ホーム > 特許ランキング > BlueVoyant LLC
知財求人 - 知財ポータルサイト「IP Force」
特表2024-522575相関性、および相乗効果の導入のニーズに基づく複数のテナントのためのセキュリティ情報およびイベント管理更新を強化するためのデバイス、システムおよび方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-06-21
(54)【発明の名称】相関性、および相乗効果の導入のニーズに基づく複数のテナントのためのセキュリティ情報およびイベント管理更新を強化するためのデバイス、システムおよび方法
(51)【国際特許分類】
G06F 11/07 20060101AFI20240614BHJP
G06F 8/65 20180101ALI20240614BHJP
【FI】
G06F11/07 193
G06F8/65
G06F11/07 140A
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023574867
(86)(22)【出願日】2022-06-03
(85)【翻訳文提出日】2024-01-31
(86)【国際出願番号】 US2022072739
(87)【国際公開番号】W WO2022256832
(87)【国際公開日】2022-12-08
(31)【優先権主張番号】63/196,458
(32)【優先日】2021-06-03
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】523454588
【氏名又は名称】ブルーボヤント エルエルシー
【氏名又は名称原語表記】BlueVoyant LLC
【住所又は居所原語表記】335 Madison Avenue, Suite 5G, New York, New York 10017 United States of America
(74)【代理人】
【識別番号】110000110
【氏名又は名称】弁理士法人 快友国際特許事務所
(72)【発明者】
【氏名】ドリアン ビアサン
(72)【発明者】
【氏名】マリウス モカヌ
(72)【発明者】
【氏名】アドリアン グリゴロフ
(72)【発明者】
【氏名】イゴール ボロガン
(72)【発明者】
【氏名】カタリン デュタ
【テーマコード(参考)】
5B042
5B376
【Fターム(参考)】
5B042KK17
5B376CA04
(57)【要約】
複数のクライアントアプリケーションをホストするように構成された複数のテナントにわたってネットワークセキュリティを強化するための方法が本明細書に開示される。方法は、複数のテナントに通信可能に結合されたSIEMプロバイダサーバによってホストされるSIEM管理アプリケーションを提供することと、複数のテナントからSIEMステータスを受信することと、SIEMステータスを可視化することと、グラフィカルユーザインターフェースを介して受信されたユーザ入力に基づいて、SIEMステータスをフィルタリングすることと、フィルタリングされたSIEM状態を可視化することと、グラフィカルユーザインターフェースを介して、複数のテナントのうちの少なくとも一つのテナントによってホストされる複数のクライアントアプリケーションのうちの少なくとも一つのクライアントアプリケーションを選択して、フィルタリングされたSIEMステータスに基づいて更新することと、選択に基づいて、クライアントアプリケーションの更新および更新アラートを生成することと、更新アラートを少なくとも一つのテナントに送信することと、更新アラートに基づいて少なくとも一つのクライアントアプリケーションを更新することと、を含む。
【選択図】図11
【選択図】図11
【特許請求の範囲】
【請求項1】
複数のクライアントアプリケーションをホストするように構成された複数のテナントにわたってネットワークセキュリティを強化するための方法であって、セキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、前記SIEMプロバイダサーバが前記複数のテナントに通信可能に結合される、前記SIEMプロバイダサーバによってホストされるように構成されたSIEM管理アプリケーションを提供することと、
前記SIEMプロバイダサーバを介して、前記複数のテナントからSIEMステータスを受信することと、
前記SIEM管理アプリケーションのグラフィカルユーザインターフェースを介して、前記SIEMステータスを可視化することと、
前記SIEM管理アプリケーションを介して、前記SIEMステータスを、少なくとも部分的に、前記グラフィカルユーザインターフェースを介して受信されたユーザ入力に基づいてフィルタリングすることと、
前記グラフィカルユーザインターフェースを介して、前記フィルタリングされたSIEMステータスを可視化することと、
前記グラフィカルユーザインターフェースを介して、前記複数のテナントのうちの少なくとも一つのテナントによってホストされる前記複数のクライアントアプリケーションのうちの少なくとも一つのクライアントアプリケーションを選択して、少なくとも部分的に、前記フィルタリングされたSIEMステータスに基づいて更新することと、
前記SIEM管理アプリケーションを介して、少なくとも部分的に前記選択に基づいて、クライアントアプリケーションの更新、および更新アラートを生成することと、
前記SIEM管理アプリケーションを介して、前記更新アラートを前記少なくとも一つのテナントに送信することと、
前記少なくとも一つのテナントを介して、前記少なくとも一つのクライアントアプリケーションを、少なくとも部分的に、前記更新アラートに基づいて更新することであって、前記少なくとも一つのクライアントアプリケーションを更新することによって、前記少なくとも一つのテナントに対する前記ネットワークセキュリティを強化する、前記更新することと、を含む、方法。
【請求項2】
前記SIEMステータスが、前記複数のテナントの各テナントに対する、テナント名、クライアント名、およびクライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、請求項1に記載の方法。
【請求項3】
前記ユーザ入力が、前記複数のテナントの各テナントに対する、前記テナント名、前記クライアント名、および前記クライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、請求項2に記載の方法。
【請求項4】
前記少なくとも一つのクライアントアプリケーションを選択することが、前記グラフィカルユーザインターフェースを介して受信された第二のユーザ入力にさらに基づき、前記第二のユーザ入力が、前記少なくとも一つのクライアントアプリケーションに関連付けられたテナント名、前記少なくとも一つのクライアントアプリケーションに関連付けられたクライアント名、および前記少なくとも一つのクライアントアプリケーションに関連付けられたクライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、請求項2に記載の方法。
【請求項5】
前記SIEMプロバイダサーバが、前記複数のテナントの各テナントに対する導入の必要性に関連付けられた複数のルールを格納するように構成されたメモリを備え、前記更新アラートを生成することが、少なくとも部分的に、前記少なくとも一つのテナントに関連付けられる前記複数のルールのうちの少なくとも一つのルールに、基づく、請求項1に記載の方法。
【請求項6】
前記SIEM管理アプリケーションを介して、前記複数のルールを、前記複数のテナントの各テナントに対する前記導入の必要性に少なくとも部分的に基づいて複数のプレイブックに相関させることをさらに含む、請求項5に記載の方法。
【請求項7】
前記グラフィカルユーザインターフェースが、プレイブックウィジェットを含み、前記少なくとも一つのクライアントアプリケーションを選択することが、前記グラフィカルユーザインターフェースを介した前記プレイブックウィジェットとのユーザ対話にさらに基づき、前記更新アラートを生成することが、少なくとも部分的に、前記少なくとも一つのテナントに関連付けられる前記複数のプレイブックのうちの少なくとも一つのプレイブックに基づく、請求項6に記載の方法。
【請求項8】
前記少なくとも一つのテナントに対する導入の必要性が、ファイアウォール監視プロトコルを含む、請求項6に記載の方法。
【請求項9】
前記生成されたクライアントアプリケーション更新を前記メモリに格納することをさらに含み、前記少なくとも一つのクライアントアプリケーションを更新することが、前記少なくとも一つのテナントを介して、前記生成されたクライアントアプリケーション更新を前記メモリから取得することをさらに含む、請求項5に記載の方法。
【請求項10】
前記メモリが、アーチファクトテンプレートを格納するようにさらに構成され、前記更新アラートを生成することが、前記格納されたアーチファクトテンプレートにさらに基づく、請求項5に記載の方法。
【請求項11】
前記格納されたアーチファクトテンプレートが、書き込み可能なjsonファイルを含む、請求項10に記載の方法。
【請求項12】
前記SIEMステータスに基づいて、新しいルール、新しいワークブック、および新しいプレイブック、またはそれらの組み合わせのうちの少なくとも一つを含む新しいテンプレートを生成することと、前記新しいテンプレートを前記メモリに格納することと、をさらに含む、請求項10に記載の方法。
【請求項13】
前記SIEMステータスが、前記複数のテナントの各テナントに対するいくつかの導入されたクライアントアプリケーション、いくつかの非推奨クライアントアプリケーション、およびいくつかの無効化されたクライアントアプリケーション、またはそれらの組み合わせを含む、請求項1に記載の方法。
【請求項14】
前記複数のテナントが、前記SIEMプロバイダサーバに対して遠隔に位置する、請求項1に記載の方法。
【請求項15】
ネットワークセキュリティを強化するためのシステムであって、複数のクライアントをホストするように構成された複数のテナントと、
前記複数のテナントに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバと、
を備え、
前記SIEMプロバイダサーバは、プロセッサおよびメモリを備え、
前記メモリは、SIEM管理アプリケーションを格納するように構成され、
前記SIEM管理アプリケーションは、前記プロセッサによって実行されると、前記プロセッサに、
前記複数のテナントからSIEMステータスを受信し、
前記SIEMプロバイダサーバに通信可能に結合されたディスプレイ上に図示された前記SIEM管理アプリケーションのグラフィカルユーザインターフェースを介して、前記SIEMステータスを可視化し、
前記グラフィカルユーザインターフェースを介して受信されたユーザ入力に、少なくとも部分的に基づいて前記SIEMステータスをフィルタリングし、
前記グラフィカルユーザインターフェースを介して前記フィルタリングされたSIEMステータスを可視化し、
前記複数のテナントのうちの少なくとも一つのテナントによってホストされる前記複数のクライアントのうちの少なくとも一つのクライアントを、少なくとも部分的に、前記フィルタリングされたSIEMステータスに基づいて、更新することを決定し、
少なくとも部分的に、前記決定に基づいて、更新アラートを生成し、
前記更新アラートを前記少なくとも一つのテナントに送信し、
少なくとも部分的に、前記更新アラートに基づいて、前記少なくとも一つのクライアントアプリケーションを更新させ、
前記少なくとも一つのクライアントを更新することによって、前記少なくとも一つのテナントに対する前記ネットワークセキュリティを強化する、システム。
【請求項16】
前記メモリが、前記複数のテナントの各テナントに対する導入の必要性に関連付けられた複数のルールを格納するようにさらに構成され、前記プロセッサによって実行されると、前記SIEM管理アプリケーションが、前記プロセッサに、少なくとも部分的に、前記少なくとも一つのテナントに関連付けられている前記複数のルールのうちの少なくとも一つに基づいて、前記更新アラートをさらに生成させる、請求項15に記載のシステム。
【請求項17】
前記プロセッサによって実行されると、前記SIEM管理アプリケーションがさらに、前記プロセッサに、前記複数のルールを、前記複数のテナントの各テナントに対する前記導入の必要性に、少なくとも部分的に基づいて、複数のプレイブックに相関させる、請求項16に記載のシステム。
【請求項18】
前記グラフィカルユーザインターフェースが、プレイブックウィジェットを含み、前記少なくとも一つのクライアントの前記決定が、前記グラフィカルユーザインターフェースを介した前記プレイブックウィジェットとのユーザ対話にさらに基づき、前記更新アラートの前記生成が、前記少なくとも一つのテナントに関連付けられている前記複数のプレイブックのうちの少なくとも一つのプレイブックに、少なくとも部分的に基づく、請求項17に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願への相互参照
本出願は、35 U.S.C.§ 119(e)に基づき、2021年6月3日に出願された「DEVICES,SYSTEMS,AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED,AND SYNERGISTIC DEPLOYMENT NEEDS」と題する、米国仮特許出願第63/196,458号の優先権の利益を主張するものであり、開示全体が参照により本明細書に援用される。
本出願は、35 U.S.C.§ 119(e)に基づき、2021年6月3日に出願された「DEVICES,SYSTEMS,AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED,AND SYNERGISTIC DEPLOYMENT NEEDS」と題する、米国仮特許出願第63/196,458号の優先権の利益を主張するものであり、開示全体が参照により本明細書に援用される。
【0002】
本開示は、概してネットワークセキュリティに関連し、より詳細には、セキュリティ情報およびイベント管理(SIEM)クライアント更新を発行するための改善されたデバイス、システム、および方法を対象とする。
【発明の概要】
【0003】
以下の概要は、本明細書に開示される態様に特有の革新的な特徴の一部の理解を容易にするために提供されており、完全な説明を意図するものではない。様々な態様の完全な理解は、明細書、特許請求の範囲、および要約全体を取ることによって得ることができる。
【0004】
様々な態様では、複数のクライアントアプリケーションをホストするように構成された複数のテナントにわたってネットワークセキュリティを強化するための方法が開示されている。方法は、複数のテナントに通信可能に結合されたSIEMプロバイダサーバによってホストされるSIEM管理アプリケーションを提供することと、複数のテナントからSIEMステータスを受信することと、SIEMステータスを可視化することと、グラフィカルユーザインターフェースを介して受信されたユーザ入力に基づいて、SIEMステータスをフィルタリングすることと、フィルタリングされたSIEM状態を可視化することと、グラフィカルユーザインターフェースを介して、複数のテナントのうちの少なくとも一つのテナントによってホストされる複数のクライアントアプリケーションのうちの少なくとも一つのクライアントアプリケーションを選択して、フィルタリングされたSIEMステータスに基づいて更新することと、選択に基づいて、クライアントアプリケーションの更新および更新アラートを生成することと、更新アラートを少なくとも一つのテナントに送信することと、更新アラートに基づいて少なくとも一つのクライアントアプリケーションを更新することと、を含む。
【0005】
様々な態様では、ネットワークセキュリティを強化するためのシステムが開示されている。システムは、複数のクライアントをホストするように構成された複数のテナントと、複数のテナントに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、SIEMプロバイダサーバがプロセッサおよびメモリを含み、メモリが、プロセッサによって実行されたとき、プロセッサに、複数のテナントからSIEMステータスを受信し、SIEMプロバイダサーバに通信可能に結合されたディスプレイ上に図示されたSIEM管理アプリケーションのグラフィカルユーザインターフェースを介して、SIEMステータスを可視化し、少なくとも部分的に、グラフィカルユーザインターフェースを介して受信されたユーザ入力に基づいてSIEMステータスをフィルタリングし、グラフィカルユーザインターフェースを介してフィルタリングされたSIEMステータスを可視化し、複数のテナントのうちの少なくとも一つのテナントによってホストされる複数のクライアントのうちの少なくとも一つのクライアントを決定して、少なくとも部分的に、フィルタリングされたSIEMステータスに基づいて更新し、更新アラートを、少なくとも部分的に、決定に基づいて生成し、更新アラートを少なくとも一つのテナントに送信し、少なくとも一つのクライアントアプリケーションを少なくとも部分的に、更新アラートに基づいて更新するようにさせるSIEM管理アプリケーションを格納するように構成され、少なくとも一つのクライアントを更新すると、少なくとも一つのテナントに対するネットワークセキュリティが強化される、SIEMプロバイダサーバとを含むことができる。
【0006】
これらとその他の物体、機能、および本発明の特性ならびに操作方法、関連する構造要素の機能、部品の組み合わせ、製造の経済は、以下の記述、および添付の図面を参照する添付の特許請求の範囲を考慮すると、より明らかになり、それらすべては本明細書の一部を形成し、同様の参照符号は、様々な図において対応する部品を示す。しかしながら、図面は例示および説明のみを目的としており、本発明の限界の定義として意図されていないことが明示的に理解されるべきである。
【図面の簡単な説明】
【0007】
本明細書に記載される態様の様々な特徴が、添付の特許請求の範囲に詳細に記載されている。しかしながら、組織および運用方法の両方に関する様々な態様、ならびにその利点は、以下の通り添付図面と共に以下の説明に従って理解され得る。
【0008】
【0009】
【0010】
【0011】
【0012】
【0013】
【0014】
【0015】
【0016】
【0017】
【0018】
【0019】
【0020】
対応する参照符号は、いくつかの図全体にわたり対応する部品を示す。本明細書に記載する実施例は、本発明の様々な態様を一つの形態で例示するものであり、こうした実施例は、任意の方法で本発明の範囲を限定するものとして解釈されるべきではない。
【発明を実施するための形態】
【0021】
本願の出願人は、以下の米国仮特許出願を所有し、その各開示は参照によりその全体が本明細書に組み込まれる。
-2021年6月4日に出願された、DEVICES,SYSTEMS,AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、米国仮特許出願第63/196,991号、
-2021年12月29日に出願された、 DEVICES,SYSTEMS,AND METHODS FOR PROVISIONING AND UPDATING SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、米国仮特許出願第63/294,570号、
-2021年12月30日に出願された、DEVICES,SYSTEMS,AND METHODS FOR STREAMLINING AND STANDARDIZING THE INGEST OF SECURITY DATA ACROSS MULTIPLE TENANTSと題する、米国仮特許出願第63/295,150号、
-2022年1月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR REMOTELY MANAGING ANOTHER ORGANIZATION’S SECURITY ORCHESTRATION,AUTOMATION,AND RESPONSEと題する、米国仮特許出願第63/302,828号、
-2022年2月24日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTION BASED ON DOMAIN REDIRECTSと題する、、米国仮特許出願第63/313,422号、
-2022年5月12日に出願された、DEVICES,SYSTEMS,AND METHODS FOR SUMMARIZING ANALYTIC OBSERVATIONSと題する、米国仮特許出願第63/341,264号、
-2022年5月20日に出願された、DEVICES,SYSTEMS,AND METHODS FOR INGESTING & ENRICHING SECURITY INFORMATION TO AUTONOMOUSLY SECURE A PLURALITY OF TENANT NETWORKSと題する、米国仮特許出願第63/344,305号、および
-2022年5月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON A DEMOCRATIC MATCHING ALGORITHM米国仮特許出願第63/345,679号。
-2021年6月4日に出願された、DEVICES,SYSTEMS,AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、米国仮特許出願第63/196,991号、
-2021年12月29日に出願された、 DEVICES,SYSTEMS,AND METHODS FOR PROVISIONING AND UPDATING SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、米国仮特許出願第63/294,570号、
-2021年12月30日に出願された、DEVICES,SYSTEMS,AND METHODS FOR STREAMLINING AND STANDARDIZING THE INGEST OF SECURITY DATA ACROSS MULTIPLE TENANTSと題する、米国仮特許出願第63/295,150号、
-2022年1月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR REMOTELY MANAGING ANOTHER ORGANIZATION’S SECURITY ORCHESTRATION,AUTOMATION,AND RESPONSEと題する、米国仮特許出願第63/302,828号、
-2022年2月24日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTION BASED ON DOMAIN REDIRECTSと題する、、米国仮特許出願第63/313,422号、
-2022年5月12日に出願された、DEVICES,SYSTEMS,AND METHODS FOR SUMMARIZING ANALYTIC OBSERVATIONSと題する、米国仮特許出願第63/341,264号、
-2022年5月20日に出願された、DEVICES,SYSTEMS,AND METHODS FOR INGESTING & ENRICHING SECURITY INFORMATION TO AUTONOMOUSLY SECURE A PLURALITY OF TENANT NETWORKSと題する、米国仮特許出願第63/344,305号、および
-2022年5月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON A DEMOCRATIC MATCHING ALGORITHM米国仮特許出願第63/345,679号。
【0022】
多数の具体的な詳細が、本開示に記載され、添付図面に図示される態様の全体的な構造、機能、製造、および使用についての完全な理解を提供するために記載される。周知の動作、構成要素、および要素は、本明細書に記述される態様を不明瞭にしないように、詳細に説明されていない。読み手は、本明細書に説明および図示される態様が非限定的な態様であることを理解するであろう。したがって、本明細書に開示される特定の構造および機能の詳細は、代表的および例示的であり得ることが理解されよう。特許請求の範囲から逸脱することなく、変更および変更を行うことができる。さらに、そのような用語は、「前方」、「後方」、「左」、「右」、「上方」、「下方」、および類似の用語は、利便性の用語であり、限定用語として解釈されるべきではないことが理解されるべきである。
【0023】
以下の説明では、同様の参照符号は、図面のいくつかの図を通して同様の部品または対応する部品を示す。また、以下の説明では、そのような用語は、「前方」、「後方」、「左」、「右」、「上方」、「下方」などは、利便性の用語であり、限定用語として解釈されるべきではないことが理解されるべきである。
【0024】
本明細書に開示するシステムの様々な態様および方法を詳細に説明する前に、例示的態様は、添付図面および説明に開示する詳細への適用または使用に限定されないことに留意されたい。当然のことながら、例示的な態様は、他の態様、変形、および修正において実装または組み込まれてもよく、様々な方法で実践または実施されてもよい。さらに、別段の示唆が無い限り、本明細書で使用される用語および表現は、読者の利便性のために例示的な態様を説明する目的で選択されており、その限定を目的としていない。例えば、本明細書に開示する特定の製造業者、ソフトウェアスイート、アプリケーション、または開発プラットフォームへの任意の参照は、本開示の多くの態様のいくつかを例示することを単に意図するに過ぎないことが理解されよう。これには、商標に関するあらゆる参照が含まれる。したがって、本明細書に開示されるデバイス、システム、および方法は、任意の使用目的および/またはユーザの好みに従って、任意のソフトウェア更新を強化するために実装できることが理解されるべきである。
【0025】
本明細書で使用される場合、用語「サーバ」は、インターネットまたは任意のパブリックネットワークもしくはプライベートネットワークなどのネットワーク環境で、複数の当事者のために通信および処理によって操作されるか、または促進される、一つ以上のコンピューティングデバイスを指すか、またはそれを含み得る。本明細書で使用される場合、「サーバ」または「プロセッサ」への言及は、以前のステップまたは機能、異なるサーバ、および/またはプロセッサ、および/またはサーバの組み合わせ、および/またはプロセッサの組み合わせを実行すると列挙される、以前に列挙されたサーバおよび/またはプロセッサを指し得る。
【0026】
本明細書で使用される場合、用語「定数」は、アラートの発行中に変化しない一つ以上のSIEM関数を指し得る。例えば、定数には、特にAzure Sentinel Log Analytics関数を含めることができる。一部の非限定的な態様によれば、定数は、個々のクライアントの好みおよび/または要件に従って、具体的に構成され得る。例えば、本明細書で説明したように、アラートルールは、すべてのクライアントの導入に対して同じであってもよい。しかしながら、本明細書に開示する装置の使用、システム、および方法は、クライアント固有の定数を使用して、各特定のクライアントに対するアラートの管理方法を「微調整」することができる。言い換えれば、各定数は、特定のプロトコル、アカウントなどのアラートルールがそれらの定数を別々に管理する(例えば、それらをスキップする)ホワイトリストを含んでもよい。
【0027】
本明細書で使用される場合、用語「プラットフォーム」は、ソフトウェアおよび/またはソフトウェアによって提供される技術的利益を可能にするために必要な物理的資源のエコシステムを含むものとする。例えば、プラットフォームは、スタンドアローンのソフトウェア製品、またはソフトウェアがその技術的利益を提供するために必要なエコシステム内の他のソフトウェアまたは物理リソースと統合するように構成されたソフトウェア製品のいずれかを含み得る。一部の非限定的な態様によれば、ソフトウェアによって提供される技術的利益は、エコシステムの物理的リソース、またはエコシステム内の物理的リソース(例えば、API、サービスなど)によって採用される他のソフトウェアに提供される。他の非限定的な態様によれば、プラットフォームは、共に機能するように意図され、かつ設計されたいくつかのソフトウェアアプリケーションのフレームワークを含み得る。
【0028】
本明細書で使用される場合、用語「ネットワーク」は、テナントが導入する企業情報技術(IT)システム全体を含むものとする。例えば、ネットワークは、任意の物理的および/または無線接続によって接続され、他の一つ以上のノードと情報を通信および共有するよう構成される、二つ以上のノード(例えば、デバイス)のグループを含み得る。ただし、ネットワークという用語は、任意の特定のノード、またはそれらのノードを接続する任意の特定の手段に限定されるものではない。ネットワークは、イーサネット、イントラネット、および/またはエクストラネットに接続し、各デバイスの物理的な場所に関係なく、アドホック接続(例えば、Bluetooth(登録商標)、近距離無線通信(NFC)など)、ローカルエリア接続(LAN)、無線ローカルエリアネットワーク(WLAN)、および/または仮想プライベートネットワーク(VPN)を介して互いに通信するよう構成されたデバイス(例えば、サーバ、デスクトップコンピュータ、ラップトップコンピュータ、パーソナルデジタルアシスタント、携帯電話、ウェアラブル、スマート家電、など)の任意の組み合わせを含むことができる。ネットワークには、デバイスによって配備されるか、またはファイアウォール、電子メールクライアント、文書管理システム、オフィスシステムなどの企業ITシステムによって利用される、任意のツール、アプリケーション、および/またはサービスがさらに含まれ得る。一部の非限定的な態様では、「ネットワーク」は、第三者によって所有および制御されているが、テナントが企業ITシステムにアクセスすることを承認されている、第三者デバイス、アプリケーション、および/またはサービスを含む場合がある。
【0029】
セキュリティ情報およびイベント管理(SIEM)には、情報技術(IT)インフラ全体にわたり、多くの異なるリソースからの活動を集約および分析するように構成されたソフトウェアが含まれる。例えば、SIEMを実装して、複数のシステムからデータ(例えば、ログデータ、イベントデータ、脅威インテリジェンスデータなど)を集約し、そのデータを分析して、異常な行動または潜在的なサイバー攻撃を捕捉することができる。例えば、SIEMは、ネットワークデバイス、サーバ、ドメインコントローラなどからセキュリティデータを収集し得る。SIEMを実装して、そのデータを格納、正規化、集約、および分析を適用し、トレンドを検出し、脅威を検知し、組織が任意のアラートを調査できるようにし得る。既知のSIEMツールは、イベントの監視、データの収集、ネットワーク全体のセキュリティアラートの発行など、優れた機能を提供するが、このようなツールは、通常、実装する組織、すなわち、より具体的には、多くの場合は複雑であり得る特定のネットワークアーキテクチャに合わせてカスタマイズされる。さらに、既存のSIEMドメインでは、複数の顧客にわたってイベントを管理および関連付けることはできない。したがって、SIEMは高価で、リソース集約的であり得、多くの場合、SIEMデータを用いて問題を解決することは困難であり得る。
【0030】
SIEMの一例は、広く使用されているクラウドベースのツールであるAzure Sentinelである。しかし、Azure Sentinelの導入には高度なスキルが必要であり、同時に非常に時間がかかるため、エラーが発生しやすい可能性がある。セキュリティソリューションを必要とする各組織には、取り込みログソース、検出/アラートルール、応答の自動化、レポートなど監視およびアラートに関する特別なニーズがある。マイクロソフト(MSFT)は多くの場合、複数のクライアントを管理するためにセキュリティサービスプロバイダ(MSSP)によって使用されるが、アーチファクトの初期構成、導入、および継続的なメンテナンス(例えば、アラートルール、ワークブック、プレイブックなど)の複雑さは大幅に増大している。さらに、ほとんどのクラウドベースの製品は、製造業者によって決められる様々な変更を受け、これは同時にすべての顧客に影響を与える可能性がある。これらの変更は、故障修理または新機能/機能拡張である可能性がある。
【0031】
これにより、より高価なスペシャリストを雇用しなければならないMSSPと、増加している経費の少なくとも一部を負担することが多いクライアントの両方にとって、高いコストが生じる可能性がある。ただし、多くの場合、さまざまなクライアントの一部の導入ニーズの間に重複がある。例えば、多くの組織が同様のファイアウォール監視ソリューションを必要としている可能性がある。こうした場合、資産の再利用および再導入(および更新)は、大幅なコスト削減および運用の簡素化につながる可能性がある。残念ながら、既知のSIEMツールは、こうした相乗効果を利用することは技術的には不可能である。そのため、初回のプロビジョニングからインシデント対応の自動化に至るまで、MSSPには、複数のクライアント間で効率を捕捉するための再利用の機会が限定されている。したがって、SIEMクライアントの更新を実装および発行するための改善されたデバイス、システム、および方法に対するニーズがある。こうした機能強化により、検出ルール、可視化、調査ワークブック、継続的なメンテナンスの導入を含む、SIEMの技術性能とコスト効率が改善され得る。さらに、このような強化は、製造業者主導の変更の採用に対応し、その採用を加速することができ、複数の顧客にわたってこのような変更を同時に導入するのを支援することができる。
【0032】
本開示は、こうしたデバイス、システム、および方法を想定しており、それらすべては、従来のMSSPおよびSIEMプラットフォームよりも多くの技術的利益を提供する。例えば、従来のMSSPデバイス、システム、および方法は、SIEMサービスを数百(数千ではないにしても)のテナントネットワークに提供できるように、MSSPプラットフォームをシームレスに拡張するために必要な自動化、アーチファクト、およびインターフェースを欠いている。むしろ、従来のMSSPデバイス、システム、および方法は、手動による統合と管理を必要とし、すなわち、それらは効率が悪く、より高価である。さらに、従来のMSSPデバイス、システム、および方法は、各テナントネットワークが、MSSPによって採用される手動リソースを共有する必要があり、各テナントネットワークの安全性を低下させる。対照的に、本明細書に開示されるデバイス、システム、および方法は高度に自動化されており、したがって、MSSPがテナントのネットワークおよびクライアントをリアルタイムで連続的に監視できるように構成されている。従来のMSSPデバイス、システム、および方法は、このような自動化を技術的に実行できないだけでなく、MSSPが手動で、数千ではなく数百ものテナントネットワークをリアルタイムで監視することは、不可能ではないとしても、非常に現実的ではない。本明細書に開示されるデバイス、システム、および方法は、適応可能であるように技術的にも構成されている。拡張性の高さと併せて、この適応性により、およびMSSPは、大量のテナント導入全体にわたり変更を追跡し、それらの変更に対する応答を監視し、同様に利益を得ることができる任意の適切なテナント導入に対して自律的に実装することができる。言い換えれば、従来的なMSSPの装置、システム、および方法は、本質的にセキュリティイベントの影響を受けやすく、したがって、本明細書に開示される装置、システム、および方法よりも技術的に安全ではない。
【0033】
例えば、本開示は、Azure Sentinel実装などのクラウドベースのSIEM実装を大規模に、繰り返し、かつ一貫して導入するために、例えば、(1)様々なアーチファクト(アラートルール、プレイブック、ワークブックなど)のカタログ、(2)所望のアーチファクトを選択し、クライアントの目標Sentinel環境にワンクリックで導入する能力、(3)何が導入されるか、何が旧式のものか(例えば、アラートルールにはより新しいバージョンがある)といった、すべてのクライアント導入を可視化する能力、および違いを可視化し、望む最新の更新を迅速に導入する能力、(4)複数の顧客を同時に一括で変更できる能力を含む、クライアント導入の単純な管理を可能にする、単純な視覚的な統合環境を提供する。このような視覚的な統合環境は、特定のSIEM実装に応じて異なる機能を提供することができる。例えば、SIEM実装が、例えば、スプランクなどの製品である非限定的な態様によれば、視覚的な統合環境を使用して、他のスプランク機能の中でも特に、分析改善のために、取り込まれたデータを異なるスキームに適応させるように構成された、様々な相関、ダッシュボード、ルックアップ、アプリ、および/または技術アドオンを統合および管理することができる。SIEM実装がSentinelなどの製品である非限定的態様によれば、視覚的な統合環境を使用して、他のSentinel機能の中でも特に、さまざまなパーサーを統合および管理することができる。当然のことながら、スプランクおよびSentinelは、例示の目的でのみ提供され、本明細書に開示されるデバイス、システム、および方法は、いかなるSIEM実装とも連携して、ネットワークセキュリティをより効率的にかつ大規模に強化するために実装することができる。
【0034】
ここで図1を参照すると、本開示の少なくとも一つの非限定的態様に従って、SIEM更新を強化するように構成されたシステム1000の図が示されている。図1の非限定的な態様によれば、システム1000は、図2を参照してさらに論じられるように、SIEM管理アプリケーション102を格納するように構成されたメモリ1006及び格納されたSIEM管理アプリケーション102を実行するように構成されたプロセッサ1004を備えるSIEMプロバイダサーバ1002を含み得る。例えば、SIEMプロバイダサーバ1002は、MSSPによって所有またはリースされる計算リソースであってもよい。SIEMプロバイダサーバ1002は、ネットワーク1008を介して、複数のテナント1010a、1010b~1010nに通信可能に結合することができる。複数の各テナント10101、10102~1010nは、MSSPと契約している顧客(例えば、組織)を表すことができる。図1の非限定的な態様によれば、ネットワーク1008は、任意の様々な有線、長距離無線、および/または短距離無線ネットワークを含み得る。例えば、ネットワーク1008は、内部ネットワーク、ローカルエリアネットワーク(LAN)、WiFi(登録商標)、セルラーネットワーク、近距離無線通信(以下、NFC)などを含む。
【0035】
さらに図1を参照すると、複数の各テナント10101、10102~1010nは、一つ以上のクライアント1012、1014、1016の一つ以上のインスタンスをホストすることができる。例えば、第一のテナント10101は、一つ以上のクライアントアプリケーション10121、10122~1012nを実装する一つ以上の機械を含んでもよく、第二のテナント10102は、一つ以上のクライアントアプリケーション10141、10142~1014nを実装する一つ以上の機械を含んでもよく、および/または第三のテナント1010nは、一つ以上のクライアントアプリケーション10161、10162~1016nを実装する一つ以上の機械を含んでもよい。各テナント10101、10102、および1010nは、クライアントアプリケーションを実装する各機械によってイントラネットを含むことができる。例えば、各テナント10101、10102、および1010nはそれぞれ、セキュリティサービスのためにMSSPと契約している組織などの顧客を表すことができる。したがって、SIEMプロバイダサーバ1002は、複数の各テナント10101、10102、および1010nの監視を有するように構成することができ、それゆえ、脅威に対して各クライアントアプリケーション1012、1014、および1016を監視し、管理する責任を負う。前述したように、テナント10101、10102、および1010nアーキテクチャにおける差異および複雑さは、これを複雑にし、MSSPにとって非効率にする可能性がある。したがって、既知のSIEMツールは、テナント10101、10102、および1010nを攻撃に対して技術的に晒された、従って、脆弱なままにし得る。本開示の非限定的な態様によれば、SIEMプロバイダサーバ1002は、相関性および相乗的な開発ニーズに基づいて複数のテナントに対するSIEMプロバイダサーバ1002の管理能力およびアラートの送信能力、ならびにクライアントアプリケーションの更新能力を強化することによって、技術的に、および実践的にこれらの欠陥に対処するSIEM管理アプリケーション102を実装できる。
【0036】
ここで図2を参照すると、本開示の少なくとも一つの非限定的態様に従って、SIEM管理アプリケーション102、すなわち、可視化ツールを含む、図1のシステム100の導入図が示されている。一部の非限定的な態様によれば、図2のシステム100は、例えば、(1)様々なアーチファクト(例えば、アラートルール、プレイブック、ワークブック、など)のカタログ、(2)所望のアーチファクトを選択する能力およびクライアントの目標Sentinel環境へのワンクリック導入、(3)何が導入されるか、何が旧式のものか(例えば、アラートルールにはより新しいバージョンがある)といったすべてのクライアント導入を可視化する能力、、および違いを可視化し、望む最新の更新プログラムを迅速に導入する能力を含む、クライアント導入の管理を可能にする視覚的な統合環境を提供することができる。
【0037】
視覚ツール/システム100は、セキュリティ情報管理およびセキュリティイベント管理を組み合わせたコンピュータセキュリティシステムソフトウェア製品およびサービスであり、アプリケーションおよびネットワークハードウェアによって生成されるセキュリティアラートのリアルタイム分析を提供する。システム100は、例えば、先に論じたように、一つ以上のテナント10101、10102、1010n(図1を参照されたい)によってホストされ得る一つまたは二つ以上のクライアントアプリケーション104と通信するSIEMプロバイダサーバ1002(図1を参照されたい)上で実行されるSIEM管理アプリケーション102を含んでもよい。例えば、一つの非限定的な態様によれば、クライアントアプリケーション104は、SIEMアプリケーション110のソフトウェア構成、および複数のアラートルールならびに一つ以上の自動化プレイブック116に関連付けられた定数112を表示および/または導入するための管理、ダッシュボード用のワークブック114の導入、監視、および更新、定数を介したアラートの微調整の管理、およびインシデント118を含むことができる。さらに、例えば、一つまたは二つ以上のSIEMアプリケーション110の導入、ならびに他のベンダーによって提供されるSIEM実装にわたって、検出し、差異を視覚化し、旧式のアラートルール112を更新するためのメカニズム。SIEM管理アプリケーション102は、セキュリティエンジニア/アナリスト106によって監視され得る。一態様では、SIEMアプリケーション110は、例えば、他のSIEMアプリケーションを使用する可能性を排除することなく、Azure Sentinelソフトウェアアプリケーションである。
【0038】
一つまたは二つ以上のクライアントアプリケーション104は、コネクタ120を介して、様々なクラウド128、ファイアウォール130、およびサーバ132とインターフェース接続する。1人または2人以上のセキュリティエンジニア/アナリスト/コンテンツエンジニア138がクライアントアプリケーション104とインターフェースして、アセットを作成/編集する。各コミットは、導入可能なアーチファクトテンプレートを含むコンテンツリポジトリ140(GitHub/GitLabなど)などのアプリケーションサーバにプッシュされる。当業者であれば、GitHubを、基本的なコードリポジトリ、問題追跡、文書、およびWikiとして使用することができることを理解するであろう。GitHubと同様に、GitLabは、チームにコード上で協働させるリポジトリマネージャであり、問題追跡やプロジェクト管理にGitHubと同様の機能を提供できる。
【0039】
一つの非限定的な態様によれば、コンテンツリポジトリ140は、アラートルール、ワークブック、プレイブックなどを定義するための「json」ファイルを含み得る。新しいコンテンツが追加または更新されると、変更は自動的にSIEM管理アプリケーション102にプッシュされる。一態様では、SIEM管理アプリケーション102は、例えば、Azure Sentinel オートメーションポータル(ASAP)として構成されてもよい。一態様では、ASAPポータルランタイムソフトウェアコードには、コンテンツリポジトリ140からのコンテンツの処理、SIEMアプリケーション110への接続、およびその他のサービス、ならびにSIEMアプリケーション110との間のコンテンツの導入、更新、読み取りのためのクライアントアプリケーション104に対するサービスリクエストを担当する、サーバーミドルウェアを含めることができる。一態様では、クライアントアプリケーション104は、すべてのクライアント導入の統一された、簡略化されたビューを提供し、同時に一つまたは複数のクライアント104と作業する能力を提供する。
【0040】
SIEM管理アプリケーション102によって、セキュリティアナリスト106は、導入されているすべてを見るだけでなく、単一のクライアント104で単一のアーチファクト、または複数のアーチファクトを、複数のクライアント104にわたって、単純な対話で更新することができる。
【0041】
この機能によって、MSSPは、最小限のスタッフと要求される最小限のスキルで、数百、数千のクライアント104に拡張することができる。新しいマルウェアの存在を検証する新しいアラートルール112などの製作されたまたは更新されたコンテンツを、すべてのクライアント102に直ちにプッシュすることができる。さらに、一態様では、これらの操作の多くは、「コンテンツ上の変更」を含めて、スケジュール通りに自動化することができる。例えば、コンテンツリポジトリ内でアーチファクト(例えば、アラートルール、ワークブックなど)が更新された瞬間に、その変更によって、該当するすべてのテナントまたはクライアント(例えば、更新されたアーチファクトが導入および/または構成されているテナント)に自動的にプッシュするように構成されたウェブフックが自動的にトリガーされ得る。同様に、更新されているだけでなく、新しいアーチファクトも、適切なすべてのテナントまたはクライアントに対して自動的にプッシュ(および構成)され得る。例えば、いくつかのテナントネットワークまたはクライアントで以前にいくつかのアラートルールが構成されて、Office 365のアクティビティログにおける異常な挙動が検出され、その後、新しいアラートルールがOffice 365のログに適用されるコンテンツリポジトリ内に作成された場合、SIEM管理アプリケーション102は、クライアントのOffice 365環境に適した検出のリストを補足するに過ぎないため、関連するすべてのテナントまたはクライアントに自動的に導入できる。
【0042】
一態様では、SIEM管理アプリケーション102は、すべての変更、例えば、コンテンツリポジトリ140で導入されたに対する新しいものまたは更新されたものを、各クライアント104のSIEMアプリケーション110に対して示し、変更がどのようなものであったかを評価し、変更、更新または新しいアーチファクトを非常に迅速にプッシュすることができる。
【0043】
さらに、一態様では、様々な導入を実施するユーザインターフェース(UI)コマンドも、スクリプトとして捕捉され、検証のためにクライアントの104リポジトリにチェックインされ、後で自動更新されてもよい。
【0044】
一態様では、ホスト型クラウドSIEM管理アプリケーション102は、「ワンクリック自動化」を提供する。例えば、SIEM管理アプリケーション102は、アラートルール112、定数、パーサー、データコネクタ120、プレイブック116、ワークブック114などを含む、SIEMアプリケーション110の作成、構成、および実装の自動化を提供する。一態様では、SIEM管理アプリケーション102はまた、すべてのクライアント104にわたる導入の管理を提供する。SIEM管理アプリケーション102は、クライアント104のすべての導入、何を、ならびにどこで、任意の数のクライアント104にわたって既存のアラート112、プレイブック116などを更新して、新しく追加されたアラートルール112およびその他の資産を導入するかの可視性を提供する。
【0045】
SIEM管理アプリケーション102は、REST API、アラート112、プレイブック116などのワンクリック自動化134を可能にする。当業者であれば、REST API、またはRESTful APIとしても知られるものは、RESTアーキテクチャスタイルの制約に適合し、RESTfulウェブサービスとの対話を可能にする、アプリケーションプログラミングインターフェース(APIまたはウェブAPI)であることを理解するであろう。API(アプリケーションプログラミングインターフェース)は、アプリケーションソフトウェアを構築および統合するための定義およびプロトコルのセットである。SIEM管理アプリケーション102は、例えば、Azure Postgres SQLデータベースなどのフレキシブルサーバーリレーショナルクラウドデータベース146サービスへの、REST API、アラート112、プレイブック116などのリアルタイムのデータ統合を提供する。SIEM管理アプリケーション102は、リソースプロバイダおよびノーマライザ136とインターフェース接続する。リソースプロバイダ、およびノーマライザ136は、ログ分析ワークスペース142、Microsoft Graph、およびMicrosoftresource manager144とインターフェース接続する。このシステム100は、Microsoft Azureを含み、ミッションクリティカルなクラウドであるAzure Government 152は、米国政府の顧客、および米国政府、州政府、地方自治体、部族政府、およびそれらのパートナーのみがアクセスできる画期的なイノベーションを、スクリーニングされた米国市民が管理する運営で提供する。Microsoft Azure、およびAzure Government 152は、ノード150にインターフェース接続する。React 148は、アカウント108に対話型UIを提供する。さらに図2を参照すると、一態様では、SIEM管理アプリケーション102は、すべての導入およびステータスにわたるクイックビュー、ならびに所定のアラートが導入される場所およびその状態を直接操作する能力を提供する。
【0046】
ここで図3を参照すると、図2のSIEM管理アプリケーション102のグラフィカルユーザインターフェース200は、本開示の少なくとも一つの非限定的態様に従って図示される。図3の非限定的な態様によれば、エンジニア/アナリスト106が、SIEM管理アプリケーション102からMy Sentinel 202、Current Sentinel 204、Bundles 206、およびAlerts 208のさまざまな導入ビューおよびステータスを選択するときに、グラフィカルユーザインターフェース200を表示できる。図3に示すクイックビュー画面200を表示するために、エンジニア/アナリスト106は、画面200の左側にあるMy Sentinel 202メニューから「テナント別(by tenant)」ボタン210を選択して、テナント別に情報を表示する。さらに、グラフィカルユーザインターフェース200は、ガイド付き導入を提供することができる。例えば、グラフィカルユーザインターフェース200は、SIEM実装(例えば、Sentinel、スプランクなど)のためにどのようなログソース(例えば、データコネクタ、ソースタイプなど)が構成されているかを検出し、図12を参照してより詳細に説明されるように、これらのログから取り込まれたデータを分析するために利用可能な特定のアラートルールおよび/または相関を示すことができる。
【0047】
My Sentinel 202 メニューでは、「テナント別」210(図3を参照されたい)、「アラート別(by alert)」212(図4~5を参照されたい)、または「コネクタ別(by connectors)」214(図6を参照されたい)ボタンを選択することで、他の表示画面も有効にできる。現在のSentinel 204メニューから図3に戻って参照すると、エンジニア/アナリスト106は、導入ビュー、およびアラート別216ステータス(図7を参照されたい)、データコネクタ218(図10を参照されたい)、プレイブック220、依存性222(図9を参照されたい)、MITRE 224(図8を参照されたい)、およびダッシュボード226によるステータスを選択し得る。さらに、My Sentinel 202メニューは、アーチファクト導入の目標位置に関連付けられた様々な識別子(例えば、テナント識別子、サブスクリプション識別子、リソースグループ識別子、ワークスペース識別子など)の位置を特定、コピー、および/または貼り付ける必要があるユーザを解放することができる。My Sentinel 202 および/またはメニューとユーザインターフェースのその他の態様では、ユーザに代わって正しい識別子が自動的に移植される。
【0048】
図3を再び参照すると、グラフィカルユーザインターフェース200または「クイックビュー」画面は、画面200の左側にあるMy Sentinel 202メニューから「テナント別」ボタン210を選択することによって表示される。「テナント別」210のクイックビュー画面200は、例えば、第一のテナント228、Big Tech、第二のテナント230、Big Software、および第三のテナント232、Big Info Techなどのテナントに関する情報を表示する。これらの例のテナント228、230、232のそれぞれについて、クイックビュー画面200は、システム100に結合された各ネットワークに関する情報を含むテキストボックス、例えば、導入された資産数、非推奨の資産数、自動無効化された資産数、および更新を必要とする資産数などを表示する。本開示は、簡潔性、および開示の明瞭性のためのセンチネルSIEMを指すが、本開示の範囲は、この文脈内に限定されず、任意の適切なSIEMを使用してもよい。
【0049】
一例として、第一のテナント228については、テキストボックス234は、ネットワークが77の導入されたSIEMを含むことを示す。第二のテナント230については、各ネットワーク236、238、240、242、244、246、248、250のテキストボックスは、導入された、非推奨の、無効化された、更新を必要とするSIEMの数を示す。示されるように、同様のテキストボックス252は、第三のテナント232について表示される。当然のことながら、クイックビュー200は、任意の数のテナントおよび関連するテキストボックスを表示するように拡大縮小して、様々なネットワークの一つの各クライアントを実行するSIEMアプリケーションの導入、非推奨、無効化、および更新ステータスを示すことができる。
【0050】
ここで図4を参照すると、図2のSIEM管理アプリケーション102の別のグラフィカルユーザインターフェース300が、本開示の少なくとも一つの非限定的態様に従って示されている。図4の非限定的な態様によれば、グラフィカルユーザインターフェース300は、My Sentinel 202メニューから「アラート別」ボタン212を選択することによって表示することができる。画面300は、所定のアラートが展開される場所とその状態を表示する。アラートルールのリスト302が、メニューの左側にメニュー部分の右に向かって表示される。アラートルールが導入される場所を見るために、エンジニア/アナリスト106は、リスト302からアラートルール304を選択し、選択されたアラートルール304の詳細ビュー304’が画面300の右側に表示される。詳細ビュー304’は、特定のテナント306、ワークスペース308に関する情報を表示し、ここで、アラートルール304は、導入された310、有効な312、および同期314ステータスである。
【0051】
ここで図5を参照すると、図2のSIEM管理アプリケーション102の別のグラフィカルユーザインターフェース350が、本開示の少なくとも一つの非限定的態様に従って示されている。図5の非限定的な態様によれば、グラフィカルユーザインターフェース350は、選択されたアラートルール304がまだ導入されていない場所で表示されて、複数のクライアントに新しいアラートの展開を可能にすることができる。一つ以上のクライアントワークスペース318、320は、選択されたルールのアラートルール304を導入できる場所で選択することができる。画面350の右側にある新しい画面316は、選択されたクライアントワークスペース318、320を示し、ここで、アラートルール304はまだ導入されておらず、アラートルール304をプレイブック322で、またはプレイブック324なしで導入するためのオプションを提供する。
【0052】
ここで図6を参照すると、図2のSIEM管理アプリケーション102の別のグラフィカルユーザインターフェース400が、本開示の少なくとも一つの非限定的態様に従って示されている。図6の非限定的な態様によれば、グラフィカルユーザインターフェース400は、My Sentinel 202メニューから「コネクタ別」ボタン214を選択することによって表示することができる。画面400は、データコネクタ402のリストを画面400の左側に表示する。画面400によって、エンジニア/アナリスト106は、一つ以上のクライアントで、データコネクタ402(すなわち、ログソースに対して)に関連付けられているすべてのアラートを更新することができる。また、画面400は、各クライアントでどのアラートが旧式になっているかも可視化する。したがって、エンジニア/アナリスト106は、画面400の左側からデータコネクタ404を選択して、選択されたデータコネクタ404のアラートルールの旧バージョンがあるすべての場所を表示できる。エンジニア/アナリスト106は、アラートルールが同期外408である、一つまたは二つ以上のクライアントワークスペース406を選択してもよく、それらの最新バージョンに更新することができる。同期ボタン410は、選択されたデータコネクタ404のアラートルールを更新するために選択される。
【0053】
ここで図7を参照すると、図2のSIEM管理アプリケーション102の別のグラフィカルユーザインターフェース500が、本開示の少なくとも一つの非限定的態様に従って示されている。図7の非限定的な態様によれば、グラフィカルユーザインターフェース500は、現在のSentinel 204リストからアラートボタン216を選択することによって表示することができる。特定のクライアント(すなわち、特定のセンチネルワークスペース)と作業する場合、エンジニア/アナリスト106は、導入ボタン502およびすべてのラジオボタン504を選択して、すべての導入されたアラートルール、および特定のアラートルールの拡張された詳細を観察できる。導入されたルールおよびアラートは、名称506、カテゴリ508、同期ステータス510、有効ステータス512、およびプレイブック514で識別される。
【0054】
ここで図8を参照すると、図2のSIEM管理アプリケーション102の別のグラフィカルユーザインターフェース600が、本開示の少なくとも一つの非限定的態様に従って示されている。図8の非限定的な態様によれば、グラフィカルユーザインターフェース600は、現在のSentinel 204リストからMITREボタン224を選択することによって表示することができる。MITRE画面600は、アラートをMITRE ATT&CKフレームワークにマッピングし、カバレッジなどを可視化するMITRE値を示す。図7に示す例では、MITRE ATT&CKのカバレッジは21.3%である。言い換えれば、SIEM管理アプリケーション102(図2を参照されたい)は、サイバーセキュリティチームが彼らのセキュリティオペレーションセンタ(SOC)プロセスの有効性と、改善のための領域を特定するための防御策を評価するのに役立つ可視性を提供することができる。MITRE ATT&CKに関して、特に、SIEM管理アプリケーション102(図2を参照されたい)は、利用可能なMITRE ATT&CK技術に対して、導入されたMITRE ATT&CK技術を評価し、推奨および/または顕著なギャップの視覚的な印を提供することができる。例えば、いくつかの非限定的な態様によれば、SIEM管理アプリケーション102(図2を参照されたい)は、色分けスキームを採用することができ、各色は、導入するギャップまたは推奨されるMITRE ATT&CK手法の印として役立つ。そのようなスキームの一つが、図8の非限定的な態様に示されている。
【0055】
ここで図9を参照すると、図2のSIEM管理アプリケーション102の別のグラフィカルユーザインターフェース700が、本開示の少なくとも一つの非限定的態様に従って示されている。図9の非限定的な態様によれば、グラフィカルユーザインターフェース700は、現在のセンチネル204リストから依存性ボタン222を選択することによって表示することができる。画面700は、アラートルールを微調整する能力を提供する。アラートルールは、一つ以上の定数を持つことができ、それにより、アラートルールは、複数のクライアントにまったく同じに導入されるが、その後、定数(例えば、マシン、ユーザのホワイトリストなど)を介して様々なクライアント固有の値を設定することができる。定数は、定数ボタン702を選択することによって表示することができる。定数は、名称706、カテゴリ708、導入ステータス710、およびアラート712によって識別される。定数は、更新ボタン704を選択することによって更新されてもよい。言い換えれば、SIEM管理アプリケーション102(図2を参照されたい)は、特定のテナントに対して発行されたアラートを管理する定数および/またはルールを具体的にカスタマイズするために使用できるルールエディタを含み得る。さらに、SIEM管理アプリケーション102(図2)は、別のプラットフォーム(例えば、gitlab)に統合するように構成することができ、これはその後、SIEM管理アプリケーション102(図2)、より具体的には、SIEM管理アプリケーション102(図2)をホストするサーバに、アラートに対する新しいおよび/または更新されたルールで更新することができる。したがって、SIEM管理アプリケーション102(図2を参照されたい)は、新規導入を可能にし、および/または導入を一つ以上のテナントに発行された最新バージョンに同期させることができる。
【0056】
ここで図10を参照すると、図2のSIEM管理アプリケーション102の別のグラフィカルユーザインターフェース800が、本開示の少なくとも一つの非限定的態様に従って示されている。図10の非限定的な態様によれば、グラフィカルユーザインターフェース800は、現在のセンチネル204リストからデータコネクタ218ボタン、および導入(プレビュー)ボタン802を選択することによって表示することができる。画面800には、管理されたSentinelコネクタが表示される。
【0057】
内部モデルには、さまざまな関連付けがある(前述のMITRE手法と同様であるが、アラートが検索をクエリするログソース/データコネクタへの関連付けも同様である)。データコネクタとの関連付けにより、所与のデータコネクタに対してすべてのアラートを迅速に導入することができ、手動でそれぞれを選択する必要はない。基本的に、これは、SIEMを構成する抽象化レベルを上昇させる便利なセマンティックグループ構成物であり、SIEMが所定のデータコネクタを介したデータの取り込みに集中するため、コネクタが構成されると、アラートはワンクリックで導入される。また、後で、将来の日付で、これらの特定のアラートを簡単に更新する、またはデータコネクタ用に新たに追加されたアラートを追加することもできる。
【0058】
ここで図11を参照すると、本開示の少なくとも一つの非限定的態様に従って、図1のシステム1000および図2のSIEM管理アプリケーション102を使用する方法。図11の非限定的な態様によれば、方法は、複数のクライアントをホストするよう構成された複数のテナントにわたってネットワークセキュリティを強化することができる。方法1100は、SIEMプロバイダサーバによってホストされるように構成されたSIEM管理アプリケーションを提供することを含むことができ、SIEMプロバイダサーバは、複数のテナント1102に通信可能に結合される。方法1100は、SIEMプロバイダサーバを介して、複数のテナント1104からSIEMステータスを受信し、SIEM管理アプリケーションのグラフィカルユーザインターフェースを介してSIEMステータス1106を可視化することをさらに含む。さらに、方法1100は、SIEM管理アプリケーションを介して、少なくとも部分的に、グラフィカルユーザインターフェース1108を介して受信されたユーザ入力に基づいて、SIEMステータスをフィルタリングし、次いで、グラフィカルユーザインターフェースを介して、フィルタリングされたSIEMステータス1110を可視化することを含む。次に、方法1100は、グラフィカルユーザインターフェースを介して、複数のテナントのうちの少なくとも一つのテナントによってホストされる複数のクライアントのうちの少なくとも一つのクライアントを選択して、少なくとも部分的に、フィルタリングされたSIEMステータス1112に基づいて更新することを必要とする。方法は、SIEM管理アプリケーションを介して、少なくとも部分的に選択1114に基づいて、クライアント更新アラートを生成し、SIEM管理アプリケーションを介して、クライアント更新アラートを少なくとも一つのテナント1116に送信することをさらに含むことができる。最後に、方法1100は、少なくとも一つのテナントを介して、少なくとも一つのクライアントを、少なくとも部分的に、クライアント更新アラート1118に基づいて更新することを含んでもよく、少なくとも一つのクライアントが、少なくとも一つのテナントのネットワークセキュリティを強化する。
【0059】
ここで図12を参照すると、別のグラフィカルユーザインターフェース900が、本開示の少なくとも一つの非限定的態様に従って図示される。図12の非限定的な態様によれば、グラフィカルユーザインターフェース900は、多数のテナントに、アラートまたは相関などの更新済みおよび/または新しいアーチファクト906を同時およびシームレスに導入するため、ユーザにガイド付き導入を提供することができる。例えば、グラフィカルユーザインターフェース900は、どのログソース(例えば、データコネクタ、ソースタイプなど)が、特定のSIEM実装(例えば、Sentinal、スプランクなど)のために構成されているかを検出できる。したがって、ユーザインターフェース900の特定のウィンドウ902は、特定のSIEM実装に適用可能な新しいおよび/または更新されたアーチファクト906を列挙することができ、そこから、ユーザが選択および導入することができる。ウィジェット904はさらに、ハイレベルで、導入するために利用可能な特定の数のアーチファクト906を示し得る。そのため、ユーザは、特定のSIEM実装のためにプッシュしたいアーチファクト906をチェックするだけでよく、それらの選択されたアーチファクト906を多数のSIEM実装に効率的に導入することができる。
【0060】
さらに他の非限定的な態様によれば、システム1000(図1を参照されたい)は、システム1000が、ヒトの介入なしに特定のSIEMの実装および/またはクライアントの状態を検出するように構成され得るため、ユーザインターフェースを使用することなく以前に構成されたSIEMを管理するようにさらに構成され得る。この自律性は、前述のユーザインターフェースの根底にあるインテリジェンスを促進し、そのインテリジェンスを刺激し、ある程度のユーザのフィードバックと制御を容易にする。しかしながら、こうした非限定的な態様によれば、システム1000(図1を参照されたい)は、ヒトの介入なしに根底にあるインテリジェンスを独立して適用し、アーチファクトに最新の変更を適用し、コンテンツリポジトリにアーチファクトを追加し、および/または前述のユーザインターフェースを介して受信されたユーザ入力に依存せずに、多数のクライアントに対してSIEM実装を更新することができる。
【0061】
本明細書に記載される主題の様々な態様は、以下の番号付けされた項に記載される。
【0062】
第1項
複数のクライアントアプリケーションをホストするよう構成された複数のテナントにわたってネットワークセキュリティを強化するための方法であって、複数のテナントに通信可能に結合されるセキュリティ情報およびイベント管理(SIEM)プロバイダサーバによってホストされるように構成されたSIEM管理アプリケーションを提供することと、SIEMプロバイダサーバを介して、複数のテナントからのSIEMステータスを受信することと、SIEM管理アプリケーションのグラフィカルユーザインターフェースを介して、SIEMステータスを可視化することと、SIEM管理アプリケーションを介して、少なくとも部分的に、グラフィカルユーザインターフェースを介して受信されたユーザ入力上に基づいて、SIEMステータスをフィルタリングすることと、グラフィカルユーザインターフェースを介して、フィルタリングされたSIEMステータスを可視化することと、グラフィカルユーザインターフェースを介して、複数のテナントのうちの少なくとも一つのテナントによってホストされる複数のクライアントアプリケーションのうちの少なくとも一つのクライアントアプリケーションを選択して、少なくとも部分的に、フィルタリングされたSIEMステータスに基づいて更新することと、SIEM管理アプリケーションを介して、クライアントアプリケーションの更新および更新アラートを少なくとも部分的に選択に基づいて生成することと、SIEM管理アプリケーションを介して、少なくとも一つのテナントに対する更新アラートを送信することと、少なくとも一つのテナントを介して、少なくとも一つのクライアントアプリケーションを、少なくとも部分的に、更新アラートに基づいて更新することであって、少なくとも一つのクライアントアプリケーションを更新することが、少なくとも一つのテナントに対するネットワークセキュリティを強化する、更新することと、を含む方法。
複数のクライアントアプリケーションをホストするよう構成された複数のテナントにわたってネットワークセキュリティを強化するための方法であって、複数のテナントに通信可能に結合されるセキュリティ情報およびイベント管理(SIEM)プロバイダサーバによってホストされるように構成されたSIEM管理アプリケーションを提供することと、SIEMプロバイダサーバを介して、複数のテナントからのSIEMステータスを受信することと、SIEM管理アプリケーションのグラフィカルユーザインターフェースを介して、SIEMステータスを可視化することと、SIEM管理アプリケーションを介して、少なくとも部分的に、グラフィカルユーザインターフェースを介して受信されたユーザ入力上に基づいて、SIEMステータスをフィルタリングすることと、グラフィカルユーザインターフェースを介して、フィルタリングされたSIEMステータスを可視化することと、グラフィカルユーザインターフェースを介して、複数のテナントのうちの少なくとも一つのテナントによってホストされる複数のクライアントアプリケーションのうちの少なくとも一つのクライアントアプリケーションを選択して、少なくとも部分的に、フィルタリングされたSIEMステータスに基づいて更新することと、SIEM管理アプリケーションを介して、クライアントアプリケーションの更新および更新アラートを少なくとも部分的に選択に基づいて生成することと、SIEM管理アプリケーションを介して、少なくとも一つのテナントに対する更新アラートを送信することと、少なくとも一つのテナントを介して、少なくとも一つのクライアントアプリケーションを、少なくとも部分的に、更新アラートに基づいて更新することであって、少なくとも一つのクライアントアプリケーションを更新することが、少なくとも一つのテナントに対するネットワークセキュリティを強化する、更新することと、を含む方法。
【0063】
他の非限定的な態様によれば、UIなしで以前に構成されたSIEMの管理は、システムがクライアントの状態をすでに把握しているので、コンテンツリポジトリ内のアーチファクトに追加された最新の変更を適用できる。
【0064】
第2項
SIEMステータスが、複数のテナントの各テナントに対するテナント名、クライアント名、およびクライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、第1項に記載の方法。
SIEMステータスが、複数のテナントの各テナントに対するテナント名、クライアント名、およびクライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、第1項に記載の方法。
【0065】
第3項
ユーザ入力が、複数のテナントの各テナントに対する、テナント名、クライアント名、およびクライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、第1項または第2項に記載の方法。
ユーザ入力が、複数のテナントの各テナントに対する、テナント名、クライアント名、およびクライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、第1項または第2項に記載の方法。
【0066】
第4項
少なくとも一つのクライアントアプリケーションを選択することが、グラフィカルユーザインターフェースを介して受信される第二のユーザ入力にさらに基づき、第二のユーザ入力が、少なくとも一つのクライアントアプリケーションに関連付けられたテナント名、少なくとも一つのクライアントアプリケーションに関連付けられたクライアント名、および少なくとも一つのクライアントアプリケーションに関連付けられたクライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、第1項~第3項のいずれかに記載の方法。
少なくとも一つのクライアントアプリケーションを選択することが、グラフィカルユーザインターフェースを介して受信される第二のユーザ入力にさらに基づき、第二のユーザ入力が、少なくとも一つのクライアントアプリケーションに関連付けられたテナント名、少なくとも一つのクライアントアプリケーションに関連付けられたクライアント名、および少なくとも一つのクライアントアプリケーションに関連付けられたクライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、第1項~第3項のいずれかに記載の方法。
【0067】
第5項
SIEMプロバイダサーバは、複数のテナントの各テナントに対する導入の必要性に関連付けられた複数のルールを格納するように構成されたメモリを備え、更新アラートを生成することは、少なくとも部分的に、少なくとも一つのテナントに関連付けられる複数のルールのうちの少なくとも一つのルールに基づく、第1項~第4項のいずれかに記載の方法。
SIEMプロバイダサーバは、複数のテナントの各テナントに対する導入の必要性に関連付けられた複数のルールを格納するように構成されたメモリを備え、更新アラートを生成することは、少なくとも部分的に、少なくとも一つのテナントに関連付けられる複数のルールのうちの少なくとも一つのルールに基づく、第1項~第4項のいずれかに記載の方法。
【0068】
第6項
SIEM管理アプリケーションを介して、複数のルールを、複数のテナントの各テナントに対する導入の必要性に、少なくとも部分的に基づいて、複数のプレイブックに相関させることをさらに含む、第1項~第5項のいずれかに記載の方法。
SIEM管理アプリケーションを介して、複数のルールを、複数のテナントの各テナントに対する導入の必要性に、少なくとも部分的に基づいて、複数のプレイブックに相関させることをさらに含む、第1項~第5項のいずれかに記載の方法。
【0069】
第7項
グラフィカルユーザインターフェースが、プレイブックウィジェットを含み、少なくとも一つのクライアントアプリケーションを選択することが、グラフィカルユーザインターフェースを介したプレイブックウィジェットとのユーザ対話にさらに基づき、更新アラートを生成することが、少なくとも部分的に、少なくとも一つのテナントに関連付けられる複数のプレイブックのうちの少なくとも一つのプレイブックに基づく、第1項~第6項のいずれかに記載の方法。
グラフィカルユーザインターフェースが、プレイブックウィジェットを含み、少なくとも一つのクライアントアプリケーションを選択することが、グラフィカルユーザインターフェースを介したプレイブックウィジェットとのユーザ対話にさらに基づき、更新アラートを生成することが、少なくとも部分的に、少なくとも一つのテナントに関連付けられる複数のプレイブックのうちの少なくとも一つのプレイブックに基づく、第1項~第6項のいずれかに記載の方法。
【0070】
第8項
少なくとも1人のテナントに対する導入の必要性が、ファイアウォール監視プロトコルを含む、第1項~第7項のいずれかに記載の方法。
少なくとも1人のテナントに対する導入の必要性が、ファイアウォール監視プロトコルを含む、第1項~第7項のいずれかに記載の方法。
【0071】
第9項
生成されたクライアントアプリケーション更新をメモリに格納することをさらに含み、少なくとも一つのクライアントアプリケーションを更新することは、少なくとも一つのテナントを介して、生成されたクライアントアプリケーション更新をメモリから取得することをさらに含む、第1項~第8項のいずれかに記載のシステム。
生成されたクライアントアプリケーション更新をメモリに格納することをさらに含み、少なくとも一つのクライアントアプリケーションを更新することは、少なくとも一つのテナントを介して、生成されたクライアントアプリケーション更新をメモリから取得することをさらに含む、第1項~第8項のいずれかに記載のシステム。
【0072】
第10項
メモリが、アーチファクトテンプレートを格納するようにさらに構成され、更新アラートを生成することが、格納されたアーチファクトテンプレートにさらに基づく、第1項~第9項のいずれかに記載のシステム。
メモリが、アーチファクトテンプレートを格納するようにさらに構成され、更新アラートを生成することが、格納されたアーチファクトテンプレートにさらに基づく、第1項~第9項のいずれかに記載のシステム。
【0073】
第11項
格納されたアーチファクトテンプレートが、書き込み可能なjs onファイルを含む、第1項~第10項のいずれかに記載の方法。
格納されたアーチファクトテンプレートが、書き込み可能なjs onファイルを含む、第1項~第10項のいずれかに記載の方法。
【0074】
第12項
SIEMステータスに基づいて、新しいルール、新しいワークブック、および新しいプレイブック、またはそれらの組み合わせのうちの少なくとも一つを含む新しいテンプレートを生成することと、新しいテンプレートをメモリ内に格納することとをさらに含む、第1項~第11項のいずれかに記載の方法。
SIEMステータスに基づいて、新しいルール、新しいワークブック、および新しいプレイブック、またはそれらの組み合わせのうちの少なくとも一つを含む新しいテンプレートを生成することと、新しいテンプレートをメモリ内に格納することとをさらに含む、第1項~第11項のいずれかに記載の方法。
【0075】
第13項
SIEMステータスが、複数のテナントの各テナントに対する、いくつかの導入されたクライアントアプリケーション、いくつかの非推奨のクライアントアプリケーション、およびいくつかの無効化されたクライアントアプリケーション、またはそれらの組み合わせを含む、第1項~第12項のいずれかに記載の方法。
SIEMステータスが、複数のテナントの各テナントに対する、いくつかの導入されたクライアントアプリケーション、いくつかの非推奨のクライアントアプリケーション、およびいくつかの無効化されたクライアントアプリケーション、またはそれらの組み合わせを含む、第1項~第12項のいずれかに記載の方法。
【0076】
第14項
複数のテナントがSIEMプロバイダサーバに対して遠隔に位置する、第1項~第13項のいずれかに記載のシステム。
複数のテナントがSIEMプロバイダサーバに対して遠隔に位置する、第1項~第13項のいずれかに記載のシステム。
【0077】
第15項
ネットワークセキュリティを強化するためのシステムであって、複数のクライアントをホストするように構成された複数のテナントと、複数のテナントに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、SIEMプロバイダサーバがプロセッサおよびメモリを備え、メモリが、プロセッサによって実行されると、プロセッサに、複数のテナントからSIEMステータスを受信し、SIEMプロバイダサーバに通信可能に結合されたディスプレイ上に図示されたSIEM管理アプリケーションのグラフィカルユーザインターフェースを介して、SIEMステータスを可視化し、少なくとも部分的に、グラフィカルユーザインターフェースを介して受信されたユーザ入力に基づいてSIEMステータスをフィルタリングし、グラフィカルユーザインターフェースを介してフィルタリングされたSIEMステータスを可視化し、複数のテナントのうちの少なくとも一つのテナントによってホストされる複数のクライアントのうちの少なくとも一つのクライアントを、少なくとも部分的に、フィルタリングされたSIEMステータスに基づいて更新することを決定し、少なくとも部分的に、決定に基づいて更新アラートを生成し、更新アラートを少なくとも一つのテナントに送信し、少なくとも一つのクライアントアプリケーションを少なくとも部分的に、更新アラートに基づいて更新する、ようにさせるSIEM管理アプリケーションを格納するように構成され、少なくとも一つのクライアントを更新すると、少なくとも一つのテナントに対するネットワークセキュリティを強化する、SIEMプロバイダサーバとを備える、システム。
ネットワークセキュリティを強化するためのシステムであって、複数のクライアントをホストするように構成された複数のテナントと、複数のテナントに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、SIEMプロバイダサーバがプロセッサおよびメモリを備え、メモリが、プロセッサによって実行されると、プロセッサに、複数のテナントからSIEMステータスを受信し、SIEMプロバイダサーバに通信可能に結合されたディスプレイ上に図示されたSIEM管理アプリケーションのグラフィカルユーザインターフェースを介して、SIEMステータスを可視化し、少なくとも部分的に、グラフィカルユーザインターフェースを介して受信されたユーザ入力に基づいてSIEMステータスをフィルタリングし、グラフィカルユーザインターフェースを介してフィルタリングされたSIEMステータスを可視化し、複数のテナントのうちの少なくとも一つのテナントによってホストされる複数のクライアントのうちの少なくとも一つのクライアントを、少なくとも部分的に、フィルタリングされたSIEMステータスに基づいて更新することを決定し、少なくとも部分的に、決定に基づいて更新アラートを生成し、更新アラートを少なくとも一つのテナントに送信し、少なくとも一つのクライアントアプリケーションを少なくとも部分的に、更新アラートに基づいて更新する、ようにさせるSIEM管理アプリケーションを格納するように構成され、少なくとも一つのクライアントを更新すると、少なくとも一つのテナントに対するネットワークセキュリティを強化する、SIEMプロバイダサーバとを備える、システム。
【0078】
第16項
メモリは、複数のテナントの各テナントに対する導入の必要性に関連付けられた複数のルールを格納するようにさらに構成され、プロセッサによって実行されるとき、SIEM管理アプリケーションは、プロセッサに、少なくとも部分的に、少なくとも一つのテナントに関連付けられている複数のルールのうちの少なくとも一つのルールに基づいて、更新アラートをさらに生成させる、第15項に記載のシステム。
メモリは、複数のテナントの各テナントに対する導入の必要性に関連付けられた複数のルールを格納するようにさらに構成され、プロセッサによって実行されるとき、SIEM管理アプリケーションは、プロセッサに、少なくとも部分的に、少なくとも一つのテナントに関連付けられている複数のルールのうちの少なくとも一つのルールに基づいて、更新アラートをさらに生成させる、第15項に記載のシステム。
【0079】
第17項
プロセッサによって実行されるとき、SIEM管理アプリケーションはさらに、プロセッサに、複数のルールを、複数のテナントの各テナントに対する導入の必要性に、少なくとも部分的に基づいて、複数のプレイブックに相関させる、第15項または第16項に記載のシステム。
プロセッサによって実行されるとき、SIEM管理アプリケーションはさらに、プロセッサに、複数のルールを、複数のテナントの各テナントに対する導入の必要性に、少なくとも部分的に基づいて、複数のプレイブックに相関させる、第15項または第16項に記載のシステム。
【0080】
第18項
グラフィカルユーザインターフェースが、プレイブックウィジェットを含み、少なくとも一つのクライアントの決定が、グラフィカルユーザインターフェースを介したプレイブックウィジェットとのユーザ対話にさらに基づき、更新アラートを生成することが、少なくとも部分的に、少なくとも一つのテナントに関連付けられている複数のプレイブックのうちの少なくとも一つのプレイブックに基づく、第15項~第17項のいずれかに記載のシステム。
グラフィカルユーザインターフェースが、プレイブックウィジェットを含み、少なくとも一つのクライアントの決定が、グラフィカルユーザインターフェースを介したプレイブックウィジェットとのユーザ対話にさらに基づき、更新アラートを生成することが、少なくとも部分的に、少なくとも一つのテナントに関連付けられている複数のプレイブックのうちの少なくとも一つのプレイブックに基づく、第15項~第17項のいずれかに記載のシステム。
【0081】
第19項
少なくとも部分的に、原子炉容器内部の決定された状態および原子炉に関連付けられた診断上の結論に基づく、原子炉の将来の挙動に関連する予測を生成することをさらに含む、第15項~第18項のいずれかに記載のシステム。
少なくとも部分的に、原子炉容器内部の決定された状態および原子炉に関連付けられた診断上の結論に基づく、原子炉の将来の挙動に関連する予測を生成することをさらに含む、第15項~第18項のいずれかに記載のシステム。
【0082】
本明細書に記述される全ての特許、特許出願、刊行物、またはその他の開示資料は、各個々の参照がそれぞれ参照により明示的に組み込まれたかのように、その全体が参照により本明細書に組み込まれる。参照により本明細書に組み込まれると言われる全ての参照、および任意の材料、またはその一部は、組み込まれる材料が、本開示に記載される既存の定義、記述、またはその他の開示材料と矛盾しない限りにおいてのみ、本明細書に組み込まれる。したがって、および必要な範囲で、本明細書に明記される本開示は、参照により本明細書に組み込まれる任意の矛盾する材料に優先し、本開示は本出願の管理内で明示的に記載される。
【0083】
様々な例示的および例証的態様が説明されている。本明細書に記載される態様は、本開示の様々な態様の様々な詳細の例示的な特徴を提供するものとして理解され、そのため別途指定がない限り、当然のことながら、本開示の範囲から逸脱することなく、可能な限り、一つ以上の特徴、要素、コンポーネント、成分、原料、構造、モジュール、および/または本開示の態様のうちの態様を組み合わせて、分離し、交換し、および/または一つ以上の他の特徴、要素、コンポーネント、成分、原料、構造、モジュール、および/または本開示の態様のうちの態様と、またはそれらに対して再配置してもよい。したがって、当業者であれば、特許請求された主題から逸脱することなく、例示的な態様のいずれかの様々な置換、改変、または組み合わせがなされ得ることを認識するであろう。さらに、当業者は、本明細書の再調査により、日常的な実験のみを使用して本開示の様々な態様に対する多くの等価物を認識するか、または確認することができる。したがって、本開示は、様々な態様の説明によって限定されず、特許請求の範囲によってのみ限定される。
【0084】
当業者は、概して、本明細書で使用される用語、および特に添付の特許請求の範囲(例えば、添付の特許請求の範囲の本文)において、一般には「制約のない」用語(例えば、用語「含む(including)」は、「含むが限定されるものではない」と解釈されるべきであり、用語「有する(having)」は「少なくとも有する」と解釈されるべきであり、用語「含む(includes)」は、「含むが限定されるものではない」と解釈されるべきである、など)として意図されていることを認識するであろう。特定の数の導入された特許請求の範囲の列挙が意図される場合、そのような意図は特許請求の範囲に明示的に列挙され、そのような列挙がない場合、そのような意図は存在しないことが、当業者によってさらに理解されるであろう。例えば、理解の補助として、以下の添付の特許請求の範囲は、請求項の列挙を導入するため、導入語句の「少なくとも一つ(at leaset one)」および「一つ以上(one or more)」の使用を含み得る。しかし、こうした語句の使用は、不定冠詞「a」または「an」による請求項の列挙の導入が、そのような導入された請求項の列挙を含む任意の特定の請求項を、そのような列挙を一つのみを含む特許請求の範囲に限定することを暗示するものとして解釈されるべきではなく、同じ請求項が、導入語句「一つ以上」または「少なくとも一つ」、および「a」または「an」などの不定冠詞を含む場合でもそうであり(例えば、「a」、および/または「an」は通常、「少なくとも一つ」または「一つ以上」を意味すると解釈されるべきである)、請求項の列挙を導入するために使用される定冠詞の使用についても同様である。
【0085】
さらに、導入された請求項の列挙の特定の数が明示的に列挙されていても、当業者は、このような列挙は、典型的には、少なくとも列挙された数(例えば、「二つの列挙」という単なる列挙は、他の修飾語句なしでは、少なくとも二つの列挙または二つ以上の列挙を通常意味する)を意味すると解釈されるべきであることを認識するであろう。さらに、「A、B、およびCなどのうちの少なくとも一つ」に類似の慣例が使用されるこれらの例では、一般的に、このような構造は、当業者が、慣例を理解するという意味で意図される(例えば、「A、B、およびCのうちの少なくとも一つを有するシステム」は、A単独、B単独、C単独、AおよびBを一緒に有するシステム、AおよびCを一緒に有するシステム、BおよびCを一緒に有するシステム、および/またはA、B、およびCを一緒に有するシステムなどを含むが、これらに限定されない)。「A、B、またはC等のうちの少なくとも一つ」に類似の慣例が、使用される事例では、一般的に、このような構造は、当業者が、慣例を理解するという意味で意図される(例えば、「A、B、またはCのうちの少なくとも一つを有するシステム」は、A単独、B単独、C単独、AおよびBを一緒に有するシステム、AおよびCを一緒に有するシステム、BおよびCを一緒に有するシステム、および/またはA、B、およびCを一緒に有するシステムなどを含むが、これらに限定されない)。説明、特許請求の範囲、または図面のいずれにおいても、通常、二つ以上の代替的な用語を提示する離接語および/または語句は、文脈が別段の指示をしない限り、当該用語のうちの一つ、当該用語のいずれか、または両方の用語を含む可能性を企図するように理解されるべきであると当該技術分野の者によってさらに理解されるであろう。例えば、語句「AまたはB」は、典型的には、「A」または「B」または「A、とB」の可能性を含むと理解されるであろう。
【0086】
添付の特許請求の範囲に関して、当業者は、その中に列挙された動作が概して任意の順序で行われてもよいことを理解するであろう。また、請求項の列挙は順に提示されているが、様々な動作は、記載されるもの以外の他の順序で行われてもよく、または同時に行われてもよいことが理解されるべきである。こうした代替的順序の例としては、文脈が別途指示しない限り、重複、インターリーブ、中断、再注文、増分、準備、補足、同時、逆、または他のバリアント順序が挙げられる。さらに、文脈上別段の指示がない限り、「応答する」、「関連する」、または他の過去型形容詞などの用語は、一般に、こうしたバリアントを除外することを意図していない。
【0087】
注目すべきは、「一態様」、「態様」、「例示」、「一例示」、および類似のものへの任意の言及は、態様に関連して記述された特定の特徴、構造、または特性が、少なくとも一つの態様に含まれることを意味する。したがって、本明細書全体を通して様々な場所での語句の「一態様では」、「ある態様では」、「ある例示では」、および「一例示では」の出現は、必ずしもすべて同じ態様を指すわけではない。さらに、特定の特徴、構造または特性は、一つ以上の態様では、任意の適切な様式で組み合わせられてもよい。
【0088】
本明細書で使用される場合、文脈が別途明確に指示しない限り、単数形の「a」、「an」、および「the」は、複数の参照を含む。
【0089】
例えば、限定されるものではないが、上、下、左、右、下方、上方、前、後、およびその変形など、本明細書で使用される方向語句は、添付図面に示される要素の配向に関連し、別段の明示的な記載がない限り、特許請求の範囲に関して限定しないものとする。
【0090】
本開示で使用される用語「約」または「およそ」は、別段の指定がない限り、当業者によって決定される特定の値についての許容可能な誤差を意味し、これは、値がどのように測定または決定されるかに部分的に依存する。特定の態様では、用語「約」または「およそ」は、1、2、3、または4標準偏差以内を意味する。特定の態様では、用語「約」または「およそ」は、所与の値または範囲の50%、200%、105%、100%、9%、8%、7%、6%、5%、4%、3%、2%、1%、0.5%、または0.05%以内を意味する。
【0091】
本明細書において、別段の示唆が無い限り、全ての数値パラメータは、前置きされているものとして理解され、全ての場合で、数値パラメータは、パラメータの数値を決定するために使用される基礎となる測定技法の固有変動特性を有する、「約」という用語によって修正されると理解されるべきである。少なくとも、請求の範囲に対する均等の原理の適用を限定する試みとしてではなく、本明細書に記載の各数値パラメータは少なくとも報告される有効数字の数に照らし合わせて、および通常の四捨五入法を適用することで解釈されるものとする。
【0092】
本明細書に列挙される任意の数値範囲は、列挙された範囲内に包含されるすべてのサブ範囲を含む。例えば、1から100の範囲は、列挙された最小値1と、列挙された最大値100との間の(かつそれを含む)、すなわち、最小値が1以上、および最大値が100以下を有するすべてのサブ範囲を含む。また、本明細書で列挙されるすべての範囲は、列挙された範囲の終点を含む。例えば、1から100の範囲は、終点1および100を含む。本明細書に列挙される任意の最大数的制限は、その中に包含されるすべてのより低い数的制限を含むことが意図され、本明細書に列挙される任意の最小数的制限は、その中に包含されるすべてのより高い数的制限を含むことが意図される。したがって、出願人は、特許請求の範囲を含め、明示的に列挙された範囲内に包含された部分範囲を明示的に列挙する本明細書を修正する権利を留保する。こうしたすべての範囲は、本明細書に本質的に記載される。
【0093】
本明細書において言及される、および/または任意のアプリケーションデータシートに列挙される任意の特許出願、特許、非特許公開、またはその他の開示資料は、組み込まれた資料が本明細書と矛盾しない限り、参照により本明細書に組み込まれる。したがって、および必要な範囲で、本明細書に明示的に記載される本開示は、参照により本明細書に組み込まれる任意の矛盾する材料に優先する。参照により本明細書に組み込まれると言われるが、本明細書に明記される既存の定義、声明、またはその他の開示資料と矛盾する任意の資料またはその一部は、その組み込まれた資料と既存の開示資料との間にいかなる矛盾も生じない範囲でのみ、組み込まれる。
【0094】
用語「備える(comprise)」(ならびに「comprises」および「comprising」などのcompriseの任意の形態)、「有する(have)」(ならびに「has」および「having」などのhaveの任意の形態)、「含む(include)」(ならびに「includes」および「including」などのincludeの任意の形態)、および「包含する(contain)」(ならびに「contains」および「containing」などのcontainの任意の形態)は、オープンエンドの連結動詞である。結果として、一つ以上の要素を「備える」、「有する」、「含む」、または「包含する」システムは、それらの一つ以上の要素を保有するが、それら一つ以上の要素のみを保有することに限定されない。同様に、一つ以上の特徴を「備える」、「有する」、「含む」、または「包含する」システム、デバイス、または装置の要素は、それらの一つ以上の特徴を保有するが、それら一つ以上の特徴のみを保有することに限定されない。
【0095】
前述の詳細な説明は、ブロック図、フローチャート、および/または実施例の使用による、デバイスおよび/またはプロセスの様々な形態を記載している。こうしたブロック図、フローチャート、および/または実施例が一つ以上の機能および/または動作を含む場合、当該技術分野の者であれば、こうしたブロック図、フローチャート、および/または実施例内の各機能および/または動作は、広範囲のハードウェア、ソフトウェア、ファームウェア、または実質的にそれらの任意の組み合わせによって、個別に、および/または集合的に実装され得ることが理解されるであろう。当業者は、本明細書に開示される形態のいくつかの態様は、一つ以上のコンピュータ上で動作する一つ以上のコンピュータプログラムとして(例えば、一つ以上のコンピュータシステム上で動作する一つ以上のプログラムとして)、一つ以上のプロセッサ上で動作する一つ以上のプログラムとして(例えば、一つ以上のマイクロプロセッサ上で動作する一つ以上のプログラムとして)、ファームウェアとして、または実質的に任意の組み合わせとして全部または一部を等価に集積回路に実装することができ、回路の設計、および/またはソフトウェア用のコードの記載、および/またはファームウェアは、本開示に照らして、当業者の技能の範囲内であることを認識するであろう。さらに、当業者は、本明細書に記載される主題の機構が、様々な形態で一つ以上のプログラム製品として分配されることができ、本明細書に記載される主題の例示的な形態は、実際に分配を実施するために使用される特定のタイプの信号担持媒体に関係なく適用されることを理解するであろう。
【0096】
論理をプログラムして様々な開示された態様を実施するために使用される命令は、動的ランダムアクセスメモリ(DRAM)、キャッシュ、フラッシュメモリ、または他の記憶装置など、システム内のメモリ内に格納され得る。さらに、命令は、ネットワークを介して、または他のコンピュータ可読媒体を介して配布され得る。したがって、機械可読媒体は、機械(例えば、コンピュータ)によって読み取り可能な形態で情報を格納する、または送信するための任意の機構であるが、それに限定されるものではない、フロッピーディスケット、光ディスク、コンパクトディスク、読み取り専用メモリ(CD-ROM)、および磁気光学ディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、消去可能なプログラム可能な読み取り専用メモリ(EPROM)、電気的に消去可能なプログラム可能な読み取り専用メモリ(EEPROM)、磁気または光学カード、フラッシュメモリ、または電気的、光学的、音響または他の形態の伝播信号(例えば、搬送波、赤外線信号、デジタル信号、など)を介してインターネット上で情報を送信する際に使用される有形の機械可読記憶装置を含み得る。したがって、非一時的コンピュータ可読媒体は、電子命令または情報を、機械(例えば、コンピュータ)によって可読な形態で格納または伝送するのに適した、任意のタイプの有形の機械可読媒体を含む。
【0097】
本明細書の任意の態様で使用される場合、用語「制御回路」は、例えば、配線された回路、プログラム可能回路(例えば、一つ以上の個々の命令処理コアを備えるコンピュータプロセッサ、処理ユニット、プロセッサ、マイクロコントローラ、マイクロコントローラユニット、コントローラ、デジタルシグナルプロセッサ(DSP)、プログラム可能論理装置(PLD)、プログラム可能論理アレイ(PLA)、またはフィールドプログラマブルゲートアレイ(FPGA)、状態機械回路、プログラム可能回路によって実行される命令を格納するファームウェアおよびそれらの任意の組み合わせを指すことができる。制御回路は、集合的にまたは個別に、より大きなシステム、例えば、集積回路(IC)、特定用途向け集積回路(ASIC)、システムオンチップ(SoC)、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、サーバ、スマートフォンなどの一部を形成する回路として具体化され得る。したがって、本明細書で使用される場合、「制御回路」には、限定されるものではないが、少なくとも一つのディスクリート電気回路を有する電気回路と、少なくとも一つの集積回路を有する電気回路と、少なくとも一つの特定用途向け集積回路を有する電気回路と、コンピュータプログラムによって構成される汎用コンピューティングデバイスを形成する電気回路(例えば、プロセスを少なくとも部分的に実行するコンピュータプログラムによって構成される汎用コンピュータ、および/または本明細書に記載されるデバイス、または少なくとも部分的にプロセスを実行するコンピュータプログラムによって構成されるマイクロプロセッサ、および/または本明細書に記述されるデバイス)、メモリデバイスを形成する電気回路(例えば、ランダムアクセスメモリの形態)、および/または通信デバイスを形成する電気回路(例えば、モデム、通信スイッチ、または光電気機器)を含む。当業者であれば、本明細書に記載される主題が、アナログもしくはデジタルの様式またはそれらのいくつかの組み合わせで実装され得ることを認識するであろう。
【0098】
本明細書の任意の態様で使用される場合、用語「ロジック」は、前述の動作のいずれかを行うように構成されたアプリケーション、ソフトウェア、ファームウェア、および/または回路を指し得る。ソフトウェアは、ソフトウェアパッケージ、コード、命令、命令セット、および/または非一時的コンピュータ可読記憶媒体に記録されたデータとして具現化され得る。ファームウェアは、コード、命令、または命令セット、および/またはメモリデバイス内にハードコードされた(例えば、不揮発性)データとして具現化され得る。
【0099】
本明細書の任意の態様で使用される場合、用語「コンポーネント」、「システム」、「モジュール」などは、コンピュータ関連実体、ハードウェア、ハードウェアの組み合わせおよびソフトウェアの組み合わせ、ソフトウェア、または実行中のソフトウェアを指すことができる。
【0100】
本明細書の任意の態様で使用される場合、「アルゴリズム」は、所望の結果をもたらすステップの自己整合的な順序を指し、「ステップ」は、物理的量の操作、および/または必ずしもそうである必要はないが、格納、移動、結合、比較、およびその他操作することができる電気信号または磁気信号の形態を取ることができる論理状態を指す。これらの信号をビット、値、要素、記号、文字、用語、数字などと呼ぶのが一般的である。これらおよび類似の用語は、適切な物理量と関連付けられてもよく、これらの量および/または状態に適用される単に便利な符号である。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【手続補正書】
【提出日】2024-02-08
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
複数のクライアントアプリケーションをホストするように構成された複数のテナントにわたってネットワークセキュリティを同時的に監視及び強化するための方法であって、セキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、前記SIEMプロバイダサーバが前記複数のテナントに通信可能に結合される、前記SIEMプロバイダサーバによってホストされるように構成されたSIEM管理アプリケーションを提供することと、
前記SIEMプロバイダサーバを介して、前記複数のテナントからSIEMステータスを受信することと、
前記SIEM管理アプリケーションのグラフィカルユーザインターフェースを介して、前記SIEMステータスを可視化することと、
前記SIEM管理アプリケーションを介して、前記SIEMステータスを、少なくとも部分的に、前記グラフィカルユーザインターフェースを介して受信されたユーザ入力に基づいてフィルタリングすることと、
前記グラフィカルユーザインターフェースを介して、前記フィルタリングされたSIEMステータスを可視化することと、
前記グラフィカルユーザインターフェースを介して、前記複数のテナントのサブセットによってホストされる前記複数のクライアントアプリケーションのうちの少なくとも一つのクライアントアプリケーションを選択して、少なくとも部分的に、前記フィルタリングされたSIEMステータスに基づいて更新することと、
前記SIEM管理アプリケーションを介して、少なくとも部分的に前記選択に基づいて、クライアントアプリケーションの更新、および更新アラートを生成することと、
前記SIEM管理アプリケーションを介して、前記更新アラートを前記複数のテナントの前記サブセットに送信することと、
前記複数のテナントの前記サブセットを介して、前記少なくとも一つのクライアントアプリケーションを、少なくとも部分的に、前記更新アラートに基づいて更新することであって、前記少なくとも一つのクライアントアプリケーションを更新することによって、前記複数のテナントの前記サブセットに対する前記ネットワークセキュリティを強化する、前記更新することと、を含む、方法。
【請求項2】
前記SIEMステータスが、前記複数のテナントの各テナントに対する、テナント名、クライアント名、およびクライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、請求項1に記載の方法。
【請求項3】
前記ユーザ入力が、前記複数のテナントの各テナントに対する、前記テナント名、前記クライアント名、および前記クライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、請求項2に記載の方法。
【請求項4】
前記少なくとも一つのクライアントアプリケーションを選択することが、前記グラフィカルユーザインターフェースを介して受信された第二のユーザ入力にさらに基づき、前記第二のユーザ入力が、前記少なくとも一つのクライアントアプリケーションに関連付けられたテナント名、前記少なくとも一つのクライアントアプリケーションに関連付けられたクライアント名、および前記少なくとも一つのクライアントアプリケーションに関連付けられたクライアントアプリケーションバージョン、またはそれらの組み合わせのうちの少なくとも一つを含む、請求項2に記載の方法。
【請求項5】
前記SIEMプロバイダサーバが、前記複数のテナントの各テナントに対する導入の必要性に関連付けられた複数のルールを格納するように構成されたメモリを備え、前記更新アラートを生成することが、少なくとも部分的に、前記複数のテナントの前記サブセットに関連付けられる前記複数のルールのうちの少なくとも一つのルールに、基づく、請求項1に記載の方法。
【請求項6】
前記SIEM管理アプリケーションを介して、前記複数のルールを、前記複数のテナントの各テナントに対する前記導入の必要性に少なくとも部分的に基づいて複数のプレイブックに相関させることをさらに含む、請求項5に記載の方法。
【請求項7】
前記グラフィカルユーザインターフェースが、プレイブックウィジェットを含み、前記少なくとも一つのクライアントアプリケーションを選択することが、前記グラフィカルユーザインターフェースを介した前記プレイブックウィジェットとのユーザ対話にさらに基づき、前記更新アラートを生成することが、少なくとも部分的に、前記複数のテナントの前記サブセットに関連付けられる前記複数のプレイブックのうちの少なくとも一つのプレイブックに基づく、請求項6に記載の方法。
【請求項8】
前記複数のテナントの前記サブセットに対する導入の必要性が、ファイアウォール監視プロトコルを含む、請求項6に記載の方法。
【請求項9】
前記生成されたクライアントアプリケーション更新を前記メモリに格納することをさらに含み、前記少なくとも一つのクライアントアプリケーションを更新することが、前記複数のテナントの前記サブセットを介して、前記生成されたクライアントアプリケーション更新を前記メモリから取得することをさらに含む、請求項5に記載の方法。
【請求項10】
前記メモリが、アーチファクトテンプレートを格納するようにさらに構成され、前記更新アラートを生成することが、前記格納されたアーチファクトテンプレートにさらに基づく、請求項5に記載の方法。
【請求項11】
前記格納されたアーチファクトテンプレートが、書き込み可能なjsonファイルを含む、請求項10に記載の方法。
【請求項12】
前記SIEMステータスに基づいて、新しいルール、新しいワークブック、および新しいプレイブック、またはそれらの組み合わせのうちの少なくとも一つを含む新しいテンプレートを生成することと、前記新しいテンプレートを前記メモリに格納することと、をさらに含む、請求項10に記載の方法。
【請求項13】
前記SIEMステータスが、前記複数のテナントの各テナントに対するいくつかの導入されたクライアントアプリケーション、いくつかの非推奨クライアントアプリケーション、およびいくつかの無効化されたクライアントアプリケーション、またはそれらの組み合わせを含む、請求項1に記載の方法。
【請求項14】
前記複数のテナントが、前記SIEMプロバイダサーバに対して遠隔に位置する、請求項1に記載の方法。
【請求項15】
ネットワークセキュリティを強化するためのシステムであって、複数のクライアントをホストするように構成された複数のテナントと、
前記複数のテナントに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバと、
を備え、
前記SIEMプロバイダサーバは、プロセッサおよびメモリを備え、
前記メモリは、SIEM管理アプリケーションを格納するように構成され、
前記SIEM管理アプリケーションは、前記プロセッサによって実行されると、前記プロセッサに、
前記複数のテナントからSIEMステータスを継続的及び同時的に受信し、
前記SIEMプロバイダサーバに通信可能に結合されたディスプレイ上に図示された前記SIEM管理アプリケーションのグラフィカルユーザインターフェースを介して、前記SIEMステータスを可視化し、
前記グラフィカルユーザインターフェースを介して受信されたユーザ入力に、少なくとも部分的に基づいて前記SIEMステータスをフィルタリングし、
前記グラフィカルユーザインターフェースを介して前記フィルタリングされたSIEMステータスを可視化し、
前記複数のテナントのサブセットによってホストされる前記複数のクライアントのうちの少なくとも一つのクライアントを、少なくとも部分的に、前記フィルタリングされたSIEMステータスに基づいて、更新することを決定し、
少なくとも部分的に、前記決定に基づいて、更新アラートを生成し、
前記更新アラートを前記複数のテナントの前記サブセットに送信し、
少なくとも部分的に、前記更新アラートに基づいて、前記少なくとも一つのクライアントを更新させ、
前記少なくとも一つのクライアントを更新することによって、前記複数のテナントの前記サブセットに対する前記ネットワークセキュリティを強化する、システム。
【請求項16】
前記メモリが、前記複数のテナントの各テナントに対する導入の必要性に関連付けられた複数のルールを格納するようにさらに構成され、前記プロセッサによって実行されると、前記SIEM管理アプリケーションが、前記プロセッサに、少なくとも部分的に、前記複数のテナントの前記サブセットに関連付けられている前記複数のルールのうちの少なくとも一つに基づいて、前記更新アラートをさらに生成させる、請求項15に記載のシステム。
【請求項17】
前記プロセッサによって実行されると、前記SIEM管理アプリケーションがさらに、前記プロセッサに、前記複数のルールを、前記複数のテナントの各テナントに対する前記導入の必要性に、少なくとも部分的に基づいて、複数のプレイブックに相関させる、請求項16に記載のシステム。
【請求項18】
前記グラフィカルユーザインターフェースが、プレイブックウィジェットを含み、前記少なくとも一つのクライアントの前記決定が、前記グラフィカルユーザインターフェースを介した前記プレイブックウィジェットとのユーザ対話にさらに基づき、前記更新アラートの前記生成が、前記複数のテナントの前記サブセットに関連付けられている前記複数のプレイブックのうちの少なくとも一つのプレイブックに、少なくとも部分的に基づく、請求項17に記載のシステム。
【国際調査報告】