ホーム > 特許ランキング > BlueVoyant LLC
知財求人 - 知財ポータルサイト「IP Force」
特許7714829自律的な脅威応答およびセキュリティ強化のための装置、システム、および方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2025-07-18
(45)【発行日】2025-07-29
(54)【発明の名称】自律的な脅威応答およびセキュリティ強化のための装置、システム、および方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20250722BHJP
G06F 21/57 20130101ALI20250722BHJP
【FI】
G06F21/55 320
G06F21/57 370
【請求項の数】
20
(21)【出願番号】P 2025504309
(86)(22)【出願日】2023-07-26
(86)【国際出願番号】 US2023071061
(87)【国際公開番号】W WO2024026371
(87)【国際公開日】2024-02-01
【審査請求日】2025-04-17
(31)【優先権主張番号】63/369,582
(32)【優先日】2022-07-27
(33)【優先権主張国・地域又は機関】US
【早期審査対象出願】
(73)【特許権者】
【識別番号】523454588
【氏名又は名称】ブルーボヤント エルエルシー
【氏名又は名称原語表記】BlueVoyant LLC
【住所又は居所原語表記】335 Madison Avenue, Suite 5G, New York, New York 10017 United States of America
(74)【代理人】
【識別番号】110000110
【氏名又は名称】弁理士法人 快友国際特許事務所
(72)【発明者】
【氏名】アヤル ライヒ
(72)【発明者】
【氏名】レオ ソレフ
(72)【発明者】
【氏名】タル ブラウシュタイン
【審査官】青木 重徳
(56)【参考文献】
【文献】特表2019-531534(JP,A)
【文献】米国特許出願公開第2018/0351987(US,A1)
【文献】米国特許出願公開第2022/0174097(US,A1)
【文献】米国特許出願公開第2017/0006053(US,A1)
【文献】米国特許出願公開第2003/0051026(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
プロセッサおよびメモリを備えるマネージドセキュリティサービスプロバイダ(MSSP)サーバを介したテナントネットワークの自律的なセキュリティ強化のための方法であって、前記方法は、複数のデータソースからの情報を用いて、
前記プロセッサを介して、セキュリティシステムによる侵害指標(IoC)との遭遇に際し、複数のデータソースのうちのデータソースを識別するために、データベースまたはサーバにクエリすることであって、前記データソースは、前記IoCへの参照を含む、クエリすることと、
前記プロセッサを介した、前記クエリの出力に基づく前記IoCについてのIoC脅威スコアの生成であって、
前記データソースのうちの各データソースについて、前記データソースによって提供されるIoC脅威値を識別することと、
前記データソースのうちの各データソースについて、前記データソースによって提供される前記IoC脅威値に乗数を割り当てて、調整されたIoC脅威値を生成することであって、前記乗数は、前記データソースに関連付けられた信頼性スコアに基づいている、生成することと、
前記データソースから調整されたIoC脅威値を正規化して、前記IoC脅威スコアを出力することと、
を備える、前記生成と、
前記プロセッサを介して、前記IoC脅威スコアに基づいて、少なくとも一つの実行可能なセキュリティ強化通知を生成することと、
ユーザインターフェースを介して、前記IoC脅威スコアおよび前記実行可能なセキュリティ強化通知をユーザに表示することであって、前記少なくとも一つの実行可能なセキュリティ強化通知における少なくとも一つの措置のトリガまたは無効化を可能にし、前記少なくとも一つの措置は、前記IoC脅威スコアに基づいている、表示することと、
を備える、方法。
【請求項2】
前記方法は、自動セキュリティ応答を展開することをさらに備え、前記展開することは、
セキュリティ脅威閾値レベルを自動的に調整することと、
前記データベースまたはサーバを自動的に再構成して潜在的なマルウェアバリアントを識別することと、
複数の他のユーザに通知を送信することと、
他のテナントネットワークが前記IoCにさらされること、または、将来さらされるリスクを判定することと、
または、一つ以上のテナントネットワークもしくはネットワークの一部分を隔離することと、
のうちの少なくとも一つ、またはそれらの組み合わせを含む、
請求項1に記載の方法。
【請求項3】
前記方法は、前記IoC脅威スコア、生成された信頼性スコア、またはセキュリティ脅威閾値レベル、またはそれらの組み合わせのうちの少なくとも一つに基づいて、前記IoCを悪性、未知、または良性として分類することをさらに備え、前記ユーザインターフェースは、前記分類を表示することができる、
請求項1に記載の方法。
【請求項4】
前記セキュリティ脅威閾値レベルは、偽陽性の数、真陽性の数、偽陰性の数、および真陰性の数のうちの少なくとも二つを含む比を使用することによって、前記IoCの前記分類の正確性または精度を悪質または良性として表す比に基づいて自動的に調整される、請求項3に記載の方法。
【請求項5】
前記方法は、前記IoCが悪性脅威に分類されることと、前記遭遇したIoC指標が特徴のセットの一部分を、前記データベースまたはサーバに保存された他のIoCと共有することと、を決定することと、
前記IoCを前記悪性脅威として決定することに際し、前記IoC脅威スコア、特徴の前記セットの前記一部分、生成された信頼性スコア、およびセキュリティ脅威閾値レベル、またはそれらの組み合わせのうちの少なくとも一つに基づいて、新しいマルウェアバリアントを識別することと、
をさらに備える、請求項1に記載の方法。
【請求項6】
前記方法は、前記データベースを再構成して、前記IoCの特徴のうちの一つ、前記IoC脅威スコア、前記生成された信頼性スコア、前記セキュリティ脅威閾値レベル、または前記IoCの前記分類、またはそれらの組み合わせのうちの少なくとも一つに基づいて、前記新しいマルウェアバリアントを識別することをさらに備える、請求項5に記載の方法。
【請求項7】
前記実行可能なセキュリティ強化通知は、前記テナントネットワーク上の新しいマルウェアバリアントの指標を含み、前記新しいマルウェアバリアントは、他のマルウェアのデータに基づいて決定されることができる、請求項1に記載の方法。
【請求項8】
前記方法は、前記データソースの各データソースが少なくとも一つのIoCと関連付けられた前記データソースからデータを受信することであって、各データソースは、信頼性スコアを画定する、受信することと、
前記データソースおよびそれらに関連付けられた少なくとも一つのIoCを、データベースまたはメモリコンポーネント内にインデックス付けすることと、
をさらに備える、請求項1に記載の方法。
【請求項9】
前記データソースの各データソースの前記信頼性スコアは、人的関与、前記データソースによって識別されるIoCの数、前記データソースの信頼性の履歴、前記データソースへのデータ入力の数、前記データソースの経過年数、前記データソース内のIoCの経過年数、前記データソースに関連する評価、前記データソースの前記セキュリティシステムのクライアントまたは前記ユーザに対する関連性、および、前記データソース上で利用可能な情報の量、のうちの少なくとも一つによって決定される、請求項1に記載の方法。
【請求項10】
前記少なくとも一つの実行可能なセキュリティ強化通知は、前記IoC脅威スコア、生成された信頼性スコア、または、セキュリティ脅威閾値レベル、または、それらの組み合わせのうちの少なくとも一つに基づいている、請求項1に記載の方法。
【請求項11】
前記クエリすることは、識別されたDNSクエリおよびIPアドレスを、前記データベースに保存された複数のIoCと相互参照することであって、前記複数のIoCは前記IoCを含む、相互参照することと、
前記データソースの関連するデータソースを識別することであって、前記関連するデータソースの関連性は、前記関連するデータソースと前記識別されたDNSクエリおよびIPアドレスの関連付けによって決定される、識別することと、
を備える、請求項1に記載の方法。
【請求項12】
前記クエリすることは、定義されたコンピューティング環境で機械によって接触されるDNSクエリおよびIPアドレスを識別することをさらに備える、請求項11に記載の方法。
【請求項13】
前記IoC脅威スコアの前記生成は、変則的なIoC脅威値を識別することと、
前記変則的なIoC脅威値を破棄することと、
をさらに備える、請求項1に記載の方法。
【請求項14】
前記IoC脅威スコアの前記生成は、特定の信頼性スコアを有するデータソースからの様々なIoC脅威値を、より低い信頼性スコアを有するデータソースからのIoC脅威値に対して重み付けすることを備える、請求項1に記載の方法。
【請求項15】
前記IoC脅威スコアの前記生成は、機械学習ニューラルネットワークのうちの少なくとも一つによって行われ、前記機械学習ニューラルネットワークへの入力は、前記データソースの信頼性スコア、および前記データソースによって提供される前記IoC脅威値を備える、請求項1に記載の方法。
【請求項16】
前記方法は、前記データソースによって提供される前記IoC脅威値の分布に基づいて、前記IoC脅威スコアに関連付けられた収束スコアを生成することをさらに備える、請求項1に記載の方法。
【請求項17】
一つ以上のテナントネットワークを継続的に強化するように指向された自律的セキュリティシステムであって、前記システムは、複数のテナントネットワークと、
プロセッサおよびメモリを備える少なくとも一つのマネージドセキュリティサービスプロバイダ(MSSP)サーバと、
を備え、
前記メモリは、前記プロセッサによって実行される場合に、前記プロセッサに、
セキュリティシステムによる侵害指標(IoC)との遭遇に際し、少なくとも一つのデータベースまたはサーバにクエリして、前記IoCへの参照を用いてデータフィードを識別することと、
前記クエリの出力に基づく前記IoCに対するIoC脅威スコアの生成であって、
前記データフィードの各データフィードについて、前記データフィードによって分類されるIoC脅威値を識別することと、
前記データフィードの各データフィードについて、乗数を前記IoC脅威値に付加して、調整されたIoC脅威値を生成することであって、前記乗数は、前記データフィードに関連付けられた信頼性スコアに基づいて決定される、生成することと、および、
前記データフィードの調整されたIoC脅威値を正規化することと、および、
前記IoC脅威スコアを出力することと、
を備える、前記生成と、
前記IoC脅威スコアに基づいて、少なくとも一つの実行可能なセキュリティ強化通知を生成することと、
ユーザインターフェースを介して、前記MSSPサーバに接続された少なくとも一つの表示装置上に、前記IoC脅威スコアおよび前記実行可能なセキュリティ強化通知を前記セキュリティシステムのユーザに表示することであって、前記少なくとも一つの実行可能なセキュリティ強化通知における少なくとも一つの措置のトリガまたは無効化を可能にし、前記少なくとも一つの措置が前記IoC脅威スコアに基づく、表示することと、
実行させるための命令を記憶する、
方法。
【請求項18】
前記実行可能なセキュリティ強化通知は、前記複数のテナントネットワークのうちの少なくとも一つのテナントネットワーク上の新しいマルウェアバリアントの表示を含み、前記新しいマルウェアバリアントは、他のマルウェアデータに基づいて決定される、
請求項17に記載の自律的セキュリティシステム。
【請求項19】
前記プロセッサによって実行される場合に、前記記憶された命令が、前記プロセッサに、自動セキュリティ応答を展開することを実行するようにさらに構成され、前記展開することは、
セキュリティ脅威閾値レベルを自動的に調整することと、
データベースまたはサーバを自動的に再構成して、他の潜在的なマルウェアバリアントを識別することと、
セキュリティシステムの複数の他のユーザに通知を送信することと、
他のテナントネットワークが新しいマルウェアバリアントにさらされること、またはさらされるリスクを判定することと、
前記複数のテナントネットワークのうちの少なくとも一つのテナントネットワークを隔離することと、
のうちの少なくとも一つを含む、
請求項17に記載の自律的セキュリティシステム。
【請求項20】
テナントネットワークのセキュリティを自律的に強化するための方法であって、複数のテナントネットワークのテナントネットワーク内でのセキュリティシステムによる侵害指標(IoC)との遭遇に際し、セキュリティサーバにクエリして、前記IoCへの少なくとも一つの参照を備えるデータフィードを識別することと、
プロセッサを介して、前記クエリの結果に基づいて、前記IoCに対するIoC脅威スコアを生成することと、
前記IoC脅威スコアに基づいて、前記セキュリティシステムによる自動セキュリティ応答を展開することと、
ユーザインターフェースを介して、前記IoC脅威スコア、前記自動セキュリティ応答のステータス、または実行可能なセキュリティ強化通知のうちの少なくとも一つを前記セキュリティシステムのユーザに表示することと、
を備え、
前記実行可能なセキュリティ強化通知は、追加のセキュリティ応答のトリガを促進する、
方法。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2022年7月27日に出願された、「AUTONOMOUS THREAT SCORING AND SECURITY ENHANCEMENT」と題する米国仮特許出願第63/369,582号の利益および優先権を主張するものであり、その開示は、参照によりその全体が本明細書に組み込まれる。
本出願は、2022年7月27日に出願された、「AUTONOMOUS THREAT SCORING AND SECURITY ENHANCEMENT」と題する米国仮特許出願第63/369,582号の利益および優先権を主張するものであり、その開示は、参照によりその全体が本明細書に組み込まれる。
【0002】
本技術は、マネージドセキュリティサービスプロバイダ環境における脅威の自律的検出および自動管理のためのシステムおよび方法に関する。特に、限定するものではないが、本技術は、自律的な脅威応答およびセキュリティ強化のためのシステムおよび方法を提供する。
【発明の概要】
【0003】
以下の概要は、本明細書に開示される態様に特有の革新的な特徴の一部の理解を容易にするために提供されており、完全な説明を意図するものではない。様々な態様の完全な理解は、明細書、特許請求の範囲、および要約全体を取ることによって得ることができる。
【0004】
様々な態様では、プロセッサおよびメモリを備えるマネージドセキュリティサービスプロバイダ(MSSP)サーバを介したテナントネットワークの自律的なセキュリティ強化のための方法が提供されており、方法は、プロセッサ、データベースまたはサーバを介して、セキュリティシステムによる侵害指標(IoC)との遭遇に際し、遭遇したIoCを参照して、関連するソースまたはフィードを識別するためにクエリを行うことと、プロセッサを介して、クエリの出力に基づいて、遭遇したIoCについてのIoC脅威スコアを生成または計算することと、プロセッサを介して、遭遇したIoCの単一の脅威スコアに基づいて、少なくとも一つの実行可能なセキュリティ強化通知を生成することと、ユーザインターフェースを介して、遭遇したIoCのIOC脅威スコアおよび実行可能なセキュリティ強化通知をセキュリティシステムのユーザ向けに表示することと、を含み、ユーザは、少なくとも一つの実行可能なセキュリティ強化通知において、一つ以上の措置をトリガまたは無効化してもよい。
【0005】
様々な態様では、IoC脅威スコアを生成することは、各関連するソースまたはフィードについて、関連するソースまたはフィードによって分類される、遭遇したIOCの脅威値を識別することと、各関連するソースまたはフィードに対して、ソースまたはフィードの脅威値に乗数を付加して、調整された脅威値を生成することであって、乗数が、ソースまたはフィードに関連付けられた信頼性スコアに基づいて決定される、生成することと、関連するソースまたはフィードのすべての調整された脅威値を正規化することと、遭遇したIOCに対する単一の脅威スコアを生成することと、を含む。
【0006】
テナントネットワークの自律的セキュリティ強化のための方法は、セキュリティ脅威閾値レベルを自動的に調整することのうちの一つ以上を含み得る自動セキュリティ応答を展開することと、データベースを自動的に再構成して、他の潜在的なマルウェアバリアントを識別することと、セキュリティシステムの複数の他のユーザに通知を送信することと、他のテナントネットワークがIoCにさらされること、将来さらされるリスクを判定することと、一つ以上のテナントネットワークまたはネットワークの一部分を隔離することと、をさらに含んでもよい。
【0007】
一部の態様では、考察した方法はまた、少なくとも、生成されたIoC脅威スコア、生成された信頼性スコア、およびセキュリティ脅威閾値レベルのうちの一つ以上に基づいて、遭遇したIoCを、悪質、未知、または良性として分類することを含み、ユーザインターフェースは、セキュリティシステムのユーザに分類を表示し得る。
【0008】
これらとその他の物体、機能、及び本発明の特性、並びに操作方法、関連する構造要素の機能、部品の組合わせ、製造の経済は、以下の記述、及び添付の図面を参照する添付の特許請求の範囲を考慮すると、より明らかになり、それら全ては本明細書の一部を形成し、同様の参照符号は、様々な図において対応する部分を示す。しかしながら、図面は例示及び説明のみを目的としており、本発明の限界の定義として意図されていないことが明示的に理解されるべきである。
【図面の簡単な説明】
【0009】
本明細書に記載される態様の様々な特徴が、添付の特許請求の範囲に詳細に記載される。しかしながら、組織、および運用方法の両方に関する様々な態様、ならびにその利点は、以下の通り添付図面と共に、以下の記載に従って理解され得る。
【0010】
【0011】
対応する参照符号は、いくつかの図全体にわたり対応する部品を示す。本明細書に記載する実施例は、本発明の様々な態様を1つの形態で例示するものであり、こうした実施例は、任意の方法で本発明の範囲を限定するものとして解釈されるべきではない。
【発明を実施するための形態】
【0012】
本願の出願人は、以下の米国仮特許出願を所有し、その各開示は、参照によりその全体が本明細書に組込まれる。
- 2022年6月3日に出願された、DEVICES, SYSTEMS, AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED, AND SYNERGISTIC DEPLOYMENT NEEDSと題する、国際特許出願PCT/US2022/072739号、
- 2022年6月3日に出願された、DEVICES, SYSTEMS, AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、国際特許出願PCT/US2022/072743号、
- 2022年12月21日に出願された、DEVICES, SYSTEMS, AND METHODS FOR PROVISIONING AND UPDATING SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、国際特許出願PCT/US2022/082167号、
- 2022年12月21日に出願された、DEVICES, SYSTEMS, AND METHODS FOR STREAMLINING AND STANDARDIZING THE INGEST OF SECURITY DATA ACROSS MULTIPLE TENANTSと題する、国際特許出願PCT/US2022/082173号、
- 2023年1月23日に出願された、DEVICES, SYSTEMS, AND METHODS FOR REMOTELY MANAGING ANOTHER ORGANIZATION’S SECURITY ORCHESTRATION, AUTOMATION, AND RESPONSEと題する、国際特許出願第PCT/US2023/061069号、
- 2023年2月20日に出願された、DEVICES, SYSTEMS, AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTION BASED ON DOMAIN REDIRECTSと題する、国際特許出願PCT/US2023/062894号。
- 2023年5月10日に出願された、DEVICES, SYSTEMS, AND METHODS FOR SUMMARIZING ANALYTIC OBSERVATIONSと題する、国際特許出願PCT/US2023/021736号、
- 2023年5月19日に出願された、DEVICES, SYSTEMS, AND METHODS FOR INGESTING & ENRICHING SECURITY INFORMATION TO AUTONOMOUSLY SECURE A PLURALITY OF TENANT NETWORKSと題する、国際特許出願PCT/US2023/022858号、
- 2023年5月17日に出願された、DEVICES, SYSTEMS, AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON A DEMOCRATIC MATCHING ALGORITHMと題する、国際特許出願PCT/US2023/022535号、
- 2023年6月4日に出願された、DEVICES, METHODS, AND SYSTEMS FOR GENERATING A HIGHLY-SCALABLE, EFFICIENT COMPOSITE RECORD INDEXと題する、国際特許出願PCT/US2023/024386号、
- 2023年6月16日に出願された、DEVICES, SYSTEMS, AND METHODS FOR CATEGORIZING, PRIORITIZING, AND MITIGATING CYBER SECURITY RISKSと題する、国際特許出願PCT/US2023/068590号、
- 2022年7月17日に出願された、DEVICES, SYSTEMS, AND METHODS FOR UTILIZING A NETWORKED, COMPUTER-ASSISTED, THREAT HUNTING PLATFORM TO ENHANCE NETWORK SECURITYと題する、米国仮特許出願第63/368,567号、
- 2022年7月27日に出願された、AUTONOMOUS THREAT SCORING AND SECURITY ENHANCEMENTと題する、米国仮特許出願第63/369,582号、
- 2022年9月27日に出願された、DEVICES, SYSTEMS, AND METHODS FOR CONTINUOUSLY ENHANCING THE IMPLEMENTATION OF CODE CHANGES VIA ENRICHED PIPELINESと題する、米国仮特許出願第63/377,304号、
- 2023年6月9日に出願された、DEVICES, SYSTEMS, AND METHODS FOR ATTRIBUTING NETWORK-IMPLEMENTED CYBER ASSETS TO OPERATING ENTITIES AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON THE ATTRIBUTIONと題する、米国仮特許出願第63/507,250号。
- 2022年6月3日に出願された、DEVICES, SYSTEMS, AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED, AND SYNERGISTIC DEPLOYMENT NEEDSと題する、国際特許出願PCT/US2022/072739号、
- 2022年6月3日に出願された、DEVICES, SYSTEMS, AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、国際特許出願PCT/US2022/072743号、
- 2022年12月21日に出願された、DEVICES, SYSTEMS, AND METHODS FOR PROVISIONING AND UPDATING SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、国際特許出願PCT/US2022/082167号、
- 2022年12月21日に出願された、DEVICES, SYSTEMS, AND METHODS FOR STREAMLINING AND STANDARDIZING THE INGEST OF SECURITY DATA ACROSS MULTIPLE TENANTSと題する、国際特許出願PCT/US2022/082173号、
- 2023年1月23日に出願された、DEVICES, SYSTEMS, AND METHODS FOR REMOTELY MANAGING ANOTHER ORGANIZATION’S SECURITY ORCHESTRATION, AUTOMATION, AND RESPONSEと題する、国際特許出願第PCT/US2023/061069号、
- 2023年2月20日に出願された、DEVICES, SYSTEMS, AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTION BASED ON DOMAIN REDIRECTSと題する、国際特許出願PCT/US2023/062894号。
- 2023年5月10日に出願された、DEVICES, SYSTEMS, AND METHODS FOR SUMMARIZING ANALYTIC OBSERVATIONSと題する、国際特許出願PCT/US2023/021736号、
- 2023年5月19日に出願された、DEVICES, SYSTEMS, AND METHODS FOR INGESTING & ENRICHING SECURITY INFORMATION TO AUTONOMOUSLY SECURE A PLURALITY OF TENANT NETWORKSと題する、国際特許出願PCT/US2023/022858号、
- 2023年5月17日に出願された、DEVICES, SYSTEMS, AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON A DEMOCRATIC MATCHING ALGORITHMと題する、国際特許出願PCT/US2023/022535号、
- 2023年6月4日に出願された、DEVICES, METHODS, AND SYSTEMS FOR GENERATING A HIGHLY-SCALABLE, EFFICIENT COMPOSITE RECORD INDEXと題する、国際特許出願PCT/US2023/024386号、
- 2023年6月16日に出願された、DEVICES, SYSTEMS, AND METHODS FOR CATEGORIZING, PRIORITIZING, AND MITIGATING CYBER SECURITY RISKSと題する、国際特許出願PCT/US2023/068590号、
- 2022年7月17日に出願された、DEVICES, SYSTEMS, AND METHODS FOR UTILIZING A NETWORKED, COMPUTER-ASSISTED, THREAT HUNTING PLATFORM TO ENHANCE NETWORK SECURITYと題する、米国仮特許出願第63/368,567号、
- 2022年7月27日に出願された、AUTONOMOUS THREAT SCORING AND SECURITY ENHANCEMENTと題する、米国仮特許出願第63/369,582号、
- 2022年9月27日に出願された、DEVICES, SYSTEMS, AND METHODS FOR CONTINUOUSLY ENHANCING THE IMPLEMENTATION OF CODE CHANGES VIA ENRICHED PIPELINESと題する、米国仮特許出願第63/377,304号、
- 2023年6月9日に出願された、DEVICES, SYSTEMS, AND METHODS FOR ATTRIBUTING NETWORK-IMPLEMENTED CYBER ASSETS TO OPERATING ENTITIES AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON THE ATTRIBUTIONと題する、米国仮特許出願第63/507,250号。
【0013】
多数の具体的な詳細が、本開示に記載され、添付図面に図示される態様の全体的な構造、機能、製造、および使用についての完全な理解を提供するために記載される。周知の動作、構成要素、および要素は、本明細書に記述される態様を不明瞭にしないように、詳細に説明されていない。読み手は、本明細書に説明および図示される態様が非限定的な態様であることを理解するであろう。したがって、本明細書に開示される特定の構造および機能の詳細は、代表的および例示的であり得ることが理解されよう。特許請求の範囲から逸脱することなく、変更および変更を行うことができる。さらに、そのような用語は、「前方」、「後方」、「左」、「右」、「上方」、「下方」、および類似の用語は、利便性の用語であり、限定用語として解釈されるべきではないことが理解されるべきである。
【0014】
以下の説明では、同様の参照符号は、図面のいくつかの図を通して同様の部品または対応する部品を示す。また、以下の説明では、そのような用語は、「前方」、「後方」、「左」、「右」、「上方」、「下方」などは、利便性の用語であり、限定用語として解釈されるべきではないことが理解されるべきである。
【0015】
本明細書に開示するシステムの様々な態様および方法を詳細に説明する前に、例示的態様は、添付図面および説明に開示する詳細への適用または使用に限定されないことに留意されたい。当然のことながら、例示的な態様は、他の態様、変形、および修正において実装または組み込まれてもよく、様々な方法で実践または実施されてもよい。さらに、別段の示唆が無い限り、本明細書で使用される用語および表現は、読者の利便性のために例示的な態様を説明する目的で選択されており、その限定を目的としていない。例えば、本明細書に開示する特定の製造業者、ソフトウェアスイート、アプリケーション、または開発プラットフォームへの任意の参照は、本開示の多くの態様のいくつかを例示することを単に意図するに過ぎないことが理解されよう。これには、商標に関するあらゆる参照が含まれる。したがって、本明細書に開示されるデバイス、システム、および方法は、任意の使用目的および/またはユーザの好みに従って、任意のソフトウェア更新を強化するために実装できることが理解されるべきである。
【0016】
本明細書で使用される場合、用語「サーバ」は、インターネットまたは任意のパブリックネットワークもしくはプライベートネットワークなどのネットワーク環境で、複数の当事者のために通信および処理によって操作されるか、またはそれらを容易にする、一つ以上のコンピューティングデバイスを指すか、またはそれを含み得る。本明細書で使用される場合、「サーバ」または「プロセッサ」への言及は、以前のステップまたは機能、異なるサーバ、および/またはプロセッサ、および/またはサーバの組み合わせ、および/またはプロセッサの組み合わせを実行すると列挙される、以前に列挙されたサーバおよび/またはプロセッサを指し得る。
【0017】
本明細書で使用される場合、「プラットフォーム」という用語は、ソフトウェアおよび/またはソフトウェアによって提供される技術的利益を可能にするために必要な物理的資源のエコシステムを含むものとする。例えば、プラットフォームは、スタンドアロンのソフトウェア製品、またはソフトウェアがその技術的利益を提供するために必要なエコシステム内の他のソフトウェアまたは物理リソースと統合するように構成されたソフトウェア製品のいずれかを含み得る。一部の非限定的な態様によれば、ソフトウェアによって提供される技術的利益は、エコシステムの物理的リソース、またはエコシステム内の物理的リソース(例えば、API、サービスなど)によって採用される他のソフトウェアに提供される。他の非限定的な態様によれば、プラットフォームは、共に機能するように意図され、かつ設計されたいくつかのソフトウェアアプリケーションのフレームワークを含み得る。
【0018】
SIEMおよびMSSP
本明細書で使用される場合、「ネットワーク」という用語は、企業情報技術(「IT」)システム全体を含むものとし、テナント「ネットワーク」は、MSSPがSIEMサービスを提供するMSSPのクライアントにこの用語を適用する。例えば、ネットワークは、任意の物理的および/または無線接続によって接続され、他の一つ以上のノードと情報を通信および共有するよう構成される、二つ以上のノード(例えば、デバイス)のグループを含み得る。ただし、ネットワークという用語は、任意の特定のノード、またはそれらのノードを接続する任意の特定の手段に限定されるものではない。ネットワークは、イーサネット、イントラネット、および/またはエクストラネットに接続し、各デバイスの物理的な場所に関係なく、アドホック接続(例えば、Bluetooth(登録商標)、近距離無線通信(NFC)など)、ローカルエリア接続(「LAN」)、無線ローカルエリアネットワーク(「WLAN」)、および/または仮想プライベートネットワーク(「VPN」)を介して互いに通信するよう構成されたデバイス(例えば、サーバ、データベース、ローカルもしくはクラウドストレージ、デスクトップコンピュータ、ラップトップコンピュータ、パーソナルデジタルアシスタント、携帯電話、ウェアラブル、スマート家電、など)の任意の組み合わせを含むことができる。ネットワークには、デバイスによって配備されるか、またはその他の方法でファイアウォール、電子メールクライアント、文書管理システム、オフィスシステムなどの企業ITシステムによって利用される、任意のツール、アプリケーション、および/またはサービスがさらに含まれ得る。一部の非限定的な態様では、「ネットワーク」は、第三者によって所有および制御されているが、テナントが企業ITシステムにアクセスすることを承認されている、第三者デバイス、アプリケーション、および/またはサービスを含む場合がある。
本明細書で使用される場合、「ネットワーク」という用語は、企業情報技術(「IT」)システム全体を含むものとし、テナント「ネットワーク」は、MSSPがSIEMサービスを提供するMSSPのクライアントにこの用語を適用する。例えば、ネットワークは、任意の物理的および/または無線接続によって接続され、他の一つ以上のノードと情報を通信および共有するよう構成される、二つ以上のノード(例えば、デバイス)のグループを含み得る。ただし、ネットワークという用語は、任意の特定のノード、またはそれらのノードを接続する任意の特定の手段に限定されるものではない。ネットワークは、イーサネット、イントラネット、および/またはエクストラネットに接続し、各デバイスの物理的な場所に関係なく、アドホック接続(例えば、Bluetooth(登録商標)、近距離無線通信(NFC)など)、ローカルエリア接続(「LAN」)、無線ローカルエリアネットワーク(「WLAN」)、および/または仮想プライベートネットワーク(「VPN」)を介して互いに通信するよう構成されたデバイス(例えば、サーバ、データベース、ローカルもしくはクラウドストレージ、デスクトップコンピュータ、ラップトップコンピュータ、パーソナルデジタルアシスタント、携帯電話、ウェアラブル、スマート家電、など)の任意の組み合わせを含むことができる。ネットワークには、デバイスによって配備されるか、またはその他の方法でファイアウォール、電子メールクライアント、文書管理システム、オフィスシステムなどの企業ITシステムによって利用される、任意のツール、アプリケーション、および/またはサービスがさらに含まれ得る。一部の非限定的な態様では、「ネットワーク」は、第三者によって所有および制御されているが、テナントが企業ITシステムにアクセスすることを承認されている、第三者デバイス、アプリケーション、および/またはサービスを含む場合がある。
【0019】
セキュリティ情報およびイベント管理(SIEM)には、情報技術(IT)インフラ全体にわたり、多くの異なるリソースからの活動を集約および分析するように構成されたソフトウェアが含まれる。例えば、マネージドセキュリティサービスプロバイダ(MSSP)としても知られているSIEMサービスプロバイダによってSIEMを利用して、複数のシステムからデータ(例えば、ログデータ、イベントデータ、脅威インテリジェンスデータなど)を集約し、そのデータを分析して、異常な行動または潜在的なサイバー攻撃を捕捉することができる。例えば、SIEMは、ネットワークデバイス、サーバ、ドメインコントローラなどからセキュリティデータを収集し得る。SIEMを実行して、そのデータを保存、正規化、集約、および分析を適用し、トレンドを検出し、脅威を検出し、組織が任意のアラートを調査できるようにし得る。
【0020】
一般的に実装されるSIEMの例としては、Azure Sentinel and Splunk Cloud、Devo、LogRhythm、IBM’s QRadar、Securonix、McAfee Enterprise Security Manager、LogPoint、Elastic Stack、ArcSight Enterprise Security Manager、InsightIDRなどが挙げられる。クラウドベースのツールとして Azure Sentinel を導入することは、マネージドセキュリティサービスプロバイダ(MSSP)の間で広く受け入れられており、そのため、Azure Sentinelは非限定的な例として説明される。しかしながら、当然のことながら、他のSIEMが本開示によって企図される。ほとんどのSIEMと同様、Azure Sentinelの導入には高度なスキルが必要であると同時に時間のかかる作業であり、エラーが発生しやすい可能性がある。セキュリティソリューションを必要とする各組織には、取り込みログソース、検出/アラートルール、応答の自動化、レポートなどの監視、およびアラートに関する特別なニーズがある。マイクロソフト(MSFT)は多くの場合、複数のクライアントを管理するためにMSSPによって使用されるが、アーチファクト(例えば、リソースグループ、ログ分析ワークスペース、アラートルール、ワークブック、プレイブックなど)の初期構成、導入、および継続的なメンテナンスの複雑さは大幅に増大している。これにより、より高価なスペシャリストを採用しなければならないMSSPと、増加している費用の少なくとも一部を負担することが多いクライアントの両方にとって、高いコストが生じる可能性がある。ただし、多くの場合、様々なクライアントの導入ニーズの一部の間には、重複がある。例えば、多くの組織が、同様のファイアウォールモニタリングソリューションを必要としている可能性がある。こうした場合、資産の再利用、及び再導入(及び更新)は、大幅なコスト削減、及び運用の簡素化につながる可能性がある。残念ながら、既知のSIEMツールは、こうした相乗効果を利用することが、技術的に不可能である。そのため、初回のプロビジョニング、データの収集、分析、および分類、脅威の検出からインシデント対応の自動化に至るまで、MSSPには、複数のクライアント間で効率を捕捉するための、再利用の機会が限定されている。したがって、改良されたデバイス、システム、および実装方法、ならびにSIEMクライアント更新の発行が必要である。こうした機能強化により、検出ルール、可視化、調査ワークブック、継続的なメンテナンスの導入を含む、SIEMの技術性能とコスト効率が改善され得る。
【0021】
したがって、完全なエンドツーエンドのSIEMソリューションを提供しながら、単一のステップで実行できる再利用可能な事前パッケージ化されたソリューションを生成および導入するために、自動化された「サービスとしての」アプローチを採用するデバイス、システム、および方法に対するニーズがある。このようなデバイス、システム、および方法は、SIEM(例えば、Sentinel、Azureなど)の最低限の理解のみでボタンを一回クリックすることでSentinelの実装を導入できる。したがって、こうしたデバイス、システム、および方法は、クラウドベースのSIEM実装を、一貫性を持って繰り返し拡張するために使用することができる。ユーザは、導入全体が行われる場所、および/またはそれぞれのクライアントに対するログイン認証情報を提供するだけでよい。
【0022】
侵害指標(IoC)
既知のSIEMツールは、イベントの監視、データの収集、およびネットワーク全体でのセキュリティアラートの発行を含む優れた機能を提供するが、これらの機能を実行するために収集され、信頼されるデータの品質は一貫性がなく、多くの場合、信頼できない。SIEMサービスまたはソフトウェアのすべてのMSSPまたはユーザは、クライアント、セキュアデータベース、およびセキュリティサービスを提供するネットワークに対して悪質であり得るファイルまたはアクティビティの指標として使用し得る、様々な情報およびデータのソース(本明細書では、「ソース」または「データソース」と称する)にアクセスし、それを利用し得る。これらの形態のデータは、脅威の性質に対する矛盾、ならびに虚偽の報告、過小報告、または報告されていない情報を含む、異なるソース間のいくつかの不一致を含む場合がある。
既知のSIEMツールは、イベントの監視、データの収集、およびネットワーク全体でのセキュリティアラートの発行を含む優れた機能を提供するが、これらの機能を実行するために収集され、信頼されるデータの品質は一貫性がなく、多くの場合、信頼できない。SIEMサービスまたはソフトウェアのすべてのMSSPまたはユーザは、クライアント、セキュアデータベース、およびセキュリティサービスを提供するネットワークに対して悪質であり得るファイルまたはアクティビティの指標として使用し得る、様々な情報およびデータのソース(本明細書では、「ソース」または「データソース」と称する)にアクセスし、それを利用し得る。これらの形態のデータは、脅威の性質に対する矛盾、ならびに虚偽の報告、過小報告、または報告されていない情報を含む、異なるソース間のいくつかの不一致を含む場合がある。
【0023】
さらに、脅威および脅威指標(脅威指標は、本明細書では、「侵害指標」または「IoC」と総称される)を示すことを意図するMSSPによって利用されるデータソースは多数あるため、セキュリティプロバイダ、アナリスト、またはMSSPが、クライアントネットワークまたはデータベースへの脅威にリアルタイムで対処および管理することは困難である。現在のSIEMソフトウェアおよびシステムは、多数のデータソースから未加工データを取得および受信することができるが、データおよび/またはデータソースの信頼性を分類することができず、どのソースまたはIoCが対処されるべきか、およびどの順序で対処されるべきかを優先するか、またはデータ内の新規および非競合の脅威を検出または識別することができ、これは、テナントネットワーク上の脅威を管理する上での有効性を十分に改善することなく、SIEMシステムに大量のデータが、複雑さの層を追加することを意味する。
【0024】
考察される侵害指標は、当技術分野で様々な公知の指標、ならびに発見されていないまたは新たに発見された指標を含み得る。IoCの一部の例には、データ侵害の証拠、複数のログイン、変則的なDNS要求、異常な受信/送信トラフィック、受信要求またはトラフィックに関する地理的不規則性、実行中の未知のアプリケーション、同じファイルに対する多数の要求などが含まれる。本明細書に記載の方法およびシステムは、攻撃の指標にも適用されてもよく、IoCのみに限定されない。
【0025】
SIEMソフトウェアまたはMSSPに利用可能な大量のデータおよびソースの信頼性に関する懸念は、部分的には大量のIoCデータから生じる一方、このデータは自動的に生成されるか、ユーザから報告されたものか、または十分に点検されていないかであるため、両方の偽陽性(良性の指標が悪質な指標としてフラグ付けされる)を引き起こす可能性があり、有用なプロセスを妨げることを引き起こし、偽陰性(悪質な指標がそのようなものとしてマークされていない場合)は、マルウェアが妨害されることなく動作することを可能にする可能性がある。さらに、IoCにおけるマルウェアの新しいバリアントまたは形態を検出することは困難である。IoCを適切にランク付けし、様々な脅威情報ソースの信頼性をプログラム的に考慮する能力の欠如から、ソフトウェア、プロバイダ、および/またはセキュリティアナリストによって処理されるデータソースおよびIoCデータの数を減らすことで、セキュリティ管理プロセスの簡素化を目指す、最もよく確立されたSIEM方法がもたらされた。これは、効果的または有効なデータソースが、新しい脅威に対応し、新しい形態の情報を受信するためのSIEMサービスまたはMSSPの潜在的な有効性および柔軟性を低減する、ルーチンまたはより慣れたソースにとって有利に破棄され得ることを意味し得る。
【0026】
したがって、完全なエンドツーエンドのSIEMソリューションを提供しながら、単一のステップで実行できる再利用可能な事前パッケージ化されたソリューションを生成および導入するために、自動化された「サービスとしての」アプローチを採用し、データを分類して提示し、応答を自動化できる、信頼できるデータソースから信頼できるデータを提供する、数千の装置全体に大規模に展開され得る、デバイス、システム、および方法に対するニーズがある。このようなデバイス、システム、および方法は、SIEM(例えば、Sentinel、Azureなど)の最低限の理解のみでボタンを一回クリックすることで、例えば、Sentinelの実装を通して導入される可能性がある。したがって、こうしたデバイス、システム、および方法は、クラウドベースのSIEM実装を、一貫性を持って繰り返し拡張するために使用することができる。
【0027】
本開示は、こうしたデバイス、システム、および方法を企図し、そのすべては、従来のMSSPおよびSIEMプラットフォームよりも多くの技術的利益を提供し、IoCデータおよび関連するソースおよびフィード(本明細書では、それぞれデータソースおよびデータフィードとも呼ぶ)の取り扱いを企図する。データフィードは、ユーザがデータソースから更新データを受信する機構を含み得る。これは、ポイントツーポイント設定ならびにワールドワイドウェブでのリアルタイムアプリケーションによって一般的に使用され、例にはウェブフィードまたはRSSフィードを含めることができる。データソースは、データベースまたはサーバなどの、データがデータフィードのデータを含むことから生じる場所を指すことができる。
【0028】
本開示は、こうしたデバイス、システム、および方法を提示し、それらすべてが多くの技術的利益を提供し、MSSPは、一つの非限定的態様による、Azure Sentinelの実装などのクラウドベースのSIEMの実装を、大規模に、繰り返し、および一貫して導入することを可能にする。例えば、本明細書に開示されるデバイス、システム、および方法は、データとデータソースとの間の不一致を解決し、多数のIoCデータを利用することができる情報を生成しつつ、脅威をリアルタイムで効果的に管理する際に利用されるデータの信頼性を確保する効果的な方法を提供することができる。提示された技術は、データソースを集約、分類、スコア化し、新しい脅威を検出および特定し、SIEM環境でIoCに応答するための自動化された方法およびシステムを提供する。
【0029】
提示された技術の一部の実施形態では、SIEM自律的セキュリティシステムまたはMSSPサーバ(以下、集合的に「セキュリティシステム」と呼ばれる)は、テナントネットワーク内のIoCを検索し、それに遭遇し、IoCが有形の脅威を提示するか、またはそれらが良性であるかを確認する。開示されたセキュリティシステムおよび方法は、データソースまたはフィードからIoCに関する情報を収集し、各ソースを割り当てるか、または信頼性スコアを供給することができる。これらのソースまたはフィードは、セキュリティシステムの文書、データベース、サーバ、ノード、またはネットワークで定期的に収集、更新、集約、インデックス付けされ得る(これらは、複数の形態で記述されていない場合であっても、一つ以上のデータベースを示し得る「SIEM自律的セキュリティシステムデータベース」または「セキュリティシステムデータベース」と総称される)。これらのステップは、ソースおよびフィードに関連付けられたデータおよび信頼性スコアを経時的に性能に基づいて改善および更新するために、一度発生してもよく、または経時的に繰り返されてもよい。したがって、セキュリティシステムデータベースは、様々なソースおよびフィードからの情報、ならびにこれらのソースまたはフィードの割り当て、事前設定、または計算された信頼性スコア、および過去の性能スコアを含み、ソースまたはフィードの各々は、様々な侵害指標に関する情報またはデータを含んでもよい。セキュリティシステムがテナントネットワーク内のIoCに遭遇するたびに、セキュリティシステムデータベースは、セキュリティシステムによってクエリされてもよく、それによって、セキュリティシステムは、IoC脅威スコアを計算し、IoCを悪質または良性の脅威として分類し、その後、必要に応じて、追加的かつ自律的な措置を講じることができ、これは、アラート、通知、推奨の送信、または自律的なセキュリティ応答の導入を含み得る。
【0030】
図
ここで図1を参照すると、別の組織のセキュリティオーケストレーション、自動化、応答(SOAR)をリモート的に管理するように構成された、システム1000のブロック図が、本開示の少なくとも一つの非限定的な態様に従って、図示される。図1の非限定的な態様によれば、システム1000は、図2を参照して更に論じられるように、SOARアプリケーション(図2参照)を保存するように構成されたメモリ1006と、および保存されたSOARアプリケーション(図2参照)を実行するように構成されたプロセッサ1004とを備える、SOAR管理サーバ1002を含み得る。例えば、SOAR管理サーバ1002は、マネージドセキュリティサービスプロバイダ(「MSSP」)によって所有、またはリースされる、計算リソースであってもよい。SOAR管理サーバ1002は、ネットワーク1008を介して、複数のテナント1010a、1010b、…1010nに通信可能に結合することができる。複数の各テナント10101、10102、…1010nは、MSSPと契約している顧客(例えば、組織)を表すことができる。図1の非限定的な態様によれば、ネットワーク1008は、任意の様々な有線、長距離無線、および/または短距離無線ネットワークを含み得る。例えば、ネットワーク1008は、とりわけ、内部ネットワーク、ローカルエリアネットワーク(LAN)、Wi-Fi(登録商標)、セルラーネットワーク、近距離無線通信(以下、NFC)などを含む。
ここで図1を参照すると、別の組織のセキュリティオーケストレーション、自動化、応答(SOAR)をリモート的に管理するように構成された、システム1000のブロック図が、本開示の少なくとも一つの非限定的な態様に従って、図示される。図1の非限定的な態様によれば、システム1000は、図2を参照して更に論じられるように、SOARアプリケーション(図2参照)を保存するように構成されたメモリ1006と、および保存されたSOARアプリケーション(図2参照)を実行するように構成されたプロセッサ1004とを備える、SOAR管理サーバ1002を含み得る。例えば、SOAR管理サーバ1002は、マネージドセキュリティサービスプロバイダ(「MSSP」)によって所有、またはリースされる、計算リソースであってもよい。SOAR管理サーバ1002は、ネットワーク1008を介して、複数のテナント1010a、1010b、…1010nに通信可能に結合することができる。複数の各テナント10101、10102、…1010nは、MSSPと契約している顧客(例えば、組織)を表すことができる。図1の非限定的な態様によれば、ネットワーク1008は、任意の様々な有線、長距離無線、および/または短距離無線ネットワークを含み得る。例えば、ネットワーク1008は、とりわけ、内部ネットワーク、ローカルエリアネットワーク(LAN)、Wi-Fi(登録商標)、セルラーネットワーク、近距離無線通信(以下、NFC)などを含む。
【0031】
さらに図1を参照すると、複数の各テナント10101、10102、…1010nは、一つ以上のクライアント1012、1014、1016の一つ以上のインスタンスをホストすることができる。例えば、第一のテナント10101は、一つ以上のクライアントアプリケーション10121、10122、…1012nを実行する一つ以上の機械を含んでもよく、第二のテナント10102は、一つ以上のクライアントアプリケーション10141、10142、…1014nを実行する一つ以上の機械を含んでもよく、かつ/または第三のテナント1010nは、一つ以上のクライアントアプリケーション10161、10162、…1016nを実行する一つ以上の機械を含んでもよい。各テナント10101、10102、および1010nは、クライアントアプリケーションを実行する各機械によって、イントラネットを含むことができる。例えば、各テナント10101、10102、および1010nは各々、セキュリティサービスのためにMSSPと契約している組織などの顧客を表すことができる。
【0032】
したがって、SOAR管理サーバ1002は、複数の各テナント10101、10102、および1010nの監視を有するように構成することができ、したがって、脅威に対して各クライアントアプリケーション1012、1014、1016をモニタリングし、管理する責任を負う。前述したように、テナント10101、10102、および1010nアーキテクチャにおける差異および複雑さは、これを複雑にし、MSSPにとって非効率にし得る。したがって、既知のSOARツールは、テナント10101、10102、および1010nを、攻撃に対して技術的に曝露された、従って脆弱なままにし得る。本開示の非限定的な態様によれば、SOAR管理サーバ1002は、相関したおよび相乗的な開発ニーズに基づいて、複数のテナントに対するSOAR管理サーバ1002の管理能力、およびアラートの送信能力、およびクライアントアプリケーションの更新能力を強化することによって、技術的に、および実践的にこれらの欠陥に対処する、SOAR管理アプリケーション(図2参照)を実行できる。更に、図2のアーキテクチャ2000は、様々なモジュール、テナント、およびSOAR管理サーバ1002間の通信の異なる手段を更に示す。
【0033】
ここで図2を参照すると、図1のシステム1000の機能的アーキテクチャ2000のブロック図が、本開示の少なくとも一つの非限定的な態様に従って示される。図2の非限定的な態様によれば、アーキテクチャ2000は、SOAR管理サーバ1002のメモリ1006(図1)に保存されたアプリケーションを介して集合的に提供される、コンテンツライブラリ2002、バリアブルストア2004、自動化スキーム2008、およびサービス運用エンジン2012を含み得る。一部の非限定的な態様によれば、SOAR管理サーバ1002は、MSSPおよび/またはテナント1010nに対して、リモートに位置し得る。例えば、SOAR管理サーバ1002は、クラウドベースのものであってもよい。プロセッサ1004(図1)によって実行されると、アプリケーションのコンテンツライブラリ2002、バリアブルストア2004、自動化スキーム2008、およびサービス運用エンジン2012は、複数のテナント1010n、またはクライアント組織に対する、複数のSOARプラットフォーム2018の、同時構成、管理、および/または制御を、大規模に、集合的に容易にすることができる。更に、プロセッサ1004(図1)によって実行されると、アプリケーションは、本明細書において更に詳細に説明されるように、抽象的または動的のいずれかで、クライアント組織のSOARプラットフォーム2018をサポートし得る。
【0034】
一部の非限定的な態様によれば、SOAR管理サーバ1002によって導入されたアプリケーションは、2021年6月3日および2022年6月3日にそれぞれ出願された、「DEVICES, SYSTEMS, AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED, AND SYNERGISTIC DEPLOYMENT NEEDS」と題する、米国仮特許出願第63/196,458号およびPCT出願PCT/US22/72739号に開示される、Azure Sentinel Automation Portal(ASAP)として構成されてもよく、その開示は、参照によりその全体が本明細書に組込まれる。例えば、1つの非限定的な態様によれば、ASAPポータルランタイムソフトウェアコードは、コンテンツライブラリ2002からのコンテンツ、SOARプラットフォーム2018への接続、および/または他のサービス、並びにSOAR管理サーバ1002が展開、更新、および/または読み取るためのサービス要求を、処理することに関与する、サーバミドルウェアを含み得る。換言すれば、コンテンツライブラリ2002、バリアブルストア2004、および自動化スキーム2008を含む、SOAR管理サーバ1002によって導入されるアプリケーションは、一つ以上のテナント10101-nと同時に作業する能力と併せて、全てのテナント10101-n(図1)導入の、統一された、簡略化されたビューを提供することができる。
【0035】
コンテンツライブラリ2002は、SOAR管理サーバ1002が、一つ以上のテナント1010nの、SOARプラットフォームを構成、および管理することができる、様々なアーチファクト(例えば、検出、自動化、ワークブック、アラートルール、プレイブックなど)を記憶するように、構成され得る。一部の非限定的な態様によれば、図2のコンテンツライブラリ2002は、アプリケーションに対して局所的に保存することができ、これは、SOAR管理サーバ1002のメモリ1006(図1)を介して提供されることを意味する。しかしながら、他の非限定的な態様によれば、コンテンツライブラリ2002は、SOAR管理サーバ1002に通信可能に結合された、リモートサーバ上に記憶され得る。さらに他の非限定的な態様では、コンテンツライブラリ2002は、第三者プロバイダ(例えば、GitHub、GitLab、など)、どちらも「DEVICES, SYSTEMS, AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED, AND SYNERGISTIC DEPLOYMENT NEEDS」と題する米国仮特許出願第63/196,458号およびPCT国際出願第PCT/US22/72739号に開示されているものと類似しており、両方の開示は、参照によりその全体が本明細書に組み込まれる。要約すると、コンテンツライブラリ2002、より具体的には、コンテンツライブラリ2002内に保存されたアーチファクトは、SOAR管理サーバ1002が、テナント1010n、またはクライアント組織のための、SOARプラットフォーム2018と、リモートでインターフェース接続、および/または管理することができる、ルールを制御する。例えば、コンテンツライブラリ2002は、SOAR管理サーバ1002、および/またはSOARプラットフォーム2018が、テナントアーキテクチャ1010n全体の検出された変数に基づいて、決定されたリスクスコアが所定の閾値を超えると決定する場合、ユーザアカウントの非アクティブ化を自動化するように構成された、一つ以上のルール、および/またはテンプレートを記憶し得る。
【0036】
図2の非限定的な態様によれば、特定のクライアント組織、および/またはテナント1010nアーキテクチャに固有の変動ポイントなどの、テナント1010nの要件は、コンテンツライブラリ2002に保存されたアーチファクトに提供され得る。コンテンツライブラリ2002は、2021年6月3日および2022年6月3日に出願された、「DEVICES, SYSTEMS, AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED, AND SYNERGISTIC DEPLOYMENT NEEDS」と題する、米国仮特許出願第63/196,458号およびPCT国際出願第PCT/US22/72739号に開示されているものなど、導入可能なアーチファクトテンプレートに従って、これを達成でき、その開示は、参照によりその全体が本明細書に組込まれる。例えば、コンテンツライブラリ2002は、アラートルール、ワークブック、プレイブックなどを定義するための、「JSON」ファイルを含むことができる。新しいコンテンツがコンテンツライブラリ2002に追加されるか、または既存のコンテンツが更新されると、変更は、SOAR管理サーバ1002を介して、テナント1010nのSOARプラットフォーム2018に、自動的にプッシュされ得る。換言すれば、SOAR管理サーバ1002は、導入されると、各テナントのアーキテクチャに基づいて変化する、各テナントの10101-n(図1)固有のSOARニーズに対して、構成され得る。
【0037】
バリアブルストア2004は、SOAR管理サーバ1002と、テナント1010n、またはクライアント組織のアーキテクチャとの間の、インターフェースを更にカスタマイズするように、構成され得る。例えば、バリアブルストア2004は、MSSPなどの、SOAR管理サーバ1002のユーザが、SOAR管理サーバ1002によって検出されるように、テナント1010nアーキテクチャに関連付けられた変数を、コンテンツライブラリ2002に記憶された様々なアーチファクトに定義、および/またはリンクできるようにし、これにより、SOAR管理サーバ1002がクライアント固有の実行を自動化する能力が強化される。一部の非限定的な態様によれば、変数は、宛先環境を一意的に示すプライマリキーを使用して記憶され得る。例えば、管理対象の環境を登録するとき、MSSP、または別のユーザは、コンテンツが特定の環境に展開されているときに構成できるように、環境に関連付けられた管理者アカウントを示し得る。したがって、導入される自動化は、それらのアカウントロールに特有の自動化を実行するように、どのアカウントが管理者であるかが供給される必要がある場合がある。
【0038】
自動化スキーム2008は、様々なテナント10101-n(図1を参照されたい)アーキテクチャ間の共通性を認識し、SOAR管理サーバ1002の実行を標準化するように、構成され得る。これは、単一のクライアント組織に対して実行されるように構成されるか、または複数のテナント10101-n、またはクライアント組織にわたって実行するために大量の手動労働を必要とする、従来のSOAR管理プラットフォームを超える、大幅な技術的改善を表す。例えば、従来のSOARプラットフォームは、クライアント固有の環境、およびニーズの評価を必要とし、これは、カスタムソリューションの設計、および実行を必要とする。図2の自動化スキーム2008は、コンテンツライブラリ2002、およびバリアブルストア2004と併せて、図1および図2のSOAR管理サーバ1002が、カスタマイズされたSOARソリューションを自動的に生成し、そのようなソリューションを、前例のない数のテナント10101-n、またはクライアント組織にわたって、同時にスケーリングすることを可能にする。
【0039】
SOAR管理サーバ1002によって開始されるアプリケーションは、APIブローカー2006、並びにグラフィカルユーザインターフェース2010をさらに含むことができる。一つの非限定的な態様による、こうしたグラフィカルユーザインターフェース4000の一例を、図4に示す。例えば、図4のグラフィカルユーザインターフェース4000は、認証設定を操作するための一つ以上のプラットフォーム4002、4004、4006を含み得る。プラットフォームは、とりわけ、例えば、Okta 4002、Duo 4004、および/または Azure AD 4006などの認証メカニズムとして機能する第三者アプリケーションであり得る。プラットフォーム4002が選択されると、グラフィカルインターフェースは、設定ウィザード4008を表示することができる。設定ウィザード4008は、ユーザが、ユーザ、ユーザグループ、および/または修正プレイブックなどの様々なパラメータに対して様々な設定を構成することを可能にする、一つ以上のウィンドウ4010を含み得る。各ウィンドウ4010は、選択されたとき、SOAR管理サーバ1002に通信可能に結合されたディスプレイおよび/または周辺デバイス(例えば、キーボード、マウス、タッチスクリーンなど)を介して、情報を視覚的に提示し、ユーザ入力を受信するように構成されたそのパラメータに対する特定の設定をユーザが構成できる命令4012を表示することができる。例えば、グラフィカルユーザインターフェース2010は、ユーザが一つ以上のテナント1010n、又はクライアント組織に対する、SOARプラットフォームの、セットアップ、および/または自動化を制御し得るウィザードを実行するように、構成され得る。
【0040】
図2を更に参照すると、1つのこうしたテナント1010nアーキテクチャの実施例が、本開示の少なくとも一つの非限定的な態様に従って図示される。SOAR管理サーバ1002は、テナント1010nアーキテクチャに関連付けられた変数を検出するように、並びに図2に示される一つ以上のモジュールを含む、テナント1010n固有の構成を、設計および導入するように、構成され得る。例えば、図2の非限定的な態様によれば、テナント1010nアーキテクチャは、リモートSOARプラットフォーム2018、ダッシュボード/レポートモジュール2022、および一つ以上のセキュリティツールアプリケーションプログラムインターフェース(「API」)2020a~dを含み得る。各セキュリティツールAPI2020a~dは、テナント1010nに導入されたクライアントのAPIに対する、悪意のある攻撃または誤用を防止するように、構成され得る。APIはウェブベースの相互作用をプログラミングする鍵となっているため、ハッカーの標的となっている。したがって、セキュリティツールAPI2020a~dは、クライアントのAPIをモニタリングし、疑わしいイベントが検出された場合、アラート2030をSOARプラットフォーム2018に送り返すことができる。
【0041】
一部の非限定的な態様によれば、ダッシュボード/レポートモジュール2022は、テナント1010nのサイバーセキュリティの、カスタマイズ可能な視覚的表現を含み得る。例えば、ダッシュボード/レポートモジュール2022は、MSSPおよび/またはクライアント組織の従業員が、テナント1010nネットワークにわたって何が起こっているかを視認すること、並びに検出された脅威に応答して、ネットワークを保護するために是正措置を取ることを可能にすることができる。これにより、MSSP及び/又はクライアント組織は、サイバーセキュリティインシデントを著しくより効率的な方法で、特定、防止、軽減、及び/又は予測することができる。もちろん、図2の固有のテナント1010nアーキテクチャは、単に例示の目的で提示される。他の非限定的な態様によれば、SOAR管理サーバ1002によって設計および導入されたテナント1010nアーキテクチャは、代替的なタイプ、および/またはモジュールの数量を含むように、代替的に構成することができる。SOAR管理サーバ1002、より具体的には、コンテンツライブラリ2002、バリアブルストア2004、および自動化スキーム2008の能力は、テナント1010nに代わってリモート管理され得る、カスタマイズされたSOARベースのソリューションを、可能にする。SOAR管理サーバ1002によって導入されるように、バリアブルストア2004によって検出された変数、および検出された変数に基づいてコンテンツライブラリ2002から選択されるアーチファクトに応じて、各ソリューションは異なる。
【0042】
更に、図2のアーキテクチャ2000は、更に、SOAR管理サーバ1002の様々なモジュールと、一つ以上のテナント1010nとの間の、異なる通信手段を示す。例えば、APIブローカー2006などの特定のモジュールは、サービス運用エンジン2012、グラフィカルユーザインターフェース2010、リモートSOARプラットフォーム2018、およびダッシュボード/レポートモジュール2022などの他のモジュールと、サービス層2024を介して通信し得る。コンテンツライブラリ2002、バリアブルストア2004、およびAPIブローカー2006などの他のモジュールは、管理およびコンテンツ配信層2026を介して、テナント1010nの、リモートSOARプラットフォーム2018と通信し得る。リモートSOARプラットフォーム2018は、SOAR通信プロトコル2028を介して、テナント1010nの、一つ以上のセキュリティツールAPI2020a~cと通信し得る。一つ以上のセキュリティツールAPIは、アラートプロトコル2030を介して、バリアブルストア2004からの変数によって定義されるように、コンテンツライブラリ2002から適用されたアーチファクト2032によって定義されるルールに従って、リモートSOARプラットフォーム2018に、警告を送信し返す。コンテンツライブラリ2002から選択されたアーチファクト、およびバリアブルストア2004から検出された変数が、アーチファクト2032に与える影響は、対応するクロスハッチングを介して、図2に示される。言い換えれば、類似または同じプロトコルおよび/または方法を適用することができるが、各通信手段は、異なるコンテンツを含み得る。したがって、エンドユーザは、特定の「MDR」(Managed Detection and Response)サービスの有無にかかわらず、図2のアーキテクチャ2000を活用することができる。しかしながら、特定のMDRサービスで配信されると、APIとインターフェースを取る特定のMDRサービスユーザと同じAPIを使用し、アーキテクチャ2000を管理し、一つ以上のテナントに代わって措置を取ることができる。
【0043】
図2の非限定的な態様に例示されるように、SOAR管理サーバ1002のアーキテクチャの様々なモジュールは、バリアブルストア2004によって決定され、および/または以前に保存されるように、テナント1010nに関連付けられた自律的に選択された変数である、コンテンツライブラリ2002からの特定のアーチファクト2032に従って、テナント1010nのリモートSOARプラットフォーム2018と通信、管理、および制御するように構成され得る。したがって、コンテンツライブラリ2002、およびバリアブルストア2004は、自動化スキーム2008と併せて、SOAR管理サーバ1002が、各テナントの1010n SOARプラットフォーム2018と統合しリモート管理するためのカスタム構成を、自律的に生成することを可能にし得る。例えば、アーチファクト2032は、SOAR管理サーバ1002の、APIブローカー2006、およびサービス運用エンジン2012が、テナント1010nのリモートSOARプラットフォーム2018とインターフェースする手段を定義し得る。更に、アーチファクト2032は、コンテンツアラート2030、及びそれらが1つ以上のセキュリティツールAPI2020a~dからリモートSOARプラットフォーム2018に送信される条件を、更に定義することができる。
【0044】
コンテンツライブラリ2002、バリアブルストア2004、および自動化スキーム2008を含む、SOAR管理サーバ1002は、MSSPがクライアント組織SOARプラットフォーム2018をリモート管理できる、強力なクラウドベースのツールを提供することができる。プライマリインターフェースはグラフィカルユーザインターフェース2010であるが、APIインターフェース2006は、SOARプラットフォーム2018管理機能のプログラム制御を更に可能にすることができ、これにより、ユーザは、中央インターフェースを介して、テナント1010nなどのリモート環境に、コードベースのコンテンツを制御する、プレイブック、自動化、統合、ダッシュボード、および他のSOARの形態で、コンテンツを導入することを可能にする。更に、SOAR管理サーバ1002の、コンテンツライブラリ2002、バリアブルストア2004、および自動化スキーム2008は、そのコンテンツのカスタマイズを可能にし、テナント1010n固有のニーズに基づいて特注の導入を可能にする、特徴を提供する。換言すれば、SOAR管理サーバ1002は、導入時にオプションが自律的に決定され得るように、コードおよびコンテンツ(例えば、コンテンツライブラリ2002)の保存されたライブラリを参照する、モジュール式かつスケーラブルな方法を提供することができる。
【0045】
例えば、ユーザは、次世代アンチウイルス(「NGAV」)製品、電子メールセキュリティ製品、および/またはアイデンティティ保護製品の統合を可能にし、その後、グラフィカルユーザインターフェース2010を介してユーザから受信した制御に基づいて、検出、調査、および応答の段階を自動化することができる、プレイブック、コード、統合、および/またはダッシュボードなどの、コンテンツライブラリ2002に保存された、一連のアーチファクトを展開することができる。追加的におよび/または代替的に、SOAR管理サーバ1002は、ユーザが、テナント1010nのアーキテクチャまたは環境の一部分を、自動化することを可能にすることができる。更に、グラフィカルユーザインターフェース2010は、ユーザが、ウィザードのような追跡、ウォークスルー、アプリケーションの簡略化を介して、自動化スキーム2008によって提示されるように、自動化特徴の「オプトイン」、および/または「オプトアウト」することを可能にすることができる。ユーザは、ダッシュボード/レポートモジュール2022を介して適用されるべきレポートおよび/またはダッシュボード機能、並びにプリファレンスを、更にカスタマイズすることができ、これは、自動化コンテンツに沿った導入のために、パッケージ化され得る。
【0046】
一部の非限定的な態様によれば、SOAR管理サーバ1002によって起動されるアプリケーションは、スケーラブルであってもよく、すなわち、リモートで管理(例えば、スケーラビリティ)できるSOARプラットフォーム2018を有するテナント1010nの数、および/または提供するSOAR管理機能の数に関して、拡張、または伸長する能力で構成され得る。換言すれば、コンテンツライブラリ2002、バリアブルストア2004、および自動化スキーム2008を含む、アプリケーションは、SOAR管理サーバ1002が、将来の使用のために拡張されることを可能にするために必要な労力のレベルを最小化するように、設計され得る。例えば、SOAR管理サーバ1002によって起動されるアプリケーションによって提供される拡張機構、SOAR管理サーバ1002の追加のサービス構成要素および特徴を可能にするように構成されたプラガブルアドオンを、将来導入することができる。
【0047】
一部の非限定的な態様によれば、拡張機構は、追加のSOARサービス構成要素へのプラグ接続を可能にするために、様々な方法で実装され得る。例えば、とりわけ、DUO、Oktaなどの認証機構は、同時にサポートされ得る(図4のグラフィカルユーザインターフェース4000を介して図示のとおり)。これらの認証機構はハードコード化されなくてもよいが、構成ファイルは検出可能であり得る(例えば、認証機構の各々の主要な「config」ファイルは、新規ファイルまたは削除されたファイルについてスキャンされている周知のリポジトリ場所に配置され得る)。Azure ADなどの新しい構成もサポートされる場合、Azure ADに対応する構成ファイルは、DuoおよびOkta構成と同じリポジトリ場所に配置され、アプリケーション管理サーバによって発見され、必要に応じてクライアントから選択および設定するようにユーザに提示される。構成ファイルは、このアプリケーション管理ツールによって定義され、理解されるスキームに準拠することができ、ユーザインターフェース4000(図4)要素4002、4004、4006(図4)は、それに応じて生成および自動入力され得る。特に、本明細書で論じるSOARアプリケーションは、ソースコードにハードコードされていないが、この方法に従って新しい構成を通して動的に差し込まれる追加の構成機能で容易に拡張される方法で構築される。
【0048】
ユーザが自動化を介してこれらのアドオンを導入すると、SOAR管理サーバ1002によって起動されるアプリケーションをトリガして、MSSPの代わりに追加のサブスクリプションベースのサービスを可能にし、テナント1010nのセキュリティ、および健全性モニタリングを強化することができる。追加的におよび/または代替的に、SOAR管理サーバ1002によって導入されたアプリケーションは、図2に図示されるように、完全に新しいカスタマイズされたテナント1010nアーキテクチャを生成する代わりに、テナント1010nによって既に導入された以前のSOAR資産の、少なくともいくらかを発見および軽度な管理することを可能にし得る、既存の「管理されていない」コンテンツで動作するように構成され得る。
【0049】
前述したように、プロセッサ1004(図1)によって実行される時、アプリケーションは、クライアント組織のSOARプラットフォーム2018を、抽象的、および/または動的に管理するように構成され得る。例えば、抽象的実施において2021年6月3日に出願された、「DEVICES, SYSTEMS, AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED, AND SYNERGISTIC DEPLOYMENT NEEDS」と題する、米国仮特許出願第63/196,458号に開示されるように、SOAR管理サーバ1002は、コンテンツライブラリ2002に保存された、汎用的に定義されたアーチファクトを採用してもよく、その開示は、参照によりその全体が本明細書に組み込まれる。汎用的に定義されたアーチファクトは、例えば、実行可能なコードのブロックを含み得る。ところが、プラットフォーム固有の実施を、その後提供することができる(例えば、Azure Defender、Crowdstrikeなど)。要約の自動化/プレイブックは、一般的な形式で書かれ、その後、導入時に特定のフォーマットに翻訳され得る。例えば、ビジネス電子メールが漏洩した場合、ユーザの電子メールアカウントを無効にするように特に構成される自動化/プレイブックを作成することができる。しかしながら、特定の顧客環境におけるその自動化/プレイブックの実際の実装時に、本明細書に開示されるシステム1000(図1)および機能的アーキテクチャ2000(図2)は、テナントが使用する特定のメールアプリケーションに対して具体的に実装されるバージョンに、一般に記述されたコンテンツを翻訳することができる。このようにして、従来のシステムおよびアーキテクチャとは異なり、それを書き換えることなく、複数の環境にプログラム的に適合させることができるコンテンツを生成することができる。したがって、本明細書に開示されるシステム1000(図1)および機能的アーキテクチャ2000(図2)は、従来の自動化/プレイブックの技術的問題への重大な技術的ソリューション可撓性フォーマットおよびインターフェースを提供し、これにより、ユーザは、サービスを多数のテナントおよびその認証機構に拡張することができる。
【0050】
代替的に、動的実施では、SOAR管理サーバ1002は、コンテンツライブラリ2002を介して、新しい自動化タイプを動的に生成することができ、これは、後続の導入のために、グラフィカルユーザインターフェース2010によって自動的に検出され、選択のために表示され得る。同様に、エンドポイントモニタリングソリューション(例えば、CarbonBlackなど)などの新しい自動化は、自動化によって検出された有害なプログラムの実行をブロックする(例えば、実行可能なファイル自動化をブロックするなど)ものなど、所与の自動化タイプに対して、コンテンツライブラリ2002に追加され得る。同様に、それは、GUIで自動的に利用可能になる場合があり、適切なクライアントSOAR(これらのセキュリティツールを使用する)に展開できる。
【0051】
SOAR管理サーバ1002を介した導入時に、テナント1010n、またはクライアント、特定の 変動点は、バリアブルストア2004によって検出され、コンテンツライブラリ2002に保存されたアーチファクトと相関し得る。例えば、SOAR管理サーバ1002は、所与の構成に対して自動応答/是正措置(例えば、プレイブック)を構成する能力を有する。これらの是正措置は、任意選択のステップを必要とし得、例えば、テナントは、措置を最初に承認しなければならない場合がある。したがって、修復自動化の構成は、実際のタスクに対して類似の構成を伴い得る(例えば、アカウントをブロックする)が、承認ステップは、電話、または電子メール、またはワークフローフォーム(例えば、サービスチケットを介した統合)を介して手動で行われてもよい。このように、承認ステップは、可変であり得(例えば、存在しても存在しなくてもよく、存在する場合、いくつかの方法で達成されてもよい)、このクライアントおよびSOAR自動化のために構成するために、自動化リポジトリから適切なコードおよび構成を引き出すことを必要とする。
【0052】
したがって、導入時に、変動点は、テナント1010nのネットワークアーキテクチャに基づいて、テナント1010n固有のSOARニーズに対して構成され得る。1つの非限定的な態様によれば、SOAR管理サーバ1002は、SOARプラットフォーム2018を自動化して、セキュリティツールAPI 2020a~dによって受信された入力に基づいて、セキュリティイベントの検出時に、ユーザアカウントをブロックし得る。例えば、自動化は、テナント1010n管理アカウントからの承認など、いくつかのステップ、または条件を含み得る。導入中、例えば、グラフィカルユーザインターフェース2010を介して提示されるウィザードを介して、自動化は、テナント1010nの一つ以上の管理アカウントに関連付けられた情報(例えば、電話番号、ショートメッセージサービス(「SMS」)アドレス、電子メールアドレスなど)を提供するように、ユーザに要求し得る。したがって、管理アカウントからのアクションの接触および/または促しなどの、特定のステップおよび/または条件は、グラフィカルユーザインターフェース2010を介して、自動化にプログラムされ得る。
【0053】
一つの非限定的な態様によれば、カスタム自動化を実行すると、SOAR管理サーバ1002、より具体的には、SOAR管理サーバ1002によって生成されるカスタム自動化は、SOARプラットフォーム2018を管理して、一つ以上のセキュリティツールAPI2020a~dから受信した入力/アラートに基づいて、セキュリティイベントを検出し、ユーザアカウントをブロックする必要があると、決定することができる。SOAR管理サーバ1002は、SOARプラットフォーム2018を管理して、管理アカウントに通知し、自動化は承認を待つことができ、承認を受信すると、自動化のその後のステップへと続き、最終的に、テナント1010nネットワークから、疑わしいアカウントを削除することができる。前述したように、これは、各セキュリティツールAPI2020a~d、および/または通知方法に対する特定の実施を用いて、自動化タイプに抽象化され得る。疑わしいアカウントを除去することは、SOARプラットフォーム2018がテナント1010nネットワークのセキュリティを強化するために実行できる措置の一例に過ぎない。例えば、アカウントをブロックすること以外に、SOARプラットフォーム2018はまた、他の措置の中でも、疑わしいファイル、セキュリティ管理者への電子メールを削除することができる。
【0054】
SOAR管理サーバ1002によって導入されると、アーチファクト2032(例えば、自動化)は、テナント1010nアーキテクチャ内に存在し得、非限定的な態様に応じて、MSSPおよび/またはクライアントは、導入された構成を修正し得る。例えば、一部の非限定的な態様によれば、クライアントは、テナント1010nネットワークにわたって導入された構成を制御することを、望む場合がある。しかしながら、他の非限定的な態様によれば、クライアントは、MSSPが構成の排他的制御を有することを、望む場合がある。いずれにしても、SOAR管理サーバ1002によって導入されたアプリケーションは、MSSP、および/またはクライアントによってなされた変更を、自動的に検出し、それらを将来の導入、および/または既に導入されたアーチファクト2032への更新の管理のために使用するように、構成され得る。一部の非限定的な態様によれば、こうした変更は、SOAR管理サーバ1002のメモリ1006(図1)に保存された人工知能によって利用されて、類似のクライアント、および/またはアーキテクチャのための拡張された導入のために、コンテンツライブラリ2002内の、一つ以上のアーチファクト2032(例えば、テンプレート、ワークフローなど)を、適合させることができる。
【0055】
したがって、コンテンツライブラリ2020は、SOAR管理サーバ1002上のアプリケーションによって導入された時に、グラフィカルユーザインターフェース2010、およびAPIブローカー2006とともに、コンテンツライブラリ2002、およびクライアントのSOARプラットフォーム2018の両方への更新を、抽象的、および/または動的に検出することができる、寄与機構として機能し得る。これらの更新は、システム1000(図1)の中央コンソールとして機能する、SOAR管理サーバ1002を介して、集合的に管理することができ、前例のないスケーラビリティを可能にして、多数のクライアントを管理することができる。このように、SOAR管理サーバ1002は、別のクライアントのSOARプラットフォーム2018を、信頼性、および一貫性を以て、リモート管理することができる。そのモジュラー設計により、サードパーティーベンダーソリューションが進化するにつれて、ユーザおよびサードパーティーアプリケーションが、新しいアーチファクト2032に寄与し、および/または既存のアーチファクト2032を更新することを可能にし、「フューチャープルーフ」され得る。
【0056】
図3は、マネージドセキュリティサービスプロバイダを介したテナントネットワークの自律的なセキュリティ強化のための方法100の図を示す。様々な態様の方法100は、SIEM自律的セキュリティシステムまたはMSSPサーバ(以下、集合的に「セキュリティシステム」と呼ばれる)によって開始され得、クエリ105、データベースまたはサーバは、概してテナントネットワークにおいて、セキュリティシステムによってIoCに遭遇すると、開始されてもよい。セキュリティシステムデータベースは、保存およびインデックス付けされ、要求に応じてセキュリティシステムで利用可能な、データソースまたはフィードから履歴およびコンテキストデータまたは情報を含むか、または受信しているため、セキュリティシステムデータベースまたはネットワークをクエリ105すると、システムは、各ソースまたはフィードにアクセスすることができるデータおよび情報を検索して、遭遇またはその他の関連するIoCに関する情報を識別することができる。
【0057】
IoCが受信されるデータソースまたはフィードはそれぞれ、事前設定された信頼性スコアまたは値、またはセキュリティシステムによって計算および/または更新された信頼性スコアを含み得る。この信頼性スコアは、各データソースまたはフィードの信頼性を定義し、また、既知のまたは利用可能なデータに基づいて、セキュリティシステムによって自動的に決定されてもよく、これは、人間の関与のレベルおよび/または品質、ソースまたはフィードによって識別されるIoCの数、ソースまたはフィードの信頼性の履歴(例えば、ソースまたはフィードから得られたデータから生成される偽陽性または偽陰性の数)、ソースまたはフィードの経過年数、ソースまたはフィード中のIoCの経過年数または日付、コミュニティにおける、またはコミュニティ/ユーザレビューに基づく情報源やフィードの評価、特定のテナントまたはテナントネットワークに対するソースまたはフィードの関連性、セキュリティシステムが管理しているテナントネットワークのタイプ、およびソースまたはフィード上でセキュリティシステムに利用可能な情報の範囲を含む。クエリ105は、遭遇したIoCをSIEM自律的セキュリティシステムデータベース内の同一または類似のIoCと照合または識別し、遭遇したIoCへの参照または情報を含む関連するまたは関連するソースまたはフィードを識別し得る。
【0058】
遭遇したIoCに関連するソースを照合または識別した後、セキュリティシステムは、脅威のレベルまたは重大性を示すことを目的とする単一のIoC脅威スコア/IoC脅威スコアを計算および/または生成110する。IoC脅威スコアがシステムによって計算された後、IoC脅威スコアに基づいて、実行可能なセキュリティ強化通知が生成115される。実行可能なセキュリティ強化通知は、セキュリティアナリストまたは他のセキュリティシステムのユーザに送信されてもよく、テナントに属するか、またはMSSPの管理下にあるネットワーク、データベース、サーバ、または他のノードを保護するために講じられ得るセキュリティ管理措置に関する推奨を含んでもよい。
【0059】
様々な態様では、実行可能なセキュリティ強化通知は、計算されたIoC脅威スコアが、指定されたまたは事前設定されたセキュリティ脅威閾値を満たすか、またはそれを超えることを必要とする場合があり、一部の態様では、異なる閾値が設定されてもよく、それを満たすか、またはそれを超えると、それぞれ異なるセキュリティ強化の通知、応答、または実行可能な推奨がもたらされ、その一部は、セキュリティシステムのユーザまたはセキュリティアナリストに送信されてもよく、一方でその別の部分は、イベントの記録またはデータベースの更新などの他の自動措置、またはテナントネットワークもしくはセキュリティシステムの他の部分を作成してもよい。本開示の様々な実施形態では、IoC脅威スコア、セキュリティ閾値、および/またはセキュリティ強化通知またはアラートは、ユーザインターフェースを介してセキュリティシステムのユーザに表示されてもよい。ユーザインターフェースは、異なるIoC脅威スコア、実行可能な推奨などに対して、カラーコーディングまたはその他の視覚的効果もしくは技法を利用しうる。
【0060】
任意に、侵害指標はまた、SIEM自律的セキュリティシステムによって一つ以上のカテゴリに分類125されてもよく、または一つ以上のタイプの脅威として分類されてもよく、分類は、そのIoC脅威スコア、脅威レベル、それが満たす、超える、または別の方法で満たさない閾値、およびIoCスコアに対する生成された信頼性スコアに基づいてもよい。IoCは、悪質、良性、不明、または別のカテゴリもしくはタイプの異なる分類を与えられてもよい。分類はまた、セキュリティシステムのユーザまたはセキュリティアナリストに送信または表示されてもよい。分類レベルはまた、様々な実施形態では、システムによって表示、生成、または送信される推奨または実行可能なセキュリティ強化のタイプに影響を与え得る。
【0061】
いくつかの任意選択的な態様では、新しいマルウェアバリアントまたは脅威のタイプは、IoCの分類、計算されたIoC脅威スコア、計算されたIoC信頼区間または値、IoCが満たすか、またはそれを超えるセキュリティ閾値レベル、IoCの経過年数、IoCの広がりおよび/または分布、といった要因のうちの一つ以上に基づいて識別されてもよく、好ましい実施形態では、IoCは、以前に遭遇したIoCまたは脅威の特徴のすべてではないが一部を共有し、例えば、IoCが以前のマルウェアの系統またはバリアントと元のサーバを共有した場合には、新しいマルウェアバリアントが特定され得るが、ただし、それ自体に同一または同一のコードは含まれず、さらに、マルウェアは、以前の系統として、すべてではないが一部の行動または特徴(またはコード)を共有してもよく、これが、個別に、または本明細書に列挙される要因と組み合わせて、自律的セキュリティシステムが新しいマルウェアバリアントまたは他の脅威を識別することを可能にしてもよい。
【0062】
IoCの識別、IoC脅威スコアの計算、および/またはIoCの分類に応答して、およびセキュリティシステムの機能を改善するために、セキュリティシステムは、IoCデータを受信するために使用されるソースおよびフィードの偽/真陽性/陰性スコアを自動的に変更または更新することを実行してもよい。セキュリティシステムは、任意選択的に、偽陽性の数、真陽性の数、偽陰性の数、および真陰性の数のうちの少なくとも2つからなる一つ以上の比を決定することによって、自律的に調整135し、一つ以上のセキュリティ脅威閾値およびレベル、ならびに/またはソースもしくはフィードの信頼性スコアを更新してもよい。この応答は、システムに対するスコアの精度および有用性を改善し、応答および処理リソースをより良く展開することを可能にし、より正確なスコアおよび情報を有する脅威をより迅速に識別することによって応答時間を改善するだけでなく、各遭遇した脅威の即時性に基づいてシステムリソースをより効果的に管理し、処理およびメモリリソースを、例えば、より即時の脅威に応答して、より緊急性の高いタスクに採用する。
【0063】
様々な態様では、セキュリティシステムは、計算されたスコア、IoC、または識別された値/閾値レベルに基づいて、識別されたIoC、識別されたマルウェアバリアント、IoC脅威スコア、および/または一つ以上のセキュリティ脅威閾値に対する自動セキュリティ応答を自律的に導入してもよい。自動セキュリティ応答は、セキュリティ脅威閾値レベルを自動的に調整する、データベースを自動的に再構成して、識別されたマルウェアバリアントを含める、自動的に識別する、識別されたマルウェアバリアントを追加的に追加する、セキュリティシステムの複数のユーザまたはセキュリティアナリストに対して通知を自動的に送信する、識別されたIoCまたは新しいマルウェアバリアントに一つ以上のテナントネットワークがさらされること、または将来さらされるリスクを判定する、およびマルウェア、ウイルス、またはその他の脅威の拡散を防止するために、一つ以上のテナントネットワークまたはネットワークの一部を隔離する、のうちのいずれかの応答のうちの一つ以上を含んでもよい。
【0064】
データベースを再構成することは、データベースを自動的に、連続的に、および動的に更新することを含むことができ、データベースのこの更新または再構成は、以下の複数の要因に基づいてもよい。すなわち、商業およびコミュニティの脅威情報に基づく、新しいマルウェアバリアントや新たな脅威に関する情報の自動的な定期的取り込み、業界標準のメカニズム(例: STIX、API、YARA)によるデータフィード、展開されたセンサーを介して監視された環境内で観察される悪質または潜在的に望ましくない活動に基づく、または、様々なデータソースまたはフィードを扱う脅威情報アナリストが維持する、手動で精選された侵害指標(IOC)のフィードに基づく、新しいマルウェアバリアントまたは新たな脅威に関する情報などがあるが、これらに限定されない。このデータベース再構成により、脅威やマルウェアの可能性をより迅速に特定、照合、および/または対応することができる。
【0065】
ネットワークまたはSIEMの他の部分に、またはセキュリティシステムの複数のユーザまたはアナリストに、通知を自動的に送信することは、様々な方法で達成でき、これは、現在有効なIoCおよびそれぞれのリスクスコアのタイムセンシティブな出力リスト(例えば、ルックアップテーブル)を作成して、セキュリティシステムが、監視された環境から得られた生の情報を、システムによって計算されたリスクスコアリング結果と自動的に相関させることを可能にすること、を含むが、これらに限定されない。スコアリング出力は、構造化されたデータのセットに定期的にエクスポートされ、その後、データログ分析および管理システムに供給され、それは、スコアリング出力からの新しい所見に対して入ってくるデータを連続的に評価する。したがって、ある特定の閾値を超えるリスクスコアに一致する何かがネットワーク内で観察された場合、自動アラートが生成されるか、またはデータベースもしくはネットワークの自動隔離(自動隔離は、時間または範囲において制限される場合があり、例えば、データベース/隔離されたネットワークの数、またはIoC脅威スコアに応じてネットワークのデータベースの部分)を含む、様々な自動セキュリティ応答のうちの一つがトリガされ得て、例えば、人間の分析者がレビューし、さらなる措置を取る時間を可能にする。
【0066】
出力リストとリアルタイムデータルックアップ機能により、指標またはIoC履歴、リスクスコアリング、および継続的なセキュリティインシデントの一部としての特定の指標の発信元を含む、さまざまな指標と要因の自動および手動によるルックアップの両方が可能になる。様々な態様では、これは、インシデント管理に使用されるセキュリティオーケストレーションプラットフォームと、指標リスクスコアリング結果をホストするデータベースとの間のAPI統合を介して達成される。例えば、環境内の特定の活動タイプに関する調査の一環としてアーチファクトが観察された場合、オーケストレーションシステムが、このアーチファクトに関するさらなる情報について、リスク計算システム内に保存されたデータを自律的に(および一部の態様では、前記セキュリティアナリストが)クエリすることを許可され、アーチファクトが最初に検出されたのはいつか、システムはどんな評価を与えたか、また割り当てられた/算出されたリスクスコアに基づいて、アーチファクトに関連するリスクやリスク範囲は何か、などの情報を取得する。
【0067】
他のテナントまたはテナントネットワークがさらされる、または将来さらされるリスクを決定することは、セキュリティシステムのオーケストレーション層とスコアリングアルゴリズムをホストするデータベースとの間のAPI接続によって行われ得る。IoCがクライアント環境で観察され、望ましくないまたは潜在的に悪意のある活動の信頼できる指標であると判定された場合、その所見は、データベース内にこの所見をメモするAPI呼び出しを介してスコアリングアルゴリズムに転送される。その結果、これにより、次の時点までにデータベース内のこの特定の指標に割り当てられたリスクスコアが、問題のIoCについてリスクスコアが計算される。また、一つ以上のテナントネットワークまたはネットワークの一部分の捕捉は、それらの間の接続または互いの知識を必要とすることなく、複数のネットワークセグメント、または複数の離散型ネットワークに利益を提供し得る。
【0068】
ほとんどの実施形態では、リスクスコアが設定された閾値を超える場合、全体的なインシデントの重要度評価はそれに応じて増加する。その結果、インシデントは、セキュリティアナリストによるレビュー、または上述の潜在的な回答のいずれかにおいて、より緊急な問題として専用のリソースを処理するために、より高い優先順位が割り当てられる。さらに、クライアントおよびサービスプロバイダが、自動応答および脅威軽減能力を含む配置に合意した場合、特定のインシデントに関連付けられたインジケータに割り当てられるより高いリスクスコアは、自動応答(例えば、エンドポイント隔離、ネットワークトラフィックの中断、および前述の自動応答)をトリガしてもよく、その決定は、そうでなければより正確ではなかった場合がある。異なるシナリオでは、特定の指標が正当な活動に関連付けられていることが知られていることを確認する能力は、環境の承認されたビジネス使用に関連する正当な活動の潜在的な中断を避けるために、自動または半自動の応答および脅威軽減活動の延期をもたらし得る。
【0069】
図4は、遭遇した侵害指標(IoC)脅威スコアを計算するための自律的な方法の図を示す。IoCに遭遇し、セキュリティシステムデータベースが図1に示すようにクエリされると、遭遇したIoCに関連すると識別される各ソースまたはフィードについて、関連するソースまたはフィードによって提供または分類される脅威値/レベルが、そのIoCについて識別205される。例えば、いくつかのセキュリティフィードは、IoCを、55/100の脅威レベル、8/10、中程度に悪質、または良性、または任意の他の分類システムを介して分類し得る。セキュリティシステムは、各セキュリティソースによって割り当てられた脅威レベルを自律的に識別するか、または現在のクエリに関連する各IoCに供給することができ、多くの態様では、ソースまたはフィードがそれぞれ異なるタイプまたは分類方法を使用したとしても、異なるソースまたはフィードにわたって標準化されたソースまたはフィードIoCの脅威値を生成する。IoCに関連するものとして識別されるフィードの各ソースの信頼性スコアに基づいて、乗数が、ソースまたはフィードによって提供される脅威値に付加され/割り当てられて210、IoCに対して調整された脅威値を生成する。乗数は、ソースまたはフィードの確立された、または割り当てられた信頼性スコアに直接的に基づいてもよく、または他のソースまたはフィードによって提供される他の脅威値と比較して、ソースによって提供される脅威値間の分布および/または分散などの他の要因とともに部分的に基づいてもよく、または、代替的に/追加的に、ソースまたはフィード、またはIoC、またはIoCのタイプに関連するセキュリティシステムの内部測定基準に基づいてもよい。
【0070】
本技術の様々な態様では、変則的な、または外れ値の脅威値(変則的または外れ値の脅威値は、調整される前および/または調整された後に変則的として識別され得る、調整された脅威値または変則的な調整された脅威値を含むことができる)は、計算から識別および/または除去215され得る。本開示では、その最も広い意味で「脅威値」への言及は、調整されたもしくは調整されていない脅威値、および/または変則的なもしくは非変則的な脅威値、および/または正規化されたもしくは正規化されていない脅威値を包含する。一部の実施形態では、異なるタイプのソースは、特定のIoCについて異なる脅威値を生成または提供し得るが、これらの差異は、フィードまたはソース自体の差に由来する場合があり、例えば、多数のIoC上で公的に生成され、自由に提供される脅威値は、IoCの脅威値を低いものとして分類し得る一方、少数の排他的に入手可能で、有料の専門セキュリティサービスは、同じIoCに対して高い脅威値を提供してもよい。こうした例では、セキュリティシステムは、2つのグループ間の差異を重み付け220して、公的に生成されたデータおよび非公開に生成されたデータを考慮に入れた脅威値を提供してもよく、その重み付けは、特定のIoC、そのタイプ、各ソースまたはフィード中のIoCの数、提供される脅威値、ソースまたはフィードの信頼性、密接に関連するソースまたはフィードの各グループのサイズ、ならびにセキュリティシステム自体の目標に依存し、重み付けは、重み付けされ調整された脅威値を生成する、または発生させるために行われてもよい。この任意選択のステップでは、セキュリティシステムは、公開からのクラウドソース情報と、専門セキュリティ会社によって非公開に生成された情報の両方を考慮に入れることができ、場合によっては、システムは、特定のIoCおよび本明細書に列挙される要因に応じて、脅威値または調整された脅威値を、一方のデータソースのグループに対して、他方よりも大きく重み付けしてもよい。クラウドソースの公開情報により、セキュリティシステムを柔軟に利用し、キュレーションや専門的な組織化や調整がまだ行われていない情報を考慮に入れることができる一方、非公開で生成された専用ソースにより、セキュリティシステムは、直面する脅威に関する分野の業界や専門家の視点を考慮に入れることができる。
【0071】
本発明の態様に応じて、様々な脅威値および/または様々な調整された脅威値は、すべての関連するソースまたはフィードにわたって正規化225され得る。次に、遭遇したIoCに対して単一の脅威スコアが生成230される。一部の実施形態では、任意選択的な信頼性スコアも生成235されてもよく、これは単一の脅威スコアと共に提供されてもよく、またはその中に組み込まれてもよい。一部の態様では、信頼性スコアはまた、セキュリティシステムが、セキュリティアナリストまたはシステムの他のユーザに対して生成された脅威スコアを提供するために、または図1に示されたその他何らかの追加措置を取るために、一定の閾値内にあってもよい。データソースおよびフィードの信頼性を収集および確認する方法や、識別されたデータの重要性または有意性の決定および計算、ならびにそのデータのスコアリングを含む、本明細書に提示されるシステムおよび方法の態様は、大量のデータおよび情報を利用し、データおよびその信頼性が特定の閾値レベルを満たすことを要求する、様々な業界およびアプリケーションにおいて使用され得る。
【0072】
図5は、本開示の一部の非限定的な態様による、検出および管理された脅威の概要を示す、自律的なSIEM脅威スコアリングおよび管理アプリケーションダッシュボードのグラフィカルユーザインターフェースを示す。このユーザダッシュボード300は、セキュリティアナリストなどのユーザが、システムが対処中であるか、または対処済みのケース302専用の別のインターフェースを選択できるようにするサイドパネル301を含んでもよい。ダッシュボードサイドパネル301はまた、セキュリティアラート303、資産304のリスト、脆弱性305のリスト、レポート306、コンプライアンス307、およびクリック可能なログアウトボタン308を含む他の画面へのリンクを含んでもよい。例示的なダッシュボードは、概要またはシステムの活動を提供するための一般的な概要ヘッダ309、環境ヘッダ310、脆弱性ヘッダ311、傾向ヘッダ312、イベントヘッダ313、および外部脅威ヘッダ314を含む、いくつかの選択可能なヘッダを含んでもよい。概要ヘッダ309が選択されると、ユーザの措置315を待っている保留中のアイテムの数、進行中のアイテム3116、最近のエスカレーション317、最近のサービス要求318、最近のアラートおよびインシデント319、最近の実施された措置320、最近の調査結果321、最近のセキュリティケース322、保護された資産の数233、バイパスされた資産324、ならびにセキュリティインシデントのリスト325に関する情報グループを含み得る画面が表示されてもよい。これらのタブ、リスト、および情報グループの多くは、グラフィカルビュー、チャート、表、およびグラフを含み得る。
【0073】
図6は、本開示の一部の非限定的な態様による、検出された脅威または侵害指標の詳細を表示する別のグラフィカルユーザインターフェースおよびインシデント画面400を提示する。一態様では、インシデント番号401は、インシデントまたは侵害指標402の説明または名称と共に提供される。インシデントステータス403はまた、例えば、ユーザによる措置が必要である、インシデントがクローズされた、インシデントが解決された、およびこれに類する状態を提示することができる、インシデント画面内に設定されてもよい。IoCカテゴリ404も提供されてもよく、例えば、「障害」、または「DNS異常」、「ログインのレッドフラッグ」などを含む。警報源405も列挙されてもよく、すなわち、検出された脅威または警報トリガの源も列挙されてもよい。また、任意の実行された措置406も提示され得る。インシデント画面400はまた、概要ヘッダ407、証拠ヘッダ408、およびメッセージヘッダ409を含んでもよい。概要ヘッダ407は、インシデントが作成された日付/時刻に関する情報を含んでもよく410、更新411、インシデントがアクティブであった合計時間412、ホスト名413、デバイスの重要度または重要性414、関与する資産の場所415、デバイスIP 416、装置のソフトウェアまたはハードウェアに関連し得る装置タイプ417と、関連するユーザ名418、デバイスカテゴリー419(例えば、デバイスはエンドポイントである)、デバイス上で実行されるハードウェアまたはソフトウェアの両方にも関連し得る、デバイスタイプバージョン420と、を含む。
【0074】
図7は、本開示の一部の非限定的な態様による、IoC画面500の、遭遇した侵害指標の詳細を表示するグラフィカルユーザインターフェースを提示する。IoC画面500は、遭遇したIoC 501のリストを含み、その名前502、それらのタイプ503、例えば、「ファイル」、「ドメイン」、「IP」、「URL」、「セキュアハッシュアルゴリズム」などのリストを含む。IoC画面500はまた、各IoC 504の評判のリストを含んでもよく、これは、セキュリティシステムによって生成される単一のIoCスコアに直接リンクされてもよく、および/または例えば、未知、不審、悪質、もしくはクリーンな分類であってもよい。IoC評価504はまた、単一の生成された脅威スコアを導出する方法で計算または決定または関与されたスコア、または値のいずれかに直接関連付けられてもよく、または導き出されてもよく、あるいは、IoCに関する情報を含むソースまたはフィードによって提供される評価であってもよい。IoC画面500はまた、例えば、マルウェアまたはボットの特定のバリアントとして、その同一性を含み得る各IoCの指定505を含んでもよい。
【0075】
図8は、本開示の一部の非限定的な態様による、調査された各侵害指標の調査ノートを提供するグラフィカルユーザインターフェースを提示する。調査画面600は、人間のユーザもしくはセキュリティアナリスト、または本明細書に記載の方法およびシステムのいずれかによって生成される自動システム自体に由来する調査結果601を含んでもよい。調査画面600はまた、IoCの性質、その現在のステータス、IoCの履歴、およびアラートをトリガした方法、ならびにシステムまたはシステムのユーザによって取られた任意の措置を要約し得る、調査ノート602を含んでもよい。IoCに対抗するために講じた措置に関連する措置ノート603、ならびにエンドユーザまたはクライアントが講じる必要のある任意の措置またはステップ、またはクライアントまたはテナントに関連する可能性のある任意の他の情報に関するガイダンスセクション604も提供されてもよい。
【0076】
図9は、コンピュータシステム1の形態の例示的な機械の概略図であり、その中で、本明細書で論じる方法論のうちのいずれか一つ以上を機械に実行させるための命令のセットが実行されてもよい。様々な例示的な実施形態では、機械は、スタンドアロン装置として動作し、または他の機械に接続(例えば、ネットワーク化)されてもよい。ネットワーク展開では、機械は、サーバクライアントネットワーク環境内のサーバまたはクライアントマシンの容量で、またはピアツーピア(または分散型)ネットワーク環境内のピアマシンとして動作し得る。機械は、パーソナルコンピュータ(PC)、タブレットPC、セットトップボックス(STB)、携帯情報端末(PDA)、携帯電話、ポータブル音楽プレーヤー(例えば、Move Picture Experts Group Audio Layer 3(MP3)プレーヤーなどのポータブルハードドライブオーディオデバイス)、ウェブアプライアンス、ネットワークルーター、スイッチ、またはブリッジ、またはそのマシンによって取られる措置を指定する命令のセット(連続的またはその他)を実行することができる任意のマシンであり得る。さらに、単一の機械のみが図示されているが、「機械」という用語はまた、本明細書で論じる方法論のうちのいずれか一つ以上を実施するための命令のセット(または複数セット)を個別にまたは共同で実行する機械の任意の集合を含むように取られるものとする。
【0077】
例示的なコンピュータシステム1は、プロセッサまたは複数のプロセッサ5(例えば、中央処理装置(CPU)、グラフィック処理ユニット(GPU)、または両方)と、バス20を介して互いに通信するメインメモリ10および静的メモリ15とを含む。コンピュータシステム1は、ビデオディスプレイ35(例えば、液晶ディスプレイ(LCD))をさらに含んでもよい。コンピュータシステム1はまた、英数字入力装置30(例えば、キーボード)、カーソル制御装置(例えば、マウス)、音声認識または生体認証検証ユニット(図示せず)、駆動ユニット37(ディスクドライブユニットとも呼ばれる)、信号発生装置40(例えば、スピーカー)、およびネットワークインターフェース装置45を含んでもよい。コンピュータシステム1は、データを暗号化するためのデータ暗号化モジュール(図示せず)をさらに含んでもよい。
【0078】
コンピュータシステム1に提供される構成要素は、本開示の実施形態での使用に好適であり得る、コンピュータシステムに典型的に見られる構成要素であり、当技術分野で公知のそのようなコンピュータ構成要素の広範なカテゴリを表すことが意図される。したがって、コンピュータシステム1は、サーバ、ミニコンピュータ、メインフレームコンピュータ、または任意の他のコンピュータシステムであり得る。コンピュータはまた、異なるバス構成、ネットワークプラットフォーム、マルチプロセッサプラットフォームなどを含んでもよい。UNIX(登録商標)、LINUX、WINDOWS(登録商標)、QNX ANDROID(登録商標)、IOS、CHROME、TIZEN、および他の好適なオペレーティングシステムを含む、様々なオペレーティングシステムが使用され得る。
【0079】
ディスクドライブユニット37は、本明細書に記載される方法論または機能のうちのいずれか一つ以上を具現化または利用する命令およびデータ構造の一つ以上のセット(例えば、命令55)が記憶される、コンピュータまたは機械可読媒体50を含む。命令55はまた、コンピュータシステム1によるその実行中に、メインメモリ10内および/またはプロセッサ5内に、完全にまたは少なくとも部分的に存在してもよい。メインメモリ10およびプロセッサ5はまた、機械可読媒体を構成してもよい。
【0080】
命令55は、いくつかの周知の転送プロトコル(例えば、ハイパーテキスト転送プロトコル(例えば、ハイパーテキスト転送プロトコル(HTTP))のいずれか一つを利用して、ネットワークインターフェース装置45を介してネットワーク70を介してさらに送信または受信されてもよい。機械可読媒体50は、例示的な実施形態では単一の媒体として示されているが、「コンピュータ可読媒体」という用語は、命令の一つ以上のセットを記憶する単一の媒体または複数の媒体(例えば、集中型または分散型データベースおよび/または関連するキャッシュおよびサーバ)を含むように取られるべきである。「コンピュータ可読媒体」という用語はまた、機械によって実行するための命令のセットを記憶、符号化、もしくは担持することができ、かつ機械に本出願の方法論のうちのいずれか一つ以上を実施させる、またはこうした命令のセットによって利用されるか、もしくはそれに関連付けられたデータ構造を記憶、符号化、もしくは担持することができる、任意の媒体を含むように取られるものとする。従って、「コンピュータ可読媒体」という用語には、固体メモリ、光学媒体および磁気媒体、ならびに搬送波信号が含まれるが、これらに限定されない。こうした媒体はまた、ハードディスク、フロッピーディスク、フラッシュメモリカード、デジタルビデオディスク、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)などを含み得るが、これらに限定されない。本明細書に記載の例示的な実施形態は、コンピュータ上にインストールされたソフトウェア、ハードウェア、またはソフトウェアとハードウェアの組み合わせを含む動作環境で実装されてもよい。
【0081】
当業者であれば、インターネットサービスが、インターネットサービスに連結された一つ以上のコンピューティングデバイスへのインターネットアクセスを提供するように構成されてもよく、コンピューティングデバイスが、一つ以上のプロセッサ、バス、メモリデバイス、表示デバイス、入力/出力デバイスなどを含んでもよいことを認識するであろう。さらに、当業者であれば、インターネットサービスが、本明細書に記載される本開示の実施形態のいずれかを実施するために利用され得る、一つ以上のデータベース、リポジトリ、サーバなどに結合され得ることを認識し得る。
【0082】
コンピュータプログラム命令はまた、コンピュータ、サーバ、その他のプログラム可能なデータ処理装置、または他の装置上にロードされて、コンピュータ、その他のプログラム可能な装置、またはその他の装置上で一連の動作ステップを実施させて、コンピュータ実装プロセスを生成してもよく、その結果、コンピュータまたはその他のプログラム可能な装置上で実行されるソフトウェア命令は、フローチャートおよび/またはブロック図のブロックで指定された機能/行為を実装するためのプロセスを提供する。
【0083】
適切なネットワークは、例えば、ローカルイントラネット、PAN(パーソナルエリアネットワーク)、LAN(ローカルエリアネットワーク)、WAN(ワイドエリアネットワーク)、MAN(メトロポリタンエリアネットワーク)、仮想プライベートネットワーク(VPN)と、ストレージエリアネットワーク(SAN)と、フレームリレー接続と、アドバンストインテリジェントネットワーク(AIN)接続、同期型光ネットワーク(SONET)接続、デジタルT1、T3、E1またはE3ライン、デジタルデータサービス(DDS)接続、DSL(デジタル加入者線)接続、イーサネット接続と、ISDN(統合サービスデジタルネットワーク)ライン、V.90などのダイヤルアップポート、V.34またはV.34ビスアナログモデム接続、ケーブルモデム、ATM(非同期転送モード)接続、またはFDDI(ファイバ分散データインターフェース)またはCDDI(銅分散データインターフェース)接続のうちの一つ以上を含むか、またはインターフェースを取ってもよい。さらに、通信はまた、WAP(ワイヤレスアプリケーションプロトコル)、GPRS(汎用パケット無線サービス)、GSM(モバイル通信用グローバルシステム)、CDMA(符号分割多重アクセス)またはTDMA(時間分割多重アクセス)、携帯電話ネットワーク、GPS(全地球測位システム)、CDPD(セルラーデジタルパケットデータ)、RIM(Research in Motion, Limited)双方向ページングネットワーク、Bluetooth無線、またはIEEE 802.11ベースの無線周波数ネットワークといった、様々な無線ネットワークのうち、いずれかへのリンクを含んでもよい。ネットワーク215は、RS-232シリアル接続、IEEE-1394(Firewire)接続、ファイバーチャネル接続、IrDA(赤外線)ポート、SCSI(スモールコンピュータシステムインターフェース)接続、USB(ユニバーサルシリアルバス)接続、または他の有線もしくは無線、デジタルもしくはアナログインターフェースもしくは接続、メッシュもしくはDigi(登録商標)ネットワーキングのうちのいずれか一つ以上をさらに含むか、またはそれらとインターフェース接続することができる。
【0084】
一般に、クラウドベースのコンピューティング環境は、プロセッサの大きなグループ(ウェブサーバ内など)の計算能力を典型的に組み合わせる、および/またはコンピュータメモリもしくは記憶装置の大きなグループ分けの記憶容量を組み合わせるリソースである。クラウドベースのリソースを提供するシステムは、その所有者によって排他的に利用されてもよく、またはこうしたシステムは、計算インフラストラクチャ内にアプリケーションを展開して、大きな計算リソースまたはストレージリソースの利点を得るために、外部ユーザにアクセス可能であってもよい。
【0085】
クラウドは、例えば、コンピュータ装置1などの複数のコンピューティングデバイスを含むウェブサーバネットワークによって形成され、各サーバ(または少なくとも複数のサーバ)はプロセッサおよび/またはストレージリソースを提供する。これらのサーバは、複数のユーザ(クラウドリソースの顧客またはその他のユーザなど)によって提供される負荷を管理する。典型的には、各ユーザは、リアルタイムで、時には劇的に変化する作業負荷要求をクラウドに対して課す。これらの変動の性質および程度は、典型的には、ユーザに関連付けられたビジネスのタイプに依存する。
【0086】
本明細書に記載の処理を実施するのに適した任意のハードウェアプラットフォームが、技術での使用に適していることが注目に値する。本明細書で使用される場合、「コンピュータ可読記憶媒体」および「コンピュータ可読記憶媒体」という用語は、実行のためにCPUに命令を提供することに関与する任意の媒体または複数の媒体を指す。こうした媒体は、不揮発性媒体、揮発性媒体、および伝送媒体を含むがこれらに限定されない、多くの形態をとることができる。不揮発性媒体としては、例えば、固定ディスクなどの光学ディスクまたは磁気ディスクが挙げられる。揮発性媒体は、システムRAMなどの動的メモリを含む。伝送媒体は、同軸ケーブル、銅線、および光ファイバを含み、とりわけ、バスの一実施形態を備えるワイヤを含む。伝送媒体はまた、無線周波数(RF)および赤外線(IR)データ通信中に生成されるものなど、音響波または光波の形態をとることができる。コンピュータ可読媒体の一般的な形態としては、例えば、可撓性ディスク、ハードディスク、磁気テープ、任意の他の磁気媒体、CD-ROMディスク、デジタルビデオディスク(DVD)、任意の他の光学媒体、マークまたは穴のパターンを有する任意の他の物理的媒体、RAM、PROM、EPROM、EEPROM、FLASHEPROM、任意の他のメモリチップまたはデータ交換アダプタ、搬送波、またはコンピュータが読み取ることができる任意の他の媒体が挙げられる。
【0087】
コンピュータ可読媒体の様々な形態が、実行のために一つ以上の命令の一つ以上のシーケンスをCPUに運ぶことに関与してもよい。バスは、データをシステムRAMに搬送し、そこからCPUが命令を取得し実行する。システムRAMによって受信される命令は、CPUによる実行の前または後に、固定ディスク上に任意に格納され得る。
【0088】
本技術の態様の動作を実行するためのコンピュータプログラムコードは、Java、Smalltalk、C++などのオブジェクト指向プログラミング言語、および「C」プログラミング言語、Go、Python、またはアセンブリ言語を含む他のプログラミング言語などの従来の手続き型プログラミング言語を含む、一つ以上のプログラミング言語の任意の組み合わせで記述されてもよい。プログラムコードは、ユーザのコンピュータ上で、部分的にはユーザのコンピュータ上で、スタンドアロンのソフトウェアパッケージとして、部分的にはユーザのコンピュータ上で、部分的にはリモートコンピュータ上で、または完全にリモートコンピュータもしくはサーバ上で実行されてもよい。後者のシナリオでは、リモートコンピュータは、ローカルエリアネットワーク(LAN)またはワイドエリアネットワーク(WAN)を含む任意のタイプのネットワークを介してユーザのコンピュータに接続されてもよく、または接続は、外部コンピュータ(例えば、インターネットサービスプロバイダを使用するインターネットを介して)に接続されてもよい。
【実施例】
【0089】
条項の例
本明細書に記述される主題の様々な態様は、以下の番号付けされた項に記載される。
本明細書に記述される主題の様々な態様は、以下の番号付けされた項に記載される。
【0090】
条項1:プロセッサおよびメモリを備えるマネージドセキュリティサービスプロバイダ(MSSP)サーバを介したテナントネットワークの自律的なセキュリティ強化のための方法であって、複数のデータソースからの情報を用いて、方法が、プロセッサを介して、セキュリティシステムによって、侵害指標(IoC)との遭遇に際し、複数のデータソースのうちのデータソースを識別するために、データベースまたはサーバにクエリすることであって、データソースが、IoCへの参照を含む、クエリすることと、プロセッサを介して、クエリの出力に基づいて、IoCについてのIoC脅威スコアを生成することであって、生成することが、データソースのうちの各データソースについて、データソースによって提供されるIoC脅威値を識別することと、データソースのうちの各データソースについて、データソースによって提供されるIoC脅威値に乗数を割り当てて、調整されたIoC脅威値を生成することであって、乗数が、データソースに関連付けられた信頼性スコアに基づく、生成することと、データソースから調整されたIoC脅威値を正規化して、IoC脅威スコアを出力することと、プロセッサを介して、IoC脅威スコアに基づいて、少なくとも一つの実行可能なセキュリティ強化通知を生成することと、ユーザインターフェースを介して、IoC脅威スコアおよび実行可能なセキュリティ強化通知をユーザに表示して、少なくとも一つの実行可能なセキュリティ強化通知における少なくとも一つの措置のトリガまたは無効化を可能にすることであって、前記少なくとも一つの措置が、IoC脅威スコアに基づく、表示することと、を含む、方法。
【0091】
条項2:自動セキュリティ応答を展開することであって、展開が、セキュリティ脅威閾値レベルを自動的に調整すること、データベースまたはサーバを自動的に再構成して潜在的なマルウェアバリアントを識別すること、複数の他のユーザに通知を送信すること、他のテナントネットワークのIoCへにさらされること、将来さらされるリスクを判定すること、または一つ以上のテナントネットワークもしくはネットワークの一部分を隔離すること、またはそれらの組み合わせのうちの少なくとも一つを含む、導入することと、をさらに含む、条項1に記載の方法。
【0092】
条項3:IoC脅威スコア、生成された信頼性スコア、またはセキュリティ脅威閾値レベル、またはそれらの組み合わせのうちの少なくとも一つに基づいて、IoCを悪質、未知、または良性として分類することであって、ユーザインターフェースが分類を表示することができる、分類すること、をさらに含む、条項1~2のいずれか一項に記載の方法。
【0093】
条項4:セキュリティ脅威閾値が、偽陽性の数、真陽性の数、偽陰性の数、および真陰性の数のうちの少なくとも二つを含む比を使用することによって、IoCの分類の正確性または精度を悪質または良性として表す比に基づいて自動的に調整される、条項1~3のいずれか一項に記載の方法。
【0094】
条項5:IoCが悪性脅威に分類され、かつ遭遇したIoC指標が一連の特徴の一部分を前記データベースまたはサーバに保存された他のIoCと共有することを決定することと、IoCを悪性脅威として判定することに際し、IoC脅威スコア、特徴のセットの部分、生成された信頼性スコア、およびセキュリティ脅威閾値レベル、またはそれらの組み合わせのうちの少なくとも一つに基づいて、新しいマルウェアバリアントを識別すること、をさらに含む、条項1~4のいずれか一項に記載の方法。
【0095】
条項6:データベースを再構成して、IoCの特徴、IoC脅威スコア、生成された信頼性スコア、セキュリティ脅威閾値レベル、またはIoCの分類、またはそれらの組み合わせのうちの少なくとも一つに基づいて、新しいマルウェアバリアントを識別することをさらに含む、条項1~5のいずれか一項に記載の方法。
【0096】
条項7:実行可能なセキュリティ強化通知が、テナントネットワーク上の新しいマルウェアバリアントの指標を含み、新しいマルウェアバリアントが、他のマルウェアのデータに基づいて決定されてもよい、条項1~6のいずれか一項に記載の方法。
【0097】
条項8:データソースからデータを受信することであって、データソースの各データソースが、少なくとも一つのIoCと関連付けられ、各データソースが、信頼性スコアを画定する、受信することと、データソースおよびそれらに関連付けられた少なくとも一つのIoCをデータベースまたはメモリコンポーネント内にインデックス付けすることと、をさらに含む、条項1~7のいずれか一項に記載の方法。
【0098】
条項9:データソースの各データソースの信頼性スコアが、人的関与のうちの少なくとも一つによって決定され、データソースによって識別されるIoCの数、データソースの信頼性の履歴、データソースへのデータ入力の数、データソースの経過年数(age)、データソース内のIoCの経過年数(age)、データソースに関連する評価、データソースのセキュリティシステムのクライアントまたはユーザに対する関連性、データソース上で利用可能な情報の量と、を含む、条項1~8のいずれか一項に記載の方法。
【0099】
条項10:少なくとも一つの実行可能なセキュリティ強化通知が、IoC脅威スコア、生成された信頼性スコア、またはセキュリティ脅威閾値レベル、またはそれらの組み合わせのうちの少なくとも一つに基づく、条項1~9のいずれか一項に記載の方法。
【0100】
条項11:クエリが、識別されたDNSクエリおよびIPアドレスを、データベースに保存された複数のIoCと相互参照することであって、複数のIoCが、IoCを含む、相互参照することと、データソースの関連するデータソースを識別することであって、関連するデータソースの関連性が、関連するデータソースの識別されたDNSクエリおよびIPアドレスとの関連付けによって決定される、識別することと、を含む、条項1~10のいずれか一項に記載の方法。
【0101】
条項12:クエリすることが、定義されたコンピューティング環境において機械によって接触されるDNSクエリおよびIPアドレスを識別することをさらに含む、条項1~11のいずれか一項に記載の方法。
【0102】
条項13:IoC脅威スコアを生成することが、変則的なIoC脅威値を識別することと、変則的なIoC脅威値を破棄することと、をさらに含む、条項1~12のいずれか一項に記載の方法。
【0103】
条項14:IoC脅威スコアを生成することが、特定の信頼性スコアを有するデータソースからの様々なIoC脅威値を、より低い信頼性スコアを有するデータソースからのIoC脅威値に対して重み付けすることを含む、条項1~13のいずれか一項に記載の方法。
【0104】
条項15:IoC脅威スコアを生成することが、機械学習ニューラルネットワークのうちの少なくとも一つによって行われ、機械学習ネットワークへの入力が、データソースの信頼性スコア、およびデータソースによって提供されるIoC脅威値を含む、条項1~14のいずれか一項に記載の方法。
【0105】
条項16:データソースによって提供される脅威値の分布に基づいて、IoC脅威スコアに関連付けられた収束スコアを生成することと、をさらに含む、条項1~15のいずれか一項に記載の方法。
【0106】
条項17:一つ以上のテナントネットワークを継続的に強化するように指向された自律的セキュリティシステムであって、システムが、複数のテナントネットワークと、プロセッサおよびメモリを備える少なくとも一つのマネージドセキュリティサービスプロバイダ(MSSP)サーバであって、メモリが、プロセッサによって実行されるとき、プロセッサに、セキュリティシステムによる侵害指標(IoC)との遭遇に際し、少なくとも一つのデータベースまたはサーバに問い合わせて、IoCへの参照を用いてデータフィードを識別することと、クエリの出力に基づいて、IoCに対するIoC脅威スコアを生成することであって、生成することが、データフィードの各データフィードについて、データフィードによって分類されるIoC脅威値を識別することと、データフィードの各データフィードについて、乗数をIoC脅威値に付加して、調整されたIoC脅威値を生成することであって、乗数が、データフィードに関連付けられた信頼性スコアに基づいて決定される、生成することと、前記データフィードの調整されたIoC脅威値を正規化することと、IoC脅威スコアを出力することと、を含む、生成することと、IoC脅威スコアに基づいて、少なくとも一つの実行可能なセキュリティ強化通知を生成することと、ユーザインターフェースを介して、MSSPサーバに接続された少なくとも一つの表示装置上に、IoC脅威スコアおよび実行可能なセキュリティ強化通知を前記セキュリティシステムのユーザに表示して、少なくとも一つの実行可能なセキュリティ強化通知における少なくとも一つの措置のトリガまたは無効化を可能にすることであって、少なくとも一つの措置がIoC脅威スコアに基づく、表示することと、を行わせるのに有効な命令を記憶する、方法。
【0107】
条項18:実行可能なセキュリティ強化通知が、複数のテナントネットワークのうちの少なくとも一つのテナントネットワーク上の新しいマルウェアバリアントの表示を含み、新しいマルウェアバリアントが、他のマルウェアデータに基づいて決定される、請求項17に記載の自律的セキュリティシステム。
【0108】
条項19:プロセッサによって実行されるとき、記憶された命令が、プロセッサに、セキュリティ脅威閾値レベルを自動的に調整することと、データベースまたはサーバを自動的に再構成して、他の潜在的なマルウェアバリアントを識別することと、セキュリティシステムの複数の他のユーザに通知を送信することと、他のテナントネットワークの新しいマルウェアバリアントにさらされること、またはさらされるリスクを判定することと、複数のテナントネットワークのうちの少なくとも一つのテナントネットワークを隔離することと、のうちの少なくとも一つを含む、自動セキュリティ応答を導入することと、を行うように構成された、請求項17に記載の自律的セキュリティシステム。
【0109】
条項20:テナントネットワークのセキュリティを自律的に強化するための方法であって、複数のテナントネットワークのテナントネットワーク内でのセキュリティシステムによる侵害指標(IoC)との遭遇に際し、セキュリティサーバにクエリして、IoCへの少なくとも一つの参照を含むデータフィードを識別することと、プロセッサを介して、クエリの結果に基づいて、IoCに対するIoC脅威スコアを生成することと、IoC脅威スコアに基づいて、セキュリティシステムによる自動セキュリティ応答を展開することと、ユーザインターフェースを介して、IoC脅威スコア、自動セキュリティ応答のステータス、または実行可能なセキュリティ強化通知のうちの少なくとも一つをセキュリティシステムのユーザに表示することであって、実行可能なセキュリティ強化通知が、追加のセキュリティ応答のトリガを促進する、表示することと、を含む、方法。
【0110】
本明細書に記述される全ての特許、特許出願、刊行物、またはその他の開示資料は、各個々の参照がそれぞれ参照により明示的に組み込まれたかのように、その全体が参照により本明細書に組み込まれる。参照により本明細書に組み込まれると言われる全ての参照、および任意の材料、またはその一部は、組み込まれる材料が、本開示に記載される既存の定義、記述、またはその他の開示材料と矛盾しない限りにおいてのみ、本明細書に組み込まれる。そのため、および必要な範囲で、本明細書に明記される本開示は、参照により本明細書に組み込まれる任意の矛盾する材料に優先し、本開示は本出願の管理内で明示的に記載される。
【0111】
様々な例示的および例証的態様が説明されている。本明細書に記載される態様は、本開示の様々な態様の様々な詳細の例示的な特徴を提供するものとして理解され、そのため別途指定がない限り、当然のことながら、本開示の範囲から逸脱することなく、可能な限り、一つ以上の特徴、要素、コンポーネント、成分、原料、構造、モジュール、および/または本開示の態様うちの態様を組み合わせて、分離し、交換し、および/または一つ以上の他の特徴、要素、コンポーネント、成分、原料、構造、モジュール、および/または本開示の態様のうちの態様とまたはそれらに対して再配置してもよい。したがって、当業者であれば、特許請求された主題から逸脱することなく、例示的な態様のいずれかの様々な置換、改変、または組み合わせがなされ得ることを認識するであろう。さらに、当業者は、本明細書の再調査により、日常的な実験のみを使用して本開示の様々な態様に対する多くの等価物を認識するか、または確認することができる。したがって、本開示は、様々な態様の説明によって限定されず、特許請求の範囲によってのみ限定される。
【0112】
当業者は、概して、本明細書で使用される用語、および特に添付の特許請求の範囲(例えば、添付の特許請求の範囲の本文)において、一般には「制約のない」用語(例えば、「含む(including)」という用語は、「含むが限定されるものではない」と解釈されるべきであり、「有する(having)」という用語は「少なくとも有する」と解釈されるべきであり、「含む(includes)」という用語は、「含むが限定されるものではない」と解釈されるべきである、など)として意図されていることを認識するであろう。特定の数の導入された特許請求の範囲の列挙が意図される場合、そのような意図は特許請求の範囲に明示的に列挙され、そのような列挙がない場合、そのような意図は存在しないことが、当業者によってさらに理解されるであろう。例えば、理解の補助として、以下の添付の特許請求の範囲は、特許請求の範囲の列挙を導入するための、導入語句の「少なくとも一つ」および「一つ以上」の使用を含み得る。しかし、こうした語句の使用は、不定冠詞「a」または「an」による請求項の列挙の導入が、そのような導入された請求項の列挙を含む任意の特定の請求項を、そのような列挙を一つのみを含む特許請求の範囲に限定することを暗示するものとして解釈されるべきではなく、同じ請求項が、導入語句「一つ以上」または「少なくとも一つ」、および「a」または「an」などの不定冠詞を含む場合でも(例えば、「a」、および/または「an」は通常、「少なくとも一つ」または「一つ以上」を意味すると解釈されるべきである)、請求項の列挙を導入するために使用される定冠詞の使用についても同様である。
【0113】
さらに、導入された請求項の列挙の特定の数が明示的に列挙されていても、当業者は、このような列挙は、典型的には、少なくとも列挙された数(例えば、「二つの列挙」という単なる列挙は、他の修飾語句なしでは、少なくとも二つの列挙または二つ以上の列挙を通常意味する)を意味すると解釈されるべきであることを認識するであろう。さらに、「A、B、およびCなどのうちの少なくとも一つ」に類似の慣例 が使用されるこれらの事例では、一般的に、このような構造は、当業者が、慣例を理解するという意味で意図される(例えば、「A、B、およびCのうちの少なくとも一つを有するシステム」は、A単独、B単独、C単独、AおよびBを一緒に有するシステム、AおよびCを一緒に有するシステム、BおよびCを一緒に有するシステム、および/またはA、B、およびCを一緒に有するシステムなどを含むが、これらに限定されない)。「A、B、またはC等のうちの少なくとも一つ」に類似の慣例が、使用される事例では、一般的に、このような構造は、当業者が、慣例を理解するという意味で意図される(例えば、「A、B、またはCのうちの少なくとも一つを有するシステム」は、A単独、B単独、C単独、AおよびBを一緒に有するシステム、AおよびCを一緒に有するシステム、BおよびCを一緒に有するシステム、および/またはA、B、およびCを一緒に有するシステムなどを含むが、これらに限定されない)。説明、特許請求の範囲、または図面のいずれにおいても、通常、二つ以上の代替的な用語を提示する離接語および/または語句は、文脈が別段の指示をしない限り、当該用語のうちの一つ、当該用語のいずれか、または両方の用語を含む可能性を企図するように理解されるべきであると当該技術分野の者によってさらに理解されるであろう。例えば、語句「AまたはB」は、典型的には、「A」または「B」または「A、とB」の可能性を含むと理解されるであろう。
【0114】
添付の特許請求の範囲に関して、当業者は、その中に列挙された動作が概して任意の順序で行われてもよいことを理解するであろう。また、請求項の列挙は順に提示されているが、様々な動作は、記載されるもの以外の他の順序で行われてもよく、または同時に行われてもよいことが理解されるべきである。こうした代替的順序の例としては、文脈が別途指示しない限り、重複、インターリーブ、中断、再注文、増分、準備、補足、同時、逆、または他のバリアント順序が挙げられる。さらに、文脈上別段の指示がない限り、「応答する」、「関連する」、または他の過去型形容詞などの用語は、一般に、こうしたバリアントを除外することを意図していない。
【0115】
注目すべきは、「一態様」、「実施形態」「一実施形態」、「態様」、「例示」、「一例示」、および類似のものへの任意の言及は、態様に関連して記述された特定の特徴、構造、または特性が、少なくとも一つの態様に含まれることを意味する。したがって、本明細書全体を通して様々な場所での語句の「一態様では」、「ある態様では」、「ある例示では」、および「一例示では」の出現は、必ずしもすべて同じ態様を指すわけではない。さらに、特定の特徴、構造または特性は、一つ以上の態様では、任意の適切な様式で組み合わせられてもよい。
【0116】
本明細書で使用される場合、文脈が別途明確に指示しない限り、単数形の「a」、「an」、および「the」は、複数の参照を含む。
【0117】
例えば、限定されるものではないが、上、下、左、右、下方、上方、前、後、およびその変形など、本明細書で使用される方向語句は、添付図面に示される要素の配向に関連し、別段の明示的な記載がない限り、特許請求の範囲に関して限定しないものとする。
【0118】
本開示で使用される用語「約」または「およそ」は、別段の指定がない限り、当業者によって決定される特定の値についての許容可能な誤差を意味し、これは、値がどのように測定または決定されるかに部分的に依存する。特定の態様では、用語「約」または「およそ」は、1、2、3、または4標準偏差以内を意味する。特定の態様では、用語「約」または「およそ」は、所与の値または範囲の50%、200%、105%、100%、9%、8%、7%、6%、5%、4%、3%、2%、1%、0.5%、または0.05%以内を意味する。
【0119】
本明細書において、別段の示唆が無い限り、全ての数値パラメータは、前置きされているものとして理解され、全ての場合で、数値パラメータは、パラメータの数値を決定するために使用される基礎となる測定技法の固有変動特性を有する、「約」という用語によって修正されると理解されるべきである。少なくとも、請求の範囲に対する均等の原理の適用を限定する試みとしてではなく、本明細書に記載の各数値パラメータは少なくとも報告される有効数字の数に照らし合わせて、および通常の四捨五入法を適用することで解釈されるものとする。
【0120】
本明細書に列挙される任意の数値範囲は、列挙された範囲内に包含されるすべてのサブ範囲を含む。例えば、「1から100」の範囲は、列挙された最小値1と、列挙された最大値100との間の(かつそれを含む)、すなわち、最小値が1以上、および最大値が100以下を有するすべてのサブ範囲を含む。また、本明細書で列挙されるすべての範囲は、列挙された範囲の終点を含む。例えば、1から100の範囲は、終点1および100を含む。本明細書に列挙される任意の最大数的制限は、その中に包含されるすべてのより低い数的制限を含むことが意図され、本明細書に列挙される任意の最小数的制限は、その中に包含されるすべてのより高い数的制限を含むことが意図される。したがって、出願人は、特許請求の範囲を含め、明示的に列挙された範囲内に包含された部分範囲を明示的に列挙する本明細書を修正する権利を留保する。こうしたすべての範囲は、本明細書に本質的に記載される。
【0121】
本明細書において言及される、および/または任意のアプリケーションデータシートに列挙される任意の特許出願、特許、非特許公開、またはその他の開示資料は、組み込まれた資料が本明細書と矛盾しない限り、参照により本明細書に組み込まれる。したがって、および必要な範囲で、本明細書に明示的に記載される本開示は、参照により本明細書に組み込まれる任意の矛盾する材料に優先する。参照により本明細書に組み込まれると言われるが、本明細書に明記される既存の定義、声明、またはその他の開示資料と矛盾する任意の資料またはその一部は、その組み込まれた資料と既存の開示資料との間にいかなる矛盾も生じない範囲でのみ、組み込まれる。
【0122】
用語「備える(comprise)」(および「comprises」、「comprising」などのcompriseの任意の形態)および、「有する(have)」(ならびに「has」、および「having」などのhaveの任意の形態)、「含む(include)」(および「includes」および「including」などのincludeの任意の形態)、および「包含する(contain)」(および「contains」および「containing」などのcontainの任意の形態)は、オープンエンドの連結動詞である。結果として、一つ以上の要素を「備える」、「有する」、「含む」、または「包含する」システムは、それらの一つ以上の要素を保有するが、それら一つ以上の要素のみを保有することに限定されない。同様に、一つ以上の特徴を「備える」、「有する」、「含む」、または「包含する」システム、デバイス、または装置の要素は、それらの一つ以上の特徴を保有するが、それら一つ以上の特徴のみを保有することに限定されない。
【0123】
前述の詳細な説明は、ブロック図、フローチャート、および/または例の使用による、デバイスおよび/またはプロセスの様々な形態を記載している。こうしたブロック図、フローチャート、および/または例が一つ以上の機能および/または動作を含む場合、当該技術分野の者であれば、こうしたブロック図、フローチャート、および/または例内の各機能および/または動作は、広範囲のハードウェア、ソフトウェア、ファームウェア、または実質的にそれらの任意の組み合わせによって、個別に、および/または集合的に実装され得ることが理解されるであろう。当業者は、本明細書に開示される形態のいくつかの態様は、一つ以上のコンピュータ上で動作する一つ以上のコンピュータプログラムとして(例えば、一つ以上のコンピュータシステム上で動作する一つ以上のプログラムとして)、一つ以上のプロセッサ上で動作する一つ以上のプログラムとして(例えば、一つ以上のマイクロプロセッサ上で動作する一つ以上のプログラムとして)、ファームウェアとして、または実質的にそれらの任意の組み合わせとして全部または一部を等価に集積回路に実装することができ、回路の設計、および/またはソフトウェア用のコードの記載、およびまたはファームウェアは、本開示に照らして、当業者の技能の範囲内であることを認識するであろう。さらに、当業者は、本明細書に記載される主題の機構が、様々な形態で一つ以上のプログラム製品として配布されることができ、本明細書に記載される主題の例示的な形態は、実際に配布を実施するために使用される特定のタイプの信号担持媒体に関係なく適用されることを理解するであろう。
【0124】
論理をプログラムして様々な開示された態様を実施するために使用される命令は、動的ランダムアクセスメモリ(DRAM)、キャッシュ、フラッシュメモリ、または他の記憶装置など、システム内のメモリ内に格納され得る。さらに、命令は、ネットワークを介して、または他のコンピュータ可読媒体を介して配布され得る。したがって、機械可読媒体は、機械(例えば、コンピュータ)によって読み取り可能な形態で情報を格納する、または伝送するための任意の機構であるが、それに限定されるものではない、フロッピーディスケット、光ディスク、コンパクトディスク、読み取り専用メモリ(CD-ROM)、および磁気光学ディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、消去可能なプログラム可能読み取り専用メモリ(EPROM)、電気的に消去可能なプログラム可能読み取り専用メモリ(EEPROM)、磁気または光学カード、フラッシュメモリ、または電気的、光学的、音響または他の形態の伝播信号(例えば、搬送波、赤外線信号、デジタル信号、など)を介してインターネット上で情報を送信する際に使用される有形の機械可読記憶装置を含み得る。したがって、非一時的コンピュータ可読媒体は、電子命令または情報を、機械(例えば、コンピュータ)によって可読な形態で格納または伝送するのに適した、任意のタイプの有形の機械可読媒体を含む。
【0125】
本明細書の任意の態様で使用される場合、「制御回路」という用語は、例えば、配線された回路、プログラム可能回路(例えば、一つ以上の個々の命令処理コアを備えるコンピュータプロセッサ、処理ユニット、プロセッサ、マイクロコントローラ、マイクロコントローラユニット、コントローラ、デジタルシグナルプロセッサ(DSP)、プログラム可能論理装置(PLD)、プログラム可能論理アレイ(PLA)、またはフィールドプログラマブルゲートアレイ(FPGA))、状態機械回路、プログラム可能回路によって実行される命令を格納するファームウェアおよびそれらの任意の組み合わせを指すことができる。制御回路は、集合的にまたは個別に、より大きなシステム、例えば、集積回路(IC)、特定用途向け集積回路(ASIC)、システムオンチップ(SoC)、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、サーバ、スマートフォンなどの一部を形成する回路として具体化され得る。したがって、本明細書で使用される場合、「制御回路」には、限定されるものではないが、少なくとも一つのディスクリート電気回路を有する電気回路と、少なくとも一つの集積回路を有する電気回路と、少なくとも一つの特定用途向け集積回路を有する電気回路と、コンピュータプログラムによって構成される汎用コンピューティングデバイスを形成する電気回路(例えば、プロセスを少なくとも部分的に実行するコンピュータプログラムによって構成される汎用コンピュータ、および/または本明細書に記載されるデバイス、または少なくとも部分的にプロセスを実行するコンピュータプログラムによって構成されるマイクロプロセッサ、および/または本明細書に記述されるデバイス)、メモリデバイスを形成する電気回路(例えば、ランダムアクセスメモリの形態)、および/または通信デバイスを形成する電気回路(例えば、モデム、通信スイッチ、または光電気機器)を含む。当業者であれば、本明細書に記載される主題が、アナログもしくはデジタルの様式またはそれらのいくつかの組み合わせで実装され得ることを認識するであろう。
【0126】
本明細書の任意の態様で使用される場合、用語「ロジック」は、前述の動作のいずれかを行うように構成されたアプリケーション、ソフトウェア、ファームウェア、および/または回路を指し得る。ソフトウェアは、ソフトウェアパッケージ、コード、命令、命令セット、および/または非一時的コンピュータ可読記憶媒体に記録されたデータとして具現化され得る。ファームウェアは、コード、命令、または命令セット、および/またはメモリデバイス内にハードコードされた(例えば、不揮発性)データとして具現化され得る。
【0127】
本明細書の任意の態様で使用される場合、用語「コンポーネント」、「システム」、「モジュール」などは、コンピュータ関連実体、ハードウェア、ハードウェアおよびソフトウェアの組み合わせ、ソフトウェア、または実行中のソフトウェアを指すことができる。
【0128】
本明細書の任意の態様で使用される場合、「アルゴリズム」は、所望の結果をもたらすステップの自己整合的な順序を指し、「ステップ」は、物理的量の操作、および/または必ずしもそうである必要はないが、格納、移動、結合、比較、およびその他操作することができる電気信号または磁気信号の形態を取ることができる論理状態を指す。これらの信号をビット、値、要素、記号、文字、用語、数字などと呼ぶのが一般的である。これらおよび類似の用語は、適切な物理量と関連付けられてもよく、これらの量および/または状態に適用される単に便利な符号である。
【要約】
プロセッサおよびメモリを備えるマネージドセキュリティサービスプロバイダ(MSSP)サーバを介したテナントネットワークの自律的なセキュリティ強化のためのシステムおよび方法が開示されており、複数のデータソースからの情報を用いて、方法は、侵害指標(IoC)との遭遇に際し、セキュリティシステムによって、複数のデータソースのうちのデータソースを識別するために、データベースまたはサーバをクエリすることであって、データソースが、IoCについての情報を含む、クエリすることと、プロセッサを介して、IoCについてのIoC脅威スコアを生成することと、IoC脅威スコアに基づいて、少なくとも一つの実行可能なセキュリティ強化通知を生成することと、自動セキュリティ応答を展開することとであって、IoC脅威スコアおよび実行可能なセキュリティ強化通知をユーザに表示して、単一のIoC脅威スコアに基づいて、少なくとも一つの措置のトリガまたは無効化を可能にすることを含み得る、展開することと、を含む。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
