ホーム > 特許ランキング > NETSKOPE, INC.
特表2024-521121組織のセキュリティポリシーに対するユーザコンプライアンスの信頼度のスコアリング
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-05-28
(54)【発明の名称】組織のセキュリティポリシーに対するユーザコンプライアンスの信頼度のスコアリング
(51)【国際特許分類】
G06F 21/50 20130101AFI20240521BHJP
G06F 21/62 20130101ALI20240521BHJP
【FI】
G06F21/50
G06F21/62 318
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023571982
(86)(22)【出願日】2022-05-19
(85)【翻訳文提出日】2024-01-15
(86)【国際出願番号】 US2022030133
(87)【国際公開番号】W WO2022246131
(87)【国際公開日】2022-11-24
(31)【優先権主張番号】17/326,240
(32)【優先日】2021-05-20
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】17/326,243
(32)【優先日】2021-05-20
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】17/326,253
(32)【優先日】2021-05-20
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】17/723,345
(32)【優先日】2022-04-18
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVASCRIPT
2.UNIX
(71)【出願人】
【識別番号】517325652
【氏名又は名称】ネットスコープ, インク.
【氏名又は名称原語表記】NETSKOPE, INC.
(74)【代理人】
【識別番号】100114476
【弁理士】
【氏名又は名称】政木 良文
(72)【発明者】
【氏名】リャオ, イーファ
(72)【発明者】
【氏名】ザン, イー
(72)【発明者】
【氏名】パティル, ディパック
(72)【発明者】
【氏名】ディシュパンデ, プラサメッシュ
(72)【発明者】
【氏名】ワン, ヨンシン
(72)【発明者】
【氏名】ヤン, シイン
(57)【要約】
開示される技術は、重大度によって分類され、かつ経時的に生成されるアラート重みの合計を各ユーザについてスコアリングすることを含む、ユーザ信頼度又は危険スコアを構築して、組織のセキュリティポリシーに対するユーザコンプライアンスを評価するための方法を教示する。アラート重みへの各寄与は、組織のセキュリティポリシーが危険として扱うユーザによるアクティビティによって生成される。経時的なアラート重みは、時間の経過とともにアラート重みを減衰させる減衰係数の影響を受ける。また、ユーザ信頼度スコアを報告することであって、所定の時間にわたる時系列のユーザ信頼度若しくは危険スコア、並びに/あるいは現在のユーザ信頼度若しくは危険スコア、及び/又は経時的なアラート重みに寄与したユーザによるアクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することも開示される。
【選択図】図1
【選択図】図1
【特許請求の範囲】
【請求項1】
組織のセキュリティポリシーに対するユーザコンプライアンスを評価する方法であって、前記組織のセキュリティポリシーが危険とみなすユーザによるアクティビティを検出するためにプロキシを使用してシーケンスアラートを生成することであって、前記シーケンスアラートが、重大度によって分類される、生成することと、
ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、異常なユーザ行動が検出されたときにバッチアラートを生成することであって、前記バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつ前記シーケンスアラート及び前記バッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、前記ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、前記経時的なアラート重みが、時間の経過とともに前記アラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
前記ユーザ信頼度スコアを報告することであって、
所定の時間にわたる時系列の前記ユーザ信頼度スコア、並びに/あるいは
現在のユーザ信頼度スコア、及び/又は
前記経時的なアラート重みに寄与したユーザによる前記アクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、のアクションを含む、方法。
【請求項2】
前記スコアリング及び報告を少なくとも10人のユーザに適用することと、各ユーザについて、低から高への前記現在のユーザ信頼度スコア、又は高から低への危険スコアの順序付きリストを報告することと、を更に含む、請求項1に記載の方法。
【請求項3】
前記スコアリング及び報告を少なくとも10人のユーザに適用することと、所定の閾値又は可能な総ユーザ信頼度スコアの構成可能なパーセンテージのうちの1つに基づいて、ユーザの前記ユーザ信頼度スコアを報告するために選択することと、を更に含む、請求項1に記載の方法。
【請求項4】
前記アラート重みを減衰させる前記減衰係数は、前記アラートが発生してからの日数の関数である、請求項1に記載の方法。
【請求項5】
スコアリング閾値に基づいて1つ以上のアクションを自動的にとることを更に含み、前記アクションが、ユーザに自身のパスワードをリセットすることを要求することと、機密ファイルへのユーザアクセスを削除することと、特定のアプリへのユーザによるアクセスをブロックすることと、を含む、請求項1に記載の方法。
【請求項6】
前記表示が、10人以上のユーザのための前記時系列であり、特定のユーザのために選択されるときに、前記経時的なアラート重みに寄与した前記特定のユーザによるアクティビティの少なくともいくつかの詳細の表示をトリガする、前記ユーザの各々についてのユーザ制御の表示を引き起こすことを更に含む、請求項1に記載の方法。
【請求項7】
メモリにロードされたプログラム命令を含む有形の非一時的コンピュータ可読記憶媒体であって、前記プログラム命令が、1つ以上のプロセッサ上で実行されるときに、前記プロセッサに、組織のセキュリティポリシーに対するユーザコンプライアンスを評価することに向けられたアクションを実行させ、前記アクションは、前記組織のセキュリティポリシーが危険とみなすユーザによるアクティビティを検出するためにプロキシを使用してシーケンスアラートを生成することであって、前記シーケンスアラートが、重大度によって分類される、生成することと、
ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、異常なユーザ行動が検出されたときにバッチアラートを生成することであって、前記バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつ前記シーケンスアラート及び前記バッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、前記ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、前記経時的なアラート重みが、時間の経過とともに前記アラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
前記ユーザ信頼度スコアを報告することであって、所定の時間にわたる時系列の前記ユーザ信頼度スコア、並びに/又は現在のユーザ信頼度スコア、及び/若しくは前記経時的なアラート重みに寄与した前記ユーザによる前記アクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、を含む、有形の非一時的コンピュータ可読記憶媒体。
【請求項8】
前記スコアリング及び報告を少なくとも10人のユーザに適用することと、各ユーザについて、低から高への前記現在のユーザ信頼度スコア、又は高から低への危険スコアの順序付きリストを報告することと、を更に含む、請求項7に記載の有形の非一時的コンピュータ可読記憶媒体。
【請求項9】
前記スコアリング及び報告を少なくとも10人のユーザに適用することと、所定の閾値又は可能な総ユーザ信頼度スコアの構成可能なパーセンテージのうちの1つに基づいて、ユーザの前記ユーザ信頼度スコアを報告するために選択することと、を更に含む、請求項7に記載の有形の非一時的コンピュータ可読記憶媒体。
【請求項10】
前記アラート重みを減衰させる前記減衰係数は、前記アラートが発生してからの日数の関数である、請求項7に記載の有形の非一時的コンピュータ可読記憶媒体。
【請求項11】
スコアリング閾値に基づいて1つ以上のアクションを自動的にとることを更に含み、前記アクションが、ユーザに自身のパスワードをリセットすることを要求することと、機密ファイルへのユーザアクセスを削除することと、Googleドライブ及びBoxを含むがこれらに限定されない特定のアプリへのユーザによるアクセスをブロックすることと、を含む、請求項7に記載の有形の非一時的コンピュータ可読記憶媒体。
【請求項12】
前記表示が、10人以上のユーザのための前記時系列であり、前記有形の非一時的コンピュータ可読記憶媒体が、特定のユーザのために選択されるときに、前記経時的なアラート重みに寄与した前記特定のユーザによるアクティビティの少なくともいくつかの詳細の表示をトリガする、前記ユーザの各々についてのユーザ制御の表示を引き起こすことを更に含むアクションを前記プロセッサに実行させる命令を更に含む、請求項7に記載の有形の非一時的コンピュータ可読記憶媒体。
【請求項13】
組織のセキュリティポリシーに対するユーザコンプライアンスを評価するためのデバイスであって、前記デバイスが、少なくとも1つのプロセッサと、前記プロセッサに結合されたメモリと、前記メモリにロードされたコンピュータ命令と、を含み、前記コンピュータ命令が、実行されるときに、前記プロセッサに、組織のセキュリティポリシーに対するユーザコンプライアンスを評価することに向けられたアクションを実行させ、前記アクションは、前記組織のセキュリティポリシーが危険とみなすユーザによるアクティビティを検出するためにプロキシを使用してシーケンスアラートを生成することであって、前記シーケンスアラートが、重大度によって分類される、生成することと、
ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、異常なユーザ行動が検出されたときにバッチアラートを生成することであって、前記バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつ前記シーケンスアラート及び前記バッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、前記ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、前記経時的なアラート重みが、時間の経過とともに前記アラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
前記ユーザ信頼度スコアを報告することであって、所定の時間にわたる時系列の前記ユーザ信頼度スコア、並びに/あるいは現在のユーザ信頼度スコア、及び/又は前記経時的なアラート重みに寄与した前記ユーザによる前記アクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、を含む、デバイス。
【請求項14】
前記デバイスのプロセスが、前記スコアリング及び報告を少なくとも10人のユーザに適用することと、各ユーザについて、低から高への前記現在のユーザ信頼度スコア、又は高から低への危険スコアの順序付きリストを報告することと、を更に含む、請求項13に記載のデバイス。
【請求項15】
前記デバイスのプロセスが、前記スコアリング及び報告を少なくとも10人のユーザに適用することと、所定の閾値又は可能な総ユーザ信頼度スコアの構成可能なパーセンテージのうちの1つに基づいて、ユーザの前記ユーザ信頼度スコアを報告するために選択することと、を更に含む、請求項13に記載のデバイス。
【請求項16】
前記デバイスのプロセスが、スコアリング閾値に基づいて1つ以上のアクションを自動的にとることを更に含み、前記アクションが、ユーザに自身のパスワードをリセットすることを要求することと、機密ファイルへのユーザアクセスを削除することと、Googleドライブ及びBoxを含むがこれらに限定されない特定のアプリへのユーザによるアクセスをブロックすることと、のうちの少なくとも1つを含む、請求項13に記載のデバイス。
【請求項17】
前記表示が、10人以上のユーザのための前記時系列であり、前記デバイスが、特定のユーザのために選択されるときに、前記経時的なアラート重みに寄与した前記特定のユーザによるアクティビティの少なくともいくつかの詳細の表示をトリガする、前記ユーザの各々についてのユーザ制御の表示を引き起こすことを更に含むアクションを前記少なくとも1つのプロセッサに実行させる命令を更に含む、請求項13に記載のデバイス。
【請求項18】
組織のセキュリティポリシーに対するユーザコンプライアンスを評価する方法であって、組織のセキュリティポリシーに準拠していないユーザによるアクティビティを検出するためにシーケンスアラートを生成することであって、前記シーケンスアラートが、重大度によって分類される、生成することと、
ユーザに関連して、前記ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、前記ユーザの異常なユーザ行動が検出されたときにバッチアラートを生成することであって、前記バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつ前記シーケンスアラート及び前記バッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、前記ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、
前記経時的なアラート重みが、時間の経過とともに前記アラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
前記ユーザ信頼度スコアを報告することであって、
所定の時間にわたる時系列の前記ユーザ信頼度スコア、並びに/又は現在のユーザ信頼度スコア、及び/若しくは
前記経時的なアラート重みに寄与した前記ユーザによる前記アクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、を含む、方法。
【発明の詳細な説明】
【技術分野】
【0001】
[関連出願の相互参照]
本特許出願は、参照によりそれらの全体が本明細書に援用され、本明細書に完全に記載されているかのように全ての目的のために本明細書に援用される、以下の出願に対する優先権を主張する。
本特許出願は、参照によりそれらの全体が本明細書に援用され、本明細書に完全に記載されているかのように全ての目的のために本明細書に援用される、以下の出願に対する優先権を主張する。
【0002】
2021年5月20日に出願され、2022年4月19日に米国特許第11,310,282号として発行された「Scoring Confidence in User Compliance with An Organization’s Security Policies」と題する米国非仮特許出願第17/326,240号(代理人整理番号NSKO1051-1)。
【0003】
2021年5月20日に出願された「Calibrating User Confidence in Compliance with An Organization’s Security Policies」と題する米国非仮特許出願第17/326,243号(代理人整理番号NSKO1058-1)、及び
【0004】
2021年5月20日に出願された第17/326,253号「Reducing False Detection of Anomalous User Behavior on a Computer Network」と題する米国非仮特許出願(代理人整理番号NSKO1059-1)。
【0005】
米国非仮特許出願第17/326,240号の継続出願である、2022年4月18日に出願された「Scoring Confidence in User Compliance with An Organization’s Security Policies」と題する米国非仮特許出願第17/723,345号(代理人整理番号NSKO1051-2)。
【0006】
本特許出願は、任意の及び全ての目的のために、参照により同じくそれらの全体が本明細書に各々援用される、前述の文書の全ての優先権を主張する。
【0007】
[援用]
以下の材料は、本出願において参考として援用される。
「KDE Hyper Parameter Determination」、Yi Zhang et al.、Netskope,Inc.
2016年9月2日に出願された「Machine Learning Based Anomaly Detection」と題する米国非仮出願第15/256,483号(代理人整理番号NSKO1004-2)(現在は、2019年4月23日に発行された米国特許第10,270,788号)、
2019年4月19日に出願された「Machine Learning Based Anomaly Detection」と題する米国非仮出願第16/389,861号(代理人整理番号NSKO1004-3)(現在は、2021年6月1日に発行された米国特許第11,025,653号)、
2014年3月05日に出願された「Security For Network Delivered Services」と題する米国非仮出願第14/198,508号(代理人整理番号NSKO1000-3)(現在は、2016年2月23日に発行された米国特許第9,270,765号)、
2016年12月02日に出願された「Systems and Methods of Enforcing Multi-Part Policies on Data-Deficient Transactions of Cloud Computing Services」と題する米国非仮出願第15/368,240号(代理人整理番号NSKO1003-2)(現在は、2020年11月03日に発行された米国特許第10,826,940号)、及び2016年3月11日に出願された「Systems and Methods of Enforcing Multi-Part Policies on Data-Deficient Transactions of Cloud Computing Services」と題する米国仮出願第62/307,305号(代理人整理番号NSKO1003-1)、
「Cloud Security for Dummies,Netskope Special Edition」 by Cheng,Ithal,Narayanaswamy,and Malmskog,John Wiley&Sons,Inc.2015、
「Netskope Introspection」 by Netskope,Inc.、
「Data Loss Prevention and Monitoring in the Cloud」 by Netskope,Inc.、
「The 5 Steps to Cloud Confidence」 by Netskope,Inc.、
「Netskope Active Cloud DLP」 by Netskope,Inc.、
「Repave the Cloud-Data Breach Collision Course」 by Netskope,Inc.、及び
「Netskope Cloud Confidence Index(商標)」 by Netskope,Inc.
以下の材料は、本出願において参考として援用される。
「KDE Hyper Parameter Determination」、Yi Zhang et al.、Netskope,Inc.
2016年9月2日に出願された「Machine Learning Based Anomaly Detection」と題する米国非仮出願第15/256,483号(代理人整理番号NSKO1004-2)(現在は、2019年4月23日に発行された米国特許第10,270,788号)、
2019年4月19日に出願された「Machine Learning Based Anomaly Detection」と題する米国非仮出願第16/389,861号(代理人整理番号NSKO1004-3)(現在は、2021年6月1日に発行された米国特許第11,025,653号)、
2014年3月05日に出願された「Security For Network Delivered Services」と題する米国非仮出願第14/198,508号(代理人整理番号NSKO1000-3)(現在は、2016年2月23日に発行された米国特許第9,270,765号)、
2016年12月02日に出願された「Systems and Methods of Enforcing Multi-Part Policies on Data-Deficient Transactions of Cloud Computing Services」と題する米国非仮出願第15/368,240号(代理人整理番号NSKO1003-2)(現在は、2020年11月03日に発行された米国特許第10,826,940号)、及び2016年3月11日に出願された「Systems and Methods of Enforcing Multi-Part Policies on Data-Deficient Transactions of Cloud Computing Services」と題する米国仮出願第62/307,305号(代理人整理番号NSKO1003-1)、
「Cloud Security for Dummies,Netskope Special Edition」 by Cheng,Ithal,Narayanaswamy,and Malmskog,John Wiley&Sons,Inc.2015、
「Netskope Introspection」 by Netskope,Inc.、
「Data Loss Prevention and Monitoring in the Cloud」 by Netskope,Inc.、
「The 5 Steps to Cloud Confidence」 by Netskope,Inc.、
「Netskope Active Cloud DLP」 by Netskope,Inc.、
「Repave the Cloud-Data Breach Collision Course」 by Netskope,Inc.、及び
「Netskope Cloud Confidence Index(商標)」 by Netskope,Inc.
【0008】
開示される技術は、概して、セキュリティ管理者が最も危険なユーザを容易に識別し、適切なアクションをとることができるように、ユーザの全体的な危険を定量化するための行動分析に関する。より具体的には、開示される技術は、機械学習及び統計分析を通じて、潜在的な脅威を示すユーザ行動異常を反映するユーザ信頼度スコアを決定することに関する。
【背景技術】
【0009】
このセクションで考察される主題は、単にこのセクションにおけるその言及の結果として先行技術であると想定されるべきではない。同様に、このセクションで言及される問題、又は背景として提供される主題と関連する問題は、先行技術において以前に認識されていたと仮定されるべきではない。このセクションの主題は、異なるアプローチを表すにすぎず、それ自体、特許請求される技術の実装形態に対応することもできる。
【0010】
サイバー犯罪者は、クラウドを、検出を弱体化させるための効果的な方法とみなしている。サイバー脅威及び悪意のあるインサイダーのパターンは絶えず変化する。一方、機密データはますます分散され、必ずしも認可されていないか又は適切に保護されていないアプリケーションに移動している。
【0011】
エンタープライズユーザの89%は、マネージド及び非マネージドのクラウドサービス及びアプリにおいてアクティブであり、ユーザの20%は、複数のアプリ及びサービス間で機密データを横方向に移動し、エンタープライズユーザの30%超は、平均してリモートで作業している。
【0012】
セキュリティポリシーは、例えば、ユーザがファイルをアップロード及びダウンロードしているとき、ウェブサイトを閲覧しているとき、又はクラウド内のデータにアクセスしているときなど、個々のユーザに対してリアルタイムで評価される必要があることが多い。ユーザエクスペリエンスに影響を与える何百万もの重要な決定を毎日行う必要がある。
【0013】
組織のセキュリティポリシーに対するユーザコンプライアンスを評価し、組織のセキュリティポリシーに準拠していなかったユーザ行動の評価を表すユーザ信頼度又は危険スコアを較正して、管理者がユーザグループをレビューし、それらがもたらすセキュリティ上の危険に基づいて個々のユーザに対して適切なアクションをとることを可能にするための機会が生じる。また、コンピュータネットワーク上の異常なユーザ行動の誤検出を低減するための機会も出現する。
【0014】
図面において、同様の参照文字は、概して、異なる図全体を通して同様の部分を指す。また、図面は、必ずしも縮尺通りではなく、代わりに、概して、開示される技術の原理を図示することに重点が置かれている。以下の説明では、開示される技術の種々の実装形態が、以下の図面を参照して説明される。
【0015】
本特許出願書類には、カラーで作成された少なくとも1つの図面が含まれている。カラーの図面を含む本特許又は特許出願公開の複写は、請求及び必要な料金の支払いに応じて、庁によって提供されるであろう。カラーの図面はまた、補足コンテンツタブを介してPAIRで利用可能であり得る。
【図面の簡単な説明】
【0016】
【図1】開示される技術の一実装形態による、組織のセキュリティポリシーに対するユーザコンプライアンスを評価するための、組織のセキュリティポリシーに準拠していなかったユーザ行動の評価を表すユーザ信頼度又は危険スコアを較正するための、及びコンピュータネットワーク上の異常なユーザ行動の誤検出を低減するための、システムのアーキテクチャレベルの概略図を示す。
【図2A】組織のセキュリティポリシーに対するユーザコンプライアンスを評価するために、ネットワークを介してクラウドベースのサービスを利用するユーザを有するNetskopeクラウドアクセスセキュリティブローカのハイレベルブロック図を示す。
【図2B】バッチアラート検出器によって使用されるための、ユーザのグループについてのアプリイベントの例示的なリストを、アプリのリストの各々についての各ユーザによるイベントのカウントとともに示す。
【図3A】情報的な重大度を有するアラートのユーザデータを示す。
【図3B】情報的な重大度を同じく有する、同じユーザの別のアラートを説明する。
【図3C】ユーザに対する重要な重大度アラートを示す。
【図3D】情報的な重大度アラートを列挙する。
【図3E】同じユーザに対する中程度の重大度アラートを示す。
【図4】シーケンス及びバッチの両方のアラートタイプについて、アラートが発生した時間及び重大度を含む、6人のユーザのセットのアラートサマリのスニペットを示す。
【図5】6人のユーザの各々について16日間の各々について計算された信頼度スコアを示す。
【図6】現在の日からの日数の関数としての減衰係数の例示的な減衰係数グラフを示す。
【図7】200日間にわたるユーザのユーザ危険スコアのグラフを示し、ここで、ユーザ危険スコアは、ユーザによって生成されたアラートの合計であり、アラートの重大度及び異常性、並びに時間減衰係数によって重み付けされる。
【図8A】6人のユーザのセットのユーザ信頼度スコアリングを実証する例示的なプロットを示す
【図8B】組織内の多数のユーザのセットのユーザ信頼度スコアリングを実証する例示的なプロットを示す。
【図9】管理者によって使用されるためのユーザ信頼度スコアのための代表的なユーザインターフェースを示す。
【図10】開示される技術の一実装形態による、組織のセキュリティポリシーに対するユーザコンプライアンスを評価するために、組織のセキュリティポリシーに準拠していなかったユーザ行動の評価を表すユーザ信頼度又は危険スコアを較正するために、及びコンピュータネットワーク上の異常なユーザ行動の誤検出を低減するために使用され得る、コンピュータシステムの簡略化されたブロック図である。
【発明を実施するための形態】
【0017】
以下の詳細な説明は、図面を参照して行われる。特許請求の範囲によって定義されるその範囲を限定するためではなく、開示される技術を例示するために、サンプルの実装形態が説明される。当業者であれば、以下の説明に基づいて種々の同等の変形例を認識するであろう。
【0018】
エンタープライズのセキュリティ管理者が危険ユーザを容易に識別し、機密ファイルへのアクセスをブロックし、侵入攻撃を阻止することなどの適切なアクションをとることができるように、ユーザの全体的な危険を定量化する必要がある。
【0019】
開示される技術は、行動分析を利用して、異常なユーザ行動を明らかにし、悪意のあるインサイダー、侵害されたアカウント、データ漏洩、及び他の脅威を検出及びブロックするために、ユーザがどれほど危険であるか、又は信頼できるかを評価する。
【0020】
開示される技術はまた、組織のセキュリティポリシーに準拠していなかったユーザ行動の評価を表すユーザ信頼度又は危険スコアの較正を可能にする。この文書では、エンタープライズと組織が互換的に使用される。
【0021】
ユーザ行動をユーザ及びグループの両方のプロファイルと比較する既存の技術は、ピアグループのプロキシとして顧客のユーザの全てを利用する。このアプローチは、偽陽性の発生を効果的に低減する情報を提供するのに十分な粒度ではない。
【0022】
ユーザ及びエンティティの行動分析(UEBA)では、ユーザ又はエンティティの行動が異なる場合にセキュリティアラートが生成される。そのような「異なる行動」は、ユーザ/エンティティをそれ自身の履歴、及び/又はそのピアの履歴と比較することによって検出される。したがって、「ピア」の決定は、UEBAの重要なステップになる。
【0023】
開示される技術は、使用されるアプリに基づいて、かつロケーションに基づいてピアユーザをグループにグループ化することを使用し、ユーザ行動をユーザ及びピアグループの両方のプロファイルと比較することによって、弾性的であり、偽陽性の発生を低減するユーザ及びエンティティの行動分析(UEBA)を可能にする。
【0024】
開示される技術は、機械学習及び統計分析を通じて、潜在的なセキュリティ上の脅威を示す異常なユーザ行動の発生及び重大度を定量化するという技術的問題を解決する。ユーザ信頼度スコアは、この重要なニーズを満たすように設計される。
【0025】
次に、組織のセキュリティポリシーに対するユーザコンプライアンスを評価するための、組織のセキュリティポリシーに準拠していなかったユーザ行動の評価を表すユーザ信頼度又は危険スコアを較正するための、及びコンピュータネットワーク上の異常なユーザ行動の誤検出を低減するための、例示的なシステムについて説明する。
【0026】
[アーキテクチャ]
図1は、組織のセキュリティポリシーに対するユーザコンプライアンスを評価するための、及び組織のセキュリティポリシーに準拠していなかったユーザ行動の評価を表すユーザ信頼度又は危険スコアを較正するための、システム100のアーキテクチャレベル概略図を示す。これらの機能は、管理者がユーザグループをレビューし、それらがもたらすセキュリティ上の危険に基づいて個々のユーザに対して適切なアクションをとることを可能にする。システム100はまた、コンピュータネットワーク上の異常なユーザ行動の誤検出を低減するための機能を含む。図1はアーキテクチャ図であるため、説明をより明確にするために、一部の詳細は意図的に省略されている。図1の説明は以下のように構成される。最初に、図の要素について説明し、その後、それらの相互接続について説明する。次に、システムにおける要素の使用をより詳細に説明する。
図1は、組織のセキュリティポリシーに対するユーザコンプライアンスを評価するための、及び組織のセキュリティポリシーに準拠していなかったユーザ行動の評価を表すユーザ信頼度又は危険スコアを較正するための、システム100のアーキテクチャレベル概略図を示す。これらの機能は、管理者がユーザグループをレビューし、それらがもたらすセキュリティ上の危険に基づいて個々のユーザに対して適切なアクションをとることを可能にする。システム100はまた、コンピュータネットワーク上の異常なユーザ行動の誤検出を低減するための機能を含む。図1はアーキテクチャ図であるため、説明をより明確にするために、一部の詳細は意図的に省略されている。図1の説明は以下のように構成される。最初に、図の要素について説明し、その後、それらの相互接続について説明する。次に、システムにおける要素の使用をより詳細に説明する。
【0027】
システム100は、組織ネットワーク102と、セキュリティスタック15及びNetskopeクラウドアクセスセキュリティブローカ(N-CASB)155を有する統合クラウドベースのセキュリティシステム153を有するデータセンタ152と、クラウドベースのサービス108とを含む。システム100は、セキュリティサービスプロバイダの、マルチテナントネットワークとも称される複数の加入者のための複数の組織ネットワーク104と、複数のデータセンタ156とを含む。組織ネットワーク102は、コンピュータ112a~n、タブレット122a~n、及びモバイルデバイス132a~nを含む。別の組織ネットワークでは、組織ユーザは追加のデバイスを利用することができる。クラウドサービス108は、クラウドベースのホスティングサービス118、ウェブ電子メールサービス128、ビデオ、メッセージング、及び音声通話サービス138、ストリーミングサービス148、ファイル転送サービス158、並びにクラウドベースのストレージサービス168を含む。データセンタ152は、公衆ネットワーク145を介して組織ネットワーク102及びクラウドベースのサービス108に接続する。クラウドサービスコンシューマとクラウドサービスプロバイダとの間で動作するNetskopeクラウドアクセスセキュリティブローカ(N-CASB)155は、クラウドベースのリソースがアクセスされるときにエンタープライズセキュリティポリシーを組み合わせて差し挟む。(N-CASB)155によって実施される当該のこれらのアクション(機能)は、プロキシとして機能する(N-CASB)155の例を表す。
【0028】
図1の説明を続けると、セキュリティスタック154の各セキュリティ層は、問題を検出することができる。強化されたNetskopeクラウドアクセスセキュリティブローカ(N-CASB)155は、認可された及び認可されていないクラウドアプリにおけるアクセス及びアクティビティを統制し、機密データを保護し、その損失を防止し、内部及び外部の脅威から保護することに加えて、BT、FTP及びUDPベースのストリーミングプロトコルを介したP2Pトラフィック、並びにSIPを介したSkype、音声、ビデオ及びメッセージングマルチメディア通信セッション、並びに他のプロトコルを介したウェブトラフィックを安全に処理する。
【0029】
N-CASB155は、システムのユーザを識別し、アプリのポリシーを設定するアクティブアナライザ165及び内部検査アナライザ175を含む。内部検査アナライザ175は、静止しているデータを検査するためにクラウドベースのサービス108と直接対話する。ポーリングモードでは、内部検査アナライザ175は、APIコネクタを使用してクラウドベースのサービスを呼び出して、クラウドベースのサービスに存在するデータをクロールし、変更をチェックする。
【0030】
一例として、Box(商標)ストレージアプリケーションは、Boxフォルダの監査ログを含む、全てのユーザのための組織のアカウントへの可視性を提供するBox Content API(商標)と称される管理APIを提供し、この管理APIを検査して、証明書が危険にさらされた特定の日付の後に機密ファイルがダウンロードされたかどうかを決定することができる。内部検査アナライザ175は、このAPIをポーリングして、アカウントのいずれかに行われた変更を発見する。変更が発見された場合、Box Events API(商標)は、詳細なデータ変更を発見するためにポーリングされる。コールバックモデルでは、内部検査アナライザ175は、任意の重要なイベントについて通知されるように、APIコネクタを介してクラウドベースのサービスに登録する。
【0031】
例えば、内部検査アナライザ175は、Microsoft Office365 Webhooks API(商標)を使用して、ファイルが外部で共有されたときを学習することができる。内部検査アナライザ175はまた、ディープAPI検査(DAPII)、ディープパケット検査(DPI)、及びログ検査能力を有し、クラウドベースのサービス内の残りのファイルに異なるコンテンツ検査技法を適用して、ストレージ186に記憶されたポリシー及びルールに基づいて、どの文書及びファイルが機密であるかを決定するDLPエンジンを含む。内部検査アナライザ175による検査の結果は、ユーザごとのデータ及びファイルごとのデータの生成である。
【0032】
アクティブアナライザ及び内部検査アナライザの機能に関する更なる情報については、例えば、同一出願人が所有する米国特許第9,398,102号(NSKO1000-2)、同第9,270,765号(NSKO1000-3)、同第9,928,377号(NSKO1001-2)、及び米国特許出願第15/368,246号(NSKO1003-3)を参照することができる。
【0033】
図1の説明を更に続けると、N-CASB155は、抽出エンジン171、分類エンジン172、セキュリティエンジン173、管理プレーン174、及びデータプレーン180を含むモニタ184を更に含む。また、N-CASB155に含まれるストレージ186は、コンテンツポリシー187、コンテンツプロファイル188、コンテンツ検査ルール189、エンタープライズデータ197、クライアントの情報198、及びユーザ識別情報199を含む。エンタープライズデータ197は、知的財産、非公開金融、戦略的計画、顧客リスト、顧客又は従業員に属する個人的に識別可能な情報(PII)、患者健康データ、ソースコード、営業秘密、予約情報、パートナー契約、コーポレート計画、合併及び取得文書、並びに他の秘匿データを含むが、それらに限定されない、組織データを含み得る。
【0034】
特に、「エンタープライズデータ」という用語は、文書、ファイル、フォルダ、ウェブページ、ウェブページの集合、画像、又は任意の他のテキストベースの文書を指す。ユーザ識別情報は、トークン、UUIDなどの一意の識別子、公開キー証明書などの形態で、ネットワークセキュリティシステムによってクライアントデバイスに提供されるインジケータを指す。
【0035】
場合によっては、ユーザ識別情報は、特定のユーザ及び特定のデバイスにリンクされ得、したがって、同じ個人が、そのモバイルフォンとコンピュータとで異なるユーザ識別情報を有する場合がある。ユーザ識別情報は、エントリ又はコーポレート識別情報ディレクトリにリンクすることができるが、それとは異なる。一実装形態では、ネットワークセキュリティによって署名された暗号証明書がユーザ識別情報として使用される。他の実装形態では、ユーザ識別情報は、ユーザに対してのみ一意であり、デバイスにわたって同一であり得る。
【0036】
実施形態は、シングルサインオン(SSO)ソリューション及び/又はコーポレート識別情報ディレクトリ、例えば、MicrosoftのActive Directory(AD)と相互運用することもできる。かかる実施形態は、カスタム属性を使用して、例えば、グループ又はユーザレベルのいずれかにおいて、ポリシーがディレクトリ内で定義されることを可能にし得る。システムとともに構成されるホストサービスは、システムを介したトラフィックを必要とするようにも構成される。これは、ホストされたサービスにおけるIP範囲制限をシステムのIP範囲に設定すること、及び/又はシステムとSSOシステムとの間の統合を通じて行うことができる。
【0037】
例えば、SSOソリューションとの統合は、サインオンを認可する前にクライアントプレゼンス要件を施行することができる。他の実施形態は、SaaSベンダとの「プロキシアカウント」、例えば、サービスにサインインするための唯一のクレデンシャルを保持するシステムによって保持される専用アカウントを使用してもよい。他の実施形態では、クライアントは、ログインをホストされたサービスに渡す前に、クレデンシャル上の署名を暗号化することができ、これは、ネットワーキングセキュリティシステムがパスワードを「所有する」ことを意味する。
【0038】
ストレージ186は、マルチテナントデータベースシステム(MTDS)などの多くの方法で実装され得るオンデマンドデータベースサービス(ODDS)を形成するために、1つ以上のテナントからの情報を共通データベースイメージのテーブルに記憶することができる。データベース画像は、1つ以上のデータベースオブジェクトを含むことができる。他の実装形態では、データベースは、リレーショナルデータベース管理システム(RDBMS)、オブジェクト指向データベース管理システム(OODBMS)、分散ファイルシステム(DFS)、ノースキーマデータベース、又は任意の他のデータ記憶システム若しくはコンピューティングデバイスであり得る。一部の実装形態では、収集されたメタデータは、処理及び/又は正規化される。場合によっては、メタデータは構造化データを含み、機能はクラウドサービス108によって提供される特定のデータ構造をターゲットとする。フリーテキストなどの非構造化データもまた、クラウドサービス108によって提供され、クラウドサービス108をターゲットにすることができる。構造化データ及び非構造化データの両方が、内部検査アナライザ175によって集約されることが可能である。
【0039】
例えば、アセンブルされたメタデータは、JSON(JavaScriptオブジェクト表記)、BSON(バイナリJSON)、XML、Protobuf、Avro、又はThriftオブジェクトのような半構造化データフォーマットで記憶され、これは、ストリングフィールド(又は列)と、数、ストリング、アレイ、オブジェクトなどのような潜在的に異なるタイプの対応する値とからなる。他の実装形態では、JSONオブジェクトは、ネストされることができ、フィールドは、多値、例えば、アレイ、ネストされたアレイなどであり得る。これらのJSONオブジェクトは、Apache Cassandra(商標)、GoogleのBigtable(商標)、HBase(商標)、Voldemort(商標)、CouchDB(商標)、MongoDB(商標)、Redis(商標)、Riak(商標)、Neo4j(商標)などのようなスキーマレス又はNoSQLキー値メタデータストア178に記憶され、これは、SQLのデータベースと同等のキースペースを使用して構文解析されたJSONオブジェクトを記憶する。各キースペースは、テーブルに類似し、行及び列のセットからなる列ファミリに分割される。
【0040】
一実装形態では、内部検査アナライザ175は、着信メタデータを分析し、受信されたデータ内のキーワード、イベント、ユーザID、ロケーション、人口統計、ファイルタイプ、タイムスタンプなどを識別するメタデータパーサ(明瞭性を高める省略されている)を含む。構文解析は、テキストのストリームをキーワード、又は「目標設定可能パラメータ」と称される他の意味のある要素に分解し、分析するプロセスである。
【0041】
一実装形態では、ターゲットパラメータのリストが、例えば、マッチングエンジン(図示せず)による構文解析又はテキストマイニングなどの更なる処理のために入力される。構文解析は、利用可能なメタデータから意味を抽出する。一実装形態では、トークン化は、メタデータのストリーム内の粒状要素(例えば、トークン)を識別するための構文解析の第1のステップとして動作するが、構文解析は次いで、トークンが見つかったコンテキストを使用して、参照されている情報の意味及び/又は種類を決定することに進む。内部検査アナライザ175によって分析されたメタデータは同種ではない(例えば、多くの異なるフォーマットで多くの異なるソースが存在する)ため、特定の実装形態は、クラウドサービスごとに少なくとも1つのメタデータパーサを採用し、場合によっては2つ以上のメタデータパーサを採用する。他の実装形態では、内部検査アナライザ175は、モニタ184を使用して、クラウドサービスを検査し、コンテンツメタデータをアセンブルする。
【0042】
1つのユースケースでは、機密文書の識別は、文書の以前の検査に基づく。ユーザは、文書を機密として手動でタグ付けすることができ、この手動タグ付けは、クラウドサービス内の文書メタデータを更新する。次いで、公開されたAPIを使用してクラウドサービスから文書メタデータを取り出し、それらを機密性の指標として使用することが可能である。
【0043】
図1の説明を更に続けると、システム100は、任意の数のクラウドベースのサービス108、すなわち、ポイントツーポイントストリーミングサービス、ホストサービス、クラウドアプリケーション、クラウドストア、クラウドコラボレーション及びメッセージングプラットフォーム、並びにクラウド顧客関係管理(CRM)プラットフォームを含むことができる。
【0044】
サービスには、BitTorrent(BT)、ユーザデータグラムプロトコル(UDP)ストリーミング及びファイル転送プロトコル(FTP)などのポータルトラフィックのためのプロトコルを介したピアツーピアファイル共有(P2P)と、セッション開始プロトコル(SIP)及びSkypeを介したインスタントメッセージオーバーインターネットプロトコル(IP)及びモバイルフォンコーリングオーバーLTE(VoLTE)などの音声、ビデオ及びメッセージングマルチメディア通信セッションとが含まれ得る。サービスは、インターネットトラフィック、クラウドアプリケーションデータ、及び汎用ルーティングカプセル化(GRE)データを処理することができる。ネットワークサービス又はアプリケーションは、ウェブベース(例えば、ユニフォームリソースロケータ(URL)を介してアクセスされる)又は同期クライアントなどのネイティブとすることができる。
【0045】
例としては、software-as-a-service(SaaS)提供物、platform-as-a-service(PaaS)提供物、及びinfrastructure-as-a-service(IaaS)提供物、並びにURLを介して公開される内部エンタープライズアプリケーションが挙げられる。今日の一般的なクラウドベースのサービスの例として、Salesforce.com(商標)、Box(商標)、Dropbox(商標)、Google Apps(商標)、Amazon AWS(商標)、Microsoft Office 365(商標)、Workday(商標)、Oracle on Demand(商標)、Taleo(商標)、Yammer(商標)、Jive(商標)、及びConcur(商標)が挙げられる。
【0046】
システム100の要素の相互接続において、ネットワーク145は、コンピュータ112a~n、タブレット122a~n、モバイルデバイス132a~n、クラウドベースのホスティングサービス118、ウェブ電子メールサービス128、ビデオ、メッセージング、及び音声通話サービス138、ストリーミングサービス148、ファイル転送サービス158、クラウドベースのストレージサービス168、並びにN-CASB155を通信で結合する。通信経路は、パブリック及び/又はプライベートネットワーク上のポイントツーポイントであり得る。
【0047】
通信は、種々のネットワーク、例えば、プライベートネットワーク、VPN、MPLS回路、又はインターネットを経由して生じることができ、適切なアプリケーションプログラムインターフェース(API)及びデータ交換フォーマット、例えば、REST、JSON、XML、SOAP、及び/又はJMSを使用することができる。全ての通信は暗号化することができる。この通信は、概して、EDGE、3G、4G LTE、Wi-Fi、及びWiMAXなどのプロトコルを介して、LAN(ローカルエリアネットワーク)、WAN(広域通信網)、電話ネットワーク(パブリック交換電話網(PSTN))、セッション開始プロトコル(SIP)、無線ネットワーク、ポイントツーポイントネットワーク、スター型ネットワーク、トークンリングネットワーク、ハブネットワーク、モバイルインターネットを含むインターネットなどのネットワークを介する。追加的に、ユーザ名/パスワード、OAuth、Kerberos、SecureID、デジタル証明書などの種々の認可及び認証技法が、通信をセキュアにするために使用され得る。
【0048】
図1のシステムアーキテクチャの説明を更に続けると、N-CASB155は、互いに通信するように結合された1つ以上のコンピュータ及びコンピュータシステムを含むことができるモニタ184及びストレージ186を含む。それらはまた、1つ以上の仮想コンピューティング及び/又はストレージリソースであり得る。例えば、モニタ184は、1つ以上のAmazon EC2インスタンスとすることができ、ストレージ186は、Amazon S3(商標)ストレージとすることができる。直接物理コンピュータ又は従来の仮想マシン上でN-CASB155を実装するのではなく、Salesforce製のRackspace、Heroku、又はForce.comなどの他のサービスとしてのコンピューティングプラットフォームを使用することができる。
【0049】
追加的に、セキュリティ機能を実装するために、1つ以上のエンジンを使用することができ、1つ以上のポイントオブプレゼンス(POP)を確立することができる。図1のエンジン又はシステムコンポーネントは、種々のタイプのコンピューティングデバイス上で実行されるソフトウェアによって実装される。例示的なデバイスは、ワークステーション、サーバ、コンピューティングクラスタ、ブレードサーバ、及びサーバファーム、又は任意の他のデータ処理システム若しくはコンピューティングデバイスである。エンジンは、異なるネットワーク接続を介してデータベースに通信可能に結合することができる。
【0050】
例えば、抽出エンジン171は、ネットワーク145(例えば、インターネット)を介して結合することができ、分類エンジン172は、直接ネットワークリンクを介して結合することができ、セキュリティエンジン173は、更に異なるネットワーク接続によって結合することができる。開示される技術に関して、データプレーン180のPOPは、クライアントの構内でホストされるか、又はクライアントによって制御されるバーチャルプライベートネットワーク内に位置する。
【0051】
N-CASB155は、管理プレーン174及びデータプレーン180を介して種々の機能を提供する。一実装形態によれば、データプレーン180は、抽出エンジン171、分類エンジン172、及びセキュリティエンジン173を含む。制御プレーンなどの他の機能も提供することができる。これらの機能は、クラウドサービス108と組織ネットワーク102との間の安全なインターフェースを集合的に提供する。N-CASB155を説明するために「ネットワークセキュリティシステム」という用語を使用するが、より一般的には、システムは、アプリケーションの可視性及び制御機能並びにセキュリティを提供する。一例では、3万5000のクラウドアプリケーションが、組織ネットワーク102内のコンピュータ112a~n、タブレット122a~n、モバイルデバイス132a~nによって使用されているサーバと交差するライブラリ内に常駐する。
【0052】
一実装形態によれば、組織ネットワーク102内のコンピュータ112a~n、タブレット122a~n、モバイルデバイス132a~nは、コンテンツポリシー187を定義及び管理するために、N-CASB155によって提供されるセキュアなウェブ配信インターフェースを有するウェブブラウザを備えた管理クライアントを含む。N-CASB155はマルチテナントシステムであり、したがって、一部の実装形態によれば、管理クライアントのユーザは、その組織に関連付けられたコンテンツポリシー187のみを変更することができる。
【0053】
一部の実装形態では、ポリシーをプログラム的に定義及び/又は更新するためのAPIが提供され得る。かかる実装形態では、管理クライアントは、更新をプッシュし、かつ/又はコンテンツポリシー187に対する更新のプル要求に応答する、1つ以上のサーバ、例えば、Microsoft Active Directory(AD)、又はオープン軽量ディレクトリアクセスプロトコル(LDAP)の実装などのコーポレート識別情報ディレクトリを含むことができる。両方のシステムを共存させることができ、例えば、一部の企業は、コーポレート識別情報ディレクトリを使用して組織内のユーザの識別を自動化すると同時に、ウェブインターフェースを使用してユーザのニーズに合わせてポリシーを調整することができる。管理クライアントには役割が割り当てられ、N-CASB155データへのアクセスは、例えば読み取り専用/読み取り書き込みなどの役割に基づいて制御される。
【0054】
ユーザごとのデータ及びファイルごとのデータを定期的に生成し、それをメタデータストア178内に持続させることに加えて、アクティブアナライザ及び内部検査アナライザ(図示せず)はまた、クラウドトラフィックに対してセキュリティポリシーを施行する。アクティブアナライザ及び内部検査アナライザの機能に関する更なる情報については、例えば、同一出願人が所有する米国特許第9,398,102号(NSKO1000-2)、同第9,270,765号(NSKO1000-3)、同第9,928,377号(NSKO1001-2)、及び米国出願第15/368,246号(NSKO1003-3)、Cheng,Ithal,Narayanaswamy and Malmskog Cloud Security For Dummies,Netskope Special Edition,John Wiley&Sons,Inc.2015、Netskope,Inc.による「Netskope Introspection」、Netskope,Inc.による「Data Loss Prevention and Monitoring in the Cloud」、Netskope,Inc.による「Cloud Data Loss Prevention Reference Architecture」、Netskope,Inc.による「The 5 Steps to Cloud Confidence」、Netskope,Inc.による「The Netskope Active Platform」、Netskope,Inc.による「The Netskope Advantage:Three “Must-Have” Requirements for Cloud Access Security Brokers」、Netskope,Inc.による「The 15 Critical CASB Use Cases」、Netskope,Inc.による「Netskope Active Cloud DLP」、Netskope,Inc.による「Repave the Cloud-Data Breach Collision Course」、及びNetskope,Inc.による「Netskope Cloud Confidence Index(商標)」を参照することができ、これらは、本明細書に完全に記載されているかのように、あらゆる目的のために参照により援用される。
【0055】
システム100に関して、制御プレーンは、管理プレーン174及びデータプレーン180とともに、又はその代わりに使用されてもよい。これらのグループ間の機能の特定の分割は、実装形態上の選択である。同様に、機能は、ローカル性、性能、及び/又はセキュリティを改善するために、一部のポイントオブプレゼンス(POP)にわたって高度に分散され得る。一実装形態では、本明細書で説明されるように、データプレーンは、構内又はバーチャルプライベートネットワーク上にあり、ネットワークセキュリティシステムの管理プレーンは、クラウドサービス内に、又はコーポレートネットワークとともに位置する。別のセキュアなネットワーク実装形態では、POPは別様に分散され得る。
【0056】
システム100は、特定のブロックを参照して本明細書で説明されるが、ブロックは、説明の便宜のために定義され、構成部品の特定の物理的配置を必要とすることを意図するものではないことを理解されたい。更に、ブロックは、物理的に別個のコンポーネントに対応する必要はない。物理的に別個のコンポーネントが使用される限りにおいて、コンポーネント間の接続は、必要に応じて有線及び/又は無線とすることができる。異なる要素又はコンポーネントは、単一のソフトウェアモジュールに組み合わせることができ、複数のソフトウェアモジュールは、同じ1つ以上のプロセッサ上で実行することができる。
【0057】
同様に、その部分をシステムコンポーネントとして表すことができる、このシステムの機能は、本明細書に記載されるのと同じ又は同様の結果を達成するために多様な方法で実装することができる。例えば、かかるシステムコンポーネントは、本明細書ではソフトウェア/ハードウェアコンポーネントとも称される、コンピュータソフトウェア及び/又はコンピュータハードウェアの組み合わせとしてそれぞれ実装することができる。システム機能の性能は、様々なスキームに従って配分され、本明細書に記載されるのと同じ又は同様の結果を達成するために、様々な別個のソフトウェア/ハードウェアコンポーネント内に実装され得る。機能の各部分は、別個のソフトウェア/ハードウェアコンポーネントに割り当てられ、実施されることができ、又は代わりに、1つ以上のハードウェア/ソフトウェアコンポーネントに組み合わされる(統合される)ことができる。
【0058】
更に、この技術は、互いに協働し通信する2つ以上の別個の異なるコンピュータ実装システムを使用して実装することができる。この技術は、プロセス、方法、装置、システム、デバイス、コンピュータ可読命令若しくはコンピュータプログラムコードを記憶するコンピュータ可読記憶媒体などのコンピュータ可読媒体として、又はコンピュータ可読プログラムコードがその中に具現化されたコンピュータ使用可能媒体を備えるコンピュータプログラム製品としてなど、多数の方法で実装され得る。
【0059】
開示される技術は、Oracle(商標)互換データベース実装、IBM DB2 Enterprise Server(商標)互換リレーショナルデータベース実装、MySQL(商標)若しくはPostgreSQL(商標)互換リレーショナルデータベース実装、又はMicrosoft SQL Server(商標)互換リレーショナルデータベース実装、又はVampire(商標)互換非リレーショナルデータベース実装、Apache Cassandra(商標)互換非リレーショナルデータベース実装、BigTable(商標)互換非リレーショナルデータベース実装、又はHBase(商標)若しくはDynamoDB(商標)互換非リレーショナルデータベース実装などのNoSQL非リレーショナルデータベース実装のようなデータベースシステム又はリレーショナルデータベース実装を含む任意のコンピュータ実装システムとの関連で実装することができる。
【0060】
加えて、開示される技術は、MapReduce(商標)、バルク同期プログラミング、MPIプリミティブなどのような異なるプログラミングモデル、又はAmazon Elasticsearch Service(商標)及びAmazon Kinesis(商標)、Apache Storm(商標)、Apache Spark(商標)、Apache Kafka(商標)、Apache Flink(商標)、Truviso(商標)、IBM Info-Sphere(商標)、Borealis(商標)及びYahoo!S4(商標)を含むAmazon Web Services(AWS)(商標)のような異なるスケーラブルバッチ及びストリーム管理システムを使用して実装することができる。
【0061】
図2Aは、ネットワーク145を介してクラウドベースのサービス108を利用するユーザ202を有するNetskopeクラウドアクセスセキュリティブローカ(N-CASB)155の高レベルブロック図200を示す。ユーザ202は、コンピュータ112a~n、タブレット122a~n、及びモバイルデバイス132a~nなどの組織ネットワーク102内の様々なデバイスのうちのいずれかを動作させることができる。N-CASB155は、ログイン、ファイル転送及び共有のようなウェブアプリケーション及び動作を制御し、データ及びアクセスにおける異常を検出することができる。セキュリティ機能は、アクセス制御、危険アセスメント、マルウェア検出、並びに異常な行動を識別するためのユーザ及びエンティティの行動分析(UEBA)を含む。
【0062】
図2Aの説明を続けると、N-CASB155は、アラートスコアリングエンジン235及びスコアマッピングエンジン255を含む。アラートスコアリングエンジン235は、ユーザ信頼度又は危険スコアを構築し、重大度によって分類され、かつ経時的に生成されるアラート重みの合計を各ユーザに対してスコアリングする。アラート重みへの各寄与は、組織のセキュリティポリシーが危険として扱うユーザによるアクティビティによって生成される。
【0063】
経時的なアラート重みは、時間の経過とともにアラート重みを減衰させる減衰係数の影響を受ける。スコアマッピングエンジン255は、スコアをユーザ及びエンタープライズエンティティに関連付ける。ユーザ危険スコアは、各ユーザの「危険レベル」を反映するために使用されるため、ユーザに関連付けられていないアラートは、危険スコアの計算において考慮されない。一実装形態では、ユーザ信頼度指数(UCI)は、1000-危険スコアである。危険スコアは、ユーザに関連付けられたアラートに基づいて計算される。これは、アラートの重大度を反映し、一定期間にわたって減衰する。危険スコアが高いほど、ユーザはより疑わしくなる。危険スコアは以下のように計算される。
【数1】
【0064】
Siは、重大度レベルに基づく単一のアラートのスコアであり、fiは、アラートが発生したときに基づくアラートの減衰係数である。1つの例示的な実装形態では、時間減衰係数fiは、7日間のウィンドウ内で危険スコアを線形に減衰させるために使用される。この例では、fiは、1/7、2/7、3/7、4/7、5/7、6/7、及び1であることが可能であり、アラートの時間に依存する。本明細書に記載の一実装形態では、最終危険スコアは1000に上限を設定される。別の実装形態では、最終危険スコアに異なる上限が設定されてもよい。
【0065】
アラート重大度の重みは、その重大度レベルに基づいて各アラートに割り当てられる。アラート重大度カテゴリのカテゴリ上限を次の表に列挙する。重大度カテゴリの使用の一例は、以下のsのUIに示されている。
【表1】
【0066】
図2Aの説明を更に続けると、ブロック図200はまた、ユーザ信頼度スコアの報告を表示するためのUI275の報告を含む。報告は、所定の時間にわたる時系列のユーザ信頼度若しくは危険スコア、並びに/あるいは現在のユーザ信頼度若しくは危険スコア、及び/又は経時的なアラート重みに寄与したユーザによるアクティビティの少なくともいくつかの詳細を含む。以下の図9に関連して、例示的なユーザ信頼度指標報告が説明され、示される。
【0067】
ブロック図200はまた、人間が作成したアラート及び機械学習によって生成されたアラートを含む、異なる種類のユーザ及びエンティティ行動アラートのための異なるNetskope検出器を有する。人間が作成したアラートをシーケンスアラートと呼び、MLベースのアラートをバッチアラートと呼ぶ。シーケンスアラート検出器234は、着信イベントについての既知の行動パターンの検出時に、シーケンスアラートを生成する。ルールは、これらのパターンを、Netskopeによって事前定義された、又は製品UIを介してNetskopeの顧客によって構成されたイベントのシーケンスとして記述するために使用される。1つの例示的な事前定義されたパターンは、既知の悪意のあるIPから、ユーザによるコーポレートクラウドストレージへのアクセスを試みることである。
【0068】
顧客によって構成されたカスタムパターンの例では、ユーザは、特定のアプリBoxからファイルをダウンロードし、同じファイルをすぐに削除してから、このシーケンスを10分以内に10回繰り返す。このイベントの例示的なシーケンスは、「重要」アラートをトリガするように構成することができる。
【0069】
グループは、ユーザ/エンティティを類似するピアにクラスタリングするために使用される。最小のグループは、ユーザ自身又はエンティティ自体であり得、単一のピアがグループ内に示される。最大のグループは、全てのユーザと全てのエンティティが同じグループ内にあるテナント全体とすることができる。
【0070】
単一のピアグループ及びテナントグループに加えて、Active Director(AD)などの識別情報及びアクセス管理(IAM)プロパティ、ロケーション、又は顧客によって提供される他の事前定義されたロジックに基づいて、多くの可能なグループが存在し得る。しかしながら、これらの事前定義された静的に決定されたグループには、ユーザが複数のグループに属することができ、グループを相関させるための定義は存在しない、という制限がある。AD情報、及び/又は顧客が事前定義したグループは、間違っているか、古くなっているか、又は単にユーザ行動と整合していない可能性がある。いくつかの用途では、そのようなグループは、統計的に大きすぎる場合もあれば、小さすぎる場合もある。
【0071】
そのような事前定義されたグループからの欠点を克服するために、開示される動的グループ化は、非常に有用であり得る。動的グループ化は、事前定義されたグループに基づいてその行動を最良にモデル化できるグループにユーザ/エンティティを割り当てることができる。動的グループ化は、(AD、ロケーション、及び他の情報を考慮せずに)その行動のみに基づいてその行動を最良にモデル化できるグループにユーザ/エンティティを割り当てることもできる。したがって、動的グループ化は、距離メトリック及びクラスタリングアルゴリズムに基づいて経時的に変化し得る複数のピアグループを可能にすることができる。
【0072】
バッチアラート検出器254は、ユーザデータを収集し、クラスタリングを使用して、ユーザが特定のグループに属する可能性を決定する。ピアグループは、機械学習アルゴリズムを使用して、それらの行動パターンに基づいて動的に生成される。ユーザ行動の値は、グループごとの行動値と比較される。バッチアラート検出器254は、ヒューリスティックパフォーマンスに基づく統計ベースのアルゴリズムを利用して、ブルートフォース及び悪意のあるインサイダーアクションを含む、ユーザの通常の使用行動から逸脱する多数のファイルのダウンロード又はアップロードなど、ユーザ行動の外れ値を検出する。開示されるバッチアラート検出器254は、非パラメトリックモデリングを利用し、カーネル密度推定(KDE)が、有限データサンプルのための平滑化技法として適用される。非パラメトリックモデリングの場合、本明細書に完全に援用される「KDE Hyper Parameter Determination」、Yi Zhang et al.、Netskope,Inc.に記載されているように、モデルのハイパーパラメータが決定される。
【0073】
次に、これら2種類のアラートの危険スコア/信頼度スコア計算において使用されるフィールドについて説明する。本文書に含まれるいくつかの例では、個人を特定できる情報(PII)は難読化され、場合によっては、PIIのプライバシー基準を遵守するために数値が変更されることがある。アラートの例には、とりわけ、以下のフィールドが含まれる。(1)アラートの「sv」重大度、この文字列は、重大度カテゴリでアラートをマッピングするために使用される。(2)イベント/アラートが発生したときの「ts」タイムスタンプ、Unixエポック形式のイベントタイムスタンプを有し、減衰係数計算において使用可能である。(3)「ur」:アラートをユーザにマッピングするために使用可能なユーザ電子メール文字列。(4)「slc」:ソースロケーション。(5)「p_value」:このアラートがどの程度異常であるかを示すインジケータ。この情報は、バッチアラートに存在する。すなわち、p値は、任意選択で、異常性重みを計算するために使用される。
【0074】
バッチアラート検出器254の1つの開示される実装形態では、KDEハイパーパラメータp_値は、訓練データ内の最大値の3~5倍の値を得るように計算される。最大訓練データ値の3倍未満の値は、直接的に(p_value計算なしで)通常として扱われる。最大訓練データの5倍を超える値は、直接的に(p_value計算なしで)異常として扱われる。p_value推奨閾値:e-5。ファイルサイズの帯域幅を0.05、カウントの帯域幅を1.5に設定する。帯域幅は、訓練サンプルの数で動的に調整され得る。より少ない数の訓練サンプルは、より大きい帯域幅を必要とする。リーフサイズを40に設定する。
【0075】
例示的なシーケンスアラートを以下に列挙する。
{
“ur”:“<PIIは示されない>”,
“sv”:“高”,
“ts”:1607456878,
}
{
“ur”:“<PIIは示されない>”,
“sv”:“高”,
“ts”:1607456878,
}
【0076】
例示的なバッチアラートを以下に列挙する。
{
“sv”:“中”,
“ur”:“<PIIは示されない>”,
“ts”:1607554800,
“p_value”:{
“ユーザ”,1e-14,
“テナント”:1e-14
},
}
{
“sv”:“中”,
“ur”:“<PIIは示されない>”,
“ts”:1607554800,
“p_value”:{
“ユーザ”,1e-14,
“テナント”:1e-14
},
}
【0077】
バッチアラート検出器254は、ピアグループ化を利用して、UEBAをより弾性的にし、偽陽性を減少させる。バッチアラート検出器254は、識別情報及びアクセス管理(IAM)プロパティに基づいて、ユーザのグループを形成し、それらのそれぞれのIAMプロパティに基づいて初期に割り当てられたグループにユーザを割り当て、アプリケーション使用頻度を含む個々のユーザ行動を記録する。グループを割り当てるための別の例示的なプロパティは、共通の顧客とのアフィリエーションである。
【0078】
バッチアラート検出器254は、記録された個々のユーザ行動をグループ内のユーザの統計的プロファイル内のユーザ行動と比較することに基づいて、初期割り当てグループとは異なる再編成されたグループを個々のユーザに動的に割り当てる。個々のユーザの進行中の行動の間の異常なイベントの評価及び報告は、再編成されたグループの統計的プロファイルからの逸脱に基づいており、任意選択で、個々の統計的プロファイルからの逸脱に基づいている。同じロケーションのユーザは、類似のアプリを使用する傾向がある。
【0079】
例えば、エンジニアリンググループは、同じ統合開発環境(IDE)ツールを使用する可能性が高く、管理スタッフメンバーは、しばしば同じオフィス管理ツールを使用する。バッチアラート検出器254は、一実装形態ではIAMプロパティを介して決定されたアプリを用いて、アプリの使用に基づいてユーザをグループ化する。ユーザによって利用されているアプリは、1つのシナリオでは、アクティブディレクトリ(AD)によって提供されたデータから収集され、IAMは、異なる実装形態では、オープン軽量ディレクトリアクセスプロトコル(LDAP)であり得る。
【0080】
図2Bは、バッチアラート検出器254によって使用されるための、ユーザのグループについてのアプリイベントの例示的なリストを、アプリ204のリストの各々についての各ユーザ282によるイベントのカウントとともに示す。IAMから収集された情報の例、この例ではADを以下に列挙する。
“user_166149”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Ag_Medio”,“bcf.pvt/GESTION/GRUPOS/APPs/CASB”]},
“user_166148”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Staff_Rib”]},
“user_166141”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/APPs/CASB”,“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Ag_Medio”]},
“user_166140”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/APPs/CASB”,“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Ag_Medio”]},
“user_166143”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/APPs/CASB”,“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Ag_Medio”]},
“user_166142”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Staff_Desarrollo”]},“user_166145”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/APPs/CASB”,“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Staff_Basico”]},
“user_166144”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/APPs/CASB”,“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Ag_Medio”]}
“user_166149”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Ag_Medio”,“bcf.pvt/GESTION/GRUPOS/APPs/CASB”]},
“user_166148”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Staff_Rib”]},
“user_166141”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/APPs/CASB”,“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Ag_Medio”]},
“user_166140”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/APPs/CASB”,“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Ag_Medio”]},
“user_166143”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/APPs/CASB”,“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Ag_Medio”]},
“user_166142”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Staff_Desarrollo”]},“user_166145”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/APPs/CASB”,“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Staff_Basico”]},
“user_166144”:{“ad”:[“bcf.pvt/GESTION/GRUPOS/APPs/CASB”,“bcf.pvt/GESTION/GRUPOS/インターネット/PX_Ag_Medio”]}
【0081】
ここでは、アプリグループ化のための動的グループ化アルゴリズムについて説明する。第1のステップでは、バッチアラート検出器が各アプリグループのサイズを計算する。このステップでは、元の割り当てられたグループが各ユーザに対して利用される。上記の例では、user_166149は、グループbcf.pvt/GESTION/GRUPOS/インターネット/PX_Ag_Medio及びグループbcf.pvt/GESTION/GRUPOS/APPs/CASBにおいてカウントされ、一方、user_166148は、グループbcf.pvt/GESTION/GRUPOS/インターネット/PX_Staff_Ribにのみ含まれる。
【0082】
グループは、サイズに基づいてフィルタリングされ、小さすぎるか又は大きすぎるかのいずれかである無効なグループを除外する。小さすぎるグループ(通常は100人未満又は組織人口の10%未満)、又は大きすぎるグループ(通常は500人超又は組織人口全体の80%超)は考慮されない。検討中のグループは、有効なグループと呼ばれる。
【0083】
次のステップは、前の週のアプリの使用データに基づいて、有効なアプリグループごとにone-vs-the-restでの分類子を訓練することを含む。グループごとにone-vs-the-restでの分類子を訓練するためにLight Gradient Boosting Machine(LightGBM)が使用される。異なる実装形態では、異なるone-versus-restでのクラスタリングマシンを使用することができる。
【0084】
各グループについて、アプリグループにカウントされるユーザは、陽性のインスタンスとみなされ、他のユーザは陰性のインスタンスとみなされる。次のアルゴリズムステップでは、全ての分類子を各ユーザに適用し、ユーザが90%を超える信頼度のグループ内で陽性として分類されている場合、グループタグをユーザに割り当てる。次に、信頼度レベル及びグループサイズなどの他のメトリックに基づいて、各ユーザのタグをソートする。
【0085】
次に列挙されるのは、単一のイベントレコードの例であり、太字のテキストは、動的グループ化に使用されるフィールドを強調表示している。この例では、アプリはMicrosoft Office 365 OneDrive for Businessであり、行為は名前変更であり、ソースのロケーションはErmingtonである。ロケーショングループを生成する際にソース領域情報を使用する。
{“_id”:“ec3ead7ec4a533778f6b9117”,“nsdeviceuid”:“0ABB980D-F693-0BE0-0619-BC94A12B66DC”,“src_geoip_src”:2,“tty”:“クラウドアプリ”,“cn”:1,“_ctg”:[“10009”,“564”,“10002”,“10007”,“10014”,“10003”,“10016”,“7”],“_notify”:“{\“間隔\”:\“-1\”}”,“osv”:“Windows10”,“ap”:“Microsoft Office 365 OneDrive for Business”,“dvc”:“未構成”,“_tid”:“マスキングされたPII情報”,“apc”:“クラウドストレージ”,“_resource_name”:“create_edit_delete_file_folder_Mac”,“alr”:“いいえ”,“_cts”:“2019-12-12T17:48:09.985Z”,“managementID”:“32EB063604D0F94E95D53C0AD7175FBA”,“_nshostpop”:“AU-MEL1”,“dlc”:[-93.609108,41.60054],“inid”:“XX”,“sip”:“x.x.x.x”,“page_site”:“Microsoft Office 365 OneDrive for Business”,“重大度”:“不明”,“ty”:“nspolicy”,“_category_id”:“10007”,“dz”:“N/A”,“ts”:1576172888,“managed_app”:“はい”,“ccl”:“優れた”,“pg”:“XXX”,“sid”:“4737007088649414810”,“cnid”:“8897195943229086920”,“ur_normalized”:“XXX”,“urip”:“x.x.x.x”,“dl”:“Des Moines”,“sz”:“2115”,“行為”:“名前変更”,“dc”:“US”,“支払い済み”:“3c7a1ac30a134efcab98e6e63a8b3032”,“_its”:1576172890,“br”:“ネイティブ”,“plc”:“Allow Indo FULL”,“os”:“Windows10”,“dst_geoip_src”:1,“dv”:“Windowsデバイス”,“dst_timezone”:“N/A”,“dr”:“アイオワ”,“ou”:“aus.ccamatil.com/アカウント/ユーザ/制限付き”,“ste”:“Microsoft Office 365 OneDrive for Business”,“_nshostname”:“dppool4-1-egress”,“fur”:“XXX”,“tlap”:“”,“hn”:“DESKTOP-0PL522H”,“sr”:“ニューサウスウェールズ”,“txnid”:“3123122026766271040”,“brsid”:“5064764176840532216”,“acm”:“クライアント”,“ur”:“XXX”,“url”:“XXXXX”,“obj”:“XXX”,“uk”:“XXX”,“sl”:“Ermington”,“sc”:“AU”,“_ssbg”:“0”,“obt”:“ファイル”,“dip”:“x.x.x.x”,“slc”:[151.0584,-33.8126]}
{“_id”:“ec3ead7ec4a533778f6b9117”,“nsdeviceuid”:“0ABB980D-F693-0BE0-0619-BC94A12B66DC”,“src_geoip_src”:2,“tty”:“クラウドアプリ”,“cn”:1,“_ctg”:[“10009”,“564”,“10002”,“10007”,“10014”,“10003”,“10016”,“7”],“_notify”:“{\“間隔\”:\“-1\”}”,“osv”:“Windows10”,“ap”:“Microsoft Office 365 OneDrive for Business”,“dvc”:“未構成”,“_tid”:“マスキングされたPII情報”,“apc”:“クラウドストレージ”,“_resource_name”:“create_edit_delete_file_folder_Mac”,“alr”:“いいえ”,“_cts”:“2019-12-12T17:48:09.985Z”,“managementID”:“32EB063604D0F94E95D53C0AD7175FBA”,“_nshostpop”:“AU-MEL1”,“dlc”:[-93.609108,41.60054],“inid”:“XX”,“sip”:“x.x.x.x”,“page_site”:“Microsoft Office 365 OneDrive for Business”,“重大度”:“不明”,“ty”:“nspolicy”,“_category_id”:“10007”,“dz”:“N/A”,“ts”:1576172888,“managed_app”:“はい”,“ccl”:“優れた”,“pg”:“XXX”,“sid”:“4737007088649414810”,“cnid”:“8897195943229086920”,“ur_normalized”:“XXX”,“urip”:“x.x.x.x”,“dl”:“Des Moines”,“sz”:“2115”,“行為”:“名前変更”,“dc”:“US”,“支払い済み”:“3c7a1ac30a134efcab98e6e63a8b3032”,“_its”:1576172890,“br”:“ネイティブ”,“plc”:“Allow Indo FULL”,“os”:“Windows10”,“dst_geoip_src”:1,“dv”:“Windowsデバイス”,“dst_timezone”:“N/A”,“dr”:“アイオワ”,“ou”:“aus.ccamatil.com/アカウント/ユーザ/制限付き”,“ste”:“Microsoft Office 365 OneDrive for Business”,“_nshostname”:“dppool4-1-egress”,“fur”:“XXX”,“tlap”:“”,“hn”:“DESKTOP-0PL522H”,“sr”:“ニューサウスウェールズ”,“txnid”:“3123122026766271040”,“brsid”:“5064764176840532216”,“acm”:“クライアント”,“ur”:“XXX”,“url”:“XXXXX”,“obj”:“XXX”,“uk”:“XXX”,“sl”:“Ermington”,“sc”:“AU”,“_ssbg”:“0”,“obt”:“ファイル”,“dip”:“x.x.x.x”,“slc”:[151.0584,-33.8126]}
【0086】
ここでは、ロケーショングループ化のための動的グループ化アルゴリズムについて説明する。第1のステップでは、履歴イベントレコード内の各ユーザのロケーション情報を取得し、ユーザの統計的プロファイルを生成し、各ユーザについて、候補ロケーショングループとして、初期に割り当てられたグループにユーザを割り当て、そのサイズに基づいて無効なロケーショングループをフィルタリングして除去する。一実装形態では、各ユーザは、そのアクティビティの95%をカバーするロケーショングループに関連付けられる。異なる実装形態では、アクティビティの異なるパーセンテージが利用され得る。ロケーショングループが小さすぎる(通常は100人未満又は組織人口全体の10%未満)、又は大きすぎるロケーショングループ(通常は500人超又は組織人口の80%超)は考慮されない。検討中のグループは、有効なロケーショングループと呼ばれる。
【0087】
例えば、user1に1000個のイベントレコードがあり、ロケーション分布がサンタクララ:980、ミシガン:20である場合、ユーザの候補ロケーショングループはサンタクララである。user2に1000個のイベントレコードがあり、ロケーション分布がサンタクララ:650、ワシントン:200、北京:120、及びパリ:30である場合、user2の候補ロケーショングループは、サンタクララ、ワシントン、及び北京である。これは、user1がサンタクララグループのユーザとしてカウントされ、user2がサンタクララ、ワシントン、及び北京グループのユーザとしてカウントされることを意味する。
【0088】
次のステップは、サイズに基づいてロケーショングループをフィルタリングすることである。ロケーショングループが小さすぎる(典型的には100人未満又は組織人口の10%未満)、又は大きすぎるロケーショングループ(典型的には500人超又は組織人口の80%超)は考慮されない。検討中のロケーショングループは、有効なロケーショングループと呼ばれる。
【0089】
次のステップは、有効なロケーショングループごとにone-vs-the-restでの分類子を訓練することを含む。一実装形態では、前の4週間のデータを使用して、各グループのone-vs-the-restでの分類子を訓練する。異なる実装形態では、異なるone-versus-restでのクラスタリングマシンを使用することができる。
【0090】
各ロケーショングループについて、グループにカウントされるユーザは、陽性のインスタンスとみなされ、他のユーザは陰性のインスタンスとみなされる。次に、全ての分類子を各ユーザに適用し、ユーザが90%を超える信頼度のロケーショングループ内で陽性として分類されている場合、タグをユーザに割り当て、信頼度レベル及びグループサイズ、グループ純度などの他のメトリックに基づいて、各ユーザのロケーションタグをソートする。グループ純度は、訓練されたモデルがグループをどの程度確実に記述するか又は表すことができるかを指し、この場合、訓練データに対する訓練されたLightGBMモデルの精度によって測定される。
【0091】
例えば、LightGBMモデルが十分に訓練(収束)された後、訓練データに対して98%の精度を達成することができる。そのような精度は、グループが十分に形成されており、モデルが、ユーザがこのグループに属するかどうかを決定するために確実に使用できることを示す。一方、LightGBMモデルがよく訓練された後、訓練データに対して70%の精度しか達成できない場合、それは、グループが本質的にしっかりと形成されていないことを意味する。グループ内にはより多くの差異があり得る。そのようなモデルは、ユーザのグループを決定するために使用される場合、信頼性が低いであろう。
【0092】
バッチアラート検出器254は、記録された個々のユーザ行動をグループ内のユーザの統計的プロファイル内のユーザ行動と比較することに基づいて、初期割り当てグループとは異なる再編成されたグループを個々のユーザに動的に割り当てる。ロケーショングループタグの例を以下に列挙する。2つの出力は、各グループについてone-vs-the-restでの分類子であり、各ユーザは、上記のプロセスの結果として、それらが類似しているグループに割り当てられる。2人のユーザ、user1及びuser2のグループ化出力の例を以下に列挙する。
“user1”:[
“switchnet.nv/スイッチ/_Global/セキュリティグループ/ソフトウェア開発/ユーザ/SD_Alber-BatteryAnalysis”,
“switchnet.nv/電子メール配信グループ/CIOPS-Distros/(DL)CIOPS”]“switchnet.nv/セキュリティグループ/グループフォルダパーミッション/Global Share RW”,“switchnet.nv/スイッチ/_Global/アプリケーション/Concur/グループ/Concur-Users”,“switchnet.nv/スイッチ/_Global/アプリケーション/RSA/グループ/RSA-VPN-LAS”,
“switchnet.nv/電子メール配信グループ/(DL)スタッフ”]
“user2”:[
“switchnet.nv/スイッチ/_Global/セキュリティグループ/ソフトウェア開発/ユーザ/SD_Alber-BatteryAnalysis”,
“switchnet.nv/スイッチ/_Global/セキュリティグループ/ソフトウェア開発/ユーザ/SD_AutoHotKey”,
“switchnet.nv/電子メール配信グループ/CIOPS-Distros/(DL)CIOPS”,
“switchnet.nv/セキュリティグループ/グループフォルダパーミッション/Global Share RW”,“switchnet.nv/スイッチ/_Global/アプリケーション/Concur/グループ/Concur-Users”,“switchnet.nv/スイッチ/_Global/アプリケーション/RSA/グループ/RSA-VPN-LAS”,
“switchnet.nv/電子メール配信グループ/(DL)スタッフ”,
“switchnet.nv/電子メール配信グループ/CIOPS-Distros/CiopsTeam”,“switchnet.nv/スイッチ/_Global/ウェブフィルタ/報告グループ/WF-Thomas_Morton”]
“user1”:[“ラスベガス”]
“user2”:[“ラスベガス”,“リノ”]
“user3”:[“ソルトレイクシティ”]
“user1”:[
“switchnet.nv/スイッチ/_Global/セキュリティグループ/ソフトウェア開発/ユーザ/SD_Alber-BatteryAnalysis”,
“switchnet.nv/電子メール配信グループ/CIOPS-Distros/(DL)CIOPS”]“switchnet.nv/セキュリティグループ/グループフォルダパーミッション/Global Share RW”,“switchnet.nv/スイッチ/_Global/アプリケーション/Concur/グループ/Concur-Users”,“switchnet.nv/スイッチ/_Global/アプリケーション/RSA/グループ/RSA-VPN-LAS”,
“switchnet.nv/電子メール配信グループ/(DL)スタッフ”]
“user2”:[
“switchnet.nv/スイッチ/_Global/セキュリティグループ/ソフトウェア開発/ユーザ/SD_Alber-BatteryAnalysis”,
“switchnet.nv/スイッチ/_Global/セキュリティグループ/ソフトウェア開発/ユーザ/SD_AutoHotKey”,
“switchnet.nv/電子メール配信グループ/CIOPS-Distros/(DL)CIOPS”,
“switchnet.nv/セキュリティグループ/グループフォルダパーミッション/Global Share RW”,“switchnet.nv/スイッチ/_Global/アプリケーション/Concur/グループ/Concur-Users”,“switchnet.nv/スイッチ/_Global/アプリケーション/RSA/グループ/RSA-VPN-LAS”,
“switchnet.nv/電子メール配信グループ/(DL)スタッフ”,
“switchnet.nv/電子メール配信グループ/CIOPS-Distros/CiopsTeam”,“switchnet.nv/スイッチ/_Global/ウェブフィルタ/報告グループ/WF-Thomas_Morton”]
“user1”:[“ラスベガス”]
“user2”:[“ラスベガス”,“リノ”]
“user3”:[“ソルトレイクシティ”]
【0093】
バッチアラート検出器254は、ユーザの現在の行動を分析するときに、開示される動的グループ化を利用して、ユーザ行動をユーザ及びグループの両方の統計的プロファイルと比較し、アラートがいつ生成される必要があるかを決定する。
【0094】
図2Cは、ユーザ行動分析(UBA)機械学習バッチ検出器254の結果を報告するための例示的なUIを示す。この報告は、P値に基づいて異常を識別するために、同じユーザ及びそれらのピアグループのベースライン統計モデルと比較したユーザの最新の行動を示す。この例では、アップロードされたデータの異常な大きいサイズが報告される。特定のユーザ245が1時間ごとに3Gbのファイルのアップロードを実施する可能性は、グループアクティビティベースライン246に基づいて1/5000の可能性を、及び個々のアクティビティベースライン245に基づいて1/10000の可能性を有する。ユーザの1時間ごとのアップロードデータサイズは3GBであり、グループとユーザのベースラインとを比較して非常に低い可能性があった。
【0095】
バッチアラート検出器254は、ユーザによって更新された異常な大きいサイズのデータをレビューし、ユーザが1時間ごとに3GBファイルのアップロードを実施する可能性が、個々のアクティビティベースライン245に基づいて1/5000であり、グループアクティビティベースライン246に基づいて1/10000であることを報告する。これは、より低い信頼度スコアとも称される、ユーザにとってより高い危険スコアをもたらす。
【0096】
図3A~図3Eは、単一のユーザ、user1@test(仮名)のためのアラートのセットを列挙する。図3Aは、情報的な重大度376を有するアラートについてのユーザデータを示し、図3Bは、同じく情報的な重大度386も有する同じユーザに対する別のアラートを説明する。図3Cは、ユーザに対する重要な重大度アラート366を示す。図3Dは、情報的な重大度アラート365を列挙し、図3Eは、同じユーザに対する中程度の重大度アラート355を示す。
【0097】
図4は、シーケンス及びバッチの両方のアラートタイプについて、アラートが発生した時間及び重大度を含む、6人のユーザのセットのアラートサマリのスニペットを示す。
【0098】
図5は、6人のユーザの各々について16日間の各々について計算された信頼度スコアを示す。信頼度スコアの場合、「危険」ユーザの信頼度指数はより低くなる。20万人以上のユーザを有する第2の例では、280人のユーザは、完璧未満のスコアを有し、これは、1000分の1をわずかに超える値である。これは、大多数のユーザのアクションが、行動異常であるアクションをとらないので、アラートの生成を引き起こさないことを示している。管理者は、エンタープライズにとって脅威であるユーザに対して危険軽減アクションを実施できる必要がある。
【0099】
組織のセキュリティポリシーに対するユーザコンプライアンスを評価するための開示される技術の別の実装形態では、危険スコアは、以下に記載されるように計算される。
【数2】
【0100】
スコアは、0と事前定義された上限との間にある。一実装形態では、上限として1000が使用される。重みAiによるアラート異常性強化は、p値によって決定される、特定のアラートについてのノルムからの逸脱の量を表す。Aiは、1~1.2の範囲である。p値のない検出器の場合、Ai=1.0。機械学習(ML)ベースのバッチ検出器は、上記の一実装形態ではp値を生成し、アラート異常性重みは、そのような検出器によって生成されたアラートに適用される。異常性重みを計算するために指数関数を使用することができる。このような重みは、開始時のp値の増加とともにゆっくりと増加し、尾部に鋭い上昇を有する。
【0101】
ユーザ危険スコアは経時的に減衰する。一実装形態では、デフォルトでは、過去90日以内に発生したアラートのみがスコアに寄与する。テナント管理者は、一部の実装形態では、ユーザ信頼度指数及び危険スコアシステムを構成して、期間を指定することができる。
【0102】
図6は、現在の日からの日数の関数としての減衰係数の例示的な減衰係数グラフを示す。一実装形態では、カスタマイズされたシグモイド関数を使用して、減衰ウィンドウに基づいて減衰係数を生成する。別の実装形態では、ロジスティック関数を使用することができる。減衰曲線は、90日間の減衰ウィンドウに基づいており、以下に列挙されたスケールを利用する。
“減衰係数”={
“0”:1,
“10”:0.95,
“20”:0.90,
“30”:0.85,
“40”:0.70,
“50”:0.5,
“60”:0.25,
“70”:0.15,
“80”:0.12,
“90”:0.10,
“100”:0
}
“減衰係数”={
“0”:1,
“10”:0.95,
“20”:0.90,
“30”:0.85,
“40”:0.70,
“50”:0.5,
“60”:0.25,
“70”:0.15,
“80”:0.12,
“90”:0.10,
“100”:0
}
【0103】
上記の例では、減衰ウィンドウが90日間であると仮定すると、中程度のアラートは、それが発生した日に10ポイント、9日後に9.5ポイントの価値がある。90日を超えて経過したアラートは、この例の減衰期間のために、総危険スコアには寄与しない。開示される技術の他の実装形態では、異なる実験的に決定された減衰係数を利用することができる。
【0104】
テナント管理者は、UI内で特定のユーザの危険スコアをリセットすることができる。リセット後、スコアは、7日間又は30日間など、構成可能な期間の間、ゼロに設定される。
【0105】
図7は、200日間にわたるユーザのユーザ危険スコアのグラフを示し、ここで、ユーザ危険スコアは、ユーザによって生成されたアラートの合計であり、アラートの重大度及び異常性、並びに時間減衰係数によって重み付けされる。危険スコアは、行動の異常性に基づいてユーザとアセットをソートするために使用される。
【0106】
図8Aは、6人のユーザのセットのユーザ信頼度スコアリングを実証する例示的なプロットを示す。各行は、日数の時間の関数としてグラフ化された個々のユーザのユーザ信頼度スコアである。グラフ上のドットは、アラートによってトリガされ、上記の経時的な減衰重み付けにより、ユーザへのアラートがない日が経つにつれてスコアが上昇する。アラートが発生すると、ユーザ信頼度スコアが低下する
【0107】
図8Bは、エンタープライズ内の多数のユーザのセットのユーザ信頼度スコアリングを実証する例示的なプロットを示す。各行は、日数の時間の関数としてグラフ化された個々のユーザのユーザ信頼度スコアである。グラフ上のドットは、アラートによってトリガされ、上記の経時的な減衰重み付けにより、日が経つにつれてスコアが上昇する。アラートが発生すると、ユーザ信頼度スコアが低下する。この例では、プロット内のスコアは、顧客が侵入攻撃の犠牲者であった時間を含む。数日間、攻撃者がランダムなアカウントを試みたため、同社の多くのアカウントにおいて大規模なログイン失敗が発生した。したがって、グラフは、それらの日の間、多くのユーザの減少を示している。
【0108】
図9は、管理者にユーザ信頼度スコアを表示するための代表的なユーザインターフェースを示す。管理者のためのUIは、図5に示されるようなユーザの信頼度スコアによってランク付けされた順序で、ユーザのユーザ信頼度スコアを示す。経時的なアラート重みに寄与したユーザによるアクティビティの詳細が列挙される。丸で囲まれたC968は、重要を示し、丸で囲まれたH(この例では図示せず)は、高アラート重大度を示し、丸で囲まれたM966は、中程度の重大度を示す。11という数944は、このユーザのためのインシデント/アラートのカウント数を示す。UIには、11個のインシデントのうち4つが列挙されている。
【0109】
開示されるユーザ信頼度スコアUIを閲覧する顧客管理者は、より危険な行動を示したユーザに容易に気付くことができる。危険スコアを使用した異なるUI表示では、スコアがより低いユーザを上部に列挙することができる。セキュリティ管理者は、UIを使用してログインし、テナント(エンタープライズ)内のユーザのランク順序を閲覧することができる。低いユーザ信頼度スコアは強調表示され、管理者はそれらのユーザに焦点を当てることができる。管理者は、エンドユーザ又はセキュリティアナリストと効果的に通信するために、意思決定の根拠を理解する必要があるため、UIはまた、そのような行動にフラグを立てるときに、追加の証拠及び理由を提供する。例えば、マネージャは、特定のユーザの行動が異常であるとみなされた理由を尋ねることができる。
【0110】
開示されるユーザ信頼度スコアを使用した適応型アクセス制御により、セキュリティ管理者は、危険スコアの分析に基づいて、企業内のユーザをソートして、どのユーザがより危険が高いかを識別することができる。特定のスコアについて、アクションは、管理者によって構成することができ、又はアクションは、ユーザに自身のパスワードをリセットすることを要求すること、機密ファイルへのアクセスを削除すること、及びGoogleドライブ及びBoxを含むがこれらに限定されない特定のアプリへのユーザによるアクセスをブロックすることなど、スコアリング閾値に基づいて自動的に行われるように設定することができる。
【0111】
[コンピュータシステム]
図10は、組織のセキュリティポリシーに対するユーザコンプライアンスを評価するために、組織のセキュリティポリシーに準拠していなかったユーザ行動の評価を表すユーザ信頼度又は危険スコアを較正するために、及びコンピュータネットワーク上の異常なユーザ行動の誤検出を低減するために使用され得る、コンピュータシステム1000の簡略化されたブロック図である。コンピュータシステム1000は、バスサブシステム1055を介していくつかの周辺デバイスと通信する、本明細書で少なくとも1つのプロセッサ及び/又は1つ以上のプロセッサとも称される少なくとも1つの中央処理ユニット(CPU)1072と、本明細書で説明されるネットワークセキュリティサービスを提供するためのクラウドベースのセキュリティシステム153と、を含む。これらの周辺デバイスは、例えば、メモリデバイス及びファイルストレージサブシステム1036を含むストレージサブシステム1010と、ユーザインターフェース入力デバイス1038と、ユーザインターフェース出力デバイス1076と、ネットワークインターフェースサブシステム1074と、を含むことができる。入力及び出力デバイスは、コンピュータシステム1000とのユーザ対話を可能にする。ネットワークインターフェースサブシステム1074は、他のコンピュータシステム内の対応するインターフェースデバイスへのインターフェースを含む、外部ネットワークへのインターフェースを提供する。
図10は、組織のセキュリティポリシーに対するユーザコンプライアンスを評価するために、組織のセキュリティポリシーに準拠していなかったユーザ行動の評価を表すユーザ信頼度又は危険スコアを較正するために、及びコンピュータネットワーク上の異常なユーザ行動の誤検出を低減するために使用され得る、コンピュータシステム1000の簡略化されたブロック図である。コンピュータシステム1000は、バスサブシステム1055を介していくつかの周辺デバイスと通信する、本明細書で少なくとも1つのプロセッサ及び/又は1つ以上のプロセッサとも称される少なくとも1つの中央処理ユニット(CPU)1072と、本明細書で説明されるネットワークセキュリティサービスを提供するためのクラウドベースのセキュリティシステム153と、を含む。これらの周辺デバイスは、例えば、メモリデバイス及びファイルストレージサブシステム1036を含むストレージサブシステム1010と、ユーザインターフェース入力デバイス1038と、ユーザインターフェース出力デバイス1076と、ネットワークインターフェースサブシステム1074と、を含むことができる。入力及び出力デバイスは、コンピュータシステム1000とのユーザ対話を可能にする。ネットワークインターフェースサブシステム1074は、他のコンピュータシステム内の対応するインターフェースデバイスへのインターフェースを含む、外部ネットワークへのインターフェースを提供する。
【0112】
一実装形態では、図1のクラウドベースのセキュリティシステム153は、ストレージサブシステム1010及びユーザインターフェース入力デバイス1038に通信可能にリンクされる。
【0113】
ユーザインターフェース入力デバイス1038は、キーボード、マウス、トラックボール、タッチパッド、又はグラフィックタブレットなどのポインティングデバイス、スキャナ、ディスプレイに組み込まれたタッチスクリーン、音声認識システム及びマイクロフォンなどのオーディオ入力デバイス、並びに他のタイプの入力デバイスを含むことができる。概して、「入力デバイス」という用語の使用は、コンピュータシステム1000に情報を入力するための全ての可能なタイプのデバイス及び方法を含むことが意図される。
【0114】
ユーザインターフェース出力デバイス1076は、ディスプレイサブシステム、プリンタ、ファックス機、又は音声出力デバイスなどの非視覚的ディスプレイを含むことができる。ディスプレイサブシステムは、LEDディスプレイ、陰極線管(CRT)、液晶ディスプレイ(LCD)などのフラットパネルデバイス、投影デバイス、又は可視画像を作成するための何らかの他のメカニズムを含むことができる。ディスプレイサブシステムは、音声出力デバイスなどの非視覚的ディスプレイを提供することもできる。概して、「出力デバイス」という用語の使用は、コンピュータシステム1000からユーザ又は別のマシン若しくはコンピュータシステムに情報を出力するための全ての可能なタイプのデバイス及び方法を含むことが意図される。
【0115】
ストレージサブシステム1010は、本明細書に記載のモジュール及び方法の一部又は全部の機能を提供するプログラミング及びデータ構造を記憶する。サブシステム1078は、グラフィックス処理ユニット(GPU)又はフィールドプログラマブルゲートアレイ(FPGA)であり得る。
【0116】
ストレージサブシステム1010内で使用されるメモリサブシステム1022は、プログラム実行中に命令及びデータを記憶するためのメインランダムアクセスメモリ(RAM)1032と、固定命令が記憶される読み取り専用メモリ(ROM)1034とを含む、一部のメモリを含むことができる。ファイルストレージサブシステム1036は、プログラム及びデータファイルのための永続的なストレージを提供することができ、ハードディスクドライブ、関連するリムーバブルメディアを伴うフロッピーディスクドライブ、CD-ROMドライブ、光学ドライブ、又はリムーバブルメディアカートリッジを含むことができる。特定の実装形態の機能を実装するモジュールは、ファイルストレージサブシステム1036によって、ストレージサブシステム1010内に、又はプロセッサによってアクセス可能な他のマシン内に記憶され得る。
【0117】
バスサブシステム1055は、コンピュータシステム1000の種々のコンポーネント及びサブシステムに、意図されるように互いに通信させるための機構を提供する。バスサブシステム1055は、単一のバスとして概略的に示されているが、バスサブシステムの代替の実装形態は、複数のバスを使用することができる。
【0118】
コンピュータシステム1000自体は、パーソナルコンピュータ、携帯型コンピュータ、ワークステーション、コンピュータターミナル、ネットワークコンピュータ、テレビ、メインフレーム、サーバファーム、疎にネットワーク化されたコンピュータの広く分散されたセット、又は任意の他のデータ処理システム若しくはユーザデバイスを含む、種々のタイプのものであり得る。コンピュータ及びネットワークの絶えず変化する性質に起因して、図10に示されるコンピュータシステム1000の説明は、本発明の好ましい実施形態を例示するための特定の例としてのみ意図される。図10に示すコンピュータシステムよりも多い又は少ないコンポーネントを有するコンピュータシステム1000の多くの他の構成が可能である。
【0119】
[特定の実装形態]
組織のセキュリティポリシーに対するユーザコンプライアンスを評価するための一部の特定の実装形態及び特徴が、以下の議論で説明される。
組織のセキュリティポリシーに対するユーザコンプライアンスを評価するための一部の特定の実装形態及び特徴が、以下の議論で説明される。
【0120】
1つの開示される実装形態では、組織のセキュリティポリシーに対するユーザコンプライアンスを評価する方法は、重大度によって分類され、かつ経時的に生成されるアラート重みの合計を各ユーザに対してスコアリングすることを含めて、ユーザ信頼度又は危険スコアを構築することを含む。アラート重みへの各寄与は、組織のセキュリティポリシーが危険として扱うユーザによるアクティビティによって生成され、経時的なアラート重みは、時間の経過とともにアラート重みを減衰させる減衰係数の影響を受ける。開示される方法はまた、ユーザ信頼度スコアを報告することであって、所定の時間にわたる時系列のユーザ信頼度若しくは危険スコア、並びに/あるいは現在のユーザ信頼度若しくは危険スコア、及び/又は経時的なアラート重みに寄与したユーザによるアクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することを含む。
【0121】
開示される技術のこのセクション及び他のセクションで説明される方法は、以下の特徴及び/又は開示される追加の方法に関連して説明される特徴のうちの1つ以上を含むことができる。簡潔にするために、本出願に開示される特徴の組み合わせは、個々に列挙されず、特徴の各基本セットとともに繰り返されない。読者は、この方法で識別された特徴を、実装形態として識別された基本特徴のセットとどのように容易に組み合わせることができるかを理解するであろう。
【0122】
一実装形態では、組織のセキュリティポリシーに対するユーザコンプライアンスを評価する開示される方法は、構築及び報告を少なくとも10人のユーザに適用することと、各ユーザについて、低から高への現在のユーザ信頼度スコア、又は高から低への危険スコアの順序付きリストを報告することと、を含む。
【0123】
開示される方法の一部の実装形態は、構築及び報告を少なくとも10人のユーザに適用することと、少なくとも10人のユーザのための時系列のグラフを報告することと、を更に含む。いくつかの場合では、開示される方法はまた、構築及び報告を少なくとも10人のユーザに適用することと、所定の閾値又はユーザの可能な総ユーザ信頼度スコアの構成可能なパーセンテージのうちの1つに基づいて、組織のセキュリティポリシーがそのアクティビティを危険として扱うユーザのユーザ信頼度スコアを選択することと、を含む。
【0124】
開示される方法の一実装形態では、アラート重みは、シーケンスアラート及びバッチアラートのうちの1つに適用され、シーケンスアラートは、事前構成された行動パターンのセット内で、ユーザによって、アクティビティの観察時にユーザに対して生成され、バッチアラートは、ユーザのピアグループの履歴ユーザ行動パターンと比較して、予期しない行動が検出されたときに生成される。一部の実装形態では、アラート重みを減衰させる減衰係数は、アラートが発生してからの日数の関数である。開示される方法の一部の実装形態は、スコアリング閾値に基づいて推奨されるアクションを報告することを更に含み、アクションは、ユーザに自身のパスワードをリセットすることを要求すること、機密ファイルへのユーザアクセスを削除すること、並びに/あるいはGoogleドライブ及びBoxを含むがこれらに限定されない特定のアプリへのユーザによるアクセスをブロックすることを含む。
【0125】
開示される一実装形態では、組織のセキュリティポリシーに準拠していなかったユーザ行動の評価を表すユーザ信頼度又は危険スコアを較正する方法は、組織のセキュリティポリシーが危険として扱うユーザによるアクティビティに起因してアラートが生成されるように、管理者制御に応答して、重大度によって分類されるカテゴリアラート重みを構成することを含めて、ユーザ信頼度又は危険スコアのコンポーネントを構成することを含む。本方法はまた、管理者感度制御に応答して、時間が経過とともにアラート重みを減衰させる減衰係数を構成することと、ユーザ例のアクティビティ例についての時系列のユーザ信頼度又は危険スコアと、ユーザ例の結果として生じるユーザ信頼度又は危険スコアと、の表示を引き起こすことを含めて、ユーザ例のアクティビティ例に基づいて、結果として生じるユーザ行動評価例の表示を引き起こすことと、を含む。
【0126】
一部の開示される実装形態は、時系列内の個々の例示的なユーザの1つ以上のアクティビティへのドリルダウンのための制御の表示を引き起こすことと、ドリルダウンのための要求を受信することと、時系列内に現れる要求された例示的なアクティビティを含む、ドリルダウンによって要求されたアクティビティの詳細の表示を引き起こすことと、を更に含む。
【0127】
一部の実装形態では、カテゴリアラート重みは、情報的、低、中、高、及び重要を含む。一部の実装形態では、アクティビティ例は、ログイン試行の失敗、所定の期間内の構成可能な数のファイルの削除、及び所定の期間内の構成可能な数のファイルのアップロードを含む。
【0128】
開示される方法の一実装形態はまた、ユーザ信頼度又は危険スコアを、カテゴリアラート重みによって重み付けされたアクティビティ例のカウントのグラフとして表示することを含む。ある場合には、ドリルダウンするための要求は、個々の例示的なユーザのためのドロップダウンセレクタ及び名前フィールドのうちの1つを選択することによってアクティブ化される。
【0129】
次に、コンピュータネットワーク上の異常なユーザ行動の誤検出を低減するための一部の特定の実装形態及び特徴について説明する。
【0130】
1つの開示される実装形態では、コンピュータネットワーク上の異常なユーザ行動の誤検出を低減する方法は、識別情報及びアクセス管理(IAM)プロパティからグループを形成することと、それぞれのIAMプロパティに基づいて、初期に割り当てられたグループにユーザを割り当て、統計的プロファイルに、アプリケーション使用頻度を含む個々のユーザ行動を記録することと、を含む。本方法はまた、記録された個々のユーザ行動をグループ内のユーザの統計的プロファイル内のユーザ行動と比較することに基づいて、初期割り当てグループとは異なる再編成されたグループを個々のユーザに動的に割り当てることを含む。開示される方法は、再編成されたグループの統計的プロファイルからの逸脱に基づいて、個々のユーザの進行中の行動の間の異常なイベントを評価及び報告することを更に含む。
【0131】
開示される方法の一実装形態では、グループを形成するために使用されるIAMからのプロパティは、共通のアプリの使用、共通のロケーション、及び共通の組織を含む。開示される方法の一部の実装形態では、グループの統計的プロファイルは、100人未満のユーザ又は組織集団の10%未満がグループに含まれているとき、又は500人超のユーザ又は組織集団の80%超がグループに含まれているときに使用されない。
【0132】
開示される方法の一実装形態では、形成されるグループの4分の3は、グループごとに30~500のユーザを有する。一部の実装形態では、異常なイベントを評価することは、個々のユーザの統計的プロファイルに基づいて、個々のユーザの進行中の行動の間のイベントの逸脱を評価することを更に含む。一部の実装形態では、IAMは、アクティブディレクトリ(AD)である。他の実装形態では、IAMは、オープン軽量ディレクトリアクセスプロトコル(LDAP)である。
【0133】
このセクションで説明される方法の他の実装形態は、プロセッサ上で実行されるときに、プロセッサに上記で説明された方法のいずれかを実施させる、メモリにロードされたプログラム命令を記憶する有形の非一時的コンピュータ可読記憶媒体を含み得る。このセクションで説明する方法の更に別の実装形態は、メモリと、上記で説明した方法のいずれかを実施するためにメモリに記憶されたコンピュータ命令を実行するように動作可能な1つ以上のプロセッサとを含むデバイスを含み得る。
【0134】
上記で説明又は参照された任意のデータ構造及びコードは、多くの実装形態によれば、コンピュータシステムによって使用するためのコード及び/又はデータを記憶することができる任意のデバイス又は媒体であり得るコンピュータ可読記憶媒体上に記憶される。これには、揮発性メモリ、非揮発性メモリ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、ディスクドライブ、磁気テープ、CD(コンパクトディスク)、DVD(デジタルバーサタイルディスク又はデジタルビデオディスク)などの磁気及び光記憶デバイス、あるいは現在知られている又は今後開発されるコンピュータ可読媒体を格納することができる他の媒体が含まれるが、これらに限定されるものではない。
【0135】
前述の説明は、開示される技術の作製及び使用を可能にするために提示される。開示される実装形態に対する種々の修正が明らかになり、本明細書で定義される一般原理は、開示される技術の趣旨及び範囲から逸脱することなく、他の実装形態及び適用例に適用され得る。したがって、開示される技術は、示される実装形態に限定されるものではなく、本明細書で開示される原理及び特徴と一致する最も広い範囲を与えられるべきである。開示される技術の範囲は、添付の特許請求の範囲によって定義される。
【0136】
[条項]
以下の条項を開示する。
条項セット1
1.組織のセキュリティポリシーに対するユーザコンプライアンスを評価する方法であって、
組織のセキュリティポリシーが危険とみなすユーザによるアクティビティを検出するためにプロキシを使用してシーケンスアラートを生成することであって、シーケンスアラートが、重大度によって分類される、生成することと、
ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、異常なユーザ行動が検出されたときにバッチアラートを生成することであって、バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつシーケンスアラート及びバッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、経時的なアラート重みが、時間の経過とともにアラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
ユーザ信頼度スコアを報告することであって、
所定の時間にわたる時系列のユーザ信頼度スコア、並びに/又は
現在のユーザ信頼度スコア、及び/若しくは
経時的なアラート重みに寄与したユーザによるアクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、のアクションを含む、方法。
2.スコアリング及び報告を少なくとも10人のユーザに適用することと、各ユーザについて、低から高への現在のユーザ信頼度スコア、又は高から低への危険スコアの順序付きリストを報告することと、を更に含む、条項1に記載の方法。
3.スコアリング及び報告を少なくとも10人のユーザに適用することと、所定の閾値又は可能な総ユーザ信頼度スコアの構成可能なパーセンテージのうちの1つに基づいて、ユーザのユーザ信頼度スコアを報告するために選択することと、を更に含む、条項1に記載の方法。
4.アラート重みを減衰させる減衰係数は、アラートが発生してからの日数の関数である、条項1に記載の方法。
5.スコアリング閾値に基づいて1つ以上のアクションを自動的にとることを更に含み、アクションが、ユーザに自身のパスワードをリセットすることを要求することと、機密ファイルへのユーザアクセスを削除することと、特定のアプリへのユーザによるアクセスをブロックすることと、を含む、条項1に記載の方法。
6.表示が、10人以上のユーザのための時系列であり、特定のユーザのために選択されるときに、経時的なアラート重みに寄与した特定のユーザによるアクティビティの少なくともいくつかの詳細の表示をトリガする、ユーザの各々についてのユーザ制御の表示を引き起こすことを更に含む、条項1に記載の方法。
7.メモリにロードされたプログラム命令を含む有形の非一時的コンピュータ可読記憶媒体であって、プログラム命令が、1つ以上のプロセッサ上で実行されるときに、プロセッサに、組織のセキュリティポリシーに対するユーザコンプライアンスを評価することに向けられたアクションを実行させ、アクションは、
組織のセキュリティポリシーが危険とみなすユーザによるアクティビティを検出するためにプロキシを使用してシーケンスアラートを生成することであって、シーケンスアラートが、重大度によって分類される、生成することと、
ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、異常なユーザ行動が検出されたときにバッチアラートを生成することであって、バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつシーケンスアラート及びバッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、経時的なアラート重みが、時間の経過とともにアラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
ユーザ信頼度スコアを報告することであって、所定の時間にわたる時系列のユーザ信頼度スコア、並びに/又は現在のユーザ信頼度スコア、及び/若しくは経時的なアラート重みに寄与したユーザによるアクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、を含む、有形の非一時的コンピュータ可読記憶媒体。
8.スコアリング及び報告を少なくとも10人のユーザに適用することと、各ユーザについて、低から高への現在のユーザ信頼度スコア、又は高から低への危険スコアの順序付きリストを報告することと、を更に含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
9.スコアリング及び報告を少なくとも10人のユーザに適用することと、所定の閾値又は可能な総ユーザ信頼度スコアの構成可能なパーセンテージのうちの1つに基づいて、ユーザのユーザ信頼度スコアを報告するために選択することと、を更に含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
10.アラート重みを減衰させる減衰係数は、アラートが発生してからの日数の関数である、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
11.スコアリング閾値に基づいて1つ以上のアクションを自動的にとることを更に含み、アクションが、ユーザに自身のパスワードをリセットすることを要求することと、機密ファイルへのユーザアクセスを削除することと、Googleドライブ及びBoxを含むがこれらに限定されない特定のアプリへのユーザによるアクセスをブロックすることと、を含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
12.表示が、10人以上のユーザのための時系列であり、特定のユーザのために選択されるときに、経時的なアラート重みに寄与した特定のユーザによるアクティビティの少なくともいくつかの詳細の表示をトリガする、ユーザの各々についてのユーザ制御の表示を引き起こすことを更に含むアクションをプロセッサに実行させる命令を更に含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
13.組織のセキュリティポリシーに対するユーザコンプライアンスを評価するためのデバイスであって、デバイスが、少なくとも1つのプロセッサと、プロセッサに結合されたメモリと、メモリにロードされたコンピュータ命令と、を含み、コンピュータ命令が、実行されるときに、プロセッサに、組織のセキュリティポリシーに対するユーザコンプライアンスを評価することに向けられたアクションを実行させ、アクションは、
組織のセキュリティポリシーが危険とみなすユーザによるアクティビティを検出するためにプロキシを使用してシーケンスアラートを生成することであって、シーケンスアラートが、重大度によって分類される、生成することと、
ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、異常なユーザ行動が検出されたときにバッチアラートを生成することであって、バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつシーケンスアラート及びバッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、経時的なアラート重みが、時間の経過とともにアラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
ユーザ信頼度スコアを報告することであって、所定の時間にわたる時系列のユーザ信頼度スコア、並びに/又は現在のユーザ信頼度スコア、及び/若しくは経時的なアラート重みに寄与したユーザによるアクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、を含む、デバイス。
14.デバイスのプロセスが、スコアリング及び報告を少なくとも10人のユーザに適用することと、各ユーザについて、低から高への現在のユーザ信頼度スコア、又は高から低への危険スコアの順序付きリストを報告することと、を更に含む、条項13に記載のデバイス。
15.デバイスのプロセスが、スコアリング及び報告を少なくとも10人のユーザに適用することと、所定の閾値又は可能な総ユーザ信頼度スコアの構成可能なパーセンテージのうちの1つに基づいて、ユーザのユーザ信頼度スコアを報告するために選択することと、を更に含む、条項13に記載のデバイス。
16.デバイスのプロセスが、スコアリング閾値に基づいて1つ以上のアクションを自動的にとることを更に含み、アクションが、ユーザに自身のパスワードをリセットすることを要求することと、機密ファイルへのユーザアクセスを削除することと、Googleドライブ及びBoxを含むがこれらに限定されない特定のアプリへのユーザによるアクセスをブロックすることと、のうちの少なくとも1つを含む、条項13に記載のデバイス。
17.表示が、10人以上のユーザのための時系列であり、特定のユーザのために選択されるときに、経時的なアラート重みに寄与した特定のユーザによるアクティビティの少なくともいくつかの詳細の表示をトリガする、ユーザの各々についてのユーザ制御の表示を引き起こすことを更に含むアクションを少なくとも1つのプロセッサに実行させる命令を更に含む、条項13に記載のデバイス。
条項セット2
1.組織のセキュリティポリシーに準拠していないユーザ行動の評価を較正する方法であって、
ユーザのユーザ信頼度又は危険スコアを決定するためのコンポーネントを構成するアクションを含み、当該ユーザが、組織内のグループに割り当てられ、
当該コンポーネントを構成することが、クラウドベースのセキュリティシステムを介して可能にされ、当該クラウドベースのセキュリティシステムが、当該組織に対する当該ユーザの異常なコンピュータネットワーク関連行動の脅威を評価するように構成され、当該クラウドベースのセキュリティシステムが、非一時的コンピュータ可読記憶媒体内に記憶されたコンピュータ可読命令として実装され、当該コンピュータ可読命令が、少なくとも1つの中央処理ユニット(CPU)を介して実行され、
当該脅威が、1つ以上のアラートの発生を介して検出され、当該アラートが、イベントのシーケンスとして定義され、当該イベントのシーケンスが、ファイルの削除の発生、ファイルのアップロードの発生、及びファイルのダウンロードの発生のうちの少なくとも1つを含み、
当該コンポーネントを構成するアクションは、
組織のセキュリティポリシーが危険として扱うユーザによるアクティビティに起因してアラートが生成されるように、管理者制御に応答して、重大度によって分類されたカテゴリアラート重みを構成することと、
管理者感度制御に応答して、時間が経過とともにアラート重みを減衰させる減衰係数を構成することと、
ユーザ例の当該アクティビティ例に基づいて、結果として生じるユーザ行動評価例の表示を引き起こすことであって、
当該ユーザ例の当該アクティビティ例についての時系列のユーザ信頼度又は危険スコアと、
当該ユーザ例に対する結果として生じるユーザ信頼度又は危険スコアと、の表示を引き起こす、引き起こすことと、のアクションを更に含む、方法。
2.時系列内の個々の例示的なユーザの1つ以上のアクティビティへのドリルダウンのための制御の表示を引き起こすことと、
ドリルダウンするための要求を受信することと、
時系列内に現れる要求された例示的なアクティビティを含む、ドリルダウンによって要求されたアクティビティの詳細の表示を引き起こすことと、のアクションを更に含む、条項1に記載の方法。
3.カテゴリアラート重みが、情報的、低、中、高、及び重要を含む、条項1に記載の方法。
4.アクティビティ例が、ログイン試行の失敗、所定の期間内の構成可能な数のファイルの削除、及び所定の期間内の構成可能な数のファイルのアップロードを含む、条項1に記載の方法。
5.ユーザ信頼度又は危険スコアを、カテゴリアラート重みによって重み付けされたアクティビティ例のカウントのグラフとして表示するアクションを更に含む、条項1に記載の方法。
6.ドリルダウンするための要求が、個々の例示的なユーザのためのドロップダウンセレクタ及び名前フィールドのうちの1つを選択することによってアクティブ化される、条項2に記載の方法。
7.メモリにロードされたプログラム命令を含む有形の非一時的コンピュータ可読記憶媒体であって、プログラム命令は、1つ以上のプロセッサ上で実行されるときに、プロセッサに、組織のセキュリティポリシーに準拠していないユーザ行動の評価を較正する方法を実装させ、当該較正する方法は、
ユーザのユーザ信頼度又は危険スコアのコンポーネントを構成するアクションを含み、当該ユーザが、組織内のグループに割り当てられ、当該コンポーネントを構成することが、クラウドベースのセキュリティシステムを介して可能にされ、当該クラウドベースのセキュリティシステムが、当該組織に対する当該ユーザの異常なコンピュータネットワーク関連行動の脅威を評価するように構成され、当該クラウドベースのセキュリティシステムが、非一時的コンピュータ可読記憶媒体内に記憶されたコンピュータ可読命令として実装され、当該コンピュータ可読命令が、少なくとも1つの中央処理ユニット(CPU)を介して実行され、
当該脅威が、1つ以上のアラートの発生を介して検出され、当該アラートの各々が、ファイルの削除の発生、ファイルのアップロードの発生、及びファイルのダウンロードの発生のうちの少なくとも1つを含むイベントのシーケンスであり、
当該コンポーネントを構成することは、
組織のセキュリティポリシーが危険として扱うユーザによるアクティビティに起因してアラートが生成されるように、管理者制御に応答して、重大度によって分類されたカテゴリアラート重みを構成することと、
管理者感度制御に応答して、時間が経過とともにアラート重みを減衰させる減衰係数を構成することと、
ユーザ例のアクティビティ例に基づいて、結果として生じるユーザ行動評価例の表示を引き起こすことであって、
当該ユーザ例のアクティビティ例についての時系列の当該ユーザ信頼度又は危険スコアと、
当該ユーザ例に対する結果として生じるユーザ信頼度又は危険スコアと、の表示を引き起こす、引き起こすことと、のアクションを更に含む、有形の非一時的コンピュータ可読記憶媒体。
8.時系列内の個々の例示的なユーザの1つ以上のアクティビティへのドリルダウンのための制御の表示を引き起こすことと、
ドリルダウンするための要求を受信することと、
時系列内に現れる要求された例示的なアクティビティを含む、ドリルダウンによって要求されたアクティビティの詳細の表示を引き起こすことと、を更に含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
9.カテゴリアラート重みが、情報的、低、中、高、及び重要を含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
10.アクティビティ例が、ログイン試行の失敗、所定の期間内の構成可能な数のファイルの削除、及び所定の期間内の構成可能な数のファイルのアップロードを含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
11.ユーザ信頼度又は危険スコアを、カテゴリアラート重みによって重み付けされたアクティビティ例のカウントのグラフとして表示することを更に含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
12.ドリルダウンするための要求が、個々の例示的なユーザのためのドロップダウンセレクタ及び名前フィールドのうちの1つを選択することによってアクティブ化される、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
13.組織のセキュリティポリシーに準拠していないユーザ行動の評価を較正するためのデバイスであって、デバイスが、少なくとも1つのプロセッサと、プロセッサに結合されたメモリと、メモリにロードされたコンピュータ命令と、を含み、コンピュータ命令が、実行されるときに、プロセッサに、
ユーザのユーザ信頼度又は危険スコアのコンポーネントを構成するアクションを含むプロセスを実装させ、当該ユーザが、組織内のグループに割り当てられ、当該コンポーネントを構成することが、クラウドベースのセキュリティシステムを介して可能にされ、当該クラウドベースのセキュリティシステムが、当該組織に対する当該ユーザの異常なコンピュータネットワーク関連行動の脅威を評価するように構成され、当該クラウドベースのセキュリティシステムが、非一時的コンピュータ可読記憶媒体内に記憶されたコンピュータ可読命令として実装され、当該コンピュータ可読命令が、少なくとも1つの中央処理ユニット(CPU)を介して実行され、
当該脅威が、1つ以上のアラートの発生を介して検出され、当該アラートが、アクティビティ例であり、当該アラートが、ファイルの削除の発生、ファイルのアップロードの発生、及びファイルのダウンロードの発生のうちの少なくとも1つを含み、
当該コンポーネントを構成することは、
組織のセキュリティポリシーが危険として扱う当該ユーザによるアクティビティに起因してアラートが生成されるように、管理者制御に応答して、重大度によって分類されたカテゴリアラート重みを構成することと、
管理者感度制御に応答して、時間が経過とともにアラート重みを減衰させる減衰係数を構成することと、
ユーザ例のアクティビティ例に基づいて、結果として生じるユーザ行動評価例の表示を引き起こすことであって、
当該ユーザ例の当該アクティビティ例についての時系列のユーザ信頼度又は危険スコアと、
当該ユーザ例に対する結果として生じるユーザ信頼度又は危険スコアと、の表示を引き起こす、引き起こすことと、のアクションを更に含む、デバイス。
14.時系列内の個々の例示的なユーザの1つ以上のアクティビティへのドリルダウンのための制御の表示を引き起こすことと、
ドリルダウンするための要求を受信することと、
時系列内に現れる要求された例示的なアクティビティを含む、ドリルダウンによって要求されたアクティビティの詳細の表示を引き起こすことと、を更に含む、条項13に記載のデバイス。
15.カテゴリアラート重みが、情報的、低、中、高、及び重要を含む、条項13に記載のデバイス。
16.アクティビティ例が、ログイン試行の失敗、所定の期間内の構成可能な数のファイルの削除、及び所定の期間内の構成可能な数のファイルのアップロードを含む、条項13に記載のデバイス。
17.ユーザ信頼度又は危険スコアを、カテゴリアラート重みによって重み付けされたアクティビティ例のカウントのグラフとして表示することを更に含む、条項13に記載のデバイス。
18.ドリルダウンするための要求が、個々の例示的なユーザのためのドロップダウンセレクタ及び名前フィールドのうちの1つを選択することによってアクティブ化される、条項14に記載のデバイス。
19.アラートが、ファイルの削除の発生、ファイルのアップロードの発生、及びファイルのダウンロードの発生のうちの少なくとも2つを含むイベントのシーケンスとして定義される、条項1に記載の方法。
20.アラートが、ファイルのダウンロードの発生に続く、時間シーケンスでの当該ファイルの削除の発生のペアリングを含むイベントのシーケンスとして定義され、当該ペアリングが、10分に等しい期間にわたって、他のファイルに関して少なくとも10回発生する、条項1に記載の方法。
条項セット3
1.コンピュータネットワーク上の異常なユーザ行動の誤検出を低減する方法であって、
識別情報及びアクセス管理(略してIAM)プロパティからユーザのグループを形成することと、
それぞれのIAMプロパティに基づいて、初期に割り当てられたグループにユーザを割り当て、統計的プロファイルに、アプリケーション使用頻度を含む個々のユーザ行動を記録することと、
記録された個々のユーザ行動をグループ内のユーザの統計的プロファイル内のユーザ行動と比較することに基づいて、初期に割り当てられたグループとは異なる再編成されたグループを個々のユーザに動的に割り当てることと、
再編成されたグループの統計的プロファイルからの逸脱に基づいて、個々のユーザの進行中の行動の間の異常なイベントを評価及び報告することと、のアクションを含み、
当該アクションが、クラウドベースのセキュリティシステムを介して可能にされ、当該クラウドベースのセキュリティシステムが、非一時的コンピュータ可読記憶媒体内に記憶されたコンピュータ可読命令として実装され、当該コンピュータ可読命令が、少なくとも1つの中央処理ユニット(CPU)を介して実行される、方法。
2.グループを形成するために使用されるIAMからのプロパティが、共通のアプリの使用、共通のロケーション、及び共通の組織を含む、条項1に記載の方法。
3.グループの統計的プロファイルは、100人未満のユーザ又は組織集団の10%未満がグループに含まれているとき、あるいは500人超のユーザ又は組織集団の80%超がグループに含まれているときに使用されない、条項2に記載の方法。
4.形成されたグループの4分の3が、グループごとに30~500人のユーザを有する、条項1に記載の方法。
5.異常なイベントを評価することが、個々のユーザの統計的プロファイルに基づいて、個々のユーザの進行中の行動の間のイベントの逸脱を評価することを更に含む、条項1に記載の方法。
6.IAMが、アクティブディレクトリ(略してAD)である、条項1に記載の方法。
7.IAMが、オープン軽量ディレクトリアクセスプロトコル(略してLDAP)である、条項1に記載の方法。
8.メモリにロードされたプログラム命令を含む有形の非一時的コンピュータ可読記憶媒体であって、プログラム命令は、1つ以上のプロセッサ上で実行されるときに、プロセッサに、コンピュータネットワーク上の異常なユーザ行動の誤検出を低減する方法を実装させ、
識別情報及びアクセス管理(略してIAM)プロパティからユーザのグループを形成することと、
それぞれのIAMプロパティに基づいて、初期に割り当てられたグループにユーザを割り当て、統計的プロファイルに、アプリケーション使用頻度を含む個々のユーザ行動を記録することと、
記録された個々のユーザ行動をグループ内のユーザの統計的プロファイル内のユーザ行動と比較することに基づいて、初期割り当てグループとは異なる再編成されたグループを個々のユーザに動的に割り当てることと、
再編成されたグループの統計的プロファイルからの逸脱に基づいて、個々のユーザの進行中の行動の間の異常なイベントを評価及び報告することと、を含む、有形の非一時的コンピュータ可読記憶媒体。
9.グループを形成するために使用されるIAMからのプロパティが、共通のアプリの使用、共通のロケーション、及び共通の組織を含む、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
10.グループの統計的プロファイルは、100人未満のユーザ又は組織集団の10%未満がグループに含まれているとき、あるいは500人超のユーザ又は組織集団の80%超がグループに含まれているときに使用されない、条項9に記載の有形の非一時的コンピュータ可読記憶媒体。
11.形成されたグループの4分の3が、グループごとに30~500人のユーザを有する、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
12.異常なイベントを評価することが、個々のユーザの統計的プロファイルに基づいて、個々のユーザの進行中の行動の間のイベントの逸脱を評価することを更に含む、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
13.IAMが、アクティブディレクトリ(略してAD)である、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
14.IAMが、オープン軽量ディレクトリアクセスプロトコル(略してLDAP)である、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
15.コンピュータネットワーク上の異常なユーザ行動の誤検出を低減するためのデバイスであって、デバイスが、少なくとも1つのプロセッサと、プロセッサに結合されたメモリと、メモリにロードされたコンピュータ命令と、を含み、コンピュータ命令が、実行されるときに、プロセッサに、
識別情報及びアクセス管理(略してIAM)プロパティからユーザのグループを形成することと、
それぞれのIAMプロパティに基づいて、初期に割り当てられたグループにユーザを割り当て、統計的プロファイルに、アプリケーション使用頻度を含む個々のユーザ行動を記録することと、
記録された個々のユーザ行動をグループ内のユーザの統計的プロファイル内のユーザ行動と比較することに基づいて、初期割り当てグループとは異なる再編成されたグループを個々のユーザに動的に割り当てることと、
再編成されたグループの統計的プロファイルからの逸脱に基づいて、個々のユーザの進行中の行動の間の異常なイベントを評価及び報告することと、を含むプロセスを実装させる、デバイス。
16.グループを形成するために使用されるIAMからのプロパティが、共通のアプリの使用、共通のロケーション、及び共通の組織を含む、条項15に記載のデバイス。
17.グループの統計的プロファイルは、100人未満のユーザ又は組織集団の10%未満がグループに含まれているとき、又は500人超のユーザ又は組織集団の80%超がグループに含まれているときに使用されない、条項16に記載のデバイス。
18.異常なイベントを評価することが、個々のユーザの統計的プロファイルに基づいて、個々のユーザの進行中の行動の間のイベントの逸脱を評価することを更に含む、条項15に記載のデバイス。
19.IAMが、アクティブディレクトリ(略してAD)である、条項15に記載のデバイス。
20.IAMが、軽量ディレクトリアクセスプロトコル(略してLDAP)である、条項15に記載のデバイス。
条項セット4
1.組織のセキュリティポリシーに対するユーザコンプライアンスを評価する方法であって、
組織のセキュリティポリシーに準拠していないユーザによるアクティビティを検出するためにシーケンスアラートを生成することであって、シーケンスアラートが、重大度によって分類される、生成することと、
ユーザに関連して、ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、ユーザの異常なユーザ行動が検出されたときにバッチアラートを生成することであって、バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつシーケンスアラート及びバッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、
経時的なアラート重みが、時間の経過とともにアラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
ユーザ信頼度スコアを報告することであって、
所定の時間にわたる時系列のユーザ信頼度スコア、並びに/又は現在のユーザ信頼度スコア、及び/若しくは
経時的なアラート重みに寄与したユーザによるアクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、を含む、方法。
以下の条項を開示する。
条項セット1
1.組織のセキュリティポリシーに対するユーザコンプライアンスを評価する方法であって、
組織のセキュリティポリシーが危険とみなすユーザによるアクティビティを検出するためにプロキシを使用してシーケンスアラートを生成することであって、シーケンスアラートが、重大度によって分類される、生成することと、
ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、異常なユーザ行動が検出されたときにバッチアラートを生成することであって、バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつシーケンスアラート及びバッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、経時的なアラート重みが、時間の経過とともにアラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
ユーザ信頼度スコアを報告することであって、
所定の時間にわたる時系列のユーザ信頼度スコア、並びに/又は
現在のユーザ信頼度スコア、及び/若しくは
経時的なアラート重みに寄与したユーザによるアクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、のアクションを含む、方法。
2.スコアリング及び報告を少なくとも10人のユーザに適用することと、各ユーザについて、低から高への現在のユーザ信頼度スコア、又は高から低への危険スコアの順序付きリストを報告することと、を更に含む、条項1に記載の方法。
3.スコアリング及び報告を少なくとも10人のユーザに適用することと、所定の閾値又は可能な総ユーザ信頼度スコアの構成可能なパーセンテージのうちの1つに基づいて、ユーザのユーザ信頼度スコアを報告するために選択することと、を更に含む、条項1に記載の方法。
4.アラート重みを減衰させる減衰係数は、アラートが発生してからの日数の関数である、条項1に記載の方法。
5.スコアリング閾値に基づいて1つ以上のアクションを自動的にとることを更に含み、アクションが、ユーザに自身のパスワードをリセットすることを要求することと、機密ファイルへのユーザアクセスを削除することと、特定のアプリへのユーザによるアクセスをブロックすることと、を含む、条項1に記載の方法。
6.表示が、10人以上のユーザのための時系列であり、特定のユーザのために選択されるときに、経時的なアラート重みに寄与した特定のユーザによるアクティビティの少なくともいくつかの詳細の表示をトリガする、ユーザの各々についてのユーザ制御の表示を引き起こすことを更に含む、条項1に記載の方法。
7.メモリにロードされたプログラム命令を含む有形の非一時的コンピュータ可読記憶媒体であって、プログラム命令が、1つ以上のプロセッサ上で実行されるときに、プロセッサに、組織のセキュリティポリシーに対するユーザコンプライアンスを評価することに向けられたアクションを実行させ、アクションは、
組織のセキュリティポリシーが危険とみなすユーザによるアクティビティを検出するためにプロキシを使用してシーケンスアラートを生成することであって、シーケンスアラートが、重大度によって分類される、生成することと、
ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、異常なユーザ行動が検出されたときにバッチアラートを生成することであって、バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつシーケンスアラート及びバッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、経時的なアラート重みが、時間の経過とともにアラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
ユーザ信頼度スコアを報告することであって、所定の時間にわたる時系列のユーザ信頼度スコア、並びに/又は現在のユーザ信頼度スコア、及び/若しくは経時的なアラート重みに寄与したユーザによるアクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、を含む、有形の非一時的コンピュータ可読記憶媒体。
8.スコアリング及び報告を少なくとも10人のユーザに適用することと、各ユーザについて、低から高への現在のユーザ信頼度スコア、又は高から低への危険スコアの順序付きリストを報告することと、を更に含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
9.スコアリング及び報告を少なくとも10人のユーザに適用することと、所定の閾値又は可能な総ユーザ信頼度スコアの構成可能なパーセンテージのうちの1つに基づいて、ユーザのユーザ信頼度スコアを報告するために選択することと、を更に含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
10.アラート重みを減衰させる減衰係数は、アラートが発生してからの日数の関数である、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
11.スコアリング閾値に基づいて1つ以上のアクションを自動的にとることを更に含み、アクションが、ユーザに自身のパスワードをリセットすることを要求することと、機密ファイルへのユーザアクセスを削除することと、Googleドライブ及びBoxを含むがこれらに限定されない特定のアプリへのユーザによるアクセスをブロックすることと、を含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
12.表示が、10人以上のユーザのための時系列であり、特定のユーザのために選択されるときに、経時的なアラート重みに寄与した特定のユーザによるアクティビティの少なくともいくつかの詳細の表示をトリガする、ユーザの各々についてのユーザ制御の表示を引き起こすことを更に含むアクションをプロセッサに実行させる命令を更に含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
13.組織のセキュリティポリシーに対するユーザコンプライアンスを評価するためのデバイスであって、デバイスが、少なくとも1つのプロセッサと、プロセッサに結合されたメモリと、メモリにロードされたコンピュータ命令と、を含み、コンピュータ命令が、実行されるときに、プロセッサに、組織のセキュリティポリシーに対するユーザコンプライアンスを評価することに向けられたアクションを実行させ、アクションは、
組織のセキュリティポリシーが危険とみなすユーザによるアクティビティを検出するためにプロキシを使用してシーケンスアラートを生成することであって、シーケンスアラートが、重大度によって分類される、生成することと、
ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、異常なユーザ行動が検出されたときにバッチアラートを生成することであって、バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつシーケンスアラート及びバッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、経時的なアラート重みが、時間の経過とともにアラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
ユーザ信頼度スコアを報告することであって、所定の時間にわたる時系列のユーザ信頼度スコア、並びに/又は現在のユーザ信頼度スコア、及び/若しくは経時的なアラート重みに寄与したユーザによるアクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、を含む、デバイス。
14.デバイスのプロセスが、スコアリング及び報告を少なくとも10人のユーザに適用することと、各ユーザについて、低から高への現在のユーザ信頼度スコア、又は高から低への危険スコアの順序付きリストを報告することと、を更に含む、条項13に記載のデバイス。
15.デバイスのプロセスが、スコアリング及び報告を少なくとも10人のユーザに適用することと、所定の閾値又は可能な総ユーザ信頼度スコアの構成可能なパーセンテージのうちの1つに基づいて、ユーザのユーザ信頼度スコアを報告するために選択することと、を更に含む、条項13に記載のデバイス。
16.デバイスのプロセスが、スコアリング閾値に基づいて1つ以上のアクションを自動的にとることを更に含み、アクションが、ユーザに自身のパスワードをリセットすることを要求することと、機密ファイルへのユーザアクセスを削除することと、Googleドライブ及びBoxを含むがこれらに限定されない特定のアプリへのユーザによるアクセスをブロックすることと、のうちの少なくとも1つを含む、条項13に記載のデバイス。
17.表示が、10人以上のユーザのための時系列であり、特定のユーザのために選択されるときに、経時的なアラート重みに寄与した特定のユーザによるアクティビティの少なくともいくつかの詳細の表示をトリガする、ユーザの各々についてのユーザ制御の表示を引き起こすことを更に含むアクションを少なくとも1つのプロセッサに実行させる命令を更に含む、条項13に記載のデバイス。
条項セット2
1.組織のセキュリティポリシーに準拠していないユーザ行動の評価を較正する方法であって、
ユーザのユーザ信頼度又は危険スコアを決定するためのコンポーネントを構成するアクションを含み、当該ユーザが、組織内のグループに割り当てられ、
当該コンポーネントを構成することが、クラウドベースのセキュリティシステムを介して可能にされ、当該クラウドベースのセキュリティシステムが、当該組織に対する当該ユーザの異常なコンピュータネットワーク関連行動の脅威を評価するように構成され、当該クラウドベースのセキュリティシステムが、非一時的コンピュータ可読記憶媒体内に記憶されたコンピュータ可読命令として実装され、当該コンピュータ可読命令が、少なくとも1つの中央処理ユニット(CPU)を介して実行され、
当該脅威が、1つ以上のアラートの発生を介して検出され、当該アラートが、イベントのシーケンスとして定義され、当該イベントのシーケンスが、ファイルの削除の発生、ファイルのアップロードの発生、及びファイルのダウンロードの発生のうちの少なくとも1つを含み、
当該コンポーネントを構成するアクションは、
組織のセキュリティポリシーが危険として扱うユーザによるアクティビティに起因してアラートが生成されるように、管理者制御に応答して、重大度によって分類されたカテゴリアラート重みを構成することと、
管理者感度制御に応答して、時間が経過とともにアラート重みを減衰させる減衰係数を構成することと、
ユーザ例の当該アクティビティ例に基づいて、結果として生じるユーザ行動評価例の表示を引き起こすことであって、
当該ユーザ例の当該アクティビティ例についての時系列のユーザ信頼度又は危険スコアと、
当該ユーザ例に対する結果として生じるユーザ信頼度又は危険スコアと、の表示を引き起こす、引き起こすことと、のアクションを更に含む、方法。
2.時系列内の個々の例示的なユーザの1つ以上のアクティビティへのドリルダウンのための制御の表示を引き起こすことと、
ドリルダウンするための要求を受信することと、
時系列内に現れる要求された例示的なアクティビティを含む、ドリルダウンによって要求されたアクティビティの詳細の表示を引き起こすことと、のアクションを更に含む、条項1に記載の方法。
3.カテゴリアラート重みが、情報的、低、中、高、及び重要を含む、条項1に記載の方法。
4.アクティビティ例が、ログイン試行の失敗、所定の期間内の構成可能な数のファイルの削除、及び所定の期間内の構成可能な数のファイルのアップロードを含む、条項1に記載の方法。
5.ユーザ信頼度又は危険スコアを、カテゴリアラート重みによって重み付けされたアクティビティ例のカウントのグラフとして表示するアクションを更に含む、条項1に記載の方法。
6.ドリルダウンするための要求が、個々の例示的なユーザのためのドロップダウンセレクタ及び名前フィールドのうちの1つを選択することによってアクティブ化される、条項2に記載の方法。
7.メモリにロードされたプログラム命令を含む有形の非一時的コンピュータ可読記憶媒体であって、プログラム命令は、1つ以上のプロセッサ上で実行されるときに、プロセッサに、組織のセキュリティポリシーに準拠していないユーザ行動の評価を較正する方法を実装させ、当該較正する方法は、
ユーザのユーザ信頼度又は危険スコアのコンポーネントを構成するアクションを含み、当該ユーザが、組織内のグループに割り当てられ、当該コンポーネントを構成することが、クラウドベースのセキュリティシステムを介して可能にされ、当該クラウドベースのセキュリティシステムが、当該組織に対する当該ユーザの異常なコンピュータネットワーク関連行動の脅威を評価するように構成され、当該クラウドベースのセキュリティシステムが、非一時的コンピュータ可読記憶媒体内に記憶されたコンピュータ可読命令として実装され、当該コンピュータ可読命令が、少なくとも1つの中央処理ユニット(CPU)を介して実行され、
当該脅威が、1つ以上のアラートの発生を介して検出され、当該アラートの各々が、ファイルの削除の発生、ファイルのアップロードの発生、及びファイルのダウンロードの発生のうちの少なくとも1つを含むイベントのシーケンスであり、
当該コンポーネントを構成することは、
組織のセキュリティポリシーが危険として扱うユーザによるアクティビティに起因してアラートが生成されるように、管理者制御に応答して、重大度によって分類されたカテゴリアラート重みを構成することと、
管理者感度制御に応答して、時間が経過とともにアラート重みを減衰させる減衰係数を構成することと、
ユーザ例のアクティビティ例に基づいて、結果として生じるユーザ行動評価例の表示を引き起こすことであって、
当該ユーザ例のアクティビティ例についての時系列の当該ユーザ信頼度又は危険スコアと、
当該ユーザ例に対する結果として生じるユーザ信頼度又は危険スコアと、の表示を引き起こす、引き起こすことと、のアクションを更に含む、有形の非一時的コンピュータ可読記憶媒体。
8.時系列内の個々の例示的なユーザの1つ以上のアクティビティへのドリルダウンのための制御の表示を引き起こすことと、
ドリルダウンするための要求を受信することと、
時系列内に現れる要求された例示的なアクティビティを含む、ドリルダウンによって要求されたアクティビティの詳細の表示を引き起こすことと、を更に含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
9.カテゴリアラート重みが、情報的、低、中、高、及び重要を含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
10.アクティビティ例が、ログイン試行の失敗、所定の期間内の構成可能な数のファイルの削除、及び所定の期間内の構成可能な数のファイルのアップロードを含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
11.ユーザ信頼度又は危険スコアを、カテゴリアラート重みによって重み付けされたアクティビティ例のカウントのグラフとして表示することを更に含む、条項7に記載の有形の非一時的コンピュータ可読記憶媒体。
12.ドリルダウンするための要求が、個々の例示的なユーザのためのドロップダウンセレクタ及び名前フィールドのうちの1つを選択することによってアクティブ化される、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
13.組織のセキュリティポリシーに準拠していないユーザ行動の評価を較正するためのデバイスであって、デバイスが、少なくとも1つのプロセッサと、プロセッサに結合されたメモリと、メモリにロードされたコンピュータ命令と、を含み、コンピュータ命令が、実行されるときに、プロセッサに、
ユーザのユーザ信頼度又は危険スコアのコンポーネントを構成するアクションを含むプロセスを実装させ、当該ユーザが、組織内のグループに割り当てられ、当該コンポーネントを構成することが、クラウドベースのセキュリティシステムを介して可能にされ、当該クラウドベースのセキュリティシステムが、当該組織に対する当該ユーザの異常なコンピュータネットワーク関連行動の脅威を評価するように構成され、当該クラウドベースのセキュリティシステムが、非一時的コンピュータ可読記憶媒体内に記憶されたコンピュータ可読命令として実装され、当該コンピュータ可読命令が、少なくとも1つの中央処理ユニット(CPU)を介して実行され、
当該脅威が、1つ以上のアラートの発生を介して検出され、当該アラートが、アクティビティ例であり、当該アラートが、ファイルの削除の発生、ファイルのアップロードの発生、及びファイルのダウンロードの発生のうちの少なくとも1つを含み、
当該コンポーネントを構成することは、
組織のセキュリティポリシーが危険として扱う当該ユーザによるアクティビティに起因してアラートが生成されるように、管理者制御に応答して、重大度によって分類されたカテゴリアラート重みを構成することと、
管理者感度制御に応答して、時間が経過とともにアラート重みを減衰させる減衰係数を構成することと、
ユーザ例のアクティビティ例に基づいて、結果として生じるユーザ行動評価例の表示を引き起こすことであって、
当該ユーザ例の当該アクティビティ例についての時系列のユーザ信頼度又は危険スコアと、
当該ユーザ例に対する結果として生じるユーザ信頼度又は危険スコアと、の表示を引き起こす、引き起こすことと、のアクションを更に含む、デバイス。
14.時系列内の個々の例示的なユーザの1つ以上のアクティビティへのドリルダウンのための制御の表示を引き起こすことと、
ドリルダウンするための要求を受信することと、
時系列内に現れる要求された例示的なアクティビティを含む、ドリルダウンによって要求されたアクティビティの詳細の表示を引き起こすことと、を更に含む、条項13に記載のデバイス。
15.カテゴリアラート重みが、情報的、低、中、高、及び重要を含む、条項13に記載のデバイス。
16.アクティビティ例が、ログイン試行の失敗、所定の期間内の構成可能な数のファイルの削除、及び所定の期間内の構成可能な数のファイルのアップロードを含む、条項13に記載のデバイス。
17.ユーザ信頼度又は危険スコアを、カテゴリアラート重みによって重み付けされたアクティビティ例のカウントのグラフとして表示することを更に含む、条項13に記載のデバイス。
18.ドリルダウンするための要求が、個々の例示的なユーザのためのドロップダウンセレクタ及び名前フィールドのうちの1つを選択することによってアクティブ化される、条項14に記載のデバイス。
19.アラートが、ファイルの削除の発生、ファイルのアップロードの発生、及びファイルのダウンロードの発生のうちの少なくとも2つを含むイベントのシーケンスとして定義される、条項1に記載の方法。
20.アラートが、ファイルのダウンロードの発生に続く、時間シーケンスでの当該ファイルの削除の発生のペアリングを含むイベントのシーケンスとして定義され、当該ペアリングが、10分に等しい期間にわたって、他のファイルに関して少なくとも10回発生する、条項1に記載の方法。
条項セット3
1.コンピュータネットワーク上の異常なユーザ行動の誤検出を低減する方法であって、
識別情報及びアクセス管理(略してIAM)プロパティからユーザのグループを形成することと、
それぞれのIAMプロパティに基づいて、初期に割り当てられたグループにユーザを割り当て、統計的プロファイルに、アプリケーション使用頻度を含む個々のユーザ行動を記録することと、
記録された個々のユーザ行動をグループ内のユーザの統計的プロファイル内のユーザ行動と比較することに基づいて、初期に割り当てられたグループとは異なる再編成されたグループを個々のユーザに動的に割り当てることと、
再編成されたグループの統計的プロファイルからの逸脱に基づいて、個々のユーザの進行中の行動の間の異常なイベントを評価及び報告することと、のアクションを含み、
当該アクションが、クラウドベースのセキュリティシステムを介して可能にされ、当該クラウドベースのセキュリティシステムが、非一時的コンピュータ可読記憶媒体内に記憶されたコンピュータ可読命令として実装され、当該コンピュータ可読命令が、少なくとも1つの中央処理ユニット(CPU)を介して実行される、方法。
2.グループを形成するために使用されるIAMからのプロパティが、共通のアプリの使用、共通のロケーション、及び共通の組織を含む、条項1に記載の方法。
3.グループの統計的プロファイルは、100人未満のユーザ又は組織集団の10%未満がグループに含まれているとき、あるいは500人超のユーザ又は組織集団の80%超がグループに含まれているときに使用されない、条項2に記載の方法。
4.形成されたグループの4分の3が、グループごとに30~500人のユーザを有する、条項1に記載の方法。
5.異常なイベントを評価することが、個々のユーザの統計的プロファイルに基づいて、個々のユーザの進行中の行動の間のイベントの逸脱を評価することを更に含む、条項1に記載の方法。
6.IAMが、アクティブディレクトリ(略してAD)である、条項1に記載の方法。
7.IAMが、オープン軽量ディレクトリアクセスプロトコル(略してLDAP)である、条項1に記載の方法。
8.メモリにロードされたプログラム命令を含む有形の非一時的コンピュータ可読記憶媒体であって、プログラム命令は、1つ以上のプロセッサ上で実行されるときに、プロセッサに、コンピュータネットワーク上の異常なユーザ行動の誤検出を低減する方法を実装させ、
識別情報及びアクセス管理(略してIAM)プロパティからユーザのグループを形成することと、
それぞれのIAMプロパティに基づいて、初期に割り当てられたグループにユーザを割り当て、統計的プロファイルに、アプリケーション使用頻度を含む個々のユーザ行動を記録することと、
記録された個々のユーザ行動をグループ内のユーザの統計的プロファイル内のユーザ行動と比較することに基づいて、初期割り当てグループとは異なる再編成されたグループを個々のユーザに動的に割り当てることと、
再編成されたグループの統計的プロファイルからの逸脱に基づいて、個々のユーザの進行中の行動の間の異常なイベントを評価及び報告することと、を含む、有形の非一時的コンピュータ可読記憶媒体。
9.グループを形成するために使用されるIAMからのプロパティが、共通のアプリの使用、共通のロケーション、及び共通の組織を含む、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
10.グループの統計的プロファイルは、100人未満のユーザ又は組織集団の10%未満がグループに含まれているとき、あるいは500人超のユーザ又は組織集団の80%超がグループに含まれているときに使用されない、条項9に記載の有形の非一時的コンピュータ可読記憶媒体。
11.形成されたグループの4分の3が、グループごとに30~500人のユーザを有する、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
12.異常なイベントを評価することが、個々のユーザの統計的プロファイルに基づいて、個々のユーザの進行中の行動の間のイベントの逸脱を評価することを更に含む、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
13.IAMが、アクティブディレクトリ(略してAD)である、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
14.IAMが、オープン軽量ディレクトリアクセスプロトコル(略してLDAP)である、条項8に記載の有形の非一時的コンピュータ可読記憶媒体。
15.コンピュータネットワーク上の異常なユーザ行動の誤検出を低減するためのデバイスであって、デバイスが、少なくとも1つのプロセッサと、プロセッサに結合されたメモリと、メモリにロードされたコンピュータ命令と、を含み、コンピュータ命令が、実行されるときに、プロセッサに、
識別情報及びアクセス管理(略してIAM)プロパティからユーザのグループを形成することと、
それぞれのIAMプロパティに基づいて、初期に割り当てられたグループにユーザを割り当て、統計的プロファイルに、アプリケーション使用頻度を含む個々のユーザ行動を記録することと、
記録された個々のユーザ行動をグループ内のユーザの統計的プロファイル内のユーザ行動と比較することに基づいて、初期割り当てグループとは異なる再編成されたグループを個々のユーザに動的に割り当てることと、
再編成されたグループの統計的プロファイルからの逸脱に基づいて、個々のユーザの進行中の行動の間の異常なイベントを評価及び報告することと、を含むプロセスを実装させる、デバイス。
16.グループを形成するために使用されるIAMからのプロパティが、共通のアプリの使用、共通のロケーション、及び共通の組織を含む、条項15に記載のデバイス。
17.グループの統計的プロファイルは、100人未満のユーザ又は組織集団の10%未満がグループに含まれているとき、又は500人超のユーザ又は組織集団の80%超がグループに含まれているときに使用されない、条項16に記載のデバイス。
18.異常なイベントを評価することが、個々のユーザの統計的プロファイルに基づいて、個々のユーザの進行中の行動の間のイベントの逸脱を評価することを更に含む、条項15に記載のデバイス。
19.IAMが、アクティブディレクトリ(略してAD)である、条項15に記載のデバイス。
20.IAMが、軽量ディレクトリアクセスプロトコル(略してLDAP)である、条項15に記載のデバイス。
条項セット4
1.組織のセキュリティポリシーに対するユーザコンプライアンスを評価する方法であって、
組織のセキュリティポリシーに準拠していないユーザによるアクティビティを検出するためにシーケンスアラートを生成することであって、シーケンスアラートが、重大度によって分類される、生成することと、
ユーザに関連して、ユーザのピアグループの履歴ユーザ行動パターンからの逸脱に基づいて、ユーザの異常なユーザ行動が検出されたときにバッチアラートを生成することであって、バッチアラートが、重大度によって分類される、生成することと、
重大度のカテゴリによって適用され、かつシーケンスアラート及びバッチアラートから経時的に生成されるアラート重みを繰り返し合計することによって、ユーザ信頼度スコアと総称される、ユーザ信頼度スコア又はユーザ危険スコアをスコアリングすることであって、
経時的なアラート重みが、時間の経過とともにアラート重みを減衰させる減衰係数の影響を受ける、スコアリングすることと、
ユーザ信頼度スコアを報告することであって、
所定の時間にわたる時系列のユーザ信頼度スコア、並びに/又は現在のユーザ信頼度スコア、及び/若しくは
経時的なアラート重みに寄与したユーザによるアクティビティの少なくともいくつかの詳細の表示を引き起こすことを含む、報告することと、を含む、方法。
【0137】
特許請求されているのは以下の通りである。
【図1】
【図2A】
【図2B】
【図2C】
【図3A】
【図3B】
【図3C】
【図3D】
【図3E】
【図4】
【図5】
【図6】
【図7】
【図8A】
【図8B】
【図9】
【図10】
【国際調査報告】