ホーム > 特許ランキング > BlueVoyant LLC
知財求人 - 知財ポータルサイト「IP Force」
特表2024-541817複数のテナントのためのセキュリティ情報およびイベント管理アーチファクトのプロビジョニングおよび更新のためのデバイス、システムおよび方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-11-13
(54)【発明の名称】複数のテナントのためのセキュリティ情報およびイベント管理アーチファクトのプロビジョニングおよび更新のためのデバイス、システムおよび方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20241106BHJP
G06F 8/30 20180101ALI20241106BHJP
G06F 8/60 20180101ALI20241106BHJP
H04L 67/567 20220101ALI20241106BHJP
H04L 67/75 20220101ALI20241106BHJP
【FI】
G06F21/55 340
G06F8/30
G06F8/60
H04L67/567
H04L67/75
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024520637
(86)(22)【出願日】2022-12-21
(85)【翻訳文提出日】2024-04-23
(86)【国際出願番号】 US2022082167
(87)【国際公開番号】W WO2023129851
(87)【国際公開日】2023-07-06
(31)【優先権主張番号】63/294,570
(32)【優先日】2021-12-29
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVASCRIPT
2.PYTHON
(71)【出願人】
【識別番号】523454588
【氏名又は名称】ブルーボヤント エルエルシー
【氏名又は名称原語表記】BlueVoyant LLC
【住所又は居所原語表記】335 Madison Avenue, Suite 5G, New York, New York 10017 United States of America
(74)【代理人】
【識別番号】110000110
【氏名又は名称】弁理士法人 快友国際特許事務所
(72)【発明者】
【氏名】ドリアン ビアサン
(72)【発明者】
【氏名】チー ワイ オーイ
【テーマコード(参考)】
5B376
【Fターム(参考)】
5B376AB01
5B376BC31
(57)【要約】
セキュリティ情報およびイベント管理(「SIEM」)プロバイダサーバが本明細書に開示される。SIEMプロバイダサーバは、SIEM構成を自律的に生成し、テナントネットワークに提供することによって、テナントネットワークの代わりにネットワークセキュリティを強化するように構成される。SIEMプロバイダサーバは、プロセッサと、プロセッサによって実行されると、プロセッサに、テナントネットワークに関連付けられたSIEMアーチファクトをコンテンツリポジトリから自律的に取得させ、SIEMアーチファクトを含むテナントネットワークのためのテナント固有のSIEM構成を生成させ、テナント固有のSIEM構成をテナント固有のリポジトリに導入させる、マネージドセキュリティサービスプロバイダ(MSSP)管理システムを格納するように構成されたメモリとを含む。
【選択図】図2
【選択図】図2
【特許請求の範囲】
【請求項1】
SIEM構成を自律的に生成し、テナントネットワークに提供することによって、前記テナントネットワークの代わりにネットワークセキュリティを強化するように構成されたセキュリティ情報およびイベント管理(「SIEM」)プロバイダサーバであって、前記SIEMプロバイダサーバが、プロセッサと、メモリであって、前記メモリが、前記プロセッサによって実行されると、前記プロセッサに、複数のウィジェットであって、前記複数のウィジェットのうちの少なくとも一つのウィジェットが、前記テナントネットワークに関連付けられる、複数のウィジェットを表示するグラフィカルユーザインターフェースを提供させ、
前記SIEMプロバイダサーバに通信可能に結合されたコンテンツリポジトリから、前記テナントネットワークに関連付けられたSIEMアーチファクトを自律的に取得させ、
前記SIEMアーチファクトを含む前記テナントネットワークに対するテナント固有のSIEM構成であって、前記テナント固有のSIEM構成が、セキュリティイベントについて前記テナントネットワークを継続的に監視し、セキュリティイベントを検出すると、前記テナントネットワークを保護するために自律的に措置を講じるように構成される、テナント固有のSIEM構成を生成させ、
前記テナントネットワーク上の構成のために、前記テナントネットワークに関連付けられたテナント固有のリポジトリに、前記テナント固有のSIEM構成を導入させる、マネージドセキュリティサービスプロバイダ(「MSSP」)管理プラットフォームを実装する機械実行可能命令を格納するように構成される、メモリと、を備える、SIEMプロバイダサーバ。
【請求項2】
前記テナントネットワークが、複数のテナントネットワークのうちの一つであり、前記テナント固有のSIEM構成が、前記SIEMプロバイダサーバによって生成される複数のテナント固有のSIEM構成のうちの一つであり、前記SIEMプロバイダサーバが、前記複数のテナントネットワークの各テナントネットワークの代わりに、前記複数のSIEM構成の各SIEM構成を同時に導入および更新するように構成される、請求項1に記載のSIEMプロバイダサーバ。
【請求項3】
前記措置が、前記テナントネットワークから疑わしいアカウントを自律的に除去することを含む、請求項1に記載のSIEMプロバイダサーバ。
【請求項4】
前記ターゲットテナントが、前記テナント固有のSIEM構成を前記テナント固有のリポジトリから引き出すように構成される、請求項1に記載のSIEMプロバイダサーバ。
【請求項5】
前記MSSP管理プラットフォームが、前記テナント固有のSIEM構成を前記テナント固有のリポジトリから前記ターゲットテナントにプッシュするように構成される、請求項1に記載のSIEMプロバイダサーバ。
【請求項6】
前記テナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されたスクリプトを生成するように構成されたスクリプトエンジンをさらに備える、請求項1に記載のSIEMプロバイダサーバ。
【請求項7】
前記スクリプトがリポジトリコミットコマンドである、請求項6に記載のSIEMプロバイダサーバ。
【請求項8】
前記プロセッサによって実行されると、前記MSSP管理プラットフォームが、前記プロセッサにさらに、前記スクリプトエンジンによって開始された少なくとも一つのクエリに対する応答を受信させ、
前記SIEM構成が、前記受信した応答に基づいて、テナント開始変更を含むと判定させ、
既存のテナント固有のSIEM構成に対するテナント開始変更を拒否することを自律的に決定させる、請求項6に記載のSIEMプロバイダサーバ。
【請求項9】
セキュリティ情報およびイベント管理(「SIEM」)プロバイダサーバを介して、SIEM構成を自律的に生成し、テナントネットワークに提供することによって、前記テナントネットワークに代わってネットワークセキュリティを強化する方法であって、グラフィカルユーザインターフェースを介して、複数のウィジェットであって、前記複数のウィジェットのうちの少なくとも一つのウィジェットが、前記テナントネットワークに関連付けられている、複数のウィジェットを表示することと、
前記SIEMプロバイダサーバ上にホストされるスクリプトエンジンを介して、前記SIEMプロバイダサーバに通信可能に結合されたコンテンツリポジトリから、前記テナントネットワークに関連付けられたSIEMアーチファクトを自律的に取得することと、
前記SIEMプロバイダサーバを介して、前記SIEMアーチファクトを含む前記テナントネットワークに対するテナント固有のSIEM構成を生成することと、
前記SIEMプロバイダサーバを介して、前記SIEMプロバイダサーバに通信可能に結合されたテナント固有のリポジトリを介して、前記テナント固有のSIEM構成を前記テナントネットワークに導入することと、
前記SIEM構成を介して、セキュリティイベントについて前記テナントネットワークを継続的に監視することと、
前記SIEM構成を介して、セキュリティイベントを検出すると、前記テナントネットワークを保護するために自律的に措置を講じることと、を含む、方法。
【請求項10】
前記テナントネットワークが、複数のテナントネットワークのうちの一つであり、前記テナント固有のSIEM構成が、前記SIEMプロバイダサーバによって生成される複数のテナント固有のSIEM構成のうちの一つであり、前記方法が、前記SIEMプロバイダサーバを介して、前記複数のSIEM構成の各SIEM構成を、前記複数のテナントネットワークの各テナントネットワークに同時に導入することと、
前記SIEMプロバイダサーバを介して、前記複数のテナントネットワークの各テナントネットワークの代わりに、前記複数のSIEM構成の各SIEM構成を同時に更新することと、をさらに含む、請求項9に記載の方法。
【請求項11】
前記措置を自律的に講じることが、前記SIEM構成を介して、前記テナントネットワークから疑わしいアカウントを自律的に除去することを含む、請求項9に記載の方法。
【請求項12】
前記ターゲットテナントを介して、前記テナント固有のSIEM構成を前記テナント固有のリポジトリから引き出すことをさらに含む、請求項9に記載の方法。
【請求項13】
前記SIEMプロバイダサーバを介して、前記テナント固有のSIEM構成を前記テナント固有のリポジトリから前記ターゲットテナントにプッシュすることをさらに含む、請求項9に記載の方法。
【請求項14】
スクリプトエンジンを介して、前記テナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されたスクリプトを自律的に生成することをさらに含む、請求項9に記載の方法。
【請求項15】
前記スクリプトがリポジトリコミットコマンドである、請求項9に記載の方法。
【請求項16】
前記SIEMプロバイダサーバを介して、前記スクリプトエンジンによって開始された少なくとも一つのクエリに対する応答を受信することと、前記SIEMプロバイダサーバを介して、前記SIEM構成が、前記受信した応答に基づいてテナント開始変更を含むと判定することと、
前記SIEMプロバイダサーバを介して、既存のテナント固有のSIEM構成に対するテナント開始変更を拒否するように自律的に決定することと、をさらに含む、請求項14に記載の方法。
【請求項17】
ネットワークセキュリティを強化するためのシステムであって、集中型コンテンツリポジトリと、
複数のテナント固有のリポジトリと、
複数のクライアントをホストするように構成された複数のテナントと、
前記複数のテナントに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、前記SIEMプロバイダサーバが、プロセッサと、メモリであって、前記メモリが、前記プロセッサによって実行されると、前記プロセッサに、
複数のウィジェットであって、前記複数のウィジェットの各ウィジェットが、前記複数のテナントのうちの一つのテナントに関連付けられる、複数のウィジェットを表示するグラフィカルユーザインターフェースを提供させ、
前記グラフィカルユーザインターフェースを介して、前記複数のテナントのうちのターゲットテナントに関連付けられたユーザ入力を受信させ、
前記ターゲットテナントに関連付けられたSIEMアーチファクトを前記コンテンツリポジトリから自律的に取得させ、
前記SIEMアーチファクトを含む前記ターゲットテナントに対するテナント固有のSIEM構成であって、前記テナント固有のSIEM構成が、セキュリティイベントについて前記ターゲットテナントを継続的に監視し、セキュリティイベントを検出すると、前記ターゲットテナントを保護するために自律的に措置を講じるように構成される、テナント固有のSIEM構成を生成させ、
前記テナント固有のSIEM構成を、前記ターゲットテナントに関連付けられた前記複数のテナント固有のリポジトリのうちの一つのテナント固有のリポジトリに導入させる、マネージドセキュリティサービスプロバイダ(「MSSP」)管理プラットフォームを格納するように構成される、メモリと、を備える、SIEMプロバイダサーバと、を備える、システム。
【請求項18】
前記テナント固有のSIEM構成が、前記複数のテナントの各テナントについて、前記SIEMプロバイダサーバを介して生成される複数のテナント固有のSIEM構成のうちの一つであり、前記SIEMプロバイダサーバが、前記複数のテナントの各テナントの代わりに、前記複数のテナント固有のSIEM構成を同時に導入および更新するように構成される、請求項17に記載のシステム。
【請求項19】
前記ターゲットテナントを保護する前記措置が、前記ターゲットテナントのネットワークから疑わしいアカウントを自律的に除去することを含む、請求項17に記載のシステム。
【請求項20】
前記SIEMプロバイダサーバの前記メモリが、前記プロセッサによって実行されると、前記プロセッサに、前記複数のテナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されたスクリプトを生成させる、スクリプトエンジンを格納するようにさらに構成される、請求項17に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2021年12月29日に出願された、「DEVICES,SYSTEMS,AND METHODS FOR PROVISIONING AND UPDATING SECURITY INFORMATION & Event MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS」と題する、米国仮特許出願第63/294,570号に関し、その開示は、参照によりその全体が本明細書に組み込まれる。
本出願は、2021年12月29日に出願された、「DEVICES,SYSTEMS,AND METHODS FOR PROVISIONING AND UPDATING SECURITY INFORMATION & Event MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS」と題する、米国仮特許出願第63/294,570号に関し、その開示は、参照によりその全体が本明細書に組み込まれる。
【0002】
本開示は、概してネットワークセキュリティに関連し、より詳細には、セキュリティ情報およびイベント管理(SIEM)クライアント更新を発行するための改善されたデバイス、システム、および方法を対象とする。
【発明の概要】
【0003】
以下の概要は、本明細書に開示される態様に特有の革新的な特徴の一部の理解を容易にするために提供されており、完全な説明を意図するものではない。様々な態様の完全な理解は、明細書、特許請求の範囲、および要約全体を取ることによって得ることができる。
【0004】
様々な態様では、セキュリティ情報およびイベント管理(「SIEM」)プロバイダサーバが、開示される。SIEMプロバイダサーバは、SIEM構成を自律的に生成し、テナントネットワークに提供することによって、テナントネットワークの代わりにネットワークセキュリティを強化するように構成され得る。SIEMプロバイダサーバは、プロセッサと、プロセッサによって実行されると、プロセッサに、テナントネットワークに関連付けられたSIEMアーチファクトをコンテンツリポジトリから自律的に取得させ、SIEMアーチファクトを含むテナントネットワークに対するテナント固有のSIEM構成を生成させ、テナント固有のSIEM構成をテナント固有のリポジトリに導入させる、マネージドセキュリティサービスプロバイダ(「MSSP」)管理システムを格納するように構成されたメモリと、を含み得る。
【0005】
様々な態様では、テナントネットワークの代わりにネットワークセキュリティを強化する方法が開示される。方法は、SIEM構成を自律的に生成し、セキュリティ情報およびイベント管理(「SIEM」)プロバイダサーバを介してテナントネットワークに提供することと、グラフィカルユーザインターフェースを介して、複数のウィジェットのうちの少なくとも一つのウィジェットが、テナントネットワークに関連付けられる、複数のウィジェットを表示することと、SIEMプロバイダサーバを介して、SIEMプロバイダサーバに通信可能に結合されたコンテンツリポジトリからのテナントネットワークに関連付けられたSIEMアーチファクトを自律的に取得することと、SIEMプロバイダサーバを介して、SIEMアーチファクトを含むテナントネットワークに対するテナント固有のSIEM構成を生成することと、SIEMプロバイダサーバを介して、SIEMプロバイダサーバに通信可能に結合されたテナント固有のリポジトリを介して、テナントネットワークへのテナント固有のSIEM構成を導入することと、SIEM構成を介してセキュリティイベントについてテナントネットワークを継続的に監視することと、SIEM構成を介してセキュリティイベントを検出すると、テナントネットワークを保護するため自律的に措置を講じることと、を含み得る。
【0006】
様々な態様では、ネットワークセキュリティを強化するためのシステムが開示される。システムは、集中型コンテンツリポジトリと、複数のテナント固有のリポジトリと、複数のクライアントをホストするように構成された複数のテナントと、複数のテナントに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、SIEMプロバイダサーバは、プロセッサと、プロセッサによって実行されると、プロセッサに、複数のウィジェットのうちの各ウィジェットが、複数のテナントのうちの一つのテナントに関連付けられる、複数のウィジェットを表示するグラフィカルユーザインターフェースを提供させ、グラフィカルユーザインターフェースを介して、複数のテナントのうちのターゲットテナントに関連付けられるユーザ入力を受信させ、ターゲットテナントに関連付けられたSIEMアーチファクトをコンテンツリポジトリから自律的に取得させ、テナント固有のSIEM構成が、セキュリティイベントについてターゲットテナントを継続的に監視し、セキュリティイベントを検出すると、ターゲットテナントを保護するために自律的に措置を講じるように構成される、SIEMアーチファクトを含むターゲットテナントのためのテナント固有のSIEM構成を生成させ、テナント固有のSIEM構成を、ターゲットテナントに関連付けられた複数のテナント固有のリポジトリのテナント固有のリポジトリに導入させる、MSSP管理プラットフォームを格納するように構成されているメモリと、を含む、SIEMプロバイダサーバと、を含み得る。
【0007】
これらとその他の物体、機能、および本発明の特性ならびに操作方法、関連する構造要素の機能、部品の組み合わせ、製造の経済は、以下の記述、および添付の図面を参照する添付の特許請求の範囲を考慮すると、より明らかになり、それらすべては本明細書の一部を形成し、同様の参照符号は、様々な図において対応する部分を示す。しかしながら、図面は例示および説明のみを目的としており、本発明の限界の定義として意図されていないことが明示的に理解されるべきである。
【図面の簡単な説明】
【0008】
本明細書に記載される態様の様々な特徴が、添付の特許請求の範囲に詳細に記載されている。しかしながら、組織、および運用方法の両方に関する様々な態様、ならびにその利点は、以下の通り添付図面と共に以下の説明に従って理解され得る。
【0009】
【0010】
【0011】
【0012】
対応する参照符号は、いくつかの図全体にわたり対応する部品を示す。本明細書に記載する実施例は、本発明の様々な態様を一つの形態で例示するものであり、こうした実施例は、任意の方法で本発明の範囲を限定するものとして解釈されるべきではない。
【発明を実施するための形態】
【0013】
本願の出願人は、以下の米国仮特許出願を所有し、その各開示は参照によりその全体が本明細書に組み込まれる。
-2021年12月30日に出願された、 DEVICES,SYSTEMS,AND METHODS FOR STREAMLINING AND STANDARDIZING THE INGEST OF SECURITY DATA ACROSS MULTIPLE TENANTSと題する、米国仮特許出願第63/295,150号、
-2022年1月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR REMOTELY MANAGING ANOTHER ORGANIZATION’S SECURITY ORCHESTRATION,AUTOMATION,AND RESPONSEと題する、米国仮特許出願第63/302,828号、
-2022年2月24日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTION BASED ON DOMAIN REDIRECTSと題する、米国仮特許出願第63/313,422号、
-2022年5月12日に出願された、DEVICES,SYSTEMS,AND METHODS FOR SUMMARIZING ANALYTIC OBSERVATIONSと題する、米国仮特許出願第63/341,264号、
-2022年5月20日に出願された、DEVICES,SYSTEMS,AND METHODS FOR INGESTING & ENRICHING SECURITY INFORMATION TO AUTONOMOUSLY SECURE A PLURALITY OF TENANT NETWORKSと題する、米国仮特許出願第63/344,305号、
-2022年5月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON A DEMOCRATIC MATCHING ALGORITHMと題する、米国仮特許出願第63/345,679号、
-2022年6月3日に出願された、DEVICES,SYSTEMS,AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED,AND SYNERGISTIC DEPLOYMENT NEEDSと題する、国際特許出願第PCT/US22/72739号、
-2022年6月3日に出願された、DEVICES,SYSTEMS,AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、国際特許出願第PCT/US22/72743号、
- 2022年6月3日に出願された、DEVICES,METHODS,AND SYSTEMS FOR GENERATING A HIGHLY -SCALABLE,EFFICIENT COMPOSITE RECORD INDEXと題する米国仮特許出願第63/365,819号
-2022年6月21日に出願された、DEVICES,SYSTEMS,AND METHODS FOR CATEGORIZING,PRIORITIZING,AND MITIGATING CYBER SECURITY RISKSと題する米国仮特許出願第63/353,992号、
-2022年6月23日に出願された、DEVICES,SYSTEMS,AND METHOD FOR GENERATING AND USEING A QUERYABLE INDEX IN A CYBER DATA MODEL TO ENHANCE NETWORK SECURITYと題する、米国仮特許出願第63/366,903号、
-2022年7月15日に出願された、DEVICES,SYSTEMS,AND METHODS FOR UTWORKED,COMPUTER-ASSISED,THREAT HUNTING PLATFORM TO ENHANCE NETWORK SECURITYと題する、米国仮特許出願第63/368,567号、
-2022年7月27日に出願された、AUTONOMOUS THREAT SCORING AND SECURITY ENHANCEMENTと題する、米国仮特許出願第63/369,582号、
-2022年9月27日に出願された、DEVICES,SYSTEMS,AND METHODS FOR CONULOUSLY ENHANCING THE IMPLEMENT OF CODE CHANGES VIA ENRICHED PIPELINESと題する、米国仮特許出願第63/377,304号。
-2021年12月30日に出願された、 DEVICES,SYSTEMS,AND METHODS FOR STREAMLINING AND STANDARDIZING THE INGEST OF SECURITY DATA ACROSS MULTIPLE TENANTSと題する、米国仮特許出願第63/295,150号、
-2022年1月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR REMOTELY MANAGING ANOTHER ORGANIZATION’S SECURITY ORCHESTRATION,AUTOMATION,AND RESPONSEと題する、米国仮特許出願第63/302,828号、
-2022年2月24日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTION BASED ON DOMAIN REDIRECTSと題する、米国仮特許出願第63/313,422号、
-2022年5月12日に出願された、DEVICES,SYSTEMS,AND METHODS FOR SUMMARIZING ANALYTIC OBSERVATIONSと題する、米国仮特許出願第63/341,264号、
-2022年5月20日に出願された、DEVICES,SYSTEMS,AND METHODS FOR INGESTING & ENRICHING SECURITY INFORMATION TO AUTONOMOUSLY SECURE A PLURALITY OF TENANT NETWORKSと題する、米国仮特許出願第63/344,305号、
-2022年5月25日に出願された、DEVICES,SYSTEMS,AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON A DEMOCRATIC MATCHING ALGORITHMと題する、米国仮特許出願第63/345,679号、
-2022年6月3日に出願された、DEVICES,SYSTEMS,AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED,AND SYNERGISTIC DEPLOYMENT NEEDSと題する、国際特許出願第PCT/US22/72739号、
-2022年6月3日に出願された、DEVICES,SYSTEMS,AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTSと題する、国際特許出願第PCT/US22/72743号、
- 2022年6月3日に出願された、DEVICES,METHODS,AND SYSTEMS FOR GENERATING A HIGHLY -SCALABLE,EFFICIENT COMPOSITE RECORD INDEXと題する米国仮特許出願第63/365,819号
-2022年6月21日に出願された、DEVICES,SYSTEMS,AND METHODS FOR CATEGORIZING,PRIORITIZING,AND MITIGATING CYBER SECURITY RISKSと題する米国仮特許出願第63/353,992号、
-2022年6月23日に出願された、DEVICES,SYSTEMS,AND METHOD FOR GENERATING AND USEING A QUERYABLE INDEX IN A CYBER DATA MODEL TO ENHANCE NETWORK SECURITYと題する、米国仮特許出願第63/366,903号、
-2022年7月15日に出願された、DEVICES,SYSTEMS,AND METHODS FOR UTWORKED,COMPUTER-ASSISED,THREAT HUNTING PLATFORM TO ENHANCE NETWORK SECURITYと題する、米国仮特許出願第63/368,567号、
-2022年7月27日に出願された、AUTONOMOUS THREAT SCORING AND SECURITY ENHANCEMENTと題する、米国仮特許出願第63/369,582号、
-2022年9月27日に出願された、DEVICES,SYSTEMS,AND METHODS FOR CONULOUSLY ENHANCING THE IMPLEMENT OF CODE CHANGES VIA ENRICHED PIPELINESと題する、米国仮特許出願第63/377,304号。
【0014】
多数の具体的な詳細が、本開示に記載され、添付図面に図示される態様の全体的な構造、機能、製造、および使用についての完全な理解を提供するために記載される。周知の動作、構成要素、および要素は、本明細書に記述される態様を不明瞭にしないように、詳細に説明されていない。読み手は、本明細書に説明および図示される態様が非限定的な態様であることを理解するであろう。したがって、本明細書に開示される特定の構造および機能の詳細は、代表的および例示的であり得ることが理解されよう。特許請求の範囲から逸脱することなく、変更および変更を行うことができる。さらに、そのような用語は、「前方」、「後方」、「左」、「右」、「上方」、「下方」、および類似の用語は、利便性の用語であり、限定用語として解釈されるべきではないことが理解されるべきである。
【0015】
多数の具体的な詳細が、本開示に記載され、添付図面に図示される態様の全体的な構造、機能、製造、および使用についての完全な理解を提供するために記載される。周知の動作、構成要素、および要素は、本明細書に記述される態様を不明瞭にしないように、詳細に説明されていない。読み手は、本明細書に説明および図示される態様が非限定的な態様であることを理解するであろう。したがって、本明細書に開示される特定の構造および機能の詳細は、代表的および例示的であり得ることが理解されよう。特許請求の範囲から逸脱することなく、変更および変更を行うことができる。さらに、そのような用語は、「前方」、「後方」、「左」、「右」、「上方」、「下方」、および類似の用語は、利便性の用語であり、限定用語として解釈されるべきではないことが理解されるべきである。
【0016】
以下の説明では、同様の参照符号は、図面のいくつかの図を通して同様の部品または対応する部品を示す。また、以下の説明では、そのような用語は、「前方」、「後方」、「左」、「右」、「上方」、「下方」などは、利便性の用語であり、限定用語として解釈されるべきではないことが理解されるべきである。
【0017】
本明細書に開示するシステムの様々な態様および方法を詳細に説明する前に、例示的態様は、添付図面および説明に開示する詳細への適用または使用に限定されないことに留意されたい。当然のことながら、例示的な態様は、他の態様、変形、および修正において実装または組み込まれてもよく、様々な方法で実践または実施されてもよい。さらに、別段の示唆が無い限り、本明細書で使用される用語および表現は、読者の利便性のために例示的な態様を説明する目的で選択されており、その限定を目的としていない。例えば、本明細書に開示する特定の製造業者、ソフトウェアスイート、アプリケーション、または開発プラットフォームへの任意の参照は、本開示の多くの態様のいくつかを例示することを単に意図するに過ぎないことが理解されよう。これには、商標に関するあらゆる参照が含まれる。したがって、本明細書に開示されるデバイス、システム、および方法は、任意の使用目的および/またはユーザの好みに従って、任意のソフトウェア更新を強化するために実装できることが理解されるべきである。
【0018】
本明細書で使用される場合、用語「サーバ」は、インターネットまたは任意のパブリックネットワークもしくはプライベートネットワークなどのネットワーク環境で、複数の当事者のために通信および処理によって操作されるか、またはそれらを容易にする、一つ以上のコンピューティングデバイスを指すか、またはそれを含み得る。本明細書で使用される場合、「サーバ」または「プロセッサ」への言及は、以前のステップまたは機能、異なるサーバ、および/またはプロセッサ、および/またはサーバの組み合わせ、および/またはプロセッサの組み合わせを実行すると列挙される、以前に列挙されたサーバおよび/またはプロセッサを指し得る。
【0019】
本明細書で使用される場合、「テナント(tenant)」という用語は、マネージドセキュリティサービスプロバイダ(「MSSP」)によって管理される一つ以上のクライアント組織を指し得る。テナントは、イントラネットなどのネットワークを管理するように構成された一つ以上のサーバを含むことができ、それによって多数のクライアントインスタンスが接続される。例えば、本明細書で使用される場合、「クライアント」または「クライアントインスタンス」は、テナントのネットワークに接続されたコンピューティングデバイス(例えば、ラップトップ、デスクトップコンピュータ、携帯電話など)を含み得る。一部の非限定的な態様によれば、「クライアント」または「クライアントインスタンス」は、仮想プライベートネットワーク(VPN)接続を介して接続される、ソフトウェアエージェント、またはテナントのネットワークの外部のコンピューティングデバイスであり得る。
【0020】
本明細書で使用される場合、用語「定数」は、アラートの発行中に変化しない一つ以上のSIEM関数を指し得る。例えば、定数には、特にAzure Sentinel Log Analytics関数を含めることができる。一部の非限定的な態様によれば、定数は、個々のクライアントの好みおよび/または要件に従って、具体的に構成され得る。例えば、本明細書で説明したように、アラートルールは、すべてのクライアントの導入に対して同じであってもよい。しかしながら、本明細書に開示する装置の使用、システム、および方法は、クライアント固有の定数を使用して、各特定のクライアントに対するアラートの管理方法を「微調整」することができる。言い換えれば、各定数は、特定のプロトコル、アカウントなどの、アラートルールがそれらの定数を別々に管理する(例えば、それらをスキップする)ホワイトリストを含んでもよい。
【0021】
本明細書で使用される場合、用語「ネットワーク」は、テナントが導入する企業情報技術(IT)システム全体を含むことができる。例えば、ネットワークは、任意の物理的および/または無線接続によって接続され、他の一つ以上のノードと情報を通信および共有するよう構成される、二つ以上のノード(例えば、アセット)のグループを含み得る。ただし、ネットワークという用語は、任意の特定のノード、またはそれらのノードを接続する任意の特定の手段に限定されるものではない。ネットワークは、イーサネット、イントラネット、および/またはエクストラネットに接続し、各デバイスの物理的な場所に関係なく、アドホック接続(例えば、Bluetooth(登録商標)、近距離無線通信(NFC)など)、ローカルエリア接続(「LAN」)、無線ローカルエリアネットワーク(「WLAN」)、および/または仮想プライベートネットワーク(「VPN」)を介して互いに通信するよう構成されたアセット(例えば、デバイス、サーバ、デスクトップコンピュータ、ラップトップコンピュータ、パーソナルデジタルアシスタント、携帯電話、ウェアラブル、スマート家電、など)の任意の組み合わせを含むことができる。ネットワークには、デバイスによって配備されるか、またはその他の方法でファイアウォール、電子メールクライアント、文書管理システム、オフィスシステムなどの企業ITシステムによって利用される、任意のツール、アプリケーション、および/またはサービスがさらに含まれ得る。一部の非限定的な態様では、「ネットワーク」は、第三者によって所有および制御されているが、テナントが企業ITシステムにアクセスすることを承認されている、第三者デバイス、アプリケーション、および/またはサービスを含む場合がある。
【0022】
本明細書で使用される場合、「プラットフォーム」という用語は、ソフトウェアアーキテクチャ、ハードウェアアーキテクチャ、および/またはそれらの組み合わせを含み得る。プラットフォームは、スタンドアローンのソフトウェア製品、ネットワークアーキテクチャ、および/またはソフトウェア製品にその技術的利益を提供するために必要に応じて、ソフトウェアアーキテクチャおよび/またはハードウェアアーキテクチャ内に統合されるように構成されたソフトウェア製品のいずれかを含み得る。例えば、プラットフォームは、チップセット、プロセッサ、論理ベースのデバイス、メモリ、ストレージ、グラフィカルユーザインターフェース、グラフィックサブシステム、アプリケーション、および/または通信モジュール(例えば、トランシーバ)の任意の組み合わせを含み得る。言い換えれば、プラットフォームは、ソフトウェアによって提供される技術的利益を可能にするために必要なリソースを提供することができる。一部の非限定的な態様によれば、ソフトウェアによって提供される技術的利益は、エコシステムの物理的リソース、またはエコシステム内の物理的リソース(例えば、API、サービスなど)によって採用される他のソフトウェアに提供される。他の非限定的な態様によれば、プラットフォームは、共に機能するように意図され、かつ設計されたいくつかのソフトウェアアプリケーションのフレームワークを含み得る。
【0023】
セキュリティ情報およびイベント管理(「SIEM」)には、情報技術(IT)インフラ全体にわたり、多くの異なるリソースからの活動を集約および分析するように構成されたソフトウェアが含まれる。例えば、SIEMを実装して、複数のシステムからデータを集約し、そのデータを分析して、異常な行動または潜在的なサイバー攻撃を捕捉することができる。例えば、SIEMは、ネットワークデバイス、サーバ、ドメインコントローラなどからセキュリティデータを収集し得る。SIEMを実装して、そのデータを格納、正規化、集約、および分析を適用し、トレンドを検出し、脅威を検知し、組織が任意のアラートを調査できるようにし得る。既知のSIEMツールは、イベントの監視、データの収集、ネットワーク全体のセキュリティアラートの発行を含む、優れた機能を提供するが、このようなツールは、通常、実装する組織、すなわち、より具体的には、多くの場合は複雑であり得る特定のネットワークアーキテクチャに合わせてカスタマイズされる。したがって、SIEMは高価で、リソース集約的であり得、多くの場合、SIEMデータを用いて問題を解決することは困難であり得る。
【0024】
SIEMの一例は、広く使用されているクラウドベースのツールであるAzure Sentinelである。しかし、Azure Sentinelの導入には高度なスキルが必要であり、同時に非常に時間がかかるため、エラーが発生しやすい可能性がある。セキュリティソリューションを必要とする各組織には、取り込みログソース、検出/アラートルール、応答の自動化、レポートなど監視およびアラートに関する特別なニーズがある。マイクロソフト(MSFT)は多くの場合、複数のクライアントを管理するためにセキュリティサービスプロバイダ(「MSSP」)によって使用されるが、アーチファクト(例えば、リソースグループ、ログ分析ワークスペース、アラートルール、ワークブック、プレイブックなど)の初期構成、導入、および継続的なメンテナンスの複雑さは大幅に増大している。これにより、より高価なスペシャリストを採用しなければならないMSSPと、増加している費用の少なくとも一部を負担することが多いクライアントの両方にとって、高いコストが生じる可能性がある。ただし、多くの場合、さまざまなクライアントの一部の導入ニーズの間に重複がある。例えば、多くの組織が同様のファイアウォール監視ソリューションを必要としている可能性がある。こうした場合、資産の再利用および再導入(および更新)は、大幅なコスト削減および運用の簡素化につながる可能性がある。残念ながら、既知のSIEMツールは、こうした相乗効果を利用することは技術的に不可能である。そのため、初回のプロビジョニングからインシデント対応の自動化に至るまで、MSSPには、複数のクライアント間で再利用の機会が限定され、効率を捕捉することができない。
【0025】
さらに、拡張可能なSIEMサービスの必要性は、MSSPが新しいクライアントのセキュリティの監視を直ちに開始できるように、SIEMプラットフォームを迅速にプロビジョニングまたは構成する新たな必要性を伴う。構成されると、SIEMはまた、繰り返し(例えば、毎日、毎週、毎月など)および/またはアドホックベースで更新されなければならない。情報技術要件およびセキュリティ脅威が継続的に進化しているため、こうしたSIEM更新は、新しいクライアントニーズ(例えば、新しいログソース)に対応することができ、新しいセキュリティコンテンツ(例えば、アラート、プレイブックなど)を含める必要がある。したがって、複数のテナントに対するSIEMアーチファクトをプロビジョニングおよび更新するための改善されたデバイス、システム、および方法に対するニーズがある。こうした改善は、規模にかかわらず、複数のテナントに対するSIEMをプロビジョニングおよび更新するように構成されたハイブリッドプラットフォームを介して提供され得る。プラットフォームは、スクリプトの手動改訂を必要とせずに、グラフィカルユーザインターフェースによって生成および維持される一つ以上のリポジトリおよびスクリプトインフラストラクチャを使用して、新規クライアントのためのSIEMを容易に構成し、既存のクライアントのためのSIEMを管理することができるべきである。言い換えれば、本明細書に開示されるシステムおよびプラットフォームは、高度なオペレータの専門知識を必要とすることなく、大規模な運用を可能にするために完全に自動化されるべきである。したがって、こうしたシステムおよびプラットフォームは、従来のMSSPおよびSIEMプラットフォームによって必要とされる保守および費用のレベルを低減することができる。
【0026】
本開示は、こうしたデバイス、システム、および方法を想定しており、それらすべては、従来のMSSPおよびSIEMプラットフォームよりも多くの技術的利益を提供する。例えば、従来のMSSPデバイス、システム、および方法は、SIEMサービスを数百(数千ではないにしても)のテナントネットワークに提供できるように、MSSPプラットフォームをシームレスに拡張するために必要な自動化、アーチファクト、およびインターフェースを欠いている。むしろ、従来のMSSPデバイス、システム、および方法は、手動による統合と管理を必要とし、すなわち、それらは効率が悪く、より高価である。さらに、従来のMSSPデバイス、システム、および方法は、各テナントネットワークが、MSSPによって採用される手動リソースを共有する必要があり、各テナントネットワークの安全性を低下させる。対照的に、本明細書に開示されるデバイス、システム、および方法は高度に自動化されており、したがって、MSSPがテナントのネットワークおよびクライアントをリアルタイムで継続的に監視できるように構成されている。従来のMSSPデバイス、システム、および方法は、このような自動化を技術的に実行できないだけでなく、MSSPが手動で、数千ではなく数百ものテナントネットワークをリアルタイムで継続的に監視することは、不可能ではないとしても、非常に現実的ではない。本明細書に開示されるデバイス、システム、および方法は、適応可能であるように技術的にも構成されている。拡張性の高さと併せて、この適応性により、およびMSSPは、大量のテナント導入全体にわたり変更を追跡し、それらの変更に対する応答を監視し、同様に利益を得ることができる任意の適切なテナント導入に対して自律的に実装することができる。言い換えれば、従来的なMSSPの装置、システム、および方法は、本質的にセキュリティイベントの影響を受けやすく、したがって、本明細書に開示される装置、システム、および方法よりも技術的に安全ではない。
【0027】
例えば、デバイス、システム、および本明細書に開示される方法は、(1)本明細書で「sentinel-in-a-Box」と呼ばれるべき各種Sentinelアーチファクト(例えば、リソースグループ、ログ分析ワークスペース、データコネクタ、アラートルール、プレイブック、ワークブック、など)のソリューションバンドル(例えば、JavaScript Object Notation(「JSON」)ベースのバンドル、Yet Another Markup Language(「YAML」)バンドル、JavaScriptバンドル、Pythonバンドルなど)に動的にプラグインする手段、(2)所望のsentinel-in-a-boxバンドルを選択するための、承認されたユーザのための視覚的インターフェース、(3)すべての必要なアーチファクト(例えば、リソースグループ、ログ分析ワークスペース、など)を本質的に作成し、適切なデータコネクタ(選択したバンドルに固有の)を構成し、特定のバンドルされた構成によって必要に応じて、ソリューションに必要な分析/アラートルール、および任意のプレイブック、ワークブック、クエリを作成する、選択されたバンドルをユーザの所望のSIEMサブスクリプションに「導入する」ためのアクションボタン、(4)特定のバンドルに対して構成されたアラート/検出によってトリガされるイベントに応答して、明確に定義された自動化ルールで、新しいクライアントをオンボードするバックエンドサービスオペレーティングセンタ(SOC)を構成、および(5)クライアントのAzure環境(例えば、Azure Lighthouse、などを介して)にアクセスできるサービスプロバイダがバンドルをクライアントに代わってクライアントの各ワークスペースに導入できる、MSSP/CSPモデルを提供できる。したがって、バンドルプロバイダは、特定のアラート/インシデントに対応する、クライアントワークスペースによる十分なフィルタリングにより、MSSP/CSPとの関係のみを管理する。これは、請求の効率化、サポート、および不必要なクライアントとのやり取りの回避に重要となる可能性がある。
【0028】
ここで図1を参照すると、SIEM更新を強化するように構成されたシステム1000の図が、本開示の少なくとも一つの非限定的態様に従って示されている。例えば、一部の非限定的な態様によれば、図1のシステム1000は、2021年6月4日に出願された、「DEVICES,SYSTEMS,AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS」と題する、米国仮特許出願第63/196,991号、に開示されたものと類似する。図1の非限定的な態様によれば、システム1000は、図2を参照してさらに論じられるように、SIEM管理アプリケーション102を格納するように構成されたメモリ1006および格納されたSIEM管理アプリケーション102を実行するように構成されたプロセッサ1004を備えるSIEMプロバイダサーバ1002を含み得る。例えば、SIEMプロバイダサーバ1002は、MSSPによって所有またはリースされる計算リソースであってもよい。SIEMプロバイダサーバ1002は、ネットワーク1008を介して、複数のテナント1010a、1010b~1010nに通信可能に結合することができる。複数の各テナント10101、10102~1010nは、MSSPと契約している顧客(例えば、組織)を表すことができる。図1の非限定的な態様によれば、ネットワーク1008は、任意の様々な有線、長距離無線、および/または短距離無線ネットワークを含み得る。例えば、ネットワーク1008は、内部イントラネット、ローカルエリアネットワーク(LAN)、WiFi(登録商標)、セルラーネットワーク、近距離無線通信(以下、NFC)などを含む。
【0029】
さらに図1を参照すると、複数の各テナント10101、10102~1010nは、一つ以上のクライアント1012、1014、1016の一つ以上のインスタンスをホストすることができる。例えば、第一のテナント10101は、一つ以上のクライアントアプリケーション10121、10122~1012nを実装する一つ以上の機械を含んでもよく、第二のテナント10102は、一つ以上のクライアントアプリケーション10141、10142~1014nを実装する一つ以上の機械を含んでもよく、および/または第三のテナント1010nは、一つ以上のクライアントアプリケーション10161、10162~1016nを実装する一つ以上の機械を含んでもよい。各テナント10101、10102、および1010nは、例えば、各テナント10101、10102、および1010nが、セキュリティサービスのためにMSSPと契約する組織などの顧客をそれぞれ表すことができる、各機械がクライアントアプリケーションを実装するイントラネットを含むことができる。したがって、SIEMプロバイダサーバ1002は、複数の各テナント10101、10102、および1010nの監視を有するように構成することができ、それゆえ、脅威に対して各クライアントアプリケーション1012、1014、および1016を監視し、管理する責任を負う。前述したように、テナント10101、10102、および1010nアーキテクチャにおける差異および複雑さは、これを複雑にし、MSSPにとって非効率にすることができる。したがって、既知のSIEMツールは、テナント10101、10102、および1010nを攻撃に対して技術的に晒された、従って、脆弱なままにし得る。本開示の非限定的な態様によれば、SIEMプロバイダサーバ1002は、相関性および相乗的な開発ニーズに基づいて複数のテナントに対するSIEMプロバイダサーバ1002の管理能力およびアラートの送信能力、ならびにクライアントアプリケーションの更新能力を強化することによって、技術的に、および実践的にこれらの欠陥に対処するSIEM管理アプリケーション102を実装できる。
【0030】
ここで図2を参照すると、図1のシステム1000によって採用される導入アーキテクチャ2000が、本開示の少なくとも一つの非限定的態様に従って示されている。図2の非限定的な態様によれば、ユーザ2002(例えば、MSSP)は、ユーザ2002が複数のテナント10101~n(図1)のためのSIEMのプロビジョニングおよび/または更新を開始することができる複数のウィジェット2006a~e、2008a~eを備えるグラフィカルユーザインターフェースを含むMSSPプラットフォーム2004にアクセスできる。MSSPプラットフォーム2004は、SIEMプロバイダサーバ1002(図1)のメモリ1006に格納され得、SIEMプロバイダサーバ1002(図1)のプロセッサ1004(図1)によって実行されるとき、グラフィカルユーザインターフェースは、SIEMプロバイダサーバ1002(図1)に通信可能に結合されたディスプレイ上に提示され得る。一部の非限定的な態様によれば、図2のMSSPプラットフォーム2004は、2021年6月3日に出願された、「DEVICES,SYSTEMS,AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED,AND SYNERGISTIC DEPLOYMENT NEEDS」と題する、米国仮特許出願第63/196,458号に開示されているものと類似し得る。しかしながら、図2のMSSPプラットフォーム2004は、本明細書にさらに詳細に記載されるように、強化されたSIEMのプロビジョニング、管理、および更新を容易にする代替的な機構を含み得る。言い換えれば、MSSP管理プラットフォーム2004は、複数のテナント10101~n(図1)にわたってセキュリティ活動およびイベントに関連付けられたデータ、トレンド、および/または異常を表示するように構成された視覚表現、すなわち「ダッシュボード」を含むことができる。アーキテクチャのシステムコンポーネント間の異なる通信線2022、2024が、さらに例示されている。例えば 第一の通信線2022は、2021年6月3日に出願された、「DEVICES,SYSTEMS,AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED,AND SYNERGISTIC DEPLOYMENT NEEDS」と題する、米国仮特許出願第63/196,458号に開示されたものなどのポータルとユーザが対話する、ハイブリッドベースのアプローチの一つの構成要素を示してもよく、その開示は、参照によりその全体が本明細書に組み込まれ、ターゲットSIEM内のコンテンツを直接プロビジョニングおよび管理する。他の通信線2024は、バックグラウンドプロセスを容易にすることができる。例えば、本開示の一つの非限定的な態様によれば、cronジョブなどのコマンドラインユーティリティは、テナント10101~n(図1)のSIEMを継続的に読み取るようにスケジュールされ得、そのテナント10101~n(図1)のSIEM(例えば、コンテンツリポジトリ2010などのクライアント固有のリポジトリに維持されるものに従って、導入されたSIEMアーチファクトを更新する)の状態を更新する。
【0031】
図2の非限定的な態様によれば、SIEMプロバイダサーバ1002(図1)は、MSSPプラットフォーム2004を介してユーザ2002によってアクセスされ得るコンテンツリポジトリ2010に通信可能に結合され得る。コンテンツリポジトリ2010は、MSSP管理プラットフォーム2004を介して、ユーザ2002がそのようなコンテンツを検索および取得することを可能にし得る。さらに、コンテンツリポジトリ2010は、MSSPプラットフォーム2004がテナント固有の構成のためにリポジトリ2010内のコンテンツに自律的にアクセス、相関、および実装できるように、MSSP管理プラットフォーム2004と能動的にインターフェースするように構成され得る。MSSPプラットフォーム2004は、コンテンツリポジトリ2010と併せて、テナント10101~n(図1)固有のSIEM導入のための利用可能なアーチファクト、SIEM導入のための利用可能な変更、および様々な他の導入タスクを可視化することができる。一部の非限定的な態様によれば、コンテンツリポジトリ2010は、クライアント固有であり得る。しかしながら、他の非限定的な態様によれば、コンテンツリポジトリ2010は、第三者(例えば、Splunk、Sentinel、GitHubなど)を介して提供され得る。いずれにしても、コンテンツリポジトリ2010は、アーチファクトおよび/またはSIEM構成および管理ソリューション(例えば、リソースグループ、ログ分析ワークスペース、データコネクタ、アラートルール、プレイブック、ワークブックなど)などのデジタルコンテンツを格納するように構成されたデータベースであり得る。例えば、アーチファクトは、2021年6月3日に出願された、その開示は参照によりその全体が本明細書に組み込まれる、「DEVICES,SYSTEMS,AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED,AND SYNERGISTIC DEPLOYMENT NEEDS」と題する、米国仮特許出願第63/196,458号に開示されたアラートルール、プレイブック、ワークブック、データコネクタ、および/またはパーサーを含むことができる。他の非限定的な態様によれば、アーチファクトには、相関関係、ダッシュボード、検索などのSplunkアーチファクトが含まれ得る。
【0032】
例えば、コンテンツリポジトリ2010は、ワークブックを格納することができ、ワークブックは、複数のテナント10101~n(図1)のクライアント1012a~n、1014a~n、1016a~nの各々に関連付けられたデータを可視化するのを支援し得る。追加的に、および/または代替的に、コンテンツリポジトリ2010は、セキュリティイベントおよび/またはアラートに応答して、SIEMプロバイダサーバ1002および/またはテナント10101~n(図1)によって実行され得るプレイブックまたはプロトコルを、MSSPプラットフォーム2004の方向に格納することができる。概して、SIEM構成2018は、テナント10101~n(図1)の各々に代わってネットワークを保護するように構成され得る。例えば、SIEM構成2018は、セキュリティイベントについてネットワークを監視し、ネットワークを保護するために措置を講じることができる。一部の非限定的な態様によれば、アクションは、MSSPユーザ2002および/またはテナント10101~n(図1)に対する管理アカウントに対してアラートを発行することを含んでもよい。しかしながら、一部の非限定的な態様によれば、SIEM構成2018は、一つまたは複数のアーチファクトに基づいて、テナント1010n~1ネットワークから疑わしいアカウントを識別および除去することができる。
【0033】
例えば、いくつかの非限定的な態様によれば、アーチファクトは、アラートルール(例えば、Sentinelアラート)または相関関係(例えば、Splunk相関関係)を含み得、それらのいずれかは、特定のログを、特定の異常について、設定されたスケジュールでクエリし、それに応じてSIEMにアラートし得る(例えば、アラートを発行し、および/またはルールおよび/または相関関係をトリガするとセキュリティインシデントを生成する)。本開示によって企図されるハイブリッドアプローチによれば、前述の機構は、本明細書に開示されるアーチファクトのいずれにも適用され得るが、特定のプロビジョニング詳細が減衰され得る(例えば、APIを使用して、アーチファクトをSIEMにプッシュすることができ、オンザフライ可変置換/カスタマイズを採用することができるなど)。
【0034】
前述のように、MSSP管理プラットフォーム2004は、ユーザ2002が複数のテナント10101~n(図1)に対してSIEMのプロビジョニングおよび/または更新を開始することができる、複数のウィジェット2006a~e、2008a~eを含むグラフィカルユーザインターフェースを含み得る。例えば、いくつかの非限定的な態様によれば、図2のMSSP管理プラットフォーム2004のグラフィカルユーザインターフェースは、2021年6月4日に出願された、「DEVICES,SYSTEMS,AND METHODS FOR STANDARDIZING AND STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION AND Event MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS」と題する、米国仮特許出願第63/196,991号に開示されているグラフィカルユーザインターフェースのいずれかと類似している。図2の非限定的な態様によれば、グラフィカルユーザインターフェースは、第一の複数のウィジェット2006a~eを含むことができ、第一の複数のウィジェット2006a~eの各ウィジェット2006a~eは、複数のテナント10101~n(図1)のテナント10101~n(図1)に対応する。さらに、グラフィカルユーザインターフェースは、第二の複数のウィジェット2008a~eを含むことができ、第二の複数のウィジェット2008a~eの各ウィジェット2008a~eは、複数のテナント10101~n(図1)の各テナント10101~n(図1)に対するSIEM構成および/またはSIEMステータスに対応する。
【0035】
図2をさらに参照すると、MSSP管理プラットフォーム2004およびSIEMプロバイダサーバ1002は、SIEM構成2018を一つ以上の新しいテナント10101~nのテナントネットワーク2020にプロビジョニングするように構成され得る(図1)。例えば、図2の非限定的な態様によれば、MSSP管理プラットフォーム2004は、所望のテナント10101~n(図1)プロファイル、ならびに選択されたテナント10101~n(図1)上の構成のためにコンテンツリポジトリ2010から導入する特定のアーチファクト(例えば、アラートルール、プレイブック、ワークブックなど)を選択および/または作成するようにユーザ2002に促すことができる。ユーザ2002から入力を受信すると、MSSP管理プラットフォーム2004は、必要なスクリプト、カスタマイズされたコンテンツ、および必要な任意の他のアーチファクトを自律的に生成し、テナント固有のリポジトリ2012に集約することができる。
【0036】
例えば、コンテンツリポジトリ2010は、アーチファクトのカタログ(例えば、アラートルール、ワークブックなど)を、ターゲットSIEMによって直接消費可能な形態で、またはポータルが直接変換(例えば、YAMLからJSON)を介してターゲットSIEMフォーマットに変換することを可能にする抽象化レベルのいずれかで格納することができる。他の非限定的な態様によれば、より複雑な変換は、ターゲットSIEMからクライアント固有の情報(例えば、サブスクリプション識別子、ワークスペース名、Sentinelのリソースグループ名など)を引き出し、変換中に必要なカスタマイズを行うことができる。ターゲットSIEMアーチファクトフォーマットが変化すると、変換は、一度更新され、各導入されたアーチファクトを手動で更新する必要なく、複数の全ての適用可能なテナント10101~n(図1)に自動的に適用され得る。本質的に、アーキテクチャ2000は、接続されたポータルが、ターゲットSIEM情報のすべてにアクセスし、取得することを可能にするため、アーチファクトタイプの定義されたマッピングおよび変換に基づいて、アーチファクトの準備は、複数のテナント10101~n(図1)にわたって完全に自動化され得る。したがって、各アーチファクトのインスタンス数にかかわらず、アーキテクチャ2000は、テナント10101~n(図1)のアイデンティティに関係なく、多数の(例えば、500の)アラートルールを同時に準備および導入することができる(例えば、クライアント固有の値は、カタログアーチファクトから導入可能なアーチファクトへの変換中にパラメータ化され、置換される)。
【0037】
テナント固有のリポジトリ2012の使用は、実際にリポジトリ2010から直接テナント10101~n(図1)へコンテンツを実際に導入する代わりに、テナント10101~n(図1)が、特定のテナント10101~n(図1)に対してMSSP管理プラットフォーム2004によってインテリジェントかつ自律的にキュレーションされたコンテンツをテナント固有のリポジトリ2012から引き出すため、SIEMプロバイダサーバ1002およびMSSP管理プラットフォーム2004を従来のMMSPツールと区別する。別の方法として、MSSP管理プラットフォーム2004は、テナント固有のリポジトリ2012からテナント10101~n(図1)にコンテンツをプッシュするように構成されたスクリプトエンジンを含み得る。例えば、スクリプトエンジンは、リポジトリ2010からコンテンツを取り、それをSIEMプロバイダサーバ1002にプッシュするコードを含み得る。これは、様々な言語(例えば、Python、JavaScript、Node JavaScript、Terraformスクリプト、ARMテンプレート付きパワーシェルスクリプトなど)でAPIを介して達成することができる。
【0038】
言い換えれば、MSSP管理プラットフォーム2004は、テナント10101~n(図1)の代わりに初期SIEM構成2018を自律的に導入するように、またはテナント10101~n(図1)の好みに応じて、テナント10101~n(図1)が自発的に導入するためテナント固有のリポジトリ2012にSIEM構成2018を提供するように特に構成され得る。いずれにしても、MSSP管理プラットフォーム2004は、テナント10101~n(図1)にプロビジョニングされる特定のテナント10101~n(図1)のためのカスタムSIEM構成2018を生成することができる。特に、図2のMSSP管理プラットフォーム2004およびSIEMプロバイダサーバ1002は、ユーザ2002が新しいスクリプトを書き込むか、またはテナント10101~n(図1)の特定の環境および/または導入ニーズに合致するように既存のスクリプトを修正する必要なく、新しいテナント10101~n(図1)に対するSIEM構成2018のプロビジョニングを容易にすることができる。
【0039】
さらに、図2のアーキテクチャ2000は、MSSP管理プラットフォーム2004のSIEM更新エンジン2014をさらに含み得、図2のSIEMプロバイダサーバ1002は、テナント固有のリポジトリ2012および/またはコンテンツリポジトリ2010に格納されたアーチファクトを更新するように構成され得る。
【0040】
例えば、いくつかの非限定的な態様によれば、Gitlabなどのコンテンツリポジトリ2010は、コンテンツリポジトリ2010に追加されている任意のコンテンツ変更(例えば、新しいアラートルール、新しいプレイブックなど)をポータルに通知できるWebHookで構成され得る。したがって、図2のアーキテクチャ2000は、既存のアーチファクトのファイルを更新することができ、ポータルは、コンテンツリポジトリ2010内の変更を読み取り、それらの変更を分析し、各テナント10101~n(図1)の特定のニーズが何であるかに応じて、アーキテクチャ2000は、各テナントリポジトリに対してデルタ更新の適切な比較/マージおよび準備を実施することができる。言い換えれば、コンテンツリポジトリ2010からのWebHook通知に応答して、ポータルは、これらの更新を生成し、各テナント10101~n(図1)リポジトリにプッシュすることができるため、各テナント10101~n(図1)のアーチファクトは、SIEMコンテンツリポジトリ2010の変更に基づいて更新される。
【0041】
図2の非限定的な態様によれば、更新エンジン2014は、既存のSIEM構成2018を評価し、一つ以上のテナント10101~n(図1)にわたって導入された一つ以上のSIEM構成2018を比較し、MSSPに通知し、既存のテナント固有のSIEM構成2018に対していずれの提案された変更も保持するか、または拒否するかを自律的に判定するよう構成され得る。コンテンツが更新されると、変更がMSSP管理プラットフォーム2004を介して登録され、グラフィカルユーザインターフェースを介して、および/またはcronコマンドラインユーティリティもしくは同等物などのジョブスケジューリングエンジン2016によって表示される。一部の非限定的な態様では、ジョブスケジューリングエンジン2016は、第三者によって提供され得る。したがって、MSSP管理プラットフォーム2004およびSIEMプロバイダサーバ1002は、テナント固有のリポジトリ2012が、テナント10101~n(図1)固有の環境および/または導入ニーズに対して最新のSIEM構成2018を有することを自律的に保証することができ、これにより、将来のSIEM構成2018および/または更新のプロビジョンのためにテナント固有のリポジトリ2012が準備される。
【0042】
さらに図2を参照すると、SIEMプロバイダサーバ1002は、カスタムコールバックを介したコンテンツ変更に対して、テナント固有のリポジトリ2012および/またはコンテンツリポジトリ2010を監視するように構成され得る。例えば、一部の非限定的な態様によれば、MSSP管理サーバ1002は、テナント固有のリポジトリ2012および/またはコンテンツリポジトリ2010内のコンテンツ変更のための定期的なウェブフックおよび/またはクエリを自律的に開始し、各テナント固有のリポジトリ2012への適用性について検出されたいずれの変更も相関し、評価し、検出された変更がテナント固有のリポジトリ2012に適用可能であると判定すると、各変更を、適用可能なテナント固有のリポジトリ2012にプログラム的にプッシュすることを容易にすることができる。MSSP管理プラットフォーム2004およびSIEMプロバイダサーバ1002を従来のデバイスからさらに区別することは、カスタムコードを必要とすることなく、テナント固有のリポジトリ2012を更新する能力である。さらに、MSSP管理プラットフォーム2004およびSIEMプロバイダサーバ1002は、多数のテナント10101~n(図1)に対して、それらの特定の環境や導入のニーズにもかかわらず、その開示は、参照によりその全体が本明細書に組み込まれる、2021年6月3日に出願された、「DEVICES,SYSTEMS,AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED,AND SYNERGISTIC DEPLOYMENT NEEDS」と題する、米国仮特許出願第63/196,458号にさらに記載されるように、システム1000(図1)の拡張性の高さにより、同時「ワンクリック」SIEM更新プロセスを提供する。
【0043】
SIEM構成2018のテナント10101~n(図1)への初期プロビジョニングと同様に、テナント固有のリポジトリ2012内のコンテンツおよび/またはアーチファクトが更新されると、システム1000(図1)の導入は、複数のテナント10101~nの任意のテナント10101~nに対する以前にプロビジョニングされたSIEM構成2018のいずれかに対するアーチファクトを更新するように構成され得る。具体的には、テナント10101~n(図1)は、特定のテナント10101~n(図1)の更新エンジン2014を介して、テナント固有のリポジトリ2012から、インテリジェントかつ自律的に更新されているコンテンツを引き出し得る。別の方法として、MSSP管理プラットフォーム2004は、更新されたコンテンツをテナント固有のリポジトリ2012からテナント10101~n(図1)にプッシュするように構成されたスクリプトエンジンを含み得る。言い換えれば、MSSP管理プラットフォーム2004は、テナント10101~n(図1)の代わりにSIEMを自律的に更新するか、またはテナント10101~n(図1)の好みに応じて、SIEM構成2018をテナント10101~n(図1)が自発的に導入するためテナント固有のリポジトリ2012に提供するように特に構成され得る。一部の非限定的な態様によれば、SIEM構成2018への更新は、テナント10101~n(図1)のライフサイクル管理に従って管理することができ、10101~n(図1)が、SIEM構成2018自体に導入される前に、最初にテナント固有のリポジトリ2012にプッシュされる変更を承認し得ることを意味する。いずれにしても、MSSP管理プラットフォーム2004は、特定のテナント10101~n(図1)のためのSIEM構成2018に対する更新をカスタマイズおよび導入することができる。
【0044】
例えば、いくつかの非限定的な態様によれば、MSSP管理サーバ1002は、定期的なウェブフックおよび/またはテナント固有のリポジトリ2012および/またはコンテンツリポジトリ2010内のコンテンツ変更に対するクエリを自律的に開始するスクリプト(例えば、リポジトリコマンド参照、リポジトリ「コミット」コマンドなど)を生成し、各テナント固有のリポジトリ2012への適用性についていずれの検出された変更も相関し、評価するように構成されたスクリプトエンジンを含み得る。検出された変更がテナント固有のリポジトリ2012に適用可能であると判定すると、MSSP管理サーバ1002は、各変更を、適用されるテナント固有のリポジトリ2012にプログラム的にプッシュすることができる。このアプローチをさらに強化して、同様の環境および/または導入ニーズを有するテナント10101~n(図1)のグループ間でテナント固有のリポジトリ2012を共有させることができる。
【0045】
一部の非限定的な態様によれば、テナント10101~n(図1)は、独自の環境で変更を行いたい場合がある。例えば、テナント10101~n(図1)は、導入されたアラートルール、ワークブックなどを変更および/または除去することを選択し得る。ジョブスケジューリングエンジン2016、例えば、通常のcronジョブは、テナント10101~n(図1)が開始したプロファイル変更を検出し、MSSP管理プラットフォーム2004を介してMSSPに通知することができる。次に、MSSPは、グラフィカルユーザインターフェースを介して入力を提供することによって、テナント10101~n(図1)が開始した変更を保持するかどうかを決定することができる。さらに、MSSP管理プラットフォーム2004は、MSSPが、自動更新からテナント10101~n(図1)が開始した変更をロックすることを可能にするか、またはSIEM構成2018への将来の実装された更新がテナント10101~n(図1)が開始した変更をオーバーライドするように、それらを公然と拒否することができる。
【0046】
図2をさらに参照すると、アーキテクチャ2000およびそれが実装されるシステム1000(図1)は、ユーザ2002がSIEM構成2018の大規模な導入および更新を実行し、テナント固有のリポジトリ2012を介して複数のテナント10101~n(図1)にわたって導入されたSIEM構成2018への変更を監視することを可能にし得る。2021年6月3日に出願された、「DEVICES,SYSTEMS,AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED,AND SYNERGISTIC DEPLOYMENT NEEDS」と題する、米国仮特許出願第63/196,458号に開示されているものなどの他のSIEMポータルと併せて、その開示は、参照によりその全体が本明細書に組み込まれ、ユーザ2002に、導入されたSIEM構成2018の完全な管理を提供することができる。しかしながら、図2のアーキテクチャ2000は、さらなる強化を提供し、ポータルおよびユーザインターフェースを、ユーザ2002の介入なしに更新を可能にするスクリプト化されたアプローチと統合する。一部の非限定的な態様によれば、アプローチは、テナント10101~n(図1)によって監査され得る。したがって、ユーザ2002は、従来のシステムよりもはるかに効率的かつ拡張可能な方法で、導入ごとの変更を追跡する、および/または以前に導入された変更をロールバックすることができる。
【0047】
追加的および/または代替的に、アーキテクチャ2000およびそれが実装されるシステム1000(図1)は、テナント10101~n(図1)が独自のSIEM構成2018を制御し、MSSP管理プラットフォーム2004によって導入されるアーチファクトを変更することを可能にし得る。しかしながら、MSSP管理プラットフォーム2004は、テナント10101~n(図1)が開始した変更を検出し、それらをテナント固有のリポジトリ2012に捕捉し、SIEM構成2018の更新履歴を生成および維持し、一方で、ユーザ2002がテナント10101~n(図1)が開始した変更を簡単にレビューおよびロックすることを可能にすることができる。
【0048】
現在、実質的にすべての導入は手動で行われるか、またはコード(例えば、スクリプト)を介して行われる場合、MSSPは、該コードをクライアント固有の情報で更新する必要がある。これにより、従来のシステムエラーが発生しやすくなり、更新されるコンテンツの高度なスキルおよび理解を必要とする。前述したように、従来のSIEMプラットフォームを介したSIEMの初期プロビジョニングは、MSSPが、導入場所、証明書、および導入コンテンツ(例えば、アラートルールなど)などのクライアント固有の情報を手動で入力することを必要とする。しかしながら、従来のSIEMプラットフォームは、初期SIEMプロビジョニングおよび構成が実行されるグラフィカルユーザインターフェースをクライアントに提供するが、図2のMSSPプラットフォーム2004は、初期SIEMプロビジョニングおよび構成をプログラム的に実行するために、(例えば、ARMテンプレート、テラフォーム、パワーシェルなどを介して)カスタム導入スクリプトを自律的に生成することができる。
【0049】
ここで図3を参照すると、本開示の少なくとも一つの非限定的な態様による、セキュリティ情報およびイベント管理アーチファクトをプロビジョニングおよび更新する方法3000。図3の非限定的な態様によれば、方法3000は、SIEMプロバイダサーバ1002(図1および図2)によって実施され得る。具体的には、メモリ1006(図1)に格納されたMSSP管理プラットフォーム2004(図2)は、SIEMプロバイダサーバ1002(図1および図2)のプロセッサ1004(図1)に方法3000を実施させることができる。ここで図1~3を参照すると、方法3000の一態様では、MSSPプラットフォーム2004(図2)は、複数のウィジェットを表示する3002グラフィカルユーザインターフェースを含み得、複数のウィジェットのうちの少なくとも一つのウィジェットは、テナントネットワーク2020(図2)に関連付けられる。SIEMプロバイダサーバ1002(図1および図2)は、SIEMプロバイダサーバ1002(図1および図2)に通信可能に結合されたコンテンツリポジトリ2010(図2)から、テナントネットワーク2020(図2)に関連付けられたSIEMアーチファクトを自律的に取得する3004。SIEMプロバイダサーバ1002(図1および図2)は、SIEMアーチファクトを含むテナントネットワーク2020(図2)に対するテナント固有のSIEM構成を生成する3006。SIEMプロバイダサーバ1002(図1および図2)は、SIEMプロバイダサーバ1002(図1および図2)に通信可能に結合されたテナント固有のリポジトリ2012(図2)を介して、テナント固有のSIEM構成をテナントネットワーク2020(図2)に導入する3008。一部の非限定的な態様によれば、方法3000は、テナント固有のSIEM構成を更新することと、セキュリティイベントについてテナントネットワーク2020(図2)を継続的に監視することと、および/またはセキュリティイベントを検出すると、テナントネットワーク2020(図2)を保護する措置を自律的に講じることと、をさらに含み得る。
【0050】
本明細書に記載される主題の様々な態様は、以下の番号付けされた項に記載される。
【0051】
第1項
SIEM構成を自律的に生成し、テナントネットワークに提供することによって、テナントネットワークの代わりにネットワークセキュリティを強化するように構成されたセキュリティ情報およびイベント管理(「SIEM」)プロバイダサーバであって、SIEMプロバイダサーバが、プロセッサと、メモリであって、メモリが、プロセッサによって実行されると、プロセッサに、複数のウィジェットであって、複数のウィジェットのうちの少なくとも一つのウィジェットが、テナントネットワークに関連付けられる、複数のウィジェットを表示するグラフィカルユーザインターフェースを提供させ、SIEMプロバイダサーバに通信可能に結合されたコンテンツリポジトリから、テナントネットワークに関連付けられたSIEMアーチファクトを自律的に取得させ、SIEMアーチファクトを含むテナントネットワークに対するテナント固有のSIEM構成であって、テナント固有のSIEM構成が、セキュリティイベントについてテナントネットワークを継続的に監視し、セキュリティイベントを検出すると、テナントネットワークを保護するために自律的に措置を講じるように構成される、テナント固有のSIEM構成を生成させ、テナントネットワーク上の構成のために、テナント固有のSIEM構成を、テナントネットワークに関連付けられたテナント固有のリポジトリに導入させる、マネージドセキュリティサービスプロバイダ(「MSSP」)管理システムを実装する機械実行可能命令を格納する、メモリと、を含む、SIEMプロバイダサーバ。
SIEM構成を自律的に生成し、テナントネットワークに提供することによって、テナントネットワークの代わりにネットワークセキュリティを強化するように構成されたセキュリティ情報およびイベント管理(「SIEM」)プロバイダサーバであって、SIEMプロバイダサーバが、プロセッサと、メモリであって、メモリが、プロセッサによって実行されると、プロセッサに、複数のウィジェットであって、複数のウィジェットのうちの少なくとも一つのウィジェットが、テナントネットワークに関連付けられる、複数のウィジェットを表示するグラフィカルユーザインターフェースを提供させ、SIEMプロバイダサーバに通信可能に結合されたコンテンツリポジトリから、テナントネットワークに関連付けられたSIEMアーチファクトを自律的に取得させ、SIEMアーチファクトを含むテナントネットワークに対するテナント固有のSIEM構成であって、テナント固有のSIEM構成が、セキュリティイベントについてテナントネットワークを継続的に監視し、セキュリティイベントを検出すると、テナントネットワークを保護するために自律的に措置を講じるように構成される、テナント固有のSIEM構成を生成させ、テナントネットワーク上の構成のために、テナント固有のSIEM構成を、テナントネットワークに関連付けられたテナント固有のリポジトリに導入させる、マネージドセキュリティサービスプロバイダ(「MSSP」)管理システムを実装する機械実行可能命令を格納する、メモリと、を含む、SIEMプロバイダサーバ。
【0052】
第2項
テナントネットワークが、複数のテナントネットワークのうちの一つであり、テナント固有のSIEM構成が、SIEMプロバイダサーバによって生成される複数のテナント固有のSIEM構成のうちの一つであり、SIEMプロバイダサーバが、複数のテナントネットワークの各テナントネットワークの代わりに、複数のSIEM構成の各SIEM構成を同時に導入および更新するように構成される、第1項に記載のSIEMプロバイダサーバ。
テナントネットワークが、複数のテナントネットワークのうちの一つであり、テナント固有のSIEM構成が、SIEMプロバイダサーバによって生成される複数のテナント固有のSIEM構成のうちの一つであり、SIEMプロバイダサーバが、複数のテナントネットワークの各テナントネットワークの代わりに、複数のSIEM構成の各SIEM構成を同時に導入および更新するように構成される、第1項に記載のSIEMプロバイダサーバ。
【0053】
第3項
アクションが、テナントネットワークから疑わしいアカウントを自律的に除去することを含む、第1項または第2項に記載のSIEMプロバイダサーバ。
アクションが、テナントネットワークから疑わしいアカウントを自律的に除去することを含む、第1項または第2項に記載のSIEMプロバイダサーバ。
【0054】
第4項
ターゲットテナントが、テナント固有のSIEM構成をテナント固有のリポジトリから引き出すように構成される、第1項~第3項のいずれかに記載のSIEMプロバイダサーバ。
ターゲットテナントが、テナント固有のSIEM構成をテナント固有のリポジトリから引き出すように構成される、第1項~第3項のいずれかに記載のSIEMプロバイダサーバ。
【0055】
第5項
MSSP管理プラットフォームが、テナント固有のSIEM構成をテナント固有のリポジトリからターゲットテナントにプッシュするように構成される、第1項~第4項のいずれかに記載のSIEMプロバイダサーバ。
MSSP管理プラットフォームが、テナント固有のSIEM構成をテナント固有のリポジトリからターゲットテナントにプッシュするように構成される、第1項~第4項のいずれかに記載のSIEMプロバイダサーバ。
【0056】
第6項
テナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されたスクリプトを生成するように構成されたスクリプトエンジンをさらに含む、第1項~第5項のいずれかに記載のSIEMプロバイダサーバ。
テナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されたスクリプトを生成するように構成されたスクリプトエンジンをさらに含む、第1項~第5項のいずれかに記載のSIEMプロバイダサーバ。
【0057】
第7項
スクリプトがリポジトリ「コミット」コマンドである、第1項~第6項のいずれかに記載のSIEMプロバイダサーバ。
スクリプトがリポジトリ「コミット」コマンドである、第1項~第6項のいずれかに記載のSIEMプロバイダサーバ。
【0058】
第8項
プロセッサによって実行されると、MSSP管理プラットフォームが、プロセッサにさらに、スクリプトエンジンによって生成されたクエリに対する応答を受信させ、受信した応答に基づいてSIEM構成がテナント開始変更を含むと判定させ、既存のテナント固有のSIEM構成に対するテナント開始変更を拒否するように自律的に判定させる、第1項~第7項のいずれかに記載のSIEMプロバイダサーバ。
プロセッサによって実行されると、MSSP管理プラットフォームが、プロセッサにさらに、スクリプトエンジンによって生成されたクエリに対する応答を受信させ、受信した応答に基づいてSIEM構成がテナント開始変更を含むと判定させ、既存のテナント固有のSIEM構成に対するテナント開始変更を拒否するように自律的に判定させる、第1項~第7項のいずれかに記載のSIEMプロバイダサーバ。
【0059】
第9項
SIEM構成を自律的に生成し、セキュリティ情報およびイベント管理(SIEM)プロバイダサーバを介してテナントネットワークに提供することによって、テナントネットワークに代わってネットワークセキュリティを強化する方法であって、グラフィカルユーザインターフェースを介して、複数のウィジェットであって、複数のウィジェットのうちの少なくとも一つのウィジェットが、テナントネットワークに関連付けられる、複数のウィジェットを表示することと、SIEMプロバイダサーバを介して、SIEMプロバイダサーバに通信可能に結合されたコンテンツリポジトリからのテナントネットワークに関連付けられたSIEMアーチファクトを自律的に取得することと、SIEMプロバイダサーバを介して、SIEMアーチファクトを含むテナントネットワークに対するテナント固有のSIEM構成を生成することと、SIEMプロバイダサーバを介して、SIEMプロバイダサーバに通信可能に結合されたテナント固有のリポジトリを介して、テナントネットワークへのテナント固有のSIEM構成を導入することと、SIEM構成を介して、セキュリティイベントについてテナントネットワークを継続的に監視することと、SIEM構成を介して、セキュリティイベントを検出すると、テナントネットワークを保護するため自律的に措置を講じることを含む、方法。
SIEM構成を自律的に生成し、セキュリティ情報およびイベント管理(SIEM)プロバイダサーバを介してテナントネットワークに提供することによって、テナントネットワークに代わってネットワークセキュリティを強化する方法であって、グラフィカルユーザインターフェースを介して、複数のウィジェットであって、複数のウィジェットのうちの少なくとも一つのウィジェットが、テナントネットワークに関連付けられる、複数のウィジェットを表示することと、SIEMプロバイダサーバを介して、SIEMプロバイダサーバに通信可能に結合されたコンテンツリポジトリからのテナントネットワークに関連付けられたSIEMアーチファクトを自律的に取得することと、SIEMプロバイダサーバを介して、SIEMアーチファクトを含むテナントネットワークに対するテナント固有のSIEM構成を生成することと、SIEMプロバイダサーバを介して、SIEMプロバイダサーバに通信可能に結合されたテナント固有のリポジトリを介して、テナントネットワークへのテナント固有のSIEM構成を導入することと、SIEM構成を介して、セキュリティイベントについてテナントネットワークを継続的に監視することと、SIEM構成を介して、セキュリティイベントを検出すると、テナントネットワークを保護するため自律的に措置を講じることを含む、方法。
【0060】
第10項
テナントネットワークが、複数のテナントネットワークのうちの一つであり、テナント固有のSIEM構成が、SIEMプロバイダサーバによって生成される複数のテナント固有のSIEM構成のうちの一つであり、方法が、SIEMプロバイダサーバを介して、複数のSIEM構成の各SIEM構成を、複数のテナントネットワークの各テナントネットワークに、同時に導入することと、SIEMプロバイダサーバを介して、複数のテナントネットワークの各テナントネットワークに代わって、複数のSIEM構成の各SIEM構成を同時に更新することと、をさらに含む、第9項に記載の方法。
テナントネットワークが、複数のテナントネットワークのうちの一つであり、テナント固有のSIEM構成が、SIEMプロバイダサーバによって生成される複数のテナント固有のSIEM構成のうちの一つであり、方法が、SIEMプロバイダサーバを介して、複数のSIEM構成の各SIEM構成を、複数のテナントネットワークの各テナントネットワークに、同時に導入することと、SIEMプロバイダサーバを介して、複数のテナントネットワークの各テナントネットワークに代わって、複数のSIEM構成の各SIEM構成を同時に更新することと、をさらに含む、第9項に記載の方法。
【0061】
第11項
自律的に措置を講じることが、SIEM構成を介して、テナントネットワークから疑わしいアカウントを自律的に除去することを含む、第9項または第10項のいずれかに記載の方法。
自律的に措置を講じることが、SIEM構成を介して、テナントネットワークから疑わしいアカウントを自律的に除去することを含む、第9項または第10項のいずれかに記載の方法。
【0062】
第12項
ターゲットテナントを介して、テナント固有のSIEM構成をテナント固有のリポジトリから引き出すことをさらに含む、第9項~第11項のいずれかに記載の方法。
ターゲットテナントを介して、テナント固有のSIEM構成をテナント固有のリポジトリから引き出すことをさらに含む、第9項~第11項のいずれかに記載の方法。
【0063】
第13項
SIEMプロバイダサーバを介して、テナント固有のSIEM構成をテナント固有のリポジトリからターゲットテナントにプッシュすることをさらに含む、第9項~第12項のいずれかに記載の方法。
SIEMプロバイダサーバを介して、テナント固有のSIEM構成をテナント固有のリポジトリからターゲットテナントにプッシュすることをさらに含む、第9項~第12項のいずれかに記載の方法。
【0064】
第14項
スクリプトエンジンを介して、テナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されたスクリプトを自律的に生成することをさらに含む、第9項~第13項のいずれかに記載の方法。
スクリプトエンジンを介して、テナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されたスクリプトを自律的に生成することをさらに含む、第9項~第13項のいずれかに記載の方法。
【0065】
第15項
スクリプトがリポジトリコミットコマンドである、第9項~第14項のいずれかに記載の方法。
スクリプトがリポジトリコミットコマンドである、第9項~第14項のいずれかに記載の方法。
【0066】
第16項
SIEMプロバイダサーバを介して、スクリプトエンジンによって開始された少なくとも一つのクエリに対する応答を受信することと、SIEMプロバイダサーバを介して、受信した応答に基づいてSIEM構成がテナント開始変更を含むと判定することと、SIEMプロバイダサーバを介して、既存のテナント固有のSIEM構成に対するテナント開始変更を拒否することを自律的に判定することと、をさらに含む、第9項~第15項のいずれかに記載の方法。
SIEMプロバイダサーバを介して、スクリプトエンジンによって開始された少なくとも一つのクエリに対する応答を受信することと、SIEMプロバイダサーバを介して、受信した応答に基づいてSIEM構成がテナント開始変更を含むと判定することと、SIEMプロバイダサーバを介して、既存のテナント固有のSIEM構成に対するテナント開始変更を拒否することを自律的に判定することと、をさらに含む、第9項~第15項のいずれかに記載の方法。
【0067】
第17項
ネットワークセキュリティを強化するためのシステムであって、システムが、集中型コンテンツリポジトリと、複数のテナント固有のリポジトリと、複数のクライアントをホストするように構成された複数のテナントと、複数のテナントに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバと、を備え、SIEMプロバイダサーバがプロセッサと、メモリであって、メモリが、プロセッサによって実行されると、プロセッサに、複数のウィジェットであって、複数のウィジェットの各ウィジェットが、複数のテナントのうちの一つのテナントに関連付けられる、複数のウィジェットを表示するグラフィカルユーザインターフェースを提供させ、グラフィカルユーザインターフェースを介して、複数のテナントのうちのターゲットテナントに関連付けられるユーザ入力を受信させ、ターゲットテナントに関連付けられたSIEMアーチファクトをコンテンツリポジトリから自律的に取得させ、SIEMアーチファクトを含むターゲットテナントに対するテナント固有のSIEM構成であって、テナント固有のSIEM構成が、セキュリティイベントについてターゲットテナントを継続的に監視するように構成され、セキュリティイベントを検出すると、ターゲットテナントを保護するために自律的に措置を講じる、テナント固有のSIEM構成を生成させ、テナント固有のSIEM構成を、ターゲットテナントに関連付けられた複数のテナント固有のリポジトリのテナント固有のリポジトリに導入させる、マネージドセキュリティサービスプロバイダ(「MSSP」)管理プラットフォーム格納するように構成される、メモリとを備える、システム。
ネットワークセキュリティを強化するためのシステムであって、システムが、集中型コンテンツリポジトリと、複数のテナント固有のリポジトリと、複数のクライアントをホストするように構成された複数のテナントと、複数のテナントに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバと、を備え、SIEMプロバイダサーバがプロセッサと、メモリであって、メモリが、プロセッサによって実行されると、プロセッサに、複数のウィジェットであって、複数のウィジェットの各ウィジェットが、複数のテナントのうちの一つのテナントに関連付けられる、複数のウィジェットを表示するグラフィカルユーザインターフェースを提供させ、グラフィカルユーザインターフェースを介して、複数のテナントのうちのターゲットテナントに関連付けられるユーザ入力を受信させ、ターゲットテナントに関連付けられたSIEMアーチファクトをコンテンツリポジトリから自律的に取得させ、SIEMアーチファクトを含むターゲットテナントに対するテナント固有のSIEM構成であって、テナント固有のSIEM構成が、セキュリティイベントについてターゲットテナントを継続的に監視するように構成され、セキュリティイベントを検出すると、ターゲットテナントを保護するために自律的に措置を講じる、テナント固有のSIEM構成を生成させ、テナント固有のSIEM構成を、ターゲットテナントに関連付けられた複数のテナント固有のリポジトリのテナント固有のリポジトリに導入させる、マネージドセキュリティサービスプロバイダ(「MSSP」)管理プラットフォーム格納するように構成される、メモリとを備える、システム。
【0068】
第18項
テナント固有のSIEM構成が、複数のテナントの各テナントについてSIEMプロバイダサーバを介して生成される複数のテナント固有のSIEM構成のうちの一つであり、SIEMプロバイダサーバが、複数のテナントの各テナントの代わりに、複数のテナント固有のSIEM構成を同時に導入および更新するように構成される、第17項に記載のシステム。
テナント固有のSIEM構成が、複数のテナントの各テナントについてSIEMプロバイダサーバを介して生成される複数のテナント固有のSIEM構成のうちの一つであり、SIEMプロバイダサーバが、複数のテナントの各テナントの代わりに、複数のテナント固有のSIEM構成を同時に導入および更新するように構成される、第17項に記載のシステム。
【0069】
第19項
ターゲットテナントを保護するための措置が、ターゲットテナントのネットワークから疑わしいアカウントを自律的に除去することを含む、第17項または第18項に記載のシステム。
ターゲットテナントを保護するための措置が、ターゲットテナントのネットワークから疑わしいアカウントを自律的に除去することを含む、第17項または第18項に記載のシステム。
【0070】
第20項
SIEMプロバイダサーバのメモリが、プロセッサによって実行されると、プロセッサに、複数のテナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されたスクリプトを生成させる、スクリプトエンジンを格納するようにさらに構成される、第17項~第19項のいずれかに記載のシステム。
SIEMプロバイダサーバのメモリが、プロセッサによって実行されると、プロセッサに、複数のテナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されたスクリプトを生成させる、スクリプトエンジンを格納するようにさらに構成される、第17項~第19項のいずれかに記載のシステム。
【0071】
本明細書に記述される全ての特許、特許出願、刊行物、またはその他の開示資料は、各個々の参照がそれぞれ参照により明示的に組み込まれたかのように、その全体が参照により本明細書に組み込まれる。参照により本明細書に組み込まれると言われる全ての参照、および任意の材料、またはその一部は、組み込まれる材料が、本開示に記載される既存の定義、記述、またはその他の開示材料と矛盾しない限りにおいてのみ、本明細書に組み込まれる。そのため、および必要な範囲で、本明細書に明記される本開示は、参照により本明細書に組み込まれる任意の矛盾する材料に優先し、本開示は本出願の管理内で明示的に記載される。
【0072】
様々な例示的および例証的態様が説明されている。本明細書に記載される態様は、本開示の様々な態様の様々な詳細の例示的な特徴を提供するものとして理解され、そのため別途指定がない限り、当然のことながら、本開示の範囲から逸脱することなく、可能な限り、一つ以上の特徴、要素、コンポーネント、成分、原料、構造、モジュール、および/または本開示の態様うちの態様を組み合わせて、分離し、交換し、および/または一つ以上の他の特徴、要素、コンポーネント、成分、原料、構造、モジュール、および/または本開示の態様のうちの態様とまたはそれらに対して再配置してもよい。したがって、当業者であれば、特許請求された主題から逸脱することなく、例示的な態様のいずれかの様々な置換、改変、または組み合わせがなされ得ることを認識するであろう。さらに、当業者は、本明細書の再調査により、日常的な実験のみを使用して本開示の様々な態様に対する多くの等価物を認識するか、または確認することができる。したがって、本開示は、様々な態様の説明によって限定されず、特許請求の範囲によってのみ限定される。
【0073】
当業者は、概して、本明細書で使用される用語、および特に添付の特許請求の範囲(例えば、添付の特許請求の範囲の本文)において、一般には「制約のない」用語(例えば、用語「含む(including)」は、「含むが限定されるものではない」と解釈されるべきであり、用語「有する(having)」は「少なくとも有する」と解釈されるべきであり、用語「含む(includes)」は、「含むが限定されるものではない」と解釈されるべきである、など)として意図されていることを認識するであろう。特定の数の導入された特許請求の範囲の列挙が意図される場合、そのような意図は特許請求の範囲に明示的に列挙され、そのような列挙がない場合、そのような意図は存在しないことが、当業者によってさらに理解されるであろう。例えば、理解の補助として、以下の添付の特許請求の範囲は、特許請求の範囲の列挙を導入するための、導入語句の「少なくとも一つ」および「一つ以上」の使用を含み得る。しかし、こうした語句の使用は、不定冠詞「a」または「an」による請求項の列挙の導入が、そのような導入された請求項の列挙を含む任意の特定の請求項を、そのような列挙を一つのみを含む特許請求の範囲に限定することを暗示するものとして解釈されるべきではなく、同じ請求項が、導入語句「一つ以上」または「少なくとも一つ」、および「a」または「an」などの不定冠詞を含む場合でも(例えば、「a」、および/または「an」は通常、「少なくとも一つ」または「一つ以上」を意味すると解釈されるべきである)、請求項の列挙を導入するために使用される定冠詞の使用についても同様である。
【0074】
さらに、導入された請求項の列挙の特定の数が明示的に列挙されていても、当業者は、このような列挙は、典型的には、少なくとも列挙された数(例えば、「二つの列挙」という単なる列挙は、他の修飾語句なしでは、少なくとも二つの列挙または二つ以上の列挙を通常意味する)を意味すると解釈されるべきであることを認識するであろう。さらに、「A、B、およびCなどのうちの少なくとも一つ」に類似の慣例が使用されるこれらの事例では、一般的に、このような構造は、当業者が、慣例を理解するという意味で意図される(例えば、「A、B、およびCのうちの少なくとも一つを有するシステム」は、A単独、B単独、C単独、AおよびBを一緒に有するシステム、AおよびCを一緒に有するシステム、BおよびCを一緒に有するシステム、および/またはA、B、およびCを一緒に有するシステムなどを含むが、これらに限定されない)。「A、B、またはC等のうちの少なくとも一つ」に類似の慣例が、使用される事例では、一般的に、このような構造は、当業者が、慣例を理解するという意味で意図される(例えば、「A、B、またはCのうちの少なくとも一つを有するシステム」は、A単独、B単独、C単独、AおよびBを一緒に有するシステム、AおよびCを一緒に有するシステム、BおよびCを一緒に有するシステム、および/またはA、B、およびCを一緒に有するシステムなどを含むが、これらに限定されない)。説明、特許請求の範囲、または図面のいずれにおいても、通常、二つ以上の代替的な用語を提示する離接語および/または語句は、文脈が別段の指示をしない限り、当該用語のうちの一つ、当該用語のいずれか、または両方の用語を含む可能性を企図するように理解されるべきであると当該技術分野の者によってさらに理解されるであろう。例えば、語句「AまたはB」は、典型的には、「A」または「B」または「A、とB」の可能性を含むと理解されるであろう。
【0075】
添付の特許請求の範囲に関して、当業者は、その中に列挙された動作が概して任意の順序で行われてもよいことを理解するであろう。また、請求項の列挙は順(複数可)に提示されているが、様々な動作は、記載されるもの以外の他の順序で行われてもよく、または同時に行われてもよいことが理解されるべきである。こうした代替的順序の例としては、文脈が別途指示しない限り、重複、インターリーブ、中断、再注文、増分、準備、補足、同時、逆、または他のバリアント順序が挙げられる。さらに、文脈上別段の指示がない限り、「応答する」、「関連する」、または他の過去型形容詞などの用語は、一般に、こうしたバリアントを除外することを意図していない。
【0076】
注目すべきは、「一態様」、「態様」、「例示」、「一例示」、および類似のものへの任意の言及は、態様に関連して記述された特定の特徴、構造、または特性が、少なくとも一つの態様に含まれることを意味する。したがって、本明細書全体を通して様々な場所での語句の「一態様では」、「ある態様では」、「ある例示では」、および「一例示では」の出現は、必ずしもすべて同じ態様を指すわけではない。さらに、特定の特徴、構造または特性は、一つ以上の態様では、任意の適切な様式で組み合わせられてもよい。
【0077】
本明細書で使用される場合、文脈が別途明確に指示しない限り、単数形の「a」、「an」、および「the」は、複数の参照を含む。
【0078】
例えば、限定されるものではないが、上、下、左、右、下方、上方、前、後、およびその変形など、本明細書で使用される方向語句は、添付図面に示される要素の配向に関連し、別段の明示的な記載がない限り、特許請求の範囲に関して限定しないものとする。
【0079】
本開示で使用される用語「約」または「およそ」は、別段の指定がない限り、当業者によって決定される特定の値についての許容可能な誤差を意味し、これは、値がどのように測定または決定されるかに部分的に依存する。特定の態様では、用語「約」または「およそ」は、1、2、3、または4標準偏差以内を意味する。特定の態様では、用語「約」または「およそ」は、所与の値または範囲の50%、200%、105%、100%、9%、8%、7%、6%、5%、4%、3%、2%、1%、0.5%、または0.05%以内を意味する。
【0080】
本明細書において、別段の示唆が無い限り、全ての数値パラメータは、前置きされているものとして理解され、全ての場合で、数値パラメータは、パラメータの数値を決定するために使用される基礎となる測定技法の固有変動特性を有する、「約」という用語によって修正されると理解されるべきである。少なくとも、請求の範囲に対する均等の原理の適用を限定する試みとしてではなく、本明細書に記載の各数値パラメータは少なくとも報告される有効数字の数に照らし合わせて、および通常の四捨五入法を適用することで解釈されるものとする。
【0081】
本明細書に列挙される任意の数値範囲は、列挙された範囲内に包含されるすべてのサブ範囲を含む。例えば、1から100の範囲は、列挙された最小値1と、列挙された最大値100との間の(かつそれを含む)、すなわち、最小値が1以上、および最大値が100以下を有するすべてのサブ範囲を含む。また、本明細書で列挙されるすべての範囲は、列挙された範囲の終点を含む。例えば、1から100の範囲は、終点1および100を含む。本明細書に列挙される任意の最大数的制限は、その中に包含されるすべてのより低い数的制限を含むことが意図され、本明細書に列挙される任意の最小数的制限は、その中に包含されるすべてのより高い数的制限を含むことが意図される。したがって、出願人は、特許請求の範囲を含め、明示的に列挙された範囲内に包含された部分範囲を明示的に列挙する本明細書を修正する権利を留保する。こうしたすべての範囲は、本明細書に本質的に記載される。
【0082】
本明細書において言及される、および/または任意のアプリケーションデータシートに列挙される任意の特許出願、特許、非特許公開、またはその他の開示資料は、組み込まれた資料が本明細書と矛盾しない限り、参照により本明細書に組み込まれる。したがって、および必要な範囲で、本明細書に明示的に記載される本開示は、参照により本明細書に組み込まれる任意の矛盾する材料に優先する。参照により本明細書に組み込まれると言われるが、本明細書に明記される既存の定義、声明、またはその他の開示資料と矛盾する任意の資料またはその一部は、その組み込まれた資料と既存の開示資料との間にいかなる矛盾も生じない範囲でのみ、組み込まれる。
【0083】
用語「備える(comprise)」(および「comprises」、「comprising」などのcompriseの任意の形態)および、「有する(have)」(ならびに「has」、および「have」などのhaveの任意の形態)、「含む(include)」(および「includes」および「including」などのincludeの任意の形態)、および「包含する(contain)」(および「contains」および「containing」などのcontainの任意の形態)は、オープンエンドの連結動詞である。結果として、一つ以上の要素を「備える」、「有する」、「含む」、または「包含する」システムは、それらの一つ以上の要素を保有するが、それら一つ以上の要素のみを保有することに限定されない。同様に、一つ以上の特徴を「備える」、「有する」、「含む」、または「包含する」システム、デバイス、または装置の要素は、それらの一つ以上の特徴を保有するが、それら一つ以上の特徴のみを保有することに限定されない。
【0084】
前述の詳細な説明は、ブロック図、フローチャート、および/または例の使用による、デバイスおよび/またはプロセスの様々な形態を記載している。こうしたブロック図、フローチャート、および/または例が一つ以上の機能および/または動作を含む場合、当該技術分野の者であれば、こうしたブロック図、フローチャート、および/または例内の各機能および/または動作は、広範囲のハードウェア、ソフトウェア、ファームウェア、または実質的にそれらの任意の組み合わせによって、個別に、および/または集合的に実装され得ることが理解されるであろう。当業者は、本明細書に開示される形態のいくつかの態様は、一つ以上のコンピュータ上で動作する一つ以上のコンピュータプログラムとして(例えば、一つ以上のコンピュータシステム上で動作する一つ以上のプログラムとして)、一つ以上のプロセッサ上で動作する一つ以上のプログラムとして(例えば、一つ以上のマイクロプロセッサ上で動作する一つ以上のプログラムとして)、ファームウェアとして、または実質的にそれらの任意の組み合わせとして全部または一部を等価に集積回路に実装することができ、回路の設計、および/またはソフトウェア用のコードの記載、およびまたはファームウェアは、本開示に照らして、当業者の技能の範囲内であることを認識するであろう。さらに、当業者は、本明細書に記載される主題の機構が、様々な形態で一つ以上のプログラム製品として配布されることができ、本明細書に記載される主題の例示的な形態は、実際に配布を実施するために使用される特定のタイプの信号担持媒体に関係なく適用されることを理解するであろう。
【0085】
論理をプログラムして様々な開示された態様を実施するために使用される命令は、動的ランダムアクセスメモリ(DRAM)、キャッシュ、フラッシュメモリ、または他の記憶装置など、システム内のメモリ内に格納され得る。さらに、命令は、ネットワークを介して、または他のコンピュータ可読媒体を介して配布され得る。したがって、機械可読媒体は、機械(例えば、コンピュータ)によって読み取り可能な形態で情報を格納する、または伝送するための任意の機構であるが、それに限定されるものではない、フロッピーディスケット、光ディスク、コンパクトディスク、読み取り専用メモリ(CD-ROM)、および磁気光学ディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、消去可能なプログラム可能な読み取り専用メモリ(EPROM)、電気的に消去可能なプログラム可能な読み取り専用メモリ(EEPROM)、磁気または光学カード、フラッシュメモリ、または電気的、光学的、音響または他の形態の伝播信号(例えば、搬送波、赤外線信号、デジタル信号、など)を介してインターネット上で情報を送信する際に使用される有形の機械可読記憶装置を含み得る。したがって、非一時的コンピュータ可読媒体は、電子命令または情報を、機械(例えば、コンピュータ)によって可読な形態で格納または伝送するのに適した、任意のタイプの有形の機械可読媒体を含む。
【0086】
本明細書の任意の態様で使用される場合、用語「制御回路」は、例えば、配線された回路、プログラム可能回路(例えば、一つ以上の個々の命令処理コアを備えるコンピュータプロセッサ、処理ユニット、プロセッサ、マイクロコントローラ、マイクロコントローラユニット、コントローラ、デジタルシグナルプロセッサ(DSP)、プログラム可能論理装置(PLD)、プログラム可能論理アレイ(PLA)、またはフィールドプログラマブルゲートアレイ(FPGA)、状態機械回路、プログラム可能回路によって実行される命令を格納するファームウェアおよびそれらの任意の組み合わせを指すことができる。制御回路は、集合的にまたは個別に、より大きなシステム、例えば、集積回路(IC)、特定用途向け集積回路(ASIC)、システムオンチップ(SoC)、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、サーバ、スマートフォンなどの一部を形成する回路として具体化され得る。したがって、本明細書で使用される場合、「制御回路」には、限定されるものではないが、少なくとも一つのディスクリート電気回路を有する電気回路と、少なくとも一つの集積回路を有する電気回路と、少なくとも一つの特定用途向け集積回路を有する電気回路と、コンピュータプログラムによって構成される汎用コンピューティングデバイスを形成する電気回路(例えば、プロセスを少なくとも部分的に実行するコンピュータプログラムによって構成される汎用コンピュータ、および/または本明細書に記載されるデバイス、または少なくとも部分的にプロセスを実行するコンピュータプログラムによって構成されるマイクロプロセッサ、および/または本明細書に記述されるデバイス)、メモリデバイスを形成する電気回路(例えば、ランダムアクセスメモリの形態)、および/または通信デバイスを形成する電気回路(例えば、モデム、通信スイッチ、または光電気機器)を含む。当業者であれば、本明細書に記載される主題が、アナログもしくはデジタルの様式またはそれらのいくつかの組み合わせで実装され得ることを認識するであろう。
【0087】
本明細書の任意の態様で使用される場合、用語「ロジック」は、前述の動作のいずれかを行うように構成されたアプリケーション、ソフトウェア、ファームウェア、および/または回路を指し得る。ソフトウェアは、ソフトウェアパッケージ、コード、命令、命令セット、および/または非一時的コンピュータ可読記憶媒体に記録されたデータとして具現化され得る。ファームウェアは、コード、命令、または命令セット、および/またはメモリデバイス内にハードコードされた(例えば、不揮発性)データとして具現化され得る。
【0088】
本明細書の任意の態様で使用される場合、用語「コンポーネント」、「システム」、「モジュール」などは、コンピュータ関連実体、ハードウェア、ハードウェアおよびソフトウェアの組み合わせ、ソフトウェア、または実行中のソフトウェアを指すことができる。
【0089】
本明細書の任意の態様で使用される場合、「アルゴリズム」は、所望の結果をもたらすステップの自己整合的な順序を指し、「ステップ」は、物理的量の操作、および/または必ずしもそうである必要はないが、格納、移動、結合、比較、およびその他操作することができる電気信号または磁気信号の形態を取ることができる論理状態を指す。これらの信号をビット、値、要素、記号、文字、用語、数字などと呼ぶのが一般的である。これらおよび類似の用語は、適切な物理量と関連付けられてもよく、これらの量および/または状態に適用される単に便利な符号である。
【図1】
【図2】
【図3】
【手続補正書】
【提出日】2024-04-23
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
セキュリティ情報およびイベント管理(「SIEM」)プロバイダサーバであって、
前記SIEMプロバイダサーバは、SIEM構成を自律的に生成し、テナントネットワークに提供することによって、前記テナントネットワークの代わりにネットワークセキュリティを強化するように構成されており、
前記SIEMプロバイダサーバが、プロセッサと、メモリと、を備え、
前記メモリは、マネージドセキュリティサービスプロバイダ(「MSSP」)管理プラットフォームを実装する機械実行可能命令を格納するように構成され、
前記MSSP管理プラットフォームは、前記プロセッサによって実行されると、前記プロセッサに、
複数のウィジェットであって、前記複数のウィジェットのうちの少なくとも一つのウィジェットが、前記テナントネットワークに関連付けられる、前記複数のウィジェットを表示するグラフィカルユーザインターフェースを提供させ、
前記SIEMプロバイダサーバに通信可能に結合されたコンテンツリポジトリから、前記テナントネットワークに関連付けられたSIEMアーチファクトを自律的に取得させ、
前記SIEMアーチファクトを含む前記テナントネットワークに対するテナント固有のSIEM構成であって、セキュリティイベントについて前記テナントネットワークを継続的に監視し、セキュリティイベントを検出すると、前記テナントネットワークを保護するために自律的に措置を講じるように構成されている、前記テナント固有のSIEM構成を生成させ、
前記テナントネットワーク上の構成のために、前記テナントネットワークに関連付けられたテナント固有のリポジトリに、前記テナント固有のSIEM構成を導入させる、SIEMプロバイダサーバ。
【請求項2】
前記テナントネットワークが、複数のテナントネットワークのうちの一つであり、前記テナント固有のSIEM構成が、前記SIEMプロバイダサーバによって生成される複数のテナント固有のSIEM構成のうちの一つであり、
前記SIEMプロバイダサーバが、前記複数のテナントネットワークの各テナントネットワークの代わりに、前記複数のSIEM構成の各SIEM構成を同時に導入および更新するように構成されている、請求項1に記載のSIEMプロバイダサーバ。
【請求項3】
前記措置が、前記テナントネットワークから疑わしいアカウントを自律的に除去することを含む、請求項1に記載のSIEMプロバイダサーバ。
【請求項4】
ターゲットのテナントが、前記テナント固有のSIEM構成を前記テナント固有のリポジトリから引き出すように構成される、請求項1に記載のSIEMプロバイダサーバ。
【請求項5】
前記MSSP管理プラットフォームが、前記テナント固有のSIEM構成を前記テナント固有のリポジトリからターゲットのテナントにプッシュするように構成される、請求項1に記載のSIEMプロバイダサーバ。
【請求項6】
前記テナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されているスクリプトを生成するように構成されているスクリプトエンジンをさらに備える、請求項1に記載のSIEMプロバイダサーバ。
【請求項7】
前記スクリプトがリポジトリコミットコマンドである、請求項6に記載のSIEMプロバイダサーバ。
【請求項8】
前記MSSP管理プラットフォームは、前記プロセッサによって実行されると、前記プロセッサにさらに、前記スクリプトエンジンによって開始された少なくとも一つのクエリに対する応答を受信させ、
前記受信した応答に基づいて、前記SIEM構成がテナント開始変更を含むと決定させ、
既存のテナント固有のSIEM構成に対するテナント開始変更を拒否することを自律的に決定させる、請求項6に記載のSIEMプロバイダサーバ。
【請求項9】
セキュリティ情報およびイベント管理(「SIEM」)プロバイダサーバを介して、SIEM構成を自律的に生成し、テナントネットワークに提供することによって、前記テナントネットワークに代わってネットワークセキュリティを強化する方法であって、グラフィカルユーザインターフェースを介して、複数のウィジェットであって、前記複数のウィジェットのうちの少なくとも一つのウィジェットが、前記テナントネットワークに関連付けられている、前記複数のウィジェットを表示することと、
前記SIEMプロバイダサーバ上にホストされるスクリプトエンジンを介して、前記SIEMプロバイダサーバに通信可能に結合されたコンテンツリポジトリから、前記テナントネットワークに関連付けられたSIEMアーチファクトを自律的に取得することと、
前記SIEMプロバイダサーバを介して、前記SIEMアーチファクトを含む前記テナントネットワークに対するテナント固有のSIEM構成を生成することと、
前記SIEMプロバイダサーバを介して、前記SIEMプロバイダサーバに通信可能に結合されたテナント固有のリポジトリを介して、前記テナント固有のSIEM構成を前記テナントネットワークに導入することと、
前記SIEM構成を介して、セキュリティイベントについて前記テナントネットワークを継続的に監視することと、
前記SIEM構成を介して、セキュリティイベントを検出すると、前記テナントネットワークを保護するために自律的に措置を講じることと、
を含む、方法。
【請求項10】
前記テナントネットワークが、複数のテナントネットワークのうちの一つであり、前記テナント固有のSIEM構成が、前記SIEMプロバイダサーバによって生成される複数のテナント固有のSIEM構成のうちの一つであり、
前記方法は、さらに、
前記SIEMプロバイダサーバを介して、前記複数のSIEM構成の各SIEM構成を、前記複数のテナントネットワークの各テナントネットワークに同時に導入することと、
前記SIEMプロバイダサーバを介して、前記複数のテナントネットワークの各テナントネットワークの代わりに、前記複数のSIEM構成の各SIEM構成を同時に更新することと、を含む、請求項9に記載の方法。
【請求項11】
前記措置を自律的に講じることが、前記SIEM構成を介して、前記テナントネットワークから疑わしいアカウントを自律的に除去することを含む、請求項9に記載の方法。
【請求項12】
ターゲットのテナントを介して、前記テナント固有のSIEM構成を前記テナント固有のリポジトリから引き出すことをさらに含む、請求項9に記載の方法。
【請求項13】
前記SIEMプロバイダサーバを介して、前記テナント固有のSIEM構成を前記テナント固有のリポジトリからターゲットのテナントにプッシュすることをさらに含む、請求項9に記載の方法。
【請求項14】
スクリプトエンジンを介して、前記テナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されたスクリプトを自律的に生成することをさらに含む、請求項9に記載の方法。
【請求項15】
前記スクリプトがリポジトリコミットコマンドである、請求項9に記載の方法。
【請求項16】
前記SIEMプロバイダサーバを介して、前記スクリプトエンジンによって開始された少なくとも一つのクエリに対する応答を受信することと、前記SIEMプロバイダサーバを介して、前記受信した応答に基づいて、前記SIEM構成がテナント開始変更を含むと決定することと、
前記SIEMプロバイダサーバを介して、既存のテナント固有のSIEM構成に対するテナント開始変更を拒否するように自律的に決定することと、をさらに含む、請求項14に記載の方法。
【請求項17】
ネットワークセキュリティを強化するためのシステムであって、集中型コンテンツリポジトリと、
複数のテナント固有のリポジトリと、
複数のクライアントをホストするように構成された複数のテナントと、
前記複数のテナントに通信可能に結合されたセキュリティ情報およびイベント管理(SIEM)プロバイダサーバであって、前記SIEMプロバイダサーバが、プロセッサと、メモリと、を備え、前記メモリは、マネージドセキュリティサービスプロバイダ(「MSSP」)管理プラットフォームを格納するように構成され、
前記MSSP管理プラットフォームは、前記プロセッサによって実行されると、前記プロセッサに、
複数のウィジェットであって、前記複数のウィジェットの各ウィジェットが、前記複数のテナントのうちの一つのテナントに関連付けられる、前記複数のウィジェットを表示するグラフィカルユーザインターフェースを提供させ、
前記グラフィカルユーザインターフェースを介して、前記複数のテナントのうちのターゲットのテナントに関連付けられたユーザ入力を受信させ、
前記ターゲットのテナントに関連付けられたSIEMアーチファクトを前記コンテンツリポジトリから自律的に取得させ、
前記SIEMアーチファクトを含む前記ターゲットのテナントに対するテナント固有のSIEM構成であって、前記テナント固有のSIEM構成が、セキュリティイベントについて前記ターゲットのテナントを継続的に監視し、セキュリティイベントを検出すると、前記ターゲットのテナントを保護するために自律的に措置を講じるように構成される、前記テナント固有のSIEM構成を生成させ、
前記テナント固有のSIEM構成を、前記ターゲットのテナントに関連付けられた前記複数のテナント固有のリポジトリのうちの一つのテナント固有のリポジトリに導入させる、システム。
【請求項18】
前記テナント固有のSIEM構成が、前記複数のテナントの各テナントについて、前記SIEMプロバイダサーバを介して生成される複数のテナント固有のSIEM構成のうちの一つであり、前記SIEMプロバイダサーバが、前記複数のテナントの各テナントの代わりに、前記複数のテナント固有のSIEM構成を同時に導入および更新するように構成される、請求項17に記載のシステム。
【請求項19】
前記ターゲットのテナントを保護する前記措置が、前記ターゲットのテナントのネットワークから疑わしいアカウントを自律的に除去することを含む、請求項17に記載のシステム。
【請求項20】
前記SIEMプロバイダサーバの前記メモリが、前記プロセッサによって実行されると、前記プロセッサに、前記複数のテナント固有のリポジトリ内のコンテンツ変更に対する定期的なクエリを自律的に開始するように構成されたスクリプトを生成させるスクリプトエンジンを格納するようにさらに構成される、請求項17に記載のシステム。【国際調査報告】