、および方法は、自動化が技術的に不可能であるだけでなく、MSSPがリアルタイムで数百(数千ではないにしても)のテナントネットワークを手動で継続的に監視することは、不可能ではないとしても、非常に現実的ではない。本明細書に開示されるデバイス、システム、および方法は、適応可能であるように技術的にも構成されている。拡張性の高さと併せて、この適応性により、およびMSSPは、大量のテナント導入全体にわたり変更を追跡し、それらの変更に対する応答を監視し、同様に利益を得ることができる任意の適切なテナント導入に対して自律的に実装することができる。言い換えれば、従来的なMSSPの装置、システム、および方法は、本質的にセキュリティイベントの影響を受けやすく、したがって、本明細書に開示される装置、システム、および方法よりも技術的に安全ではない。
【0028】
ここで図1を参照すると、SIEM更新を強化するように構成されたシステム1000の図が、本開示の少なくとも一つの非限定的態様に従って示されている。図1の非限定的な態様によれば、システム1000は、図2を参照してさらに論じられるように、SIEM管理アプリケーション102を格納するように構成されたメモリ1006および格納されたSIEM管理アプリケーション102を実行するように構成されたプロセッサ1004を備えるSIEMプロバイダサーバ1002を含み得る。例えば、SIEMプロバイダサーバ1002は、MSSPによって所有またはリースされる計算リソースであってもよい。SIEMプロバイダサーバ1002は、ネットワーク1008を介して、複数のテナント1010a、1010b~1010nに通信可能に結合することができる。複数の各テナント10101、10102~1010nは、MSSPと契約している顧客(例えば、組織)を表すことができる。図1の非限定的な態様によれば、ネットワーク1008は、任意の様々な有線、長距離無線、および/または短距離無線ネットワークを含み得る。例えば、ネットワーク1008は、内部イントラネット、ローカルエリアネットワーク(LAN)、WiFi(登録商標)、セルラーネットワーク、近距離無線通信(以下、NFC)などを含む。
【0029】
さらに図1を参照すると、複数の各テナント10101、10102~1010nは、一つ以上のクライアント1012、1014、1016の一つ以上のインスタンスをホストすることができる。例えば、第一のテナント10101は、一つ以上のクライアントアプリケーション10121、10122~1012 nを実装する一つ以上の機械を含んでもよく、第二のテナント10102は、一つ以上のクライアントアプリケーション10141、10142~1014nを実装する一つ以上の機械を含んでもよく、および/または第三のテナント1010nは、一つ以上のクライアントアプリケーション10161、10162~1016nを実装する一つ以上の機械を含んでもよい。各テナント10101、10102、および1010nは、例えば、各テナント10101、10102、および1010nが、セキュリティサービスのためにMSSPと契約する組織などの顧客をそれぞれ表すことができる、各機械がクライアントアプリケーションを実装するイントラネットを含むことができる。したがって、SIEMプロバイダサーバ1002は、複数の各テナント10101、10102、および1010nの監視を有するように構成することができ、それゆえ、脅威に対して各クライアントアプリケーション1012、1014、および1016を監視し、管理する責任を負う。前述したように、テナント10101、10102、および1010nアーキテクチャにおける差異および複雑さは、これを複雑にし、MSSPにとって非効率にすることができる。したがって、既知のSIEMツールは、テナント10101、10102、および1010nを攻撃に対して技術的に晒された、従って、脆弱なままにし得る。本開示の非限定的な態様によれば、SIEMプロバイダサーバ1002は、相関性および相乗的な開発ニーズに基づいて複数のテナントに対するSIEMプロバイダサーバ1002の管理能力およびアラートの送信能力、ならびにクライアントアプリケーションの更新能力を強化することによって、技術的に、および実践的にこれらの欠陥に対処するSIEM管理アプリケーション102を実装できる。
【0030】
ここで図2を参照すると、本開示の少なくとも一つの非限定的な態様に従って、SIEM管理アプリケーション102、すなわち、可視化ツールを含む、図1のシステム1000の導入図100が示される。図2の導入図は、システム1000(図1を参照されたい)の様々な構造的および/または機能的要素に対応する視覚的ウィジェットを含む。一部の非限定的な態様によれば、図2のシステム100は、(1)様々なアーチファクト(例えば、アラートルール、プレイブック、ワークブック、など)のカタログ、(2)所望のアーチファクトを選択し、選択したアーチファクトを、シングルクリックで顧客用の特定の目標Sentinel環境に導入する能力、(3)現在および旧式の導入を含む、すべてのクライアント導入を可視化する機能(例えば、一部の導入には、導入が必要なより新しいバージョンがあることを示すアラートルールを介して)、および(4)導入状態を可視化して(例えば、カラーコード)、ボタンのクリックでアップデートを迅速に導入する能力、を含む、顧客の導入の管理を可能にし得る統合された視覚的環境を提供することができる。
【0031】
図2の非限定的な態様によれば、システム100は、アプリケーションおよびネットワークハードウェアによって生成されたセキュリティアラートのリアルタイム分析を提供する一方で、複数のテナントに対して同時にSIEMサービス、セキュリティ情報管理、およびセキュリティイベント管理を提供するように構成され得る。例えば、システム100は、例えば、先に論じたように、一つ以上のテナントサーバ10101、10102、1010n(図1を参照されたい)によってホストされ得る一つまたは二つ以上のクライアントアプリケーション104と通信して、SIEMプロバイダサーバ1002(図1を参照されたい)上で実行されるSIEM管理アプリケーション102を実行するように構成することができる。例えば、一つの非限定的な態様によれば、クライアントアプリケーション104は、SIEMアプリケーション110のソフトウェア構成、複数の警告ルール、ならびに一つ以上の自動化プレイブック116に関連付けられた定数112を表示、導入するための管理、ダッシュボード用のワークブック114の導入、監視、および更新、定数を介した警告の微調整の管理、およびインシデント118を含むことができる。さらに、図1のシステム1000は、他のベンダによって提供されるSIEMアプリケーション110を含む、一つまたは二つ以上のSIEMアプリケーション110の導入にわたって、差異を検出、可視化、旧式アラートルール112を更新するための機構を含み得る。SIEM管理アプリケーション102は、セキュリティエンジニア/アナリスト106によって監視され得る。例えば、一つの非限定的な態様によれば、SIEM管理アプリケーション102は、Azure SentinelなどのSIEMアプリケーション110を監視および管理するために実装され得る。しかし、当然のことながら、SIEM管理アプリケーション102は、Azure Sentinelとは独立した任意の数のSIEMアプリケーション110を監視および管理するために実装され得る。
【0032】
図2をさらに参照すると、システム1000(図1を参照されたい)は、例えば、SIEMプロバイダサーバ1002(図1を参照されたい)を一つ以上のテナントサーバ1010(図1を参照されたい)に結合するように構成されたデータコネクタ120を介して様々なクラウド128、ファイアウォール130、サーバ132を含む一つまたは二つ以上のクライアントアプリケーションインターフェース104をさらに含み得る。例えば、データコネクタ120は、SIEM管理アプリケーション102、より一般的には、SIEMプロバイダサーバ1000(図1を参照されたい)を、テナントサーバ1010(図1を参照されたい)に関連透けられた様々なログ(データ)ソース(例えば、Outlookなど)に接続し得る。したがって、一つ以上のユーザ138(例えば、セキュリティエンジニア、アナリスト、コンテンツエンジニアなど)は、クライアントアプリケーションインターフェース104とインターフェース接続して、アーチファクトを作成および/または編集することができる。各アーチファクトは、データコネクタ120を介してテナントサーバ1010(図1を参照されたい)にプッシュすることができる。本明細書で論じるように、一部の非限定的な態様では、一つ以上のアーチファクトをバンドルして、同様のアーキテクチャでテナントサーバ1010(図1を参照されたい)に一括送信することができる。追加的および/または代替的に、SIEM管理アプリケーション102は、例えば、導入可能なアーチファクトテンプレートを含むコンテンツリポジトリ140(例えば、GitHub/GitLabなど)など、第三者アプリケーションサーバ(図示せず)と統合するように構成できる。当業者であれば、GitHubを、基本的なコードリポジトリ、問題追跡、文書化、およびWikiとして使用することができることを理解するであろう。GitHubと同様に、GitLabは、チームがコード上で協働させるリポジトリマネージャであり、問題追跡やプロジェクト管理にGitHubと同様の機能を提供できる。
【0033】
一つの非限定的な態様によれば、コンテンツリポジトリ140は、特定のテナントサーバ1010(図1を参照されたい)、より具体的には、特定のテナントアーキテクチャに対して、アラートルール、ワークブック、プレイブックなどを定義するように特別に構成されたJSONファイルを含み得る。そのようなJSONファイル300の一例を、図3をさらに参照して論じる。したがって、SIEM管理アプリケーション102は、コンテンツリポジトリ140を識別および/またはコンテンツリポジトリ140と協働して、類似のアーキテクチャの複数のテナントサーバ10101、10102~1010n(図1を参照されたい)に対して、アラートルール、ワークブック、プレイブックなどを定義する、バンドルされたJSONファイル300(図3を参照されたい)を生成するように構成され得る。図4をさらに参照して論じるように、SIEM管理アプリケーション102は、その後、実装するユーザ138(例えば、セキュリティエンジニア、アナリスト、コンテンツエンジニアなど)が、バンドルをレビューして、類似のアーキテクチャの複数のテナントサーバ10101、10102~1010n(図1を参照されたい)にプッシュすることを可能にする、一つ以上のユーザインターフェースを表示できる。
【0034】
さらに図2を参照すると、新しいコンテンツがJSONファイルに追加または更新されると、SIEM管理アプリケーション102に変更を自動的にプッシュすることができる。一態様では、SIEM管理アプリケーション102は、例えば、Azure Sentinel オートメーションポータル(ASAP)として構成されてもよい。一態様では、ASAPポータルランタイムソフトウェアコードには、コンテンツリポジトリ140からのコンテンツの処理、SIEMアプリケーション110への接続、およびその他のサービス、ならびにSIEMアプリケーション110との間のコンテンツの導入、更新、読み取りのためのクライアントアプリケーション104に対するサービスリクエストを担当する、サーバミドルウェアを含めることができる。一態様では、クライアントアプリケーション104は、すべてのクライアント導入の統一された、簡略化されたビュー、および同時に一つまたは複数のクライアント104と作業する能力を提供する。
【0035】
要約すると、図2のSIEM管理アプリケーション102によって、セキュリティアナリスト106は、導入されているすべてを見るだけでなく、単一のクライアント104内の単一のアーチファクト、または複数のアーチファクトを、単純な対話で複数のクライアント104にわたって更新することができる。さらに、SIEM管理アプリケーション102は、コンテンツリポジトリ140を識別および/またはコンテンツリポジトリ140と協働して、類似のアーキテクチャの複数のテナントサーバ10101、10102~1010n(図1を参照されたい)用にバンドルされたJSONファイル300を生成するように構成できるため、SIEM管理アプリケーション102は、アーチファクト(例えば、リソースグループ、ログ分析ワークスペース、アラートルール、ワークブック、プレイブックなど)の初期構成、導入、および継続的なメンテナンスの複雑さを低減することができる。言い換えれば、ユーザは、ボタンのクリックにより、アーチファクトを構成し、それらを複数のテナントサーバ10101、10102~1010n(図1を参照されたい)に導入することができる。したがって、システム1000(図1を参照されたい)は、完全なエンドツーエンドのSIEMソリューションを提供しながら、単一のステップで実行できる再利用可能な事前パッケージ化ソリューションを生成および導入するための、自動化された「サービスとして」のアプローチを提供することができる。この機能によって、MSSPは、最小限のスタッフと要求される最小限のスキルで、数百、数千のクライアント104に拡張することができる。新しいマルウェアの存在を検証する新しいアラートルール112などの製作されたまたは更新されたコンテンツを、すべてのクライアント102に直ちにプッシュすることができる。さらに、一態様では、これらの操作の多くをスケジュール通りに自動化することができる。
【0036】
図2の非限定的な態様をさらに参照すると、SIEM管理アプリケーション102は、例えば、各クライアント104のSIEMアプリケーション110に対して、コンテンツリポジトリ140内で導入されたもの対新しいまたは更新されたものの、すべての変更を示し、変更がどのようなものであったかを評価し、変更、更新、または新しいアーチファクトを非常に迅速にプッシュすることができる。さらに、一部の非限定的な態様では、様々な導入を実施するユーザインターフェースコマンドは、スクリプトとして捕捉され、検証のためにクライアントの104リポジトリにチェックインされ、所定の時間に自動的に導入され得る。一部の非限定的な態様によれば、ホスト型クラウドSIEM管理アプリケーション102は、「ワンクリック自動化」機能を提供することができる。例えば、SIEM管理アプリケーション102は、アラートルール112、定数、パーサー、データコネクタ120、プレイブック116、ワークブック114などを含む、SIEMアプリケーション110の作成、構成、および実装を自動化することができる。一態様では、SIEM管理アプリケーション102はまた、すべてのクライアント104にわたる導入の管理を提供する。SIEM管理アプリケーション102は、すべてのクライアント104の導入、何を、ならびにどこに、任意の数のクライアント104にわたって既存のアラート112、プレイブック116などを更新して、新しく追加されたアラートルール112およびその他の資産を導入するかの可視化を提供する。
【0037】
SIEM管理アプリケーション102は、REST API、アラート112、プレイブック116などのワンクリック自動化134を可能にする。当業者であれば、REST API、またはRESTful APIとしても知られるものは、RESTアーキテクチャスタイルの制約に適合し、RESTfulウェブサービスとの対話を可能にする、アプリケーションプログラミングインターフェース(APIまたはウェブAPI)であることを理解するであろう。API(アプリケーションプログラミングインターフェース)は、アプリケーションソフトウェアを構築および統合するための定義およびプロトコルのセットである。SIEM管理アプリケーション102は、例えば、Azure Postgres SQLデータベースなどのフレキシブルサーバリレーショナルクラウドデータベース146サービスへの、REST API、アラート112、プレイブック116などのリアルタイムのデータ統合を提供する。
【0038】
SIEM管理アプリケーション102は、リソースプロバイダおよびノーマライザ136とインターフェース接続する。リソースプロバイダ、およびノーマライザ136は、ログ分析ワークスペース142、Microsoft Graph、およびMicrosoft resource manager144とインターフェース接続する。システム1000(図1を参照されたい)にはまた、Microsoft Azureを含み、ミッションクリティカルなクラウドであるAzure Government 152は、米国政府の顧客およびそのパートナーに、米国連邦政府、州政府、地方自治体、部族政府、およびそれらのパートナーのみがアクセスできる画期的なイノベーションを、スクリーニングされた米国市民が管理する運用で提供する。Microsoft Azure、およびAzure Government 152は、ノード150にインターフェース接続する。React 148は、アカウント108に対話型UIを提供する。さらに図2を参照すると、一態様では、SIEM管理アプリケーション102は、すべての導入およびステータスにわたるクイックビュー、ならびに所定のアラートが導入される場所およびその状態に直接操作する能力を提供する。
【0039】
ここで図3を参照すると、図1のシステム1000によって生成されるバンドルファイル300が、本開示の少なくとも一つの非限定的態様に従って示されている。図3の非限定的な態様によれば、バンドルファイル300は、JSON形式で提示されてもよく、様々なアーチファクト(例えば、データコネクタ、アラートルール、プレイブック、ワークブックなど)を含む図2のSIEM管理アプリケーション102と動的に統合されるように構成されてもよい。言い換えれば、バンドルファイル300は、それ自体を、「SIEM-in-a-Box」として定義することができ、かつ容易に導入することができる。言い換えれば、導入時に、図3のバンドルファイル300は、対応するデータコネクタ120(図2を参照されたい)(選択されたバンドルに固有)に必要なSIEMアーチファクトのすべてを作成できる。
【0040】
図3の非限定的な態様によれば、バンドルファイル300は、SIEM管理アプリケーション102(図2を参照されたい)によって予め決定されるおよび/または自律的に生成される様々なフィールドを含み得る。例えば、図3の非限定的態様によれば、バンドルファイル300は、「Outlook 365」などのログソース識別子302とすることができる。言い換えれば、図3のバンドルファイル300は、導入されると、Outlook 365に関連付けられたデータのセキュリティを管理する一つ以上のSIEMアーチファクトを実装および/または更新することになる。図3のバンドルファイル300は、さらに、一つ以上のデータコネクタ識別子302a~c、例えば、「Office 365」、「AzureActivityLog」、および「AzureActiveDirectory」を含み得る。さらに、図3のバンドルファイル300は、一つ以上のアーチファクト識別子304 a~fを含んでもよく、前述のように、識別されたログソース302に関連して発生するSIEM活動およびイベントを管理できる。例えば、図3の非限定的な態様によれば、一つ以上のアーチファクト識別子304a~fは、特定のSIEMイベントと関連して発行される複数のアラートを含み得る。
【0041】
図3をさらに参照すると、他の非限定的な態様によれば、アーチファクト識別子304a~f、より一般には、バンドルファイル300は、コンテンツリポジトリ140(図2を参照されたい)に格納された所定のテンプレートに従って定義され得る。例えば、いくつかの非限定的な態様によれば、アーチファクト識別子304a~fは、特定のアラートまたはインシデントに応答して、SIEM管理アプリケーション102(図2を参照されたい)によって実行できる、プレイブックまたは手順の集合を集合的に定義することができる。さらに他の非限定的な態様では、アーチファクト識別子304a~fは、ワークブック、または識別されたログソース302のSIEM管理のための可能性の大きなプールに従って定義することができる。このようなワークブックは、データの提示およびフォーマットから、複雑なグラフ作成およびリソース調査マップまで、多岐にわたり得る。さらに他の非限定的な態様によれば、アーチファクト識別子304a~fは、特定のリソースグループおよび/またはログ分析ワークスペースに従って定義することができる。
【0042】
図3の非限定的な態様をさらに参照すると、アーチファクト識別子304eは、Azure Active Directoryデータコネクタに関連付けられた特定のアラートルールMS-A022に対応し、自動的に導入される。図3のバンドルファイル300は、SIEM管理アプリケーション102(図2を参照されたい)および/またはコンテンツリポジトリ140(図2を参照されたい)がアーチファクト識別子304a~fを指定されたデータコネクタ304bに投入するとき、任意のアラートをリスト化しなければならないことからユーザを開放する。したがって、図3の非限定的な態様は、SIEM管理アプリケーション102(図2を参照されたい)および/またはシステム1000(図1を参照されたい)によって生成されたバンドルファイル300の順応性を強調する。
【0043】
図3のバンドルファイル300は、特定のデータコネクタ120(図2を参照されたい)および/または特定のログソースなど、特定のテナントに対する高レベルのアーキテクチャ機能に基づいて、一般的に導入できることが理解されるべきである。したがって、バンドルファイル300は、既知の自動化実践に対する技術的改善を表し、これは、「コードとしての導入」アプローチを採用する。既知のプロセスでは、自動化には複雑なスクリプトが必要であり、導入前にテナント固有の変更が必要になることが多い。反対に、バンドルファイル300は、ユーザが手動の介入を必要とせずに、「ワンクリック」でエンドツーエンド導入ができる。さらに、図3のバンドルファイル300は、任意のSIEM環境(例えば、SOC、MDRなど)に及ぶことができるエンドツーエンド導入を可能にする。バンドルファイル300は、スクリプト上で必要なものであり、単に、ユーザが、所望の状態、API、および導入のためのコードロジックを定義することを必要とするに過ぎない。さらに、ユーザの選択のために、SIEM管理アプリケーション102(図2を参照されたい)を介していくつかの導入バンドル300を表示することができる。言い換えれば、SIEM管理アプリケーション102(図2を参照されたい)は、テナントアーキテクチャに基づいて、特定のデータコネクタ120(図2を参照されたい)、ログソース、および/またはテナントサーバ1010(図1を参照されたい)に対して、適切なアーチファクト識別子304a~fを自動的に識別、生成、ポート、および/または導入することができる。これにより、SIEM管理プロセスを構成するために必要なアーキテクチャまたはテナント固有の作業が大幅に削減される。
【0044】
ここで図4を参照すると、図3のバンドルファイル300の導入のための図2のSIEM管理アプリケーション102のグラフィカルユーザインターフェース400が、本開示の少なくとも一つの非限定的態様に従って示されている。図4の非限定的な態様によれば、グラフィカルユーザインターフェース400は、ユーザ106(図2を参照されたい)(例えば、エンジニア、アナリストなど)が、図3のバンドルファイル300などの導入用のバンドルファイルを選択するときに、表示され得る。ユーザインターフェース400は、その後、選択されたバンドルファイル300(図3を参照されたい)に少なくとも部分的に基づいて、ユーザにSIEMプロトコルを提示し得る。図4のユーザインターフェース400によれば、ユーザは、所望のテナント環境に関連付けられた予め選択された変数(例えば、デフォルト)を選択および/またはロードすることができる。一部の非限定的な態様では、変数402、404、406はSIEMプロトコルソリューションを集合的に定義することができる。例えば、ユーザインターフェース400は、テナント名402、サブスクリプションタイプ404、リソースグループ404、ワークスペース406、一つ以上のログソース410、および/またはアラートルール412の数を再確認するようにユーザに促すことができる。一部の非限定的な態様によれば、ユーザインターフェース400は、選択されたバンドルファイル300(図3を参照されたい)に少なくとも部分的に基づいて、二つ以上のSIEMプロトコルを提案できる。言い換えれば、ユーザインターフェース400は、データコネクタ120(図2を参照されたい)用にいくつかの「SIEM-in-a-Box」の選択肢を提示することができる。ユーザが所望のテナント環境に関連付けられた変数に満足すると、それらは、所望のテナントサーバ1010(図1を参照されたい)のログソースに関連付けられた選択されたデータコネクタ120にアーチファクト304a~fのすべてを含む、バンドルファイル300(図4を参照されたい)を導入する、ユーザインターフェース400の「導入バンドル」ウィジェット414に従事させることができる( 例えば、クリック、選択など)。
【0045】
ここで図5を参照すると、本開示の少なくとも一つの非限定的態様に従って、複数のテナントに対するSIEMアーチファクトの導入を標準化および合理化する方法500が示されている。図11の非限定的な態様によれば、方法は、テナントサーバ1010(図1を参照されたい)への迅速で容易な導入のためJSONベースのソリューションバンドルに基づいて、一つ以上のSIEMプロトコルソリューションを生成および提示し得る。方法500は、SIEMプロバイダサーバによってホストされるように構成されたセキュリティ情報およびイベント管理(SIEM)管理アプリケーションを提供することを含んでもよく、SIEMプロバイダサーバは、ステップ502でテナントサーバに通信可能に結合される。方法500は、ステップ504で、データコネクタを介して、SIEM管理アプリケーションを、テナントサーバによってホストされるログソースに結合することをさらに含むことができ、データコネクタは、制御に、ログソースとの間のデータの流れの制御を構成される。ステップ506で、方法500は、SIEM管理アプリケーションを介して、ログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成することを含み得る。次に、方法500は、SIEM管理アプリケーションのユーザインターフェースを介して、ステップ508で、少なくとも部分的に、JSONベースのソリューションバンドルに基づく、テナントサーバ用に提案されたSIEMプロトコルを表示することを要求する。最後に、ステップ510で、方法500は、SIEM管理アプリケーションを介して、SIEMプロバイダサーバからテナントサーバに提案されたSIEMプロトコルを導入することを含むことができる。
【0046】
本明細書に記載される主題の様々な態様は、以下の番号付けされた項に記載される。
【0047】
第1項
複数のクライアントアプリケーションをホストするように構成された複数のテナントにわたってネットワークセキュリティを強化する方法であって、セキュリティ情報およびイベント管理(SIEM)プロバイダサーバによってホストされるように構成されたSIEM管理アプリケーションを提供することであって、SIEMプロバイダサーバが、テナントサーバに通信可能に結合される、提供することと、データコネクタを介して、SIEM管理アプリケーションを、テナントサーバによってホストされるログソースに結合することであって、データコネクタが、ログソースとの間のデータの流れの制御を構成される、結合することと、SIEM管理アプリケーションを介して、ログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成することと、SIEM管理アプリケーションのユーザインターフェースを介して、少なくとも部分的に、JSONベースのソリューションバンドルに基づいて、テナントサーバ用に提案されたSIEMプロトコルを視覚的に表示することと、SIEM管理アプリケーションを介して SIEMプロバイダサーバからテナントサーバに提案されたSIEMプロトコルを導入することと、を含む方法。
複数のクライアントアプリケーションをホストするように構成された複数のテナントにわたってネットワークセキュリティを強化する方法であって、セキュリティ情報およびイベント管理(SIEM)プロバイダサーバによってホストされるように構成されたSIEM管理アプリケーションを提供することであって、SIEMプロバイダサーバが、テナントサーバに通信可能に結合される、提供することと、データコネクタを介して、SIEM管理アプリケーションを、テナントサーバによってホストされるログソースに結合することであって、データコネクタが、ログソースとの間のデータの流れの制御を構成される、結合することと、SIEM管理アプリケーションを介して、ログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成することと、SIEM管理アプリケーションのユーザインターフェースを介して、少なくとも部分的に、JSONベースのソリューションバンドルに基づいて、テナントサーバ用に提案されたSIEMプロトコルを視覚的に表示することと、SIEM管理アプリケーションを介して SIEMプロバイダサーバからテナントサーバに提案されたSIEMプロトコルを導入することと、を含む方法。
【0048】
第2項
提案されたバンドルが、データコネクタがログソースとの間のデータの流れを制御する方法を管理するように構成された複数のSIEMアーチファクトを含む、第1項に記載の方法。
提案されたバンドルが、データコネクタがログソースとの間のデータの流れを制御する方法を管理するように構成された複数のSIEMアーチファクトを含む、第1項に記載の方法。
【0049】
第3項
SIEM管理アプリケーションを介して、複数のSIEMアーチファクトのうちの少なくとも一つを生成することをさらに含む、第1または第2項に記載の方法。
SIEM管理アプリケーションを介して、複数のSIEMアーチファクトのうちの少なくとも一つを生成することをさらに含む、第1または第2項に記載の方法。
【0050】
第4項
生成されたSIEMアーチファクトに少なくとも部分的に基づいてデータコネクタを構成することをさらに含む、第1~3項のいずれかに記載の方法。
生成されたSIEMアーチファクトに少なくとも部分的に基づいてデータコネクタを構成することをさらに含む、第1~3項のいずれかに記載の方法。
【0051】
第5項
データコネクタを構成することが、SIEMプロバイダサーバによって自律的に実施される、第1~4項のいずれかに記載の方法。
データコネクタを構成することが、SIEMプロバイダサーバによって自律的に実施される、第1~4項のいずれかに記載の方法。
【0052】
第6項
複数のSIEMアーチファクトが、リソースグループ、ログ分析ワークスペース、プレイブック、およびワークブック、またはそれらの組み合わせのうちの少なくとも一つを含む、第1~5項のいずれかに記載の方法。
複数のSIEMアーチファクトが、リソースグループ、ログ分析ワークスペース、プレイブック、およびワークブック、またはそれらの組み合わせのうちの少なくとも一つを含む、第1~5項のいずれかに記載の方法。
【0053】
第7項
複数のうちの少なくとも一つのSIEMアーチファクトが、データコネクタが、ログソースとの間のデータの流れを制御する方法を管理するように構成された複数のアラートルールを含む、第1~6項のいずれかに記載の方法。
複数のうちの少なくとも一つのSIEMアーチファクトが、データコネクタが、ログソースとの間のデータの流れを制御する方法を管理するように構成された複数のアラートルールを含む、第1~6項のいずれかに記載の方法。
【0054】
第8項
テナントサーバ用に提案されたSIEMプロトコルは、少なくとも部分的に、JSONベースのソリューションバンドルに基づいて生成された複数の提案されたSIEMプロトコルの第一の提案されたSIEMプロトコルであり、方法は、SIEM管理アプリケーションのユーザインターフェースを介して、複数の提案されたSIEMプロトコルを視覚的に表示することをさらに含む、第1~7項のいずれかに記載の方法。
テナントサーバ用に提案されたSIEMプロトコルは、少なくとも部分的に、JSONベースのソリューションバンドルに基づいて生成された複数の提案されたSIEMプロトコルの第一の提案されたSIEMプロトコルであり、方法は、SIEM管理アプリケーションのユーザインターフェースを介して、複数の提案されたSIEMプロトコルを視覚的に表示することをさらに含む、第1~7項のいずれかに記載の方法。
【0055】
第9項
提案されたSIEMプロトコルをSIEMプロバイダサーバからテナントサーバに導入することが、複数の提案されたSIEMプロトコルから提案されたSIEMプロトコルのユーザ選択に少なくとも部分的に基づく、第1~8項のいずれかに記載のシステム。
提案されたSIEMプロトコルをSIEMプロバイダサーバからテナントサーバに導入することが、複数の提案されたSIEMプロトコルから提案されたSIEMプロトコルのユーザ選択に少なくとも部分的に基づく、第1~8項のいずれかに記載のシステム。
【0056】
第10項
テナントサーバは、SIEMプロバイダサーバに通信可能に結合された複数のテナントサーバの第一のテナントサーバであり、提案されたソリューションバンドルは、複数のテナントサーバの少なくともサブセットに共通であり、方法は、SIEM管理アプリケーションを介して、複数のテナントサーバを、少なくとも部分的に、共通のソリューションバンドルに基づいて、ワークスペース内に集約することをさらに含む、第1~9項のいずれかに記載のシステム。
テナントサーバは、SIEMプロバイダサーバに通信可能に結合された複数のテナントサーバの第一のテナントサーバであり、提案されたソリューションバンドルは、複数のテナントサーバの少なくともサブセットに共通であり、方法は、SIEM管理アプリケーションを介して、複数のテナントサーバを、少なくとも部分的に、共通のソリューションバンドルに基づいて、ワークスペース内に集約することをさらに含む、第1~9項のいずれかに記載のシステム。
【0057】
第11項
提案されたSIEMプロトコルを導入することは、提案されたSIEMプロトコルをSIEMプロバイダサーバから複数のテナントサーバのサブセットの各テナントサーバに導入することをさらに含む、第1~10項のいずれかに記載の方法。
提案されたSIEMプロトコルを導入することは、提案されたSIEMプロトコルをSIEMプロバイダサーバから複数のテナントサーバのサブセットの各テナントサーバに導入することをさらに含む、第1~10項のいずれかに記載の方法。
【0058】
第12項
ネットワークセキュリティを強化するためのシステムであって、ディスプレイと、データコネクタおよびログソースをホストするように構成されたテナントサーバであって、データコネクタが、ログソースとの間のデータの流れの制御を構成される、テナントサーバと、テナントサーバおよびディスプレイに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、SIEMプロバイダサーバが、SIEMプロバイダサーバに、SIEMプロバイダサーバをデータコネクタに結合させ、ログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成させ、ディスプレイに、テナントサーバ用に提案されたSIEMプロトコルであって、SIEMプロトコルが、少なくとも部分的に、JSONベースのソリューションバンドルに基づく、SIEMプロトコルを含むSIEM管理アプリケーションのユーザインターフェースを可視化させるようにさせ、SIEMプロバイダサーバからテナントサーバに提案されたSIEMプロトコルを導入させるように構成されたSIEM管理アプリケーションを格納および実行するように構成されるSIEMプロバイダサーバと、を含むシステム。
ネットワークセキュリティを強化するためのシステムであって、ディスプレイと、データコネクタおよびログソースをホストするように構成されたテナントサーバであって、データコネクタが、ログソースとの間のデータの流れの制御を構成される、テナントサーバと、テナントサーバおよびディスプレイに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、SIEMプロバイダサーバが、SIEMプロバイダサーバに、SIEMプロバイダサーバをデータコネクタに結合させ、ログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成させ、ディスプレイに、テナントサーバ用に提案されたSIEMプロトコルであって、SIEMプロトコルが、少なくとも部分的に、JSONベースのソリューションバンドルに基づく、SIEMプロトコルを含むSIEM管理アプリケーションのユーザインターフェースを可視化させるようにさせ、SIEMプロバイダサーバからテナントサーバに提案されたSIEMプロトコルを導入させるように構成されたSIEM管理アプリケーションを格納および実行するように構成されるSIEMプロバイダサーバと、を含むシステム。
【0059】
第13項
提案されたバンドルが、データコネクタがログソースとの間のデータの流れを制御する方法を管理するように構成された複数のSIEMアーチファクトを含む、第12項に記載のシステム。
提案されたバンドルが、データコネクタがログソースとの間のデータの流れを制御する方法を管理するように構成された複数のSIEMアーチファクトを含む、第12項に記載のシステム。
【0060】
第14項
SIEM管理アプリケーションが、SIEMプロバイダサーバに、複数のSIEMアーチファクトのうちの少なくとも一つを生成するようにさらに構成される、第12項または第13項のいずれかに記載のシステム。
SIEM管理アプリケーションが、SIEMプロバイダサーバに、複数のSIEMアーチファクトのうちの少なくとも一つを生成するようにさらに構成される、第12項または第13項のいずれかに記載のシステム。
【0061】
第15項
SIEM管理アプリケーションが、SIEMプロバイダサーバに、生成されたSIEMアーチファクトに少なくとも部分的に基づいてデータコネクタを構成させるようにさらに構成されている、第12~14項のいずれかに記載のシステム。
SIEM管理アプリケーションが、SIEMプロバイダサーバに、生成されたSIEMアーチファクトに少なくとも部分的に基づいてデータコネクタを構成させるようにさらに構成されている、第12~14項のいずれかに記載のシステム。
【0062】
第16項
SIEM管理アプリケーションが、SIEMプロバイダサーバにデータコネクタを自律的に構成させるようにさらに構成されている、第12~15項のいずれかに記載のシステム。
SIEM管理アプリケーションが、SIEMプロバイダサーバにデータコネクタを自律的に構成させるようにさらに構成されている、第12~15項のいずれかに記載のシステム。
【0063】
第17項
複数のSIEMアーチファクトが、リソースグループ、ログ分析ワークスペース、プレイブック、およびワークブック、またはそれらの組み合わせのうちの少なくとも一つを含む、第12~16項のいずれかに記載のシステム。
複数のSIEMアーチファクトが、リソースグループ、ログ分析ワークスペース、プレイブック、およびワークブック、またはそれらの組み合わせのうちの少なくとも一つを含む、第12~16項のいずれかに記載のシステム。
【0064】
第18項
複数のうちの少なくとも一つのSIEMアーチファクトが、データコネクタがログソースとの間のデータの流れを制御する方法を管理するように構成された複数のアラートルールを含む、第12~17項のいずれかに記載のシステム。
複数のうちの少なくとも一つのSIEMアーチファクトが、データコネクタがログソースとの間のデータの流れを制御する方法を管理するように構成された複数のアラートルールを含む、第12~17項のいずれかに記載のシステム。
【0065】
第19項
テナントサーバ用に提案されたSIEMプロトコルは、少なくとも部分的に、JSONベースのソリューションバンドルに基づいて生成された複数の提案されたSIEMプロトコルの第一の提案されたSIEMプロトコルであり、方法は、SIEM管理アプリケーションのユーザインターフェースを介して、複数の提案されたSIEMプロトコルを視覚的に表示することをさらに含む、第12~18項のいずれかに記載のシステム。
テナントサーバ用に提案されたSIEMプロトコルは、少なくとも部分的に、JSONベースのソリューションバンドルに基づいて生成された複数の提案されたSIEMプロトコルの第一の提案されたSIEMプロトコルであり、方法は、SIEM管理アプリケーションのユーザインターフェースを介して、複数の提案されたSIEMプロトコルを視覚的に表示することをさらに含む、第12~18項のいずれかに記載のシステム。
【0066】
第20項
提案されたSIEMプロトコルをSIEMプロバイダサーバからテナントサーバに導入することが、複数の提案されたSIEMプロトコルから提案されたSIEMプロトコルのユーザ選択に少なくとも部分的に基づく、第12~19項のいずれかに記載のシステム。
提案されたSIEMプロトコルをSIEMプロバイダサーバからテナントサーバに導入することが、複数の提案されたSIEMプロトコルから提案されたSIEMプロトコルのユーザ選択に少なくとも部分的に基づく、第12~19項のいずれかに記載のシステム。
【0067】
第21項
テナントサーバおよびディスプレイに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、SIEMプロバイダサーバが、SIEMプロバイダサーバに、SIEMプロバイダサーバをデータコネクタに結合させ、テナントサーバによってホストされるログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成させ、ディスプレイに、テナントサーバ用に提案されたSIEMプロトコルであって、SIEMプロトコルが、少なくとも部分的に、JSONベースのソリューションバンドルに基づく、SIEMプロトコルを含むSIEM管理アプリケーションのユーザインターフェースを可視化させるようにさせ、SIEMプロバイダサーバからテナントサーバに提案されたSIEMプロトコルを導入させるように構成されたSIEM管理アプリケーションを格納および実行するように構成される、SIEMプロバイダサーバ。
テナントサーバおよびディスプレイに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、SIEMプロバイダサーバが、SIEMプロバイダサーバに、SIEMプロバイダサーバをデータコネクタに結合させ、テナントサーバによってホストされるログソース用のJavaScript Object Notation(JSON)ベースのソリューションバンドルを生成させ、ディスプレイに、テナントサーバ用に提案されたSIEMプロトコルであって、SIEMプロトコルが、少なくとも部分的に、JSONベースのソリューションバンドルに基づく、SIEMプロトコルを含むSIEM管理アプリケーションのユーザインターフェースを可視化させるようにさせ、SIEMプロバイダサーバからテナントサーバに提案されたSIEMプロトコルを導入させるように構成されたSIEM管理アプリケーションを格納および実行するように構成される、SIEMプロバイダサーバ。
【0068】
第22項
提案されたバンドルが、データコネクタがログソースとの間のデータの流れを制御する方法を管理するように構成された複数のSIEMアーチファクトを含む、第1項に記載のSIEMプロバイダサーバ。
提案されたバンドルが、データコネクタがログソースとの間のデータの流れを制御する方法を管理するように構成された複数のSIEMアーチファクトを含む、第1項に記載のSIEMプロバイダサーバ。
【0069】
本明細書に記述される全ての特許、特許出願、刊行物、またはその他の開示資料は、各個々の参照がそれぞれ参照により明示的に組み込まれたかのように、その全体が参照により本明細書に組み込まれる。参照により本明細書に組み込まれると言われる全ての参照、および任意の材料、またはその一部は、組み込まれる材料が、本開示に記載される既存の定義、記述、またはその他の開示材料と矛盾しない限りにおいてのみ、本明細書に組み込まれる。そのため、および必要な範囲で、本明細書に明記される本開示は、参照により本明細書に組み込まれる任意の矛盾する材料に優先し、本開示は本出願の管理内で明示的に記載される。
【0070】
様々な例示的および例証的態様が説明されている。本明細書に記載される態様は、本開示の様々な態様の様々な詳細の例示的な特徴を提供するものとして理解され、そのため別途指定がない限り、当然のことながら、本開示の範囲から逸脱することなく、可能な限り、一つ以上の特徴、要素、コンポーネント、成分、原料、構造、モジュール、および/または本開示の態様うちの態様を組み合わせて、分離し、交換し、および/または一つ以上の他の特徴、要素、コンポーネント、成分、原料、構造、モジュール、および/または本開示の態様のうちの態様とまたはそれらに対して再配置してもよい。したがって、当業者であれば、特許請求された主題から逸脱することなく、例示的な態様のいずれかの様々な置換、改変、または組み合わせがなされ得ることを認識するであろう。さらに、当業者は、本明細書の再調査により、日常的な実験のみを使用して本開示の様々な態様に対する多くの等価物を認識するか、または確認することができる。したがって、本開示は、様々な態様の説明によって限定されず、特許請求の範囲によってのみ限定される。
【0071】
当業者は、概して、本明細書で使用される用語、および特に添付の特許請求の範囲(例えば、添付の特許請求の範囲の本文)において、一般には「制約のない」用語(例えば、用語「含む(including)」は、「含むが限定されるものではない」と解釈されるべきであり、用語「有する(having)」は「少なくとも有する」と解釈されるべきであり、用語「含む(includes)」は、「含むが限定されるものではない」と解釈されるべきである、など)として意図されていることを認識するであろう。特定の数の導入された特許請求の範囲の列挙が意図される場合、そのような意図は特許請求の範囲に明示的に列挙され、そのような列挙がない場合、そのような意図は存在しないことが、当業者によってさらに理解されるであろう。例えば、理解の補助として、以下の添付の特許請求の範囲は、特許請求の範囲の列挙を導入するための、導入語句の「少なくとも一つ」および「一つ以上」の使用を含み得る。しかし、こうした語句の使用は、不定冠詞「a」または「an」による請求項の列挙の導入が、そのような導入された請求項の列挙を含む任意の特定の請求項を、そのような列挙を一つのみを含む特許請求の範囲に限定することを暗示するものとして解釈されるべきではなく、同じ請求項が、導入語句「一つ以上」または「少なくとも一つ」、および「a」または「an」などの不定冠詞を含む場合でも(例えば、「a」、および/または「an」は通常、「少なくとも一つ」または「一つ以上」を意味すると解釈されるべきである)、請求項の列挙を導入するために使用される定冠詞の使用についても同様である。
【0072】
さらに、導入された請求項の列挙の特定の数が明示的に列挙されていても、当業者は、このような列挙は、典型的には、少なくとも列挙された数(例えば、「二つの列挙」という単なる列挙は、他の修飾語句なしでは、少なくとも二つの列挙または二つ以上の列挙を通常意味する)を意味すると解釈されるべきであることを認識するであろう。さらに、「A、B、およびCなどのうちの少なくとも一つ」に類似の慣例 が使用されるこれらの事例では、一般的に、このような構造は、当業者が、慣例を理解するという意味で意図される(例えば、「A、B、およびCのうちの少なくとも一つを有するシステム」は、A単独、B単独、C単独、AおよびBを一緒に有するシステム、AおよびCを一緒に有するシステム、BおよびCを一緒に有するシステム、および/またはA、B、およびCを一緒に有するシステムなどを含むが、これらに限定されない)。「A、B、またはC等のうちの少なくとも一つ」に類似の慣例が、使用される事例では、一般的に、このような構造は、当業者が、慣例を理解するという意味で意図される(例えば、「A、B、またはCのうちの少なくとも一つを有するシステム」は、A単独、B単独、C単独、AおよびBを一緒に有するシステム、AおよびCを一緒に有するシステム、BおよびCを一緒に有するシステム、および/またはA、B、およびCを一緒に有するシステムなどを含むが、これらに限定されない)。説明、特許請求の範囲、または図面のいずれにおいても、通常、二つ以上の代替的な用語を提示する離接語および/または語句は、文脈が別段の指示をしない限り、当該用語のうちの一つ、当該用語のいずれか、または両方の用語を含む可能性を企図するように理解されるべきであると当該技術分野の者によってさらに理解されるであろう。例えば、語句「AまたはB」は、典型的には、「A」または「B」または「A、とB」の可能性を含むと理解されるであろう。
【0073】
添付の特許請求の範囲に関して、当業者は、その中に列挙された動作が概して任意の順序で行われてもよいことを理解するであろう。また、請求項の列挙は順(複数可)に提示されているが、様々な動作は、記載されるもの以外の他の順序で行われてもよく、または同時に行われてもよいことが理解されるべきである。こうした代替的順序の例としては、文脈が別途指示しない限り、重複、インターリーブ、中断、再注文、増分、準備、補足、同時、逆、または他のバリアント順序が挙げられる。さらに、文脈上別段の指示がない限り、「応答する」、「関連する」、または他の過去型形容詞などの用語は、一般に、こうしたバリアントを除外することを意図していない。
【0074】
注目すべきは、「一態様」、「態様」、「例示」、「一例示」、および類似のものへの任意の言及は、態様に関連して記述された特定の特徴、構造、または特性が、少なくとも一つの態様に含まれることを意味する。したがって、本明細書全体を通して様々な場所での語句の「一態様では」、「ある態様では」、「ある例示では」、および「一例示では」の出現は、必ずしもすべて同じ態様を指すわけではない。さらに、特定の特徴、構造または特性は、一つ以上の態様では、任意の適切な様式で組み合わせられてもよい。
【0075】
本明細書で使用される場合、文脈が別途明確に指示しない限り、単数形の「a」、「an」、および「the」は、複数の参照を含む。
【0076】
例えば、限定されるものではないが、上、下、左、右、下方、上方、前、後、およびその変形など、本明細書で使用される方向語句は、添付図面に示される要素の配向に関連し、別段の明示的な記載がない限り、特許請求の範囲に関して限定しないものとする。
【0077】
本開示で使用される用語「約」または「およそ」は、別段の指定がない限り、当業者によって決定される特定の値についての許容可能な誤差を意味し、これは、値がどのように測定または決定されるかに部分的に依存する。特定の態様では、用語「約」または「およそ」は、1、2、3、または4標準偏差以内を意味する。特定の態様では、用語「約」または「およそ」は、所与の値または範囲の50%、200%、105%、100%、9%、8%、7%、6%、5%、4%、3%、2%、1%、0.5%、または0.05%以内を意味する。
【0078】
本明細書において、別段の示唆が無い限り、全ての数値パラメータは、前置きされているものとして理解され、全ての場合で、数値パラメータは、パラメータの数値を決定するために使用される基礎となる測定技法の固有変動特性を有する、「約」という用語によって修正されると理解されるべきである。少なくとも、請求の範囲に対する均等の原理の適用を限定する試みとしてではなく、本明細書に記載の各数値パラメータは少なくとも報告される有効数字の数に照らし合わせて、および通常の四捨五入法を適用することで解釈されるものとする。
【0079】
本明細書に列挙される任意の数値範囲は、列挙された範囲内に包含されるすべてのサブ範囲を含む。例えば、1から100の範囲は、列挙された最小値1と、列挙された最大値100との間の(かつそれを含む)、すなわち、最小値が1以上、および最大値が100以下を有するすべてのサブ範囲を含む。また、本明細書で列挙されるすべての範囲は、列挙された範囲の終点を含む。例えば、1から100の範囲は、終点1および100を含む。本明細書に列挙される任意の最大数的制限は、その中に包含されるすべてのより低い数的制限を含むことが意図され、本明細書に列挙される任意の最小数的制限は、その中に包含されるすべてのより高い数的制限を含むことが意図される。したがって、出願人は、特許請求の範囲を含め、明示的に列挙された範囲内に包含された部分範囲を明示的に列挙する本明細書を修正する権利を留保する。こうしたすべての範囲は、本明細書に本質的に記載される。
【0080】
本明細書において言及される、および/または任意のアプリケーションデータシートに列挙される任意の特許出願、特許、非特許公開、またはその他の開示資料は、組み込まれた資料が本明細書と矛盾しない限り、参照により本明細書に組み込まれる。したがって、および必要な範囲で、本明細書に明示的に記載される本開示は、参照により本明細書に組み込まれる任意の矛盾する材料に優先する。参照により本明細書に組み込まれると言われるが、本明細書に明記される既存の定義、声明、またはその他の開示資料と矛盾する任意の資料またはその一部は、その組み込まれた資料と既存の開示資料との間にいかなる矛盾も生じない範囲でのみ、組み込まれる。
【0081】
用語「備える(comprise)」(および「comprises」、「comprising」などのcompriseの任意の形態)および、「有する(have)」(ならびに「has」、および「have」などのhaveの任意の形態)、「含む(include)」(および「includes」および「including」などのincludeの任意の形態)、および「包含する(contain)」(および「contains」および「containing」などのcontainの任意の形態)は、オープンエンドの連結動詞である。結果として、一つ以上の要素を「備える」、「有する」、「含む」、または「包含する」システムは、それらの一つ以上の要素を保有するが、それら一つ以上の要素のみを保有することに限定されない。同様に、一つ以上の特徴を「備える」、「有する」、「含む」、または「包含する」システム、デバイス、または装置の要素は、それらの一つ以上の特徴を保有するが、それら一つ以上の特徴のみを保有することに限定されない。
【0082】
前述の詳細な説明は、ブロック図、フローチャート、および/または例の使用による、デバイスおよび/またはプロセスの様々な形態を記載している。こうしたブロック図、フローチャート、および/または例が一つ以上の機能および/または動作を含む場合、当該技術分野の者であれば、こうしたブロック図、フローチャート、および/または例内の各機能および/または動作は、広範囲のハードウェア、ソフトウェア、ファームウェア、または実質的にそれらの任意の組み合わせによって、個別に、および/または集合的に実装され得ることが理解されるであろう。当業者は、本明細書に開示される形態のいくつかの態様は、一つ以上のコンピュータ上で動作する一つ以上のコンピュータプログラムとして(例えば、一つ以上のコンピュータシステム上で動作する一つ以上のプログラムとして)、一つ以上のプロセッサ上で動作する一つ以上のプログラムとして(例えば、一つ以上のマイクロプロセッサ上で動作する一つ以上のプログラムとして)、ファームウェアとして、または実質的にそれらの任意の組み合わせとして全部または一部を等価に集積回路に実装することができ、回路の設計、および/またはソフトウェア用のコードの記載、およびまたはファームウェアは、本開示に照らして、当業者の技能の範囲内であることを認識するであろう。さらに、当業者は、本明細書に記載される主題の機構が、様々な形態で一つ以上のプログラム製品として配布されることができ、本明細書に記載される主題の例示的な形態は、実際に配布を実施するために使用される特定のタイプの信号担持媒体に関係なく適用されることを理解するであろう。
【0083】
論理をプログラムして様々な開示された態様を実施するために使用される命令は、動的ランダムアクセスメモリ(DRAM)、キャッシュ、フラッシュメモリ、または他の記憶装置など、システム内のメモリ内に格納され得る。さらに、命令は、ネットワークを介して、または他のコンピュータ可読媒体を介して配布され得る。したがって、機械可読媒体は、機械(例えば、コンピュータ)によって読み取り可能な形態で情報を格納する、または伝送するための任意の機構であるが、それに限定されるものではない、フロッピーディスケット、光ディスク、コンパクトディスク、読み取り専用メモリ(CD-ROM)、および磁気光学ディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、消去可能なプログラム可能な読み取り専用メモリ(EPROM)、電気的に消去可能なプログラム可能な読み取り専用メモリ(EEPROM)、磁気または光学カード、フラッシュメモリ、または電気的、光学的、音響または他の形態の伝播信号(例えば、搬送波、赤外線信号、デジタル信号、など)を介してインターネット上で情報を送信する際に使用される有形の機械可読記憶装置を含み得る。したがって、非一時的コンピュータ可読媒体は、電子命令または情報を、機械(例えば、コンピュータ)によって可読な形態で格納または伝送するのに適した、任意のタイプの有形の機械可読媒体を含む。
【0084】
本明細書の任意の態様で使用される場合、用語「制御回路」は、例えば、配線された回路、プログラム可能回路(例えば、一つ以上の個々の命令処理コアを備えるコンピュータプロセッサ、処理ユニット、プロセッサ、マイクロコントローラ、マイクロコントローラユニット、コントローラ、デジタルシグナルプロセッサ(DSP)、プログラム可能論理装置(PLD)、プログラム可能論理アレイ(PLA)、またはフィールドプログラマブルゲートアレイ(FPGA)、状態機械回路、プログラム可能回路によって実行される命令を格納するファームウェアおよびそれらの任意の組み合わせを指すことができる。制御回路は、集合的にまたは個別に、より大きなシステム、例えば、集積回路(IC)、特定用途向け集積回路(ASIC)、システムオンチップ(SoC)、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、サーバ、スマートフォンなどの一部を形成する回路として具体化され得る。したがって、本明細書で使用される場合、「制御回路」には、限定されるものではないが、少なくとも一つのディスクリート電気回路を有する電気回路と、少なくとも一つの集積回路を有する電気回路と、少なくとも一つの特定用途向け集積回路を有する電気回路と、コンピュータプログラムによって構成される汎用コンピューティングデバイスを形成する電気回路(例えば、プロセスを少なくとも部分的に実行するコンピュータプログラムによって構成される汎用コンピュータ、および/または本明細書に記載されるデバイス、または少なくとも部分的にプロセスを実行するコンピュータプログラムによって構成されるマイクロプロセッサ、および/または本明細書に記述されるデバイス)、メモリデバイスを形成する電気回路(例えば、ランダムアクセスメモリの形態)、および/または通信デバイスを形成する電気回路(例えば、モデム、通信スイッチ、または光電気機器)を含む。当業者であれば、本明細書に記載される主題が、アナログもしくはデジタルの様式またはそれらのいくつかの組み合わせで実装され得ることを認識するであろう。
【0085】
本明細書の任意の態様で使用される場合、用語「ロジック」は、前述の動作のいずれかを行うように構成されたアプリケーション、ソフトウェア、ファームウェア、および/または回路を指し得る。ソフトウェアは、ソフトウェアパッケージ、コード、命令、命令セット、および/または非一時的コンピュータ可読記憶媒体に記録されたデータとして具現化され得る。ファームウェアは、コード、命令、または命令セット、および/またはメモリデバイス内にハードコードされた(例えば、不揮発性)データとして具現化され得る。
【0086】
本明細書の任意の態様で使用される場合、用語「コンポーネント」、「システム」、「モジュール」などは、コンピュータ関連実体、ハードウェア、ハードウェアおよびソフトウェアの組み合わせ、ソフトウェア、または実行中のソフトウェアを指すことができる。
【0087】
本明細書の任意の態様で使用される場合、「アルゴリズム」は、所望の結果をもたらすステップの自己整合的な順序を指し、「ステップ」は、物理的量の操作、および/または必ずしもそうである必要はないが、格納、移動、結合、比較、およびその他操作することができる電気信号または磁気信号の形態を取ることができる論理状態を指す。これらの信号をビット、値、要素、記号、文字、用語、数字などと呼ぶのが一般的である。これらおよび類似の用語は、適切な物理量と関連付けられてもよく、これらの量および/または状態に適用される単に便利な符号である。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
