ホーム > 特許ランキング > BlueVoyant LLC
知財求人 - 知財ポータルサイト「IP Force」
特表2025-504315複数のテナントからのセキュリティデータの取り込みを合理化および標準化するための装置、システム、および方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2025-02-12
(54)【発明の名称】複数のテナントからのセキュリティデータの取り込みを合理化および標準化するための装置、システム、および方法
(51)【国際特許分類】
G06F 11/34 20060101AFI20250204BHJP
G06F 11/30 20060101ALI20250204BHJP
G06F 21/55 20130101ALI20250204BHJP
【FI】
G06F11/34 176
G06F11/30 140A
G06F21/55 320
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2024539382
(86)(22)【出願日】2022-12-21
(85)【翻訳文提出日】2024-08-26
(86)【国際出願番号】 US2022082173
(87)【国際公開番号】W WO2023129852
(87)【国際公開日】2023-07-06
(31)【優先権主張番号】63/295,150
(32)【優先日】2021-12-30
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WINDOWS
2.OKTA
3.MICROSOFT 365
4.イーサネット
(71)【出願人】
【識別番号】523454588
【氏名又は名称】ブルーボヤント エルエルシー
【氏名又は名称原語表記】BlueVoyant LLC
【住所又は居所原語表記】335 Madison Avenue, Suite 5G, New York, New York 10017 United States of America
(74)【代理人】
【識別番号】110000110
【氏名又は名称】弁理士法人 快友国際特許事務所
(72)【発明者】
【氏名】クリス ホワイト
(72)【発明者】
【氏名】ジェイク ヴァンス
(72)【発明者】
【氏名】アレン デュエット
(72)【発明者】
【氏名】エド シェルナウ
(72)【発明者】
【氏名】ニール アローラ
(72)【発明者】
【氏名】クリス シュレル
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042GA12
5B042KK17
5B042MA08
5B042MA14
5B042MC40
(57)【要約】
複数のテナントネットワークからのセキュリティデータの取り込みを合理化し、標準化するための方法が開示される。複数のテナントネットワークの各々は、少なくとも1つのログソースを含み、この方法は、複数のデータゲートウェイモジュールの各々によって、それに関連するログソースからローログデータを受信する工程と、複数のデータゲートウェイモジュールの各々によって、ローログデータに基づいてフォーマット済みログデータを生成する工程と、エッジモジュールによって、複数のデータゲートウェイモジュールからフォーマット済みログデータを取り込む工程と、中央制御プレーンモジュールによって、複数のデータゲートウェイモジュールの少なくとも1つの設定を、それに関連するログソースの変更に基づいて自動的に更新する工程と、セキュリティ監視システムによって、複数のテナントネットワークの少なくとも1つに関連するセキュリティアクションを取り込まれたフォーマット済みデータに基づいて実行する工程と、を備える。
【選択図】図2
【選択図】図2
【特許請求の範囲】
【請求項1】
セキュリティ監視システムにおける複数のテナントネットワークからのデータの取り込みを合理化および標準化するための方法であって、前記セキュリティ監視システムは、エッジモジュールと、中央制御プレーンモジュールと、複数のデータゲートウェイモジュールと、を備えており、前記複数のデータゲートウェイモジュールの各々は異なるログソースに関連付けられ、前記複数のテナントネットワークの各々は少なくとも1つのログソースを含む、方法であって、前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、それに関連付けられた前記ログソースからローログデータを受信する工程と、
前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、前記ローログデータに基づいてフォーマット済みログデータを生成する工程と、
前記セキュリティ監視システムの前記エッジモジュールによって、前記フォーマット済みログデータを前記複数のデータゲートウェイモジュールから取り込む工程と、
前記セキュリティ監視システムの前記中央制御プレーンモジュールによって、前記複数のデータゲートウェイモジュールの少なくとも1つの設定を、それに関連するログソースの変更に基づいて自動的に更新する工程と、
前記セキュリティ監視システムによって、前記取り込まれたフォーマット済みデータに基づいて、前記複数のテナントネットワークの少なくとも1つに関連するセキュリティアクションを実行する工程と、
を備える方法。
【請求項2】
前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、関連するセキュリティフィールドのみを含むように前記ローログデータをフィルタリングして前記フォーマット済みログデータを生成する工程と、前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、標準スキーマに基づいて前記ローログデータを正規化して前記フォーマット済みログデータを生成する工程と、
をさらに備える、請求項1に記載の方法。
【請求項3】
前記セキュリティ監視システムの前記中央制御プレーンモジュールによって、前記複数のゲートウェイモジュールによって実行される前記ローログデータの前記フィルタリングを、前記関連するセキュリティフィールドの更新に基づいて更新する工程、をさらに備える、請求項2に記載の方法。
【請求項4】
前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、前記ローログデータをテナントストレージアーカイブにルーティングする工程と、前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、前記フォーマット済みログデータをSIEM検知エンジンにルーティングする工程と、
をさらに備える、請求項1に記載の方法。
【請求項5】
前記エッジモジュールをSIEMプロバイダサーバによりホスティングする工程と、前記SIEM検出エンジンを前記SIEMプロバイダサーバによりホスティングする工程と、
前記テナントストレージアーカイブを前記テナントサーバによりホスティングする工程と、
をさらに備える、請求項4に記載の方法。
【請求項6】
前記エッジモジュールを前記SIEMプロバイダサーバによりホスティングする工程と、前記SIEM検出エンジンを前記SIEMプロバイダサーバによりホスティングする工程と、
前記テナントストレージアーカイブを前記SIEMプロバイダサーバによりホスティングする工程と、
をさらに備える、請求項4に記載の方法。
【請求項7】
前記SIEM検出エンジンをサードパーティサーバによりホスティングする工程と、前記エッジモジュールを前記サードパーティサーバによりホスティングする工程と、
前記テナントストレージアーカイブを前記テナントパーティサーバによりホスティングする工程と、
をさらに備える、請求項4に記載の方法。
【請求項8】
前記SIEM検出エンジンをサードパーティサーバによりホスティングする工程と、前記テナントストレージシステムを前記サードパーティサーバによりホスティングする工程と、
をさらに備える、請求項4に記載の方法。
【請求項9】
前記セキュリティ監視システムの前記中央制御プレーンモジュールによって、前記複数のゲートウェイモジュールの設定を、それらに関連するログソースに対する共通の変更に基づいて同時に更新する工程と、前記セキュリティ監視システムの前記中央制御プレーンモジュールによって、前記複数のゲートウェイモジュールの少なくとも1つの設定を、それに関連する前記ログソースに関連する例外に基づいて更新する工程と、
をさらに備える、請求項1に記載の方法。
【請求項10】
前記セキュリティ監視システムの前記中央制御プレーンモジュールによって、新しいログソースに関連付けられる新しいゲートウェイモジュールを生成する工程、をさらに備える、請求項1に記載の方法。
【請求項11】
前記セキュリティ監視システムの前記複数のテナントネットワークの少なくとも1つは、クラウドベースのログソースとオンプレミスのログソースとを備えており、前記方法は、
前記クラウドベースのログソースによって前記ローログデータを生成する工程と、
前記オンプレミスのログソースによって前記ローログデータを生成する工程と、
をさらに備える、請求項1に記載の方法。
【請求項12】
前記エッジモジュールをSIEMプロバイダサーバによりホスティングする工程と、前記中央制御プレーンモジュールを前記SIEMプロバイダサーバによりホスティングする工程と、
をさらに備える、請求項1に記載の方法。
【請求項13】
前記中央制御プレーンモジュールによって、もはやローログデータを生成していないログソースを識別する工程、をさらに備える、請求項1に記載の方法。
【請求項14】
前記セキュリティアクションを実行する工程は、前記少なくとも1つのテナントネットワークの管理者に送信されるセキュリティ警告を生成する工程を備える、請求項1に記載の方法。
【請求項15】
前記セキュリティアクションを実行する工程は、前記少なくとも1つのテナントネットワークにアクセスするように構成された1または複数のデバイスから前記少なくとも1つのテナントネットワークへのアクセス権を削除する工程を備える、請求項1に記載の方法。
【請求項16】
複数のテナントネットワークからのデータの取り込みを合理化および標準化することができるセキュリティ監視システムであって、複数のテナントネットワークの各々は、少なくとも1つのログソースを含み、セキュリティ監視システムは、複数のデータゲートウェイモジュールであって、複数のデータゲートウェイモジュールの各々が異なるログソースに関連付けられるとともに、複数のデータゲートウェイモジュールの各々が、
それに関連付けられた前記ログソースからローログデータを受信し、
前記ローログデータに基づいてフォーマット済みログデータを生成する、
ように構成された、複数のデータゲートウェイモジュールと、
前記複数のデータゲートウェイモジュールから前記フォーマット済みログデータを取り込むよう構成されたエッジモジュールと、
前記複数のゲートウェイモジュールの少なくとも一つの設定を、それに関連する前記ログソースの変更に応じて自動的に更新するよう構成された中央制御プレーンモジュールと、
を備えており、
前記セキュリティ監視システムは、取り込まれた前記フォーマット済みデータに基づいて、前記複数のテナントネットワークの少なくとも一つに関連するセキュリティアクションを実行するように構成されている、
セキュリティ監視システム。
【請求項17】
前記複数のデータゲートウェイモジュールの各々は、関連するセキュリティフィールドのみを含むように前記ローログデータをフィルタリングして前記フォーマット済みログデータを生成し、
標準スキーマに基づいて前記ローデータを正規化して前記フォーマット済みログデータを生成する、ように構成されている、
請求項16に記載のシステム。
【請求項18】
前記中央制御プレーンモジュールは、前記複数のゲートウェイモジュールの設定を更新し、関連するセキュリティフィールドの更新に基づいて前記ローログデータの前記フィルタリングを更新するように構成されている、請求項17に記載のシステム。
【請求項19】
前記複数のデータゲートウェイモジュールのうちの少なくとも1つは、前記ローログデータをテナントストレージアーカイブへとルーティングし、
前記フォーマット済みログデータをSIEM検知エンジンにルーティングする、
ように構成されている、請求項16に記載のシステム。
【請求項20】
前記エッジモジュールがSIEMプロバイダサーバによってホスティングされ、前記SIEM検出エンジンが前記SIEMプロバイダサーバによってホスティングされ、前記テナントストレージアーカイブがテナントサーバによってホスティングされる、請求項19に記載のシステム。
【請求項21】
前記エッジモジュールがSIEMプロバイダサーバによってホスティングされ、前記SIEM検出エンジンが前記SIEMプロバイダサーバによってホスティングされ、前記テナントストレージアーカイブが前記SIEMプロバイダサーバによってホスティングされる、請求項19に記載のシステム。
【請求項22】
前記SIEM検出エンジンがサードパーティサーバによってホスティングされ、前記エッジモジュールが前記サードパーティサーバによってホスティングされ、前記テナントストレージアーカイブがテナントサーバによってホスティングされる、請求項19に記載のシステム。
【請求項23】
前記SIEM検出エンジンがサードパーティサーバによってホスティングされ、前記テナントストレージアーカイブが前記サードパーティサーバによってホスティングされる、請求項19に記載のシステム。
【請求項24】
前記中央制御プレーンモジュールは、前記複数のゲートウェイモジュールの設定を、それらに関連するログソースに対する共通の変更に基づいて同時に更新し、
前記複数のゲートウェイモジュールのうちの少なくとも1つの設定を、それと関連するログソースに関連する例外に基づいて更新する、ように構成されている、
請求項16に記載のシステム。
【請求項25】
前記中央制御プレーンモジュールは、新しいログソースに関連付けられる新しいゲートウェイモジュールを生成するように構成される、請求項16に記載のシステム。
【請求項26】
前記複数のテナントネットワークの少なくとも1つは、クラウドベースのログソースとオンプレミスのログソースとを備える、請求項16に記載のシステム。
【請求項27】
前記エッジモジュールはSIEMプロバイダサーバによってホスティングされ、前記中央制御プレーンモジュールは前記SIEMプロバイダサーバによってホスティングされる、請求項16に記載のシステム。
【請求項28】
前記中央制御プレーンモジュールは、もはやローログデータを生成していないログソースを識別するように構成される、請求項16に記載のシステム。
【請求項29】
前記セキュリティアクションは、前記少なくとも1つのテナントネットワークの管理者に送信されるセキュリティ警告を生成することを含む、請求項16に記載のシステム。
【請求項30】
前記セキュリティアクションは、前記少なくとも1つのテナントネットワークにアクセスするように構成された1つまたは複数のデバイスから前記少なくとも1つのテナントネットワークへのアクセス権を削除することを含む、請求項16に記載のシステム。
【請求項31】
セキュリティデータの取り込みを合理化および標準化するためのシステムであって、複数のテナントネットワークであって、各々が少なくとも1つのログソースを含む、複数のテナントネットワークと、
セキュリティ監視サブシステムと、を備えており、
前記セキュリティ監視サブシステムは、
複数のデータゲートウェイモジュールであって、複数のデータゲートウェイモジュールの各々が異なるログソースに関連付けられるとともに、複数のデータゲートウェイモジュールが、
それに関連付けられた前記ログソースからローログデータを受信し、
前記ローログデータに基づいてフォーマット済みログデータを生成する、
ように構成された、複数のデータゲートウェイモジュールと、
前記フォーマット済みログデータを前記複数のデータゲートウェイモジュールから取り込むエッジモジュールと、
前記複数のゲートウェイモジュールの少なくとも1つの設定を、それに関連する前記ログソースの変更に応じて自動的に更新するよう構成された中央制御プレーンモジュールと、
を備えており、
前記セキュリティ監視サブシステムは、取り込まれた前記フォーマット済みデータに基づいて、前記複数のテナントネットワークの少なくとも1つに関連するセキュリティアクションを実行するように構成されている、
システム。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2021年12月30日出願の米国特許仮出願第63/295,150号(発明の名称「複数のテナントからのセキュリティデータの取り込みを合理化および標準化するための装置、システム、および方法」)に関連し、その開示は参照によりその全部が本明細書に組み込まれる。
本出願は、2021年12月30日出願の米国特許仮出願第63/295,150号(発明の名称「複数のテナントからのセキュリティデータの取り込みを合理化および標準化するための装置、システム、および方法」)に関連し、その開示は参照によりその全部が本明細書に組み込まれる。
【0002】
本開示は、一般にネットワークセキュリティに関するものであり、より詳細には、複数のテナントからのデータの取り込みを合理化および標準化するための改良された装置、システム、および方法に関するものである。
【発明の概要】
【0003】
以下の概要は、本明細書に開示される態様に特有の革新的な特徴の一部の理解を容易にするために提供されており、完全な説明を意図するものではない。様々な態様の完全な理解は、明細書、特許請求の範囲、および要約全体を取ることによって得ることができる。
【0004】
様々な態様において、セキュリティ監視システムにおける複数のテナントネットワークからのデータの取り込みを合理化および標準化するための方法が開示される。一態様では、前記セキュリティ監視システムは、エッジモジュールと、中央制御プレーンモジュールと、複数のデータゲートウェイモジュールと、を備えており、前記複数のデータゲートウェイモジュールの各々は異なるログソースに関連付けられ、前記複数のテナントネットワークの各々は少なくとも1つのログソースを含む。他の態様では、前記方法は、前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、それに関連付けられた前記ログソースからローログデータを受信する工程と、前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、前記ローログデータに基づいてフォーマット済みログデータを生成する工程と、前記セキュリティ監視システムの前記エッジモジュールによって、前記フォーマット済みログデータを前記複数のデータゲートウェイモジュールから取り込む工程と、前記セキュリティ監視システムの前記中央制御プレーンモジュールによって、前記複数のデータゲートウェイモジュールの少なくとも1つの設定を、それに関連するログソースの変更に基づいて自動的に更新する工程と、前記セキュリティ監視システムによって、前記取り込まれたフォーマット済みデータに基づいて、前記複数のテナントネットワークの少なくとも1つに関連するセキュリティアクションを実行する工程と、を備える。
【0005】
様々な態様において、複数のテナントネットワークからのデータの取り込みを合理化および標準化することができるセキュリティ監視システムであって、複数のテナントネットワークの各々は、少なくとも1つのログソースを含む、セキュリティ監視システムが開示される。一態様では、セキュリティ監視システムは、複数のデータゲートウェイモジュールであって、複数のデータゲートウェイモジュールの各々が異なるログソースに関連付けられるとともに、複数のデータゲートウェイモジュールの各々が、前記ローログデータに基づいてフォーマット済みログデータを生成し、それに関連付けられたログソースからローログデータを受信する、ように構成された複数のデータゲートウェイモジュールと、前記複数のデータゲートウェイモジュールから前記フォーマット済みログデータを取り込むよう構成されたエッジモジュールと、前記複数のゲートウェイモジュールの少なくとも一つの設定を、それに関連する前記ログソースの変更に応じて自動的に更新するよう構成された中央制御プレーンモジュールと、を備えており、前記セキュリティ監視システムは、取り込まれた前記フォーマット済みデータに基づいて、前記複数のテナントネットワークの少なくとも一つに関連するセキュリティアクションを実行するように構成される。
【0006】
様々な態様において、セキュリティデータの取り込みを合理化および標準化するためのシステムが開示される。一態様では、前記システムは、複数のテナントネットワークであって、各々が少なくとも1つのログソースを含む、複数のテナントネットワークと、セキュリティ監視サブシステムと、を備えており、前記セキュリティ監視サブシステムは、複数のデータゲートウェイモジュールであって、複数のデータゲートウェイモジュールの各々が異なるログソースに関連付けられるとともに、複数のデータゲートウェイモジュールの各々が、それに関連付けられた前記ログソースからローログデータを受信し、前記ローログデータに基づいてフォーマット済みログデータを生成する、ように構成された複数のデータゲートウェイモジュールと、前記複数のデータゲートウェイモジュールから前記フォーマット済みログデータを取り込むエッジモジュールと、前記複数のゲートウェイモジュールの少なくとも1つの設定を、それに関連する前記ログソースの変更に応じて自動的に更新するよう構成された中央制御プレーンモジュールと、を備えており、前記セキュリティ監視サブシステムは、取り込まれた前記フォーマット済みデータに基づいて、前記複数のテナントネットワークの少なくとも1つに関連するセキュリティアクションを実行するように構成される。
【0007】
これらとその他の物体、機能、および本開示の特性ならびに操作方法、関連する構造要素の機能、部品の組み合わせ、製造の経済は、以下の記述、および添付の図面を参照する添付の特許請求の範囲を考慮すると、より明らかになり、それらすべては本明細書の一部を形成し、同様の参照符号は、様々な図において対応する部分を示す。しかしながら、図面は例示および説明のみを目的としており、本開示の限界の定義として意図されていないことが明示的に理解されるべきである。
【図面の簡単な説明】
【0008】
本明細書に記載される態様の様々な特徴が、添付の特許請求の範囲に詳細に記載されている。しかしながら、組織、および運用方法の両方に関する様々な態様、ならびにその利点は、以下の通り添付図面と共に以下の説明に従って理解され得る。
【0009】
【0010】
【0011】
【0012】
【図4A】本開示の少なくとも1つの非限定的な形態に従って、例示的なテナントネットワークによるログデータの取り込みを合理化および標準化するように構成されたシステムの図である。
【図4B】本開示の少なくとも1つの非限定的な形態に従って、例示的なテナントネットワークによるログデータの取り込みを合理化および標準化するように構成されたシステムの図である。
【0013】
【図5】本開示の少なくとも1つの非限定的な形態に従って、1または複数の構内ログソースからログデータを受信、処理、およびルーティングするように構成されたデータゲートウェイモジュールを含む、例示的なサブシステムアーキテクチャの図である。
【0014】
【図6】本開示の少なくとも1つの非限定的な形態に従って、複数のテナントネットワークからのセキュリティデータの取り込みを合理化および標準化するための方法を示す図である。
【0015】
【図7】本開示の少なくとも1つの非限定的な形態に従ったコンピューティングシステムの図である。
【0016】
対応する参照番号は、複数の図を通して対応する部分を示す。本明細書に記載された例示は、一態様において本開示の様々な態様を例示するものであり、このような例示は、いかなる態様においても本開示の範囲を限定するものとして解釈されるものではない。
【発明を実施するための形態】
【0017】
本出願の出願人は以下の特許出願を所有しており、各特許出願の開示は参照によりその全部が本明細書に組み込まれる:
2021年6月3日に出願された米国仮特許出願第63/196,458号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED, AND SYNERGISTIC DEPLOYMENT NEEDS)
2021年6月4日に出願された米国仮特許出願第63/196,991号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS)
2021年12月29日に出願された米国仮特許出願第63/294,570号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR PROVISIONING AND UPDATING SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS)
2021年12月30日に出願された米国仮特許出願第63/295,150号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR STREAMLINING AND STANDARDIZING THE INGEST OF SECURITY DATA ACROSS MULTIPLE TENANTS)
2022年1月25日に出願された米国仮特許出願第63/302,828号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR REMOTELY MANAGING ANOTHER ORGANIZATION’SECURITY ORCHESTRATION, AUTOMATION, AND RESPONSE)
2022年2月24日に出願された米国仮特許出願第63/313,422号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTION BASED ON DOMAIN REDIRECTS)
2022年5月12日に出願された米国仮特許出願第63/341,264号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR SUMMARIZING ANALYTIC OBSERVATIONS)
2022年5月20日に出願された米国仮特許出願第63/344,305号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR INGESTING & ENRICHING SECURITY INFORMATION TO AUTONOMOUSLY SECURE A PLURALITY OF TENANT NETWORKS)
2022年5月25日に出願された米国仮特許出願第63/345,679号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON A DEMOCRATIC MATCHING ALGORITHM)
2022年6月3日に出願された国際特許出願第PCT/US22/72739号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED, AND SYNERGISTIC DEPLOYMENT NEEDS)
2022年6月3日に出願された国際特許出願第PCT/US22/72743号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS)
2022年6月3日に出願された米国仮特許出願第63/365,819号(発明の名称:DEVICES, METHODS, AND SYSTEMS FOR GENERATING A HIGHLY-SCALABLE, EFFICIENT COMPOSITE RECORD INDEX)
2022年6月21日に出願された米国仮特許出願第63/353,992号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR CATEGORIZING, PRIORITIZING, AND MITIGATING CYBER SECURITY RISKS)
2022年6月23日に出願された米国仮特許出願第63/366,903号(発明の名称:DEVICES, SYSTEMS, AND METHOD FOR GENERATING AND USING A QUERYABLE INDEX IN A CYBER DATA MODEL TO ENHANCE NETWORK SECURITY)
2022年7月15日に出願された米国仮特許出願第63/368,567号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR UTILIZING A NETWORKED, COMPUTER-ASSISTED, THREAT HUNTING PLATFORM TO ENHANCE NETWORK SECURITY)
2022年7月27日に出願された米国仮特許出願第63/369,582号(発明の名称:AUTONOMOUS THREAT SCORING AND SECURITY ENHANCEMENT)
2022年9月27日に出願された米国仮特許出願第63/377,304号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR CONTINUOUSLY ENHANCING THE IMPLEMENTATION OF CODE CHANGES VIA ENRICHED PIPELINES)
2021年6月3日に出願された米国仮特許出願第63/196,458号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED, AND SYNERGISTIC DEPLOYMENT NEEDS)
2021年6月4日に出願された米国仮特許出願第63/196,991号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS)
2021年12月29日に出願された米国仮特許出願第63/294,570号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR PROVISIONING AND UPDATING SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS)
2021年12月30日に出願された米国仮特許出願第63/295,150号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR STREAMLINING AND STANDARDIZING THE INGEST OF SECURITY DATA ACROSS MULTIPLE TENANTS)
2022年1月25日に出願された米国仮特許出願第63/302,828号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR REMOTELY MANAGING ANOTHER ORGANIZATION’SECURITY ORCHESTRATION, AUTOMATION, AND RESPONSE)
2022年2月24日に出願された米国仮特許出願第63/313,422号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTION BASED ON DOMAIN REDIRECTS)
2022年5月12日に出願された米国仮特許出願第63/341,264号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR SUMMARIZING ANALYTIC OBSERVATIONS)
2022年5月20日に出願された米国仮特許出願第63/344,305号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR INGESTING & ENRICHING SECURITY INFORMATION TO AUTONOMOUSLY SECURE A PLURALITY OF TENANT NETWORKS)
2022年5月25日に出願された米国仮特許出願第63/345,679号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR IDENTIFYING CYBER ASSETS AND GENERATING CYBER RISK MITIGATION ACTIONS BASED ON A DEMOCRATIC MATCHING ALGORITHM)
2022年6月3日に出願された国際特許出願第PCT/US22/72739号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR ENHANCING SECURITY INFORMATION & EVENT MANAGEMENT UPDATES FOR MULTIPLE TENANTS BASED ON CORRELATED, AND SYNERGISTIC DEPLOYMENT NEEDS)
2022年6月3日に出願された国際特許出願第PCT/US22/72743号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR STANDARDIZING & STREAMLINING THE DEPLOYMENT OF SECURITY INFORMATION & EVENT MANAGEMENT ARTIFACTS FOR MULTIPLE TENANTS)
2022年6月3日に出願された米国仮特許出願第63/365,819号(発明の名称:DEVICES, METHODS, AND SYSTEMS FOR GENERATING A HIGHLY-SCALABLE, EFFICIENT COMPOSITE RECORD INDEX)
2022年6月21日に出願された米国仮特許出願第63/353,992号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR CATEGORIZING, PRIORITIZING, AND MITIGATING CYBER SECURITY RISKS)
2022年6月23日に出願された米国仮特許出願第63/366,903号(発明の名称:DEVICES, SYSTEMS, AND METHOD FOR GENERATING AND USING A QUERYABLE INDEX IN A CYBER DATA MODEL TO ENHANCE NETWORK SECURITY)
2022年7月15日に出願された米国仮特許出願第63/368,567号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR UTILIZING A NETWORKED, COMPUTER-ASSISTED, THREAT HUNTING PLATFORM TO ENHANCE NETWORK SECURITY)
2022年7月27日に出願された米国仮特許出願第63/369,582号(発明の名称:AUTONOMOUS THREAT SCORING AND SECURITY ENHANCEMENT)
2022年9月27日に出願された米国仮特許出願第63/377,304号(発明の名称:DEVICES, SYSTEMS, AND METHODS FOR CONTINUOUSLY ENHANCING THE IMPLEMENTATION OF CODE CHANGES VIA ENRICHED PIPELINES)
【0018】
多数の具体的な詳細が、本開示に記載され、添付図面に図示される態様の全体的な構造、機能、製造、および使用についての完全な理解を提供するために記載される。周知の動作、構成要素、および要素は、本明細書に記述される態様を不明瞭にしないように、詳細に説明されていない。読み手は、本明細書に説明および図示される態様が非限定的な態様であることを理解するであろう。したがって、本明細書に開示される特定の構造および機能の詳細は、代表的および例示的であり得ることが理解されよう。特許請求の範囲から逸脱することなく、変更および変更を行うことができる。
【0019】
本明細書に開示するシステムの様々な態様および方法を詳細に説明する前に、例示的態様は、添付図面および説明に開示する詳細への適用または使用に限定されないことに留意されたい。当然のことながら、例示的な態様は、他の態様、変形、および修正において実装または組み込まれてもよく、様々な方法で実践または実施されてもよい。さらに、別段の示唆が無い限り、本明細書で使用される用語および表現は、読者の利便性のために例示的な態様を説明する目的で選択されており、その限定を目的としていない。例えば、本明細書に開示する特定の製造業者、ソフトウェアスイート、アプリケーション、または開発プラットフォームへの任意の参照は、本開示の多くの態様のいくつかを例示することを単に意図するに過ぎないことが理解されよう。これには、商標に関するあらゆる参照が含まれる。したがって、本明細書に開示されるデバイス、システム、および方法は、任意の使用目的および/またはユーザの好みに従って、任意のソフトウェア更新を強化するために実装できることが理解されるべきである。
【0020】
本明細書で使用される場合、用語「サーバ」は、インターネットまたは任意のパブリックネットワークもしくはプライベートネットワークなどのネットワーク環境で、複数の当事者のために通信および処理によって操作されるか、またはそれらを容易にする、一つ以上のコンピューティングデバイスを指すか、またはそれを含み得る。本明細書で使用される場合、「サーバ」または「プロセッサ」への言及は、以前のステップまたは機能、異なるサーバ、および/またはプロセッサ、および/またはサーバの組み合わせ、および/またはプロセッサの組み合わせを実行すると列挙される、以前に列挙されたサーバおよび/またはプロセッサを指し得る。
【0021】
本明細書で使用される場合、用語「ネットワーク」は、テナントが導入する企業情報技術(IT)システム全体を指すか、またはそれを含み得る。例えば、ネットワークは、任意の物理的および/または無線接続によって接続され、他の一つ以上のノードと情報を通信および共有するよう構成される、二つ以上のノード(例えば、アセット)のグループを含み得る。ただし、ネットワークという用語は、任意の特定のノード、またはそれらのノードを接続する任意の特定の手段に限定されるものではない。ネットワークは、イーサネット、イントラネット、および/またはエクストラネットに接続し、各デバイスの物理的な場所に関係なく、アドホック接続(例えば、Bluetooth(登録商標)、近距離無線通信(NFC)など)、ローカルエリア接続(「LAN」)、無線ローカルエリアネットワーク(「WLAN」)、および/または仮想プライベートネットワーク(「VPN」)を介して互いに通信するよう構成されたアセット(例えば、デバイス、サーバ、デスクトップコンピュータ、ラップトップコンピュータ、パーソナルデジタルアシスタント、携帯電話、ウェアラブル、スマート家電、など)の任意の組み合わせを含むことができる。ネットワークには、デバイスによって配備されるか、またはその他の方法でファイアウォール、電子メールクライアント、文書管理システム、オフィスシステムなどの企業ITシステムによって利用される、任意のツール、アプリケーション、および/またはサービスがさらに含まれ得る。一部の非限定的な態様では、「ネットワーク」は、第三者によって所有および制御されているが、テナントが企業ITシステムにアクセスすることを承認されている、第三者デバイス、アプリケーション、および/またはサービスを含む場合がある。
【0022】
本明細書で使用される場合、「プラットフォーム」という用語は、ソフトウェアアーキテクチャ、ハードウェアアーキテクチャ、および/またはそれらの組み合わせを含み得る。プラットフォームは、スタンドアローンのソフトウェア製品、ネットワークアーキテクチャ、および/またはソフトウェア製品にその技術的利益を提供するために必要に応じて、ソフトウェアアーキテクチャおよび/またはハードウェアアーキテクチャ内に統合されるように構成されたソフトウェア製品のいずれかを含み得る。例えば、プラットフォームは、チップセット、プロセッサ、論理ベースのデバイス、メモリ、ストレージ、グラフィカルユーザインターフェース、グラフィックサブシステム、アプリケーション、および/または通信モジュール(例えば、トランシーバ)の任意の組み合わせを含み得る。言い換えれば、プラットフォームは、ソフトウェアによって提供される技術的利益を可能にするために必要なリソースを提供することができる。一部の非限定的な態様によれば、ソフトウェアによって提供される技術的利益は、エコシステムの物理的リソース、またはエコシステム内の物理的リソース(例えば、API、サービスなど)によって採用される他のソフトウェアに提供される。他の非限定的な態様によれば、プラットフォームは、共に機能するように意図され、かつ設計されたいくつかのソフトウェアアプリケーションのフレームワークを含み得る。
【0023】
本明細書で使用される場合、「セキュリティモニタリングプラットフォーム」という用語は、情報技術(IT)インフラ全体からの多くの異なるリソースからの活動を集約し、分析するように構成されたソフトウェアを指すか、またはそれを含み得る。例えば、セキュリティモニタリングプラットフォームは、セキュリティ情報およびイベント管理(SIEM)プラットフォーム、および/または、データをモニタリングおよび/または分析するために使用される他のタイプのプラットフォーム(例えば、Slpunk Enterprise Security、Microsoft Sentinel、Datadog Security Monitoring、ELKなど)を含むことができる。SIEMに関連して本明細書に開示されたデバイス、システム、および方法の様々な形態は、同様に、あらゆるタイプのセキュリティモニタリングプラットフォームに適用することができる。
【0024】
SIEMは、複数のプラットフォームからのデータ(ログデータ、イベントデータ、脅威インテリジェンスデータなど)を集約し、そのデータを分析して異常な動作や潜在的なサイバー攻撃を検知するために利用することができる。SIEMは、ネットワークデバイス、サーバ、ドメインコントローラなどからセキュリティデータを収集することができる。SIEMは、データの保存、正規化、集約、分析の適用を行い、トレンドの発見、脅威の検出、アラートの調査を可能とする。既知のSIEMツール(本明細書では、SIEM検出エンジンとも呼ばれる)は、ネットワーク全体のイベントを監視し、データを収集し、セキュリティアラートを発行する能力を含む強力な機能を提供するが、そのようなツールは通常、実装する組織、より具体的には、しばしば複雑になり得る特定のネットワークアーキテクチャに合わせて調整される。
【0025】
ある特定の形態では、SIEMツールや他のセキュリティモニタリングプラットフォームの実装は、特定の組織のネットワークアーキテクチャ内で構成される可能性のある様々なデータソースのために複雑化する可能性がある。このようなデータソースの多様化は、組織がオンプレミスおよびクラウドベースのデータロギングツールを様々に組み合わせて採用し、ネットワーク内からデータを収集、集約、転送することに起因して生じ得る。例えば、あるネットワークは、SysLog転送、Windowsイベント転送、Filebeat転送などのオンプレミスデータロギングツール、またはデータロギングおよび転送のための他の市販ソフトウェアを採用することができる。さらに、組織は、データログの収集と集約のために、Amazon Web Services(AWS)、Microsoft 365、Oktaなどのクラウドベースのデータサービスを利用することもできる。SIEMツールは、データを利用してセキュリティ関連のイベントや傾向を検出するために、これらのさまざまなソースからログデータを取り込むことができなければならない。しかし、各タイプのログソースによって生成されるデータは、例えば、異なるフォーマットやコンテンツの異なる構成など、異なる特性を有する可能性がある。したがって、SIEMツールを導入するためには、通常、特定のネットワークに実装されている特定のデータログソースに基づいてカスタマイズする必要がある。
【0026】
SIEMツールや何らかのセキュリティ監視プラットフォームを導入するために必要なカスタマイズ作業は、複数のクライアント(つまり複数のテナント)のネットワークのセキュリティを管理することを生業とするセキュリティサービスプロバイダ(MSSP)にとって、特に時間がかかる場合がある。例えば、Splunk Enterprise Security(Splunk Cloud)は、MSSPによく利用されるクラウドベースのSIEM検出エンジンである。しかしながら、複数のテナントにSplunk Cloud をデプロイするためには、通常、各テナント固有のログソースの組み合わせに基づいてカスタマイズする必要がある。このカスタマイズには高度なスキルが必要であると同時に、非常に時間がかかり、エラーが発生しやすい。さらに、特定のテナントネットワークのデータ取り込み設定は、テナントがログソースを更新、追加、削除、またはその他の方法で変更するたびに更新する必要がある場合がある。また、Splunk CloudなどのほとんどのクラウドベースのSIEM製品には様々なメーカー主導の変更が行われる可能性があり、これがすべてのテナントに同時に影響を与え、追加の取り込み設定の更新が必要になる可能性がある。
【0027】
複数のテナントネットワークからのデータの取り込みを処理するために必要なカスタマイズは、より高価な専門家を雇わなければならないMSSPと、多くの場合で費用の増加分の少なくとも一部を負担するテナントと、の両方にとって高コストとなる可能性がある。しかし、さまざまなテナントの導入ニーズが同じであることも多い。例えば、多くの組織が1または複数の同じタイプのデータログソースを利用している場合がある。そのため、複数のテナントネットワークからの多種多様なデータタイプの取り込みを管理する集中型システムを実装するために、ネットワーク間で共通の形態を活用することが有用な場合がある。残念ながら、既知のSIEMツールやその他のセキュリティ監視プラットフォームは、技術的にこのような相乗効果を活用することができない。そのため、最初の導入からSIEMやログソースに関連するさまざまな更新を通じて、MSSPが複数のクライアントにおける効率性を高めることができる機会は制限されている。したがって、複数のテナントからのログデータの取り込みを合理化および標準化するためのデバイス、システム、および方法の改善が必要とされている。このような機能強化により、MSSP向けのSIEMツールおよび/または他のセキュリティ監視プラットフォームの技術的性能と費用対効果の改善を実現できる。例えば、このような強化により、複数のテナントネットワーク間のSIEMツールおよび/またはセキュリティモニタリングプラットフォームの初期デプロイに必要なリソースを削減することができる。さらに、このような強化により、SIEM、セキュリティモニタリングプラットフォーム、および/またはログソース関連の更新に応じて取り込み設定を更新するために必要な人的資源を大幅に削減することができる。
【0028】
本開示は、複数のテナントからのログデータの取り込みを合理化および標準化するためのこのような装置、システム、および方法を提示し、これらすべてが多くの技術的利点を提供する。例えば、本明細書に開示される装置、システム、および方法は、以下を提供することができる:(1)複数のテナントネットワークからの様々なタイプのログデータを、エッジモジュールによる合理化された取り込みのための標準化されたフォーマットに処理する集中制御されたデータゲートウェイモジュールを使用した非定型的な方法による複数のテナントネットワーク間のセキュリティモニタリングプラットフォームの初期デプロイに必要なリソースの削減、(2)データゲートウェイモジュールの設定を自動的に更新することによる、ログソースの変更に対応するために必要な人的リソースの削減、(3)複数のテナントネットワークからのログソースに対する共通の変更に基づいて複数のデータゲートウェイモジュールの設定を同時に更新することにより実現される、人間のセキュリティアナリストによって実行される取り込み設定の更新に対する改善、および/または、(4)取り込まれたデータで検出されたセキュリティ関連のイベントおよび傾向に基づいてセキュリティアクションを実行することによる実用化。
【0029】
ここで図1を参照すると、本開示の少なくとも1つの非限定的な形態に従って、複数のテナント間のSIEM実装のために構成されたシステム1000が図示されている。システム1000は、メモリ1004とプロセッサ1006とを含むSIEMプロバイダサーバ1002を含むことができる。様々な態様において、SIEMプロバイダサーバ1002は、図7をさらに参照して説明するように、コンピュータシステム9000およびその様々な構成要素(例えば、プロセッサ1006はプロセッサ(複数可)9004と同様であり得、メモリ1004はメインメモリ9006と同様であり得るなど)を構成し得る。様々な態様において、メモリ1004は、プロセッサ1006によって実行されたときに、中央制御プレーンモジュール200、データゲートウェイモジュール2101、2102、2122、210n、・・・212n、およびエッジモジュール2201、220n、・・・222n(図2を参照して説明する)を生成させる指示を記憶するよう構成されている。様々な形態において、SIEMプロバイダサーバ1002は、MSSPが所有またはリースする計算リソースとすることができる。SIEMプロバイダサーバ1002は、ネットワーク1008を介して、複数のテナント10101、10102、・・・1010nと通信可能に接続される。複数のテナント10101、10102、・・・1010nはそれぞれ、セキュリティサービスのためにMSSPと契約している顧客(例えば、組織)を表すことができる。図1の非限定的な形態によれば、ネットワーク1008は、有線、長距離無線、および/または短距離無線の任意の多様なネットワークを含むことができる。例えば、ネットワーク1008は、内部ネットワーク、ローカルエリアネットワーク(LAN)、WiFi(登録商標)、セルラーネットワーク、近距離無線通信(以下「NFC」)などを含むことができる。
【0030】
図1をさらに参照すると、複数の各テナント10101、10102、・・・1010nは、1または複数のクライアント1012、1014、1016の1または複数のインスタンスをホストすることができる。たとえば、第1のテナント10101は、1または複数のクライアントアプリケーション10121、10122、・・・1012nを実装する1または複数のマシンを含むことができ、第2のテナント10102は、1または複数のクライアントアプリケーション10141、10142、・・・1014nを実装する1または複数のマシンを含むことができ、および/または第3のテナント1010nは、1または複数のクライアントアプリケーション10161、10162、・・・1016nを実装する1または複数のマシンを含むことができる。各テナント10101、10102、1010nは、各マシンが通信できるイントラネット(すなわち、ネットワーク)を含むことができる。前述のように、各テナント10101、10102、・・・1010nは、セキュリティサービスのためにMSSPと契約している組織などの顧客を表すことができる。したがって、SIEMプロバイダサーバ1002は、複数の各テナント10101、10102、・・・1010nを監視するように構成することができ、各クライアントアプリケーション1012、1014、1016を監視し、脅威を管理する責任を負う。
【0031】
前述したように、テナント10101、10102、・・・1010nのアーキテクチャは複雑である。各テナントが採用するデータログソースの種類が異なるなど、テナントのアーキテクチャが複雑になると、MSSPによる管理が複雑になる可能性がある。例えば、既知のSIEM検知エンジンは、各テナント10101、10102、・・・1010nに基づいて、コストと時間のかかるカスタマイズを必要とすることがある。本開示の非限定的な形態によれば、SIEMプロバイダサーバ1002は、図2に関して後述する中央制御プレーンモジュール200と、データゲートウェイモジュール2101、2102、2122、・・・210n、212nと、1つ以上のエッジモジュール2201、・・・220n、222nと、を利用して、テナント10101、10102、・・・1010nの全体におけるログデータの取り込みを合理化および標準化するために、従来とは異なる方法でこれらに関する欠陥に対処する。さらに、これらの機能強化は、取り込まれたデータで検出されたセキュリティ関連のイベントと傾向に基づいて、セキュリティアクションを実行するために実用的に適用することができる。例えば、取り込まれたデータに基づいて、SIEMプロバイダサーバ1002は、テナント10101、10102、・・・1010nの少なくとも1つの管理者に送信されるセキュリティ警告を生成するように構成することができる。別の例として、SIEMプロバイダサーバ1002は、取り込まれたデータに基づいてテナントネットワーク10101、10102、・・・1010nへのアクセスを禁止するように構成することができる。
【0032】
ここで図2を参照すると、本開示の少なくとも1つの非限定的な形態に従って、複数のテナントからのログデータの取り込みを合理化および標準化するように構成されたシステム2000の図が示されている。システム2000は、SIEMプロバイダサーバ2002と、複数のテナント20101、20102、・・・2010nとを含むことができる。いくつかの態様において、SIEMプロバイダサーバ2002は、図1のSIEMプロバイダサーバ1002と同様のものとすることができる。同様に、複数のテナント20101、20102、・・・2010nは、図1の複数のテナント10101、10102、・・・1010nと同様であってもよい。このように、SIEMプロバイダサーバ2002は、MSSPが所有またはリースする計算リソース(例えば、クラウドインフラストラクチャホスティング環境)とすることができ、複数のテナント20101、20102、・・・2010nのそれぞれは、セキュリティサービスのためにMSSPと契約している顧客(例えば、組織)のネットワークを表すことができる。
【0033】
図2をさらに参照すると、テナント20101、20102、・・・2010nは、オンプレミスのインフラストラクチャ102を有することができる。たとえば、テナント20101はオンプレミスインフラストラクチャ1021を有するものとして描かれており、テナント20102はオンプレミスインフラストラクチャ1022を有するものとして描かれており、テナント2010nはオンプレミスインフラストラクチャ102nを有するものとして描かれている。さらに、テナント20101、20102、・・・2010nの少なくとも1つは、クラウドベースのインフラストラクチャ104を有していてもよい。例えば、テナント20102はクラウドベースインフラストラクチャ1042を有するものとして描かれており、テナント2010nはクラウドベースインフラストラクチャ104nを有するものとして描かれている。オンプレミスインフラストラクチャ102は、少なくとも1つのオンプレミスログソース112を有することができる(例えば、オンプレミスインフラストラクチャ1021はオンプレミスログソース1121を有し、オンプレミスインフラストラクチャ1022はオンプレミスログソース1122を有し、オンプレミスインフラストラクチャ102nはオンプレミスログソース112nを有する)。クラウドベースインフラストラクチャ104は、少なくとも1つのクラウドベースログソース114を有することができる(例えば、クラウドベースインフラストラクチャ1042は、クラウドベースログソース1142を有し、クラウドベースインフラストラクチャ104nは、クラウドベースログソース114nを有する)。オンプレミスデータログ112は、例えば、SysLog転送、Windowsイベント転送、Filebeat転送、Splunkユニバーサルフォワーダ、および/またはデータロギングおよび転送のための他の市販ソフトウェアなど、様々なオンプレミスデータロギングツールによって生成される可能性がある。クラウドベースインフラストラクチャ104は、例えば、Amazon Web Services(AWS)、Microsoft 365、Okta、または他のクラウドベースのデータサービスなど、様々なクラウドベースのデータサービスを構成することができる。したがって、クラウドベースのデータログ114は、これらの様々なクラウドベースのデータサービス上で収集および/または集約されるデータから生成される可能性がある。ログソース112、114は、複数の異なるコンテンツタイプおよび/またはフォーマットタイプからなるデータを生成することができる。ログソース112、114によって生成されたデータは、本明細書では「ロー(生の;未加工の)」データと呼ばれることがある。図2には、オンプレミスおよびクラウドベースのインフラストラクチャの3つの異なる組み合わせのみが明示的に示されているが、当業者であれば、テナント20101、20102、・・・2010nは、オンプレミスおよびクラウドベースのインフラ102、104の膨大な数の組み合わせのいずれかを持つことができ、各インフラ102、104は、複数の異なるタイプのログソース112、114のいずれか1つ以上を持つ。
【0034】
依然として図2を参照すると、SIEMプロバイダサーバ2002は、中央制御プレーンモジュール200を構成することができる。中央制御プレーンモジュール200は、複数のデータゲートウェイモジュール210、212を生成するように構成され得る。複数のデータゲートウェイモジュール210、212の各々は、異なるログソース112、114に関連付けることができる。例えば、データゲートウェイモジュール2101はオンプレミスログソース1121に関連付けられ、データゲートウェイモジュール2102はオンプレミスログソース1122に関連付けられ、データゲートウェイモジュール2122はクラウドベースログソース1142に関連付けられ、データゲートウェイモジュール210nはオンプレミスログソース112nに関連付けられ、データゲートウェイモジュール212nはクラウドベースログソース114nに関連付けられる。複数のデータゲートウェイモジュール210、212の各々は、それに関連付けられたログソース112、114からローログデータを受信するように構成され得る。複数のデータゲートウェイモジュール210、212の各々は、受信したローログデータからフォーマット済みログデータを生成するようにさらに構成され得る。例えば、各データゲートウェイモジュールは、SIEM検知に関連すると決定されたフィールドのみを含むようにローログデータをフィルタリングするように構成され得る。別の例として、各データゲートウェイモジュールは、標準スキーマ(すなわち標準フォーマット)に基づいてローログデータを正規化および/または解析するように構成することができる。ローログデータは、データゲートウェイモジュール210、212によって、フォーマット済みログデータがSIEM検知エンジンによって処理(すなわち分析)され得るようにフォーマットされ得る。
【0035】
複数のデータゲートウェイモジュール210、212のそれぞれはまた、SIEMおよびテナントデータの要件に基づいてフォーマット済みログデータをルーティングするように構成され得る。例えば、いくつかの態様において、データゲートウェイモジュール210、212は、フォーマット済みログデータをSIEMプロバイダサーバ上でホストされるエッジモジュール220にルーティングするように構成することができる。エッジモジュール220は、大容量、速度、および/または冗長性でフォーマット済みログデータを取り込むように構成することができる。この取り込まれたフォーマット済みデータは、その後、SIEMプロバイダサーバ2002上でホストされるSIEM検出エンジン230によって処理(すなわち、分析)されることができる。さらに、いくつかの態様では、データゲートウェイモジュール210、212は、フォーマット済みログデータを第三者のネットワーク250にホストされたSIEM検出エンジン260にルーティングするように構成することができる。さらに、いくつかの態様では、データゲートウェイモジュール210、212は、ローデータをテナントストレージ120にルーティングするように構成することができる。テナントストレージ120は、例えば、低コストなイミュータブルストレージからなるコンプライアンス・アーカイバルとすることができる。テナントのニーズおよび/または好みに応じて、テナントストレージ120は、SIEMプロバイダサーバ2002によってホストすることができ(例えば、テナントストレージ1201)、テナントストレージ120は、テナントのクラウドベースのインフラストラクチャ104でホストすることができ(例えば、テナントストレージ1202、120n)、または、テナントストレージは、SIEMプロバイダサーバ2002またはテナントのクラウドベースのインフラストラクチャ104とは関係のないサーバでホストすることができる。
【0036】
依然として図2を参照すると、中央制御プレーンモジュール200は、SIEM検出エンジン230、260への変更に基づいて、および/またはデータログ112、114に関連する変更に基づいて、様々なアクションを実施するように構成することができる。例えば、中央制御プレーンモジュール200は、1または複数のデータゲートウェイモジュール210、212に関連するログソース(複数可)への変更(例えば、更新)に応答して、1または複数のデータゲートウェイモジュール210、212の設定を自動的に更新するように構成され得る。様々な態様において、中央制御プレーンモジュール200は、それに関連付けられているログソース112、114への共通の変更に基づいて、複数のゲートウェイモジュール210、212の設定を同時に更新するように構成され得る。例えば、特定のタイプのログソースがシステム規模の更新を受けることがある。これに応答して、中央制御プレーンモジュール200は、更新された特定のタイプのログソースからローログデータを受信している任意のゲートウェイモジュール210、212を更新することができる(例えば、ファイアウォール関連の更新等)。
【0037】
様々な態様において、中央制御プレーン200は、そこからデータを受信するログソース112、114に関連する例外に基づいて、非標準的な設定を必要とするデータゲートウェイモジュール210、212の設定を更新するように構成することができる。例えば、このタイプの部分的な変更は、ログソース112、114のタイプが複数のテナント2010に共通である可能性があるが、特定のテナント2010におけるそのタイプのログソース112(または114)の1つのインスタンスだけが、関連するデータゲートウェイモジュール210(または212)への更新を必要とする場合に、実装することができる。このローカルのみの変更は、同じタイプのログソース112、114からローログデータを受信するすべてのデータゲートウェイモジュール210、212に影響を与えるグローバル更新を実施することなく、その特定のデータゲートウェイモジュール210(または212)が更新されることを可能にする。このように、中央制御プレーンモジュール200は、データゲートウェイモジュール210、2102の自動的なシステム規模の設定更新と、ローカルのみのデータゲートウェイモジュール210、212の設定更新の両方を生成することができる。
【0038】
様々な態様において、中央制御プレーンモジュール200は、新しいデータゲートウェイモジュール210、212を生成するように構成することができる。例えば、新しいテナント2010がシステム2000に追加され得る。中央制御プレーンモジュール200は、新しいテナントネットワーク内のすべてのログソース112、114に対して、新しいデータゲートウェイモジュール210、212を生成させることができる。別の例として、既存のテナント2010は、新しいログソース112、114を追加するためにそのネットワークを更新することができる。中央制御プレーンモジュール200は、新しいログソース112、114に対して新しいゲートウェイモジュール210、212を生成させることができる。
【0039】
様々な態様において、中央制御プレーンモジュール200は、システム2000によるヘルス関連情報のトリアージを可能にすることができる。例えば、中央制御プレーンモジュール200は、もはやローログデータを送信していないログソース112、114を検出および/または識別することができる。中央制御プレーンモジュール200は、そのようなヘルス関連情報を検出することに応答して、警告を発するなどのアクションを実施することができる。様々な態様において、中央制御プレーンモジュール200は、データゲートウェイモジュール210、212を削除するように構成され得る。例えば、テナント2010がシステム2000から除去されてもよく、関連するデータゲートウェイモジュール210、212が中央制御プレーンモジュール200によって除去されてもよい。別の例として、テナント2010は、そのネットワークを更新し、1つ以上のログソース112、114を削除することができる。中央制御プレーンモジュール200は、削除された1つ以上のログソース112、114に関連するデータゲートウェイモジュール210、212を削除するように構成され得る。
【0040】
様々な態様において、中央制御プレーンモジュール200は、SIEM検知エンジン230、260の要件に基づいて、210、212に基づく複数のデータゲートウェイモジュールの構成を更新するように構成され得る。例えば、SIEM検出エンジン230、260は、ローデータがどのようにフォーマットされるか(例えば、フィルタリングされ、正規化され、および/または解析されるか)への変更を必要とする更新を受けることができる。この更新に応答して、中央制御プレーンモジュール200は、ローデータが正しくフォーマットされることを保証するために、210、212をベースとする複数のデータゲートウェイモジュール全体にわたって対応する構成変更を引き起こすことができる。これは、自動化されたシステム規模の更新であってもよい。別の例として、(例えば、監視される必要がある関連するセキュリティフィールドとみなされるものの更新に基づいて)ローデータが異なるようにフィルタリングされる必要があると判断されることがある。この更新に応答して、中央制御プレーンモジュール200は、ローデータが正しくフィルタリングされることを保証するために、複数のデータゲートウェイモジュール210、212にわたって対応する構成変更を引き起こすことができる。これは、自動化されたシステム規模の更新であってもよい。このように、中央制御プレーンモジュール200は、複数のデータゲートウェイモジュール210、212のプロビジョニング及び更新に基づいて、全てのデータログソース112、114が管理され得る単一のポイントとして機能し得る。
【0041】
様々な態様において、中央制御プレーンモジュール200は、インフラストラクチャオーケストレーションシステム、ソフトウェア設定管理を前処理するためのグラフィカルユーザインターフェース(GUI)、およびクラウドインフラストラクチャホスティング環境を含むソフトウェアコンポーネントから構成することができる。インフラストラクチャオーケストレーションシステムは、例えば、Chef、Puppet、Ansibleなどのソフトウェアコンポーネントであり得る。クラウドインフラホスティング環境は、例えば、AWS、Google Cloud Platform、Azureなどの市販のホスティング環境であり得る。様々な態様において、SIEMプロバイダサーバ2002は、クラウドインフラホスティング環境とすることができる。
【0042】
様々な態様において、1つ以上のエッジモジュール220は、クラウドインフラストラクチャホスティング環境、前処理ソフトウェア、およびインフラストラクチャオーケストレーションシステムなどのソフトウェアコンポーネントから構成することができる。クラウドインフラストラクチャホスティング環境は、例えば、AWS、Google Cloud Platform、Azureなどの市販のホスティング環境であり得る。様々な態様において、SIEMプロバイダサーバ2002は、クラウドインフラホスティング環境とすることができる。前処理ソフトウェアは、例えば、商用ソフトウェア、又はオープンソースソフトウェア(例えば、Crbl、FluentD、Kafka、Logstash等)とすることができる。インフラストラクチャオーケストレーションシステムは、例えば、Chef、Puppet、Ansibleなどのソフトウェアコンポーネントであり得る。図2の非限定的な形態をさらに参照すると、中央制御プレーンモジュール200は、エッジモジュール220上でホストされるものとして示されている。他の態様では、中央制御プレーンモジュール200は、それ自身のホスティング環境に抽象化されてもよい。
【0043】
様々な態様において、オンプレミスログソース112に関連するデータゲートウェイモジュール210は、テナントの2010オンプレミスインフラストラクチャ102との仮想プライベートネットワーク(VPN)接続を使用して構成することができる。クラウドベースのログソース114に関連するデータゲートウェイモジュール212は、テナントの2010クラウドベースのインフラストラクチャ104からデータを抽出するために、クラウドベースのRESTful APIなどのアプリケーションプログラミングインターフェース(API)を使用して構成することができる。各データゲートウェイモジュール210、212は、一般に、エッジデバイスおよび前処理ソフトウェアなどのソフトウェアコンポーネントから構成することができる。エッジデバイスソフトウェアコンポーネントは、例えば、仮想または物理ホストサーバ、高可用性のためのそのようなホストのパー、またはコンテナ技術(例えば、Kubernetesなど)を使用するホストノードの仮想または物理クラスタとすることができる。前処理ソフトウェアは、例えば、商用ソフトウェア、またはオープンソースソフトウェア(例えば、Crbl、FluentD、Kafka、Logstashなど)とすることができる。
【0044】
様々な態様において、クラウドベースのログソースに関連付けられるデータゲートウェイモジュール212は、「クラウドネイティブコレクター」データゲートウェイモジュールとして構成することができる。例えば、クラウドネイティブコレクターデータゲートウェイモジュールは、テナント2010クラウドベースインフラストラクチャ104(例えば、Azureテナント、AWSなど)内に常駐することができる。クラウドネイティブコレクターデータゲートウェイモジュールは、クラウドネイティブデータをネイティブに処理し、取り込むように構成することができる。さらに、クラウドネイティブコレクターデータゲートウェイモジュールは、自動化されたクラウドネイティブコレクターデプロイメントパッケージによって生成され、テナント2010クラウドベースのインフラストラクチャ104に常駐し、クラウドネイティブデータログソースと、フォーマットされたおよびローログデータの送信先(SIEM 260など)と、の両方への接続を確立することができる。クラウドネイティブコレクターデータゲートウェイモジュールによって実現される直接接続は、継続的なデータフローの高可用性を保証し、従来のSIEMデータ取り込み方法と比較して、より高速かつ大量で、より多様なデータの取り込みを可能にすることができる。
【0045】
さらに図2を参照すると、システム2000は、テナント20102、20102、・・・2010nとサイバーセキュリティサーバを提供するためにテナントと契約するMSSPとの間で共同管理ができるように構成することができる。例えば、1つ以上のテナント2010は、データゲートウェイモジュール210、212によって収集されたデータに対する可視性を望むかもしれない。そのような場合、1つ以上のテナント2010は、1つ以上のデータゲートウェイモジュール210、212に対する読み取り専用および/またはフルアクセスを提供され得る。これは、1または複数のテナント2010が、ログソース112、114および/またはデータゲートウェイモジュール210、212によって生成されたデータに対する可視性および共有制御の両方を有することを可能にし得る。別の例として、1または複数のテナント2010は、データフローが「壊れる」(例えば、システムがデータを処理できないような方法でシステムへのフローが停止する)ことを懸念することがある。このような場合、1または複数のテナント2010は、データ処理の必要性を制御するために、MSSPと共通のシステムを維持するためのアクセス権を与えられる。これは、例えば、関連するデータゲートウェイモジュール210、212によるローデータのルーティングおよび/または処理を制御するためのアクセス権を1または複数のテナント2010に提供することによって実施することができる。本明細書で説明する共同管理機能は、MSSPおよびテナント20101、20102、・・・2010nが、それぞれのデータ処理ニーズに対する制御を維持し、すべての当事者にとって正しいデータ処理とルーティングを保証すること、を可能にする。
【0046】
中央制御プレーンモジュール200、データゲートウェイモジュール210、212、およびエッジモジュール220の非定型的な組み合わせにより、複数のテナント20101、20102、・・・2010nからのログデータの取り込みを合理化および標準化するシステム2000を実現することができる。この非定型な組み合わせは、テナント2010が採用する可能性のあるオンプレミスおよびクラウドベースのインフラストラクチャ102、104の膨大な数の組み合わせに適応することができるシステム2000を可能にする。これは、オンプレミスおよびクラウドベースのインフラストラクチャ102、104内で採用される可能性のある複数の異なるタイプのログソース112、114に適応することを含む。この非定型の組み合わせは、テナント2010環境内からのローログデータのリモート処理およびルーティングも可能にする。例えば、テナント2010環境内から、コンプライアンスアーカイブ(例えば、テナントストレージ120をコンプライアンスアーカイブとすることができる)用に意図されたローログデータを低コストのイミュータブルストレージにルーティングすることができ、その一方で、このデータのコピーを関連するセキュリティフィールドにフィルタリングし、セキュリティアラートを検出できるように共通のスキーマに正規化し、SIEM検出エンジン(例えば、SIEM230、260)にルーティングすることができる。この非定型的な組み合わせはさらに、異なるシステムアーキテクチャ上での柔軟性を保証する。SIEM検出エンジン(例えば、SIEM230、260)およびコンプライアンスアーカイブ(例えば、テナントストレージ120)は、テナント2010ネットワーク、サードパーティベンダー、またはSIEMプロバイダサーバ2002の任意の組み合わせによってホストすることができる。さらに、この非定型的な組み合わせは、データゲートウェイモジュール210、212を生成および更新することによって、異なる環境内の何十万ものデータソースからのデータ取り込みを集中管理することを可能にし、中央制御プレーンモジュール200は、ログソース112、114からのデータフローが、様々なネットワークアーキテクチャを有する複数(例えば、何十、何百、何千など)のテナント20101、20102、・・・2010nに対して一定であることを同時的に保証する。
【0047】
さらに、中央制御プレーンモジュール200、データゲートウェイモジュール210、212、およびエッジモジュール220の非定型的な組み合わせは、人間の頭脳では現実的に実行できなかった操作を実行し、SIEM検出エンジン230、260の性能を向上させる。例えば、この非定型的な組み合わせは、自動化されたプロセス(すなわち、中央制御プレーンモジュール200が、ローログデータ処理に影響を与えるデータゲートウェイモジュール210、212への自動化された設定更新を生成する)を使用して、データ構造又はデータタグの変更を伝播する能力を可能にし、人間の労力及びエラーのリスクを除去する。さらに、サイバーセキュリティ業界では、ほとんどのデータ取り込みは、ケースバイケース(すなわち、テナントごと)に手動で設定され、テナントネットワークの共通の形態を利用する利点がある場合は少ない。この非定型的な組み合わせは、オンプレミスおよびクラウドベースのログソース112、114の様々な組み合わせを有する複数のテナント20101、20102、・・・2010nからのログデータの取り込みを合理的かつ標準化することで、SIEMのパフォーマンスを向上させる。
【0048】
ここで図3を参照すると、本開示の少なくとも1つの非限定的な形態に従って、複数のテナントからのログデータの取り込みを合理化および標準化するように構成されたシステム3000の図が示されている。システムは、複数のテナント30101、30102、3010nを備えることができ、複数の各テナントは、オンプレミスインフラストラクチャ302とクラウドベースインフラストラクチャ304の様々な組み合わせを有する。システム3000はまた、テナントストレージ320を構成することができる。例えば、テナント30101に関連するテナントストレージ3201は、MSSPのクラウド(例えば、SIEMプロバイダサーバ)によってホストすることができ、テナント30102に関連するテナントストレージ3202は、テナント30102のクラウドベースのインフラストラクチャ3042によってホストすることができ、テナント3010nに関連するテナントストレージ320nは、テナント3010nのクラウドベースのインフラストラクチャ304nによってホストすることができる。複数のテナント30101、30102、・・・3010n、オンプレミスインフラストラクチャ3021、3022、・・・302n、クラウドベースインフラストラクチャ3042、・・・304n、およびテナントストレージ3201、3202、・・・320nは、図2の複数のテナント20101、20102、・・・2010n、オンプレミスインフラストラクチャ1021、1022、・・・312n、クラウドベースインフラストラクチャ1042、・・・104n、およびテナントストレージ1201、1202、・・・120nと同様またはこれらに類似して構成することができる。
【0049】
依然として図3を参照すると、システム3000は、中央制御プレーンモジュール400と、複数のデータゲートウェイモジュール410、412と、1または複数のエッジモジュール420と、を備えていてもよい。システム3000はまた、SIEM検出エンジン360を備えていてもよい。中央制御プレーンモジュール400、複数のデータゲートウェイモジュール4101、4102、4122、・・・410n、412n、1または複数のエッジモジュール420、およびSIEM検知エンジン360はそれぞれ、中央制御プレーンモジュール200、複数のデータゲートウェイモジュール2101、2102、2122、・・・210n、212n、エッジモジュール220、および図2のSIEM検出エンジン260と同様または類似していてもよい。したがって、図2のシステム2000に関して上述した特徴および利点は、図3のシステム3000にも同様に適用することができる。
【0050】
ここで図4A~4Bを参照すると、本開示の少なくとも1つの非限定的な形態に従って、例示的なテナント5010ネットワークのログデータの取り込みを合理化および標準化するように構成されたシステム5000が示されている。主に図4Bを参照すると、テナント5010ネットワークは、オンプレミスインフラストラクチャ502およびクラウドベースストラクチャ504を備えていてもよい。オンプレミスストラクチャ502は、1または複数のオンプレミスログソース512を備えていてもよい。同様に、クラウドベースインフラストラクチャ504は、1または複数のクラウドベースログソース514を備えていてもよい。システム5000はまた、テナントストレージ520を備えていてもよい。テナント5010、オンプレミスインフラストラクチャ502、オンプレミスログソース512、クラウドベースインフラストラクチャ504、クラウドベースログソース514、およびテナントストレージ520はそれぞれ、図2の複数のテナント20101、20102、・・・2010n、オンプレミスインフラストラクチャ1021、1022、・・・102n、オンプレミスログソース1121、1122、・・・112n、クラウドベースインフラストラクチャ1041、1042、・・・104n、クラウドベースログソース1141、1142、・・・114n、およびテナントストレージ1201、1202、・・・120nと同一または類似であってもよい。
【0051】
依然として図4A~4Bを参照すると、システム5000は、1または複数の中央制御プレーンモジュール600と、データゲートウェイモジュール610、612と、エッジモジュール620と、を備えていてもよい。システム5000はまた、SIEM検出エンジン660を備えていてもよい。一つまたは複数の中央制御プレーンモジュール600、データゲートウェイモジュール610、612、エッジモジュール620、およびSIEM検出エンジン660はそれぞれ、中央制御プレーンモジュール200、複数のデータゲートウェイモジュール2101、2102、2122、・・・210n、212n、エッジモジュール220と同一または類似であってもよい。したがって、図2のシステム2000に関して上述した特徴および利点は、図4A~4Bのシステム5000にも同様に適用することができる。さらに、例えば、テナント5010ネットワーク、オンプレミスインフラストラクチャ502、クラウドベースインフラストラクチャ504、中央制御プレーン600、データゲートウェイ610、612、エッジモジュール620、SIEM検出エンジン660、およびその他のコンポーネントまたはデータストリーム内の特徴など、図4A~4Bに示される詳細な特徴のいずれかを、図1のシステム1000、図2のシステム2000、および/または図3のシステム3000に組み込むことができる。
【0052】
ここで図5を参照すると、本開示の少なくとも1つの非限定的な形態に従って、1または複数のオンプレミスログソース750からログデータを受信し、処理し、ルーティングするように構成されたデータゲートウェイモジュール710を含む例示的なサブシステム7000アーキテクチャが示されている。サブシステム7000は、中央制御プレーンモジュール700と、データゲートウェイモジュール710と、エッジモジュール720と、を備えていてもよい。データゲートウェイモジュール710は、テナントのオンプレミスインフラストラクチャ(例えば、図2に示されるようなテナント1010のオンプレミスインフラストラクチャ102)内またはテナントによって管理されるクラウドインフラストラクチャ内に配置され得る。中央制御プレーンモジュール700およびエッジモジュール720は、MSSP(例えば、図2のSIEMプロバイダサーバ2002)が所有またはリースするコンピューティングリソース上でホストすることができる。中央制御プレーンモジュール700は、データゲートウェイモジュール710を生成するように構成され得る。これを実行するために、中央制御プレーンモジュール700は、VPNエンドポイントモジュール730、732、734736を生成してテナントのインフラストラクチャとの接続を確立するように構成され得る。中央制御プレーンモジュール700とデータゲートウェイモジュール710との間の接続の速度と性能を向上させるために、データゲートウェイモジュール710において負荷分散モジュール738を生成することもできる。
【0053】
依然として図5を参照すると、データゲートウェイモジュール710は、1または複数のデータ処理およびルーティングモジュール740を備えていてもよい。データ処理およびルーティングモジュール740は、1つ以上のオンプレミスログソース750からローログデータを受信し、ローログデータをフォーマット済みログデータに処理(例えば、フィルタリング、正規化、および/または構文解析)し、エッジモジュール720に取り込むためにフォーマット済みログデータをルーティングするように構成され得る。中央制御プレーンモジュール700、データゲートウェイモジュール710、エッジモジュール720、およびオンプレミスログソース750は、図2の中央制御プレーンモジュール200、データゲートウェイモジュール210、エッジモジュール220、およびオンプレミスログソース112と同じであるか、または同様であることができる。さらに、例えば、中央制御プレーンモジュール700、データゲートウェイモジュール710、エッジモジュール720、および任意の他のコンポーネント、モジュール、およびデータストリームの特徴など、図5に示す詳細な特徴のいずれかを、図1のシステム1000、図2のシステム2000、および/または図3のシステム3000に組み込むことができる。
【0054】
図6は、本開示のいくつかの非限定的な形態に従って、上述した図1に記載されるような複数のテナントネットワーク間のセキュリティ情報およびイベント管理1000(SIEM)システムにおけるデータの取り込みを合理化および標準化するための方法8000を示す。方法8000は、図5に関連して上述した例示的なサブシステム7000アーキテクチャに従って実装された、上述した図2~4に関連して説明したシステム2000、3000、5000によって実施されてもよい。
【0055】
ここで主に図6を参照し、また図1~図5も参照すると、一態様において、方法8000に従い、セキュリティ監視システム2000は、各々が異なるログソース112、114に関連付けられた複数のデータゲートウェイモジュール210、212と、エッジモジュール220と、中央制御プレーンモジュール200と、を備えており、複数のテナントネットワーク20101、20102、・・・2010nの各々は、少なくとも1つのログソース112、114を備える。方法8000に従って、セキュリティ監視システム2000の複数のデータゲートウェイモジュール210、212の各々は、それに関連するログソース112、114からローログデータを受信する(8002)。セキュリティ監視システム2000の複数のデータゲートウェイモジュール210、212の各々は、ローログデータに基づいてフォーマット済みログデータを生成する(8004)。セキュリティ監視システム2000のエッジモジュール220は、複数のデータゲートウェイモジュール210、212からフォーマット済みログデータを取り込む(8006)。セキュリティ監視システム2000の中央制御プレーンモジュール200は、複数のデータゲートウェイモジュール210、212の少なくとも一つの設定を、それに関連するログソース112、114の変更に基づいて自動的に更新する(8008)。セキュリティ監視システム2000は、複数のテナントネットワーク20101、20102、・・・2010nの少なくとも1つに関連するセキュリティアクションを、取り込まれたフォーマット済みデータに基づいて実行する(8010)。
【0056】
引き続き図1~6を参照すると、方法8000の一態様に従って、セキュリティ監視システム2000の複数のデータゲートウェイモジュール210、212の各々は、フォーマット済みログデータを生成するために、関連するセキュリティフィールドのみを含むようにローログデータをフィルタリングし、フォーマット済みログデータを生成するために、標準スキーマに基づいてローログデータを正規化する。さらに別の態様において、方法8000によれば、セキュリティ監視システムの中央制御プレーンモジュールは、関連するセキュリティフィールドの更新に基づいて、複数のゲートウェイモジュール210、212によって実行されるローログデータのフィルタリングを更新する。
【0057】
図1~6を引き続き参照すると、方法8000の一態様に従って、セキュリティ監視システム2000の複数のデータゲートウェイモジュール210、212の各々は、ローログデータをテナントストレージアーカイブ120にルーティングし、フォーマット済みログデータをSIEM検出エンジン230、260にルーティングする。方法8000の別の態様では、SIEMプロバイダサーバ2002がエッジモジュール220とSIEM検出エンジン230をホストし、テナントサーバ104がテナントストレージアーカイブ120をホストする。さらに別の態様では、エッジモジュール220はSIEMプロバイダサーバ2002によってホストされ、SIEM検出エンジン230はSIEMプロバイダサーバ2002によってホストされ、テナントストレージアーカイブ120はSIEMプロバイダサーバ2002によってホストされる。さらに別の態様では、SIEM検出エンジン260はサードパーティサーバ250によってホストされ、テナントストレージアーカイブ120はテナントサーバ104によってホストされる。さらに別の態様では、SIEM検出エンジン260はサードパーティサーバ250によってホストされ、テナントストレージアーカイブ120はサードパーティサーバ250によってホストされる。
【0058】
図1~6を引き続き参照すると、方法8000の一態様に従って、セキュリティ監視システム2000の中央制御プレーンモジュール200は、それに関連するログソース112、114に対する共通の変更に基づいて複数のゲートウェイモジュール210、212の設定を同時に更新し、それに関連するログソース112、114に関連する例外に基づいて複数のゲートウェイモジュール210、212の少なくとも一つの設定を更新する。
【0059】
図1~6を引き続き参照すると、方法8000の一態様に従い、セキュリティ監視システム2000の中央制御プレーンモジュール200は、新しいログソース112、114に関連付けられる新しいゲートウェイモジュール210、212を生成する。
【0060】
図1~6を引き続き参照すると、方法8000の一態様に従って、セキュリティ監視システム2000の複数のテナントネットワーク20101、20102、・・・2010nの少なくとも1つは、クラウドベースのログソース112とオンプレミスのログソース114を有しており、クラウドベースのログソース114はローログデータを生成し、オンプレミスのログソース112はローログデータを生成する。
【0061】
図1~6引き続き参照すると、方法8000の一態様に従って、エッジモジュール220はSIEMプロバイダサーバ2002によってホストされ、中央制御プレーンモジュール200はSIEMプロバイダサーバ2002によってホストされる。別の態様において、中央制御プレーンモジュール200は、もはやローログデータを生成していないログソース112、114を識別する。
【0062】
引き続き図1~6参照すると、方法8000の1つの態様に従い、セキュリティアクションを実施する際に、セキュリティ監視システム2000は、複数のテナントネットワーク20101、20102、・・・2010nの少なくとも1つの管理者に送信されるセキュリティ警告を生成し、別の態様では、少なくとも1つのテナントネットワーク20101、20102、・・・2010nへのアクセス権、すなわち、その少なくとも1つのテナントネットワーク20101、20102、・・・2010nにアクセスするように構成された1または複数のデバイス(たとえば、クライアント1012、1014、1016を実装する1または複数のマシン)からのアクセス権を削除する。
【0063】
図7は、本開示の少なくとも1つの非限定的な形態による、コンピューティングシステム9000を示す。コンピューティングシステム9000およびその中に構成される様々な構成要素は、以下に説明されるように、図2~5に関連して本明細書で上述されるシステム2000、3000、5000、および7000の様々な構成要素のいずれかを実装および/または実行するために使用され得る。
【0064】
図7の非限定的な形態によれば、コンピュータシステム9000は、バス9002(すなわち、相互接続)、1または複数のプロセッサ9004、メインメモリ9006、読み取り専用メモリ9008、取り外し可能な記憶媒体9010、大容量記憶装置9012、および1または複数の通信ポート9014を含み得る。理解されるべきであるが、取り外し可能な記憶媒体などの構成要素はオプションであり、すべてのシステムにおいて必要ではない。通信ポート9014は、コンピュータシステム9000がデータを受信および/または送信し得る方法によって、1または複数のネットワークに接続され得る。
【0065】
本明細書で使用される場合、「プロセッサ」は、1つ以上のマイクロプロセッサ、中央処理装置(CPU)、コンピューティングデバイス、マイクロコントローラ、デジタル信号プロセッサ、または同様のデバイス、またはそれらの任意の組み合わせを、それらのアーキテクチャに関係なく意味し得る。プロセスを実行する装置は、例えば、プロセッサと、プロセスを実行するのに適切な入力デバイスおよび出力デバイスなどのデバイスとを含むことができる。
【0066】
プロセッサ9004は、INTEL(登録商標)、AMD(登録商標)、MOTOROLA(登録商標)などが製造・販売するプロセッサなど、関連技術分野の当業者には一般によく知られており、文献でも十分に定義されている公知のプロセッサであれば、これらに限定されることはない。通信ポート9014は、モデムベースのダイヤルアップ接続で使用するためのRS-232ポート、10/100イーサネットポート、銅線またはファイバを使用するギガビットポート、またはUSBポート等のいずれかとすることができる。通信ポート9014は、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、CDN、またはコンピュータシステム9000が接続する任意のネットワークなどのネットワークに応じて選択することができる。コンピュータシステム9000は、入力/出力(I/O)ポート9020を介して周辺装置(例えば、表示画面9016、入力装置9018)と通信することができる。
【0067】
メインメモリ9006は、ランダムアクセスメモリ(RAM)、または当該技術分野で一般に知られているその他の動的記憶装置とすることができる。読み出し専用メモリ9008は、プロセッサ9004の命令などの静的情報を記憶するためのプログラマブル読み出し専用メモリ(PROM)チップ等の、その他の静的記憶装置とすることができる。大容量記憶装置9012は、情報および命令を記憶するために使用することができる。例えば、小型コンピュータシリアルインタフェース(SCSI)ドライブのAdaptec(登録商標)ファミリのようなハードディスク、光ディスク、RAIDドライブのAdaptec(登録商標)ファミリのようなRAID(Redundant Array of Independent Disks)のようなディスクのアレイ、またはその他の大容量記憶装置を使用することができる。
【0068】
バス9002は、プロセッサ9004を他のメモリ、ストレージ、通信ブロックと通信可能に結合する。バス9002は、PCI/PCI-X、SCSI、ユニバーサル・シリアル・バス(USB)ベースのシステムバス(または、使用する記憶装置に応じて他のもの)などとすることができる。取り外し可能な記憶媒体9010は、外付けハードドライブ、フロッピードライブ、IOMEGA(登録商標)Zipドライブ、コンパクトディスク-リードオンリーメモリ(CD-ROM)、コンパクトディスク-リライタブル(CD-RW)、デジタルバーサタイルディスク-リードオンリーメモリ(DVD-ROM)などである。
【0069】
本明細書に記載される態様は、1または複数のコンピュータプログラム製品として提供されてもよく、このコンピュータプログラム製品は、コンピュータ(または他の電子デバイス)にプロセスを実行させるようにプログラムするために使用され得る、その上に記憶された命令を有する機械可読媒体を含み得る。本明細書で使用される場合、「機械可読媒体」という用語は、コンピュータ、プロセッサ、または同様の装置によって読み取られ得るデータ(例えば、命令、データ構造)を提供することに関与する任意の媒体、複数の同じ媒体、または異なる媒体の組み合わせを指す。このような媒体は、不揮発性媒体、揮発性媒体、および伝送媒体を含むが、これらに限定されない多様な形態をとることができる。不揮発性媒体には、例えば、光ディスクや磁気ディスクなどの永続メモリが含まれる。揮発性媒体には、通常コンピュータのメインメモリを構成するダイナミックランダムアクセスメモリが含まれる。伝送媒体には、プロセッサに結合されたシステムバスを構成するワイヤを含む、同軸ケーブル、銅線、光ファイバが含まれる。伝送媒体には、音響波、光波、および無線周波数(RF)および赤外線(IR)データ通信中に発生するような電磁放射を含むか、または伝送することができる。
【0070】
機械可読媒体には、フロッピーディスク、光ディスク、CD-ROM、光磁気ディスク、ROM、RAM、消去可能プログラマブル読み取り専用メモリ(EPROM)、電気的消去可能プログラマブル読み取り専用メモリ(EEPROM)、磁気カードまたは光カード、フラッシュメモリ、または電子命令を格納するのに適した他のタイプの媒体/機械可読媒体が含まれるが、これらに限定されない。さらに、本明細書で説明する態様は、コンピュータプログラム製品としてダウンロードすることもでき、この場合、プログラムは、通信リンク(例えば、モデムまたはネットワーク接続)を介して、搬送波または他の伝搬媒体に具現化されたデータ信号によって、リモートコンピュータから要求元のコンピュータに転送することができる。データ(命令のシーケンスなど)をプロセッサに伝送するには、様々な形態のコンピュータ可読媒体が関与し得る。例えば、データは、(i)RAMからプロセッサに配信され、(ii)無線伝送媒体を介して伝送され、(iii)多数のフォーマット、規格、またはプロトコルに従ってフォーマットされ、かつ/または伝送され、かつ/または(iv)当該技術分野で周知の様々な方法のいずれかで暗号化され得る。
【0071】
コンピュータ読み取り可能な媒体は、方法を実行するのに適切なプログラム要素を(任意の適切な形式で)格納することができる。
【0072】
上述したように、メインメモリ9006は、本明細書で説明する機能をサポートするアプリケーション9022で符号化される(アプリケーション9022は、クライアントアプリケーションを含む、本明細書で説明するCDサービスの機能の一部または全部を提供するアプリケーションであり得る)。アプリケーション9022(および/または本明細書で説明する他のリソース)は、本明細書で説明する異なる態様による処理機能をサポートするデータおよび/または論理命令(たとえば、メモリまたはディスクなどの別のコンピュータ可読媒体上に格納されたコード)などのソフトウェアコードとして具現化することができる。
【0073】
一態様の動作中、プロセッサ9004は、アプリケーション9022の論理命令を起動、実行、解釈、またはその他の方法で実行するために、バス9002の使用を介してメインメモリ9006にアクセスする。アプリケーション9022の実行は、アプリケーションに関連するサービスの処理機能を生成する。言い換えれば、プロセス9024は、コンピュータシステム9000内のプロセッサ9004内で、またはプロセッサ9004上で実行されるアプリケーション9022の1または複数の部分を表す。
【0074】
本明細書で述べられたようなオペレーションを遂行するプロセス9024に加えて、本明細書で説明される他の態様は、アプリケーション9022自体(すなわち、未実行または非実行のロジック命令および/またはデータ)を含むことに留意されたい。アプリケーション9022は、ディスク等のコンピュータ可読媒体(例えば、リポジトリ)または光学媒体に格納されてもよい。他の態様によれば、アプリケーション9022はまた、ファームウェア、読み取り専用メモリ(ROM)、または上述の例示のように、メインメモリ9006内(例えば、ランダムアクセスメモリまたはRAM内)の実行可能なコードなどのメモリ型システム内に格納することもできる。例えば、アプリケーション9022は、取り外し可能な記憶媒体9010、読み取り専用メモリ9008および/または大容量記憶装置9012に格納することもできる。
【0075】
当業者であれば、コンピュータシステム9000が、ハードウェアリソースの割り当ておよび使用を制御するオペレーティングシステムなどの、他のプロセスおよび/またはソフトウェアおよびハードウェアコンポーネントを含み得ることを理解するであろう。
【0076】
本明細書に記載される主題の様々な態様は、以下の番号付けされた項に記載される。
【0077】
第1項:セキュリティ監視システムにおける複数のテナントネットワークからのデータの取り込みを合理化および標準化するための方法であって、前記セキュリティ監視システムは、エッジモジュールと、中央制御プレーンモジュールと、複数のデータゲートウェイモジュールと、を備えており、前記複数のデータゲートウェイモジュールの各々は異なるログソースに関連付けられ、前記複数のテナントネットワークの各々は少なくとも1つのログソースを含む、方法であって、前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、それに関連付けられた前記ログソースからローログデータを受信する工程と、前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、前記ローログデータに基づいてフォーマット済みログデータを生成する工程と、前記セキュリティ監視システムの前記エッジモジュールによって、前記フォーマット済みログデータを前記複数のデータゲートウェイモジュールから取り込む工程と、前記セキュリティ監視システムの前記中央制御プレーンモジュールによって、前記複数のデータゲートウェイモジュールの少なくとも1つの設定を、それに関連するログソースの変更に基づいて自動的に更新する工程と、前記セキュリティ監視システムによって、前記取り込まれたフォーマット済みデータに基づいて、前記複数のテナントネットワークの少なくとも1つに関連するセキュリティアクションを実行する工程と、を備える方法。
【0078】
第2項:前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、関連するセキュリティフィールドのみを含むように前記ローログデータをフィルタリングして前記フォーマット済みログデータを生成する工程と、前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、標準スキーマに基づいて前記ローログデータを正規化して前記フォーマット済みログデータを生成する工程と、をさらに備える、第1項に記載の方法。
【0079】
第3項:前記セキュリティ監視システムの前記中央制御プレーンモジュールによって、前記複数のゲートウェイモジュールによって実行される前記ローログデータの前記フィルタリングを、前記関連するセキュリティフィールドの更新に基づいて更新する工程、をさらに備える、第1又は2項に記載の方法。
【0080】
第4項:前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、前記ローログデータをテナントストレージアーカイブにルーティングする工程と、前記セキュリティ監視システムの前記複数のデータゲートウェイモジュールの各々によって、前記フォーマット済みログデータをSIEM検知エンジンにルーティングする工程と、をさらに備える、第1~3項のいずれか一項に記載の方法。
【0081】
第5項:前記エッジモジュールをSIEMプロバイダサーバによりホスティングする工程と、前記SIEM検出エンジンを前記SIEMプロバイダサーバによりホスティングする工程と、前記テナントストレージアーカイブを前記テナントサーバによりホスティングする工程と、をさらに備える、第1~4項のいずれか一項に記載の方法。
【0082】
第6項:前記エッジモジュールを前記SIEMプロバイダサーバによりホスティングする工程と、前記SIEM検出エンジンを前記SIEMプロバイダサーバによりホスティングする工程と、前記テナントストレージアーカイブを前記SIEMプロバイダサーバによりホスティングする工程と、をさらに備える、第1~5項のいずれか一項に記載の方法。
【0083】
第7項:前記SIEM検出エンジンをサードパーティサーバによりホスティングする工程と、前記エッジモジュールを前記サードパーティサーバによりホスティングする工程と、
前記テナントストレージアーカイブを前記テナントパーティサーバによりホスティングする工程と、をさらに備える、第1~6項のいずれか一項に記載の方法。
前記テナントストレージアーカイブを前記テナントパーティサーバによりホスティングする工程と、をさらに備える、第1~6項のいずれか一項に記載の方法。
【0084】
第8項:前記SIEM検出エンジンをサードパーティサーバによりホスティングする工程と、前記テナントストレージシステムを前記サードパーティサーバによりホスティングする工程と、をさらに備える、第1~7項のいずれか一項に記載の方法。
【0085】
第9項:前記セキュリティ監視システムの前記中央制御プレーンモジュールによって、前記複数のゲートウェイモジュールの設定を、それらに関連するログソースに対する共通の変更に基づいて同時に更新する工程と、前記セキュリティ監視システムの前記中央制御プレーンモジュールによって、前記複数のゲートウェイモジュールの少なくとも1つの設定を、それに関連する前記ログソースに関連する例外に基づいて更新する工程と、をさらに備える、第1~8項のいずれか一項に記載の方法。
【0086】
第10項:前記セキュリティ監視システムの前記中央制御プレーンモジュールによって、新しいログソースに関連付けられる新しいゲートウェイモジュールを生成する工程、をさらに備える、第1~9項のいずれか一項に記載の方法。
【0087】
第11項:前記セキュリティ監視システムの前記複数のテナントネットワークの少なくとも1つは、クラウドベースのログソースとオンプレミスのログソースとを備えており、前記方法は、前記クラウドベースのログソースによって前記ローログデータを生成する工程と、前記オンプレミスのログソースによって前記ローログデータを生成する工程と、をさらに備える、第1~10項のいずれか一項に記載の方法。
【0088】
第12項:前記エッジモジュールをSIEMプロバイダサーバによりホスティングする工程と、前記中央制御プレーンモジュールを前記SIEMプロバイダサーバによりホスティングする工程と、をさらに備える、第1~11項のいずれか一項に記載の方法。
【0089】
第13項:前記中央制御プレーンモジュールによって、もはやローログデータを生成していないログソースを識別する工程、をさらに備える、第1~12項のいずれか一項に記載の方法。
【0090】
第14項:前記セキュリティアクションを実行する工程は、前記少なくとも1つのテナントネットワークの管理者に送信されるセキュリティ警告を生成する工程を備える、第1~13項のいずれか一項にに記載の方法。
【0091】
第15項:前記セキュリティアクションを実行する工程は、前記少なくとも1つのテナントネットワークにアクセスするように構成された1または複数のデバイスから前記少なくとも1つのテナントネットワークへのアクセス権を削除する工程を備える、第1~14項に記載の方法。
【0092】
第16項:複数のテナントネットワークからのデータの取り込みを合理化および標準化することができるセキュリティ監視システムであって、複数のテナントネットワークの各々は、少なくとも1つのログソースを含み、セキュリティ監視システムは、複数のデータゲートウェイモジュールであって、複数のデータゲートウェイモジュールの各々が異なるログソースに関連付けられるとともに、複数のデータゲートウェイモジュールの各々が、それに関連付けられた前記ログソースからローログデータを受信し、前記ローログデータに基づいてフォーマット済みログデータを生成する、ように構成された、複数のデータゲートウェイモジュールと、前記複数のデータゲートウェイモジュールから前記フォーマット済みログデータを取り込むよう構成されたエッジモジュールと、前記複数のゲートウェイモジュールの少なくとも一つの設定を、それに関連する前記ログソースの変更に応じて自動的に更新するよう構成された中央制御プレーンモジュールと、を備えており、前記セキュリティ監視システムは、取り込まれた前記フォーマット済みデータに基づいて、前記複数のテナントネットワークの少なくとも一つに関連するセキュリティアクションを実行するように構成されている、セキュリティ監視システム。
【0093】
第17項:前記複数のデータゲートウェイモジュールの各々は、関連するセキュリティフィールドのみを含むように前記ローログデータをフィルタリングして前記フォーマット済みログデータを生成し、標準スキーマに基づいて前記ローデータを正規化して前記フォーマット済みログデータを生成する、ように構成されている、第16項に記載のシステム。
【0094】
第18項:前記中央制御プレーンモジュールは、前記複数のゲートウェイモジュールの設定を更新し、関連するセキュリティフィールドの更新に基づいて前記ローログデータの前記フィルタリングを更新するように構成されている、第16又は17項に記載のシステム。
【0095】
第19項:前記複数のデータゲートウェイモジュールのうちの少なくとも1つは、前記ローログデータをテナントストレージアーカイブへとルーティングし、前記フォーマット済みログデータをSIEM検知エンジンにルーティングする、ように構成されている、第16~18項に記載のシステム。
【0096】
第20項:前記エッジモジュールがSIEMプロバイダサーバによってホスティングされ、前記SIEM検出エンジンが前記SIEMプロバイダサーバによってホスティングされ、前記テナントストレージアーカイブがテナントサーバによってホスティングされる、第16~19項に記載のシステム。
【0097】
第21項:前記エッジモジュールがSIEMプロバイダサーバによってホスティングされ、前記SIEM検出エンジンが前記SIEMプロバイダサーバによってホスティングされ、前記テナントストレージアーカイブが前記SIEMプロバイダサーバによってホスティングされる、第16~20項に記載のシステム。
【0098】
第22項:前記SIEM検出エンジンがサードパーティサーバによってホスティングされ、前記エッジモジュールが前記サードパーティサーバによってホスティングされ、前記テナントストレージアーカイブがテナントサーバによってホスティングされる、第16~21項に記載のシステム。
【0099】
第23項:前記SIEM検出エンジンがサードパーティサーバによってホスティングされ、前記テナントストレージアーカイブが前記サードパーティサーバによってホスティングされる、第16~22項に記載のシステム。
【0100】
第24項:前記中央制御プレーンモジュールは、前記複数のゲートウェイモジュールの設定を、それらに関連するログソースに対する共通の変更に基づいて同時に更新し、前記複数のゲートウェイモジュールのうちの少なくとも1つの設定を、それと関連するログソースに関連する例外に基づいて更新する、ように構成されている、第16~23項に記載のシステム。
【0101】
第25項:前記中央制御プレーンモジュールは、新しいログソースに関連付けられる新しいゲートウェイモジュールを生成するように構成される、第16~24項に記載のシステム。
【0102】
第26項:前記複数のテナントネットワークの少なくとも1つは、クラウドベースのログソースとオンプレミスのログソースとを備える、第16~25項に記載のシステム。
【0103】
第27項:前記エッジモジュールはSIEMプロバイダサーバによってホスティングされ、前記中央制御プレーンモジュールは前記SIEMプロバイダサーバによってホスティングされる、第16~26項に記載のシステム。
【0104】
第28項:前記中央制御プレーンモジュールは、もはやローログデータを生成していないログソースを識別するように構成される、第16~27項に記載のシステム。
【0105】
第29項:前記セキュリティアクションは、前記少なくとも1つのテナントネットワークの管理者に送信されるセキュリティ警告を生成することを含む、第16~28項に記載のシステム。
【0106】
第30項:前記セキュリティアクションは、前記少なくとも1つのテナントネットワークにアクセスするように構成された1つまたは複数のデバイスから前記少なくとも1つのテナントネットワークへのアクセス権を削除することを含む、第16~29項に記載のシステム。
【0107】
第31項:セキュリティデータの取り込みを合理化および標準化するためのシステムであって、複数のテナントネットワークであって、各々が少なくとも1つのログソースを含む、複数のテナントネットワークと、セキュリティ監視サブシステムと、を備えており、前記セキュリティ監視サブシステムは、複数のデータゲートウェイモジュールであって、複数のデータゲートウェイモジュールの各々が異なるログソースに関連付けられるとともに、複数のデータゲートウェイモジュールが、それに関連付けられた前記ログソースからローログデータを受信し、前記ローログデータに基づいてフォーマット済みログデータを生成する、ように構成された、複数のデータゲートウェイモジュールと、前記フォーマット済みログデータを前記複数のデータゲートウェイモジュールから取り込むエッジモジュールと、前記複数のゲートウェイモジュールの少なくとも1つの設定を、それに関連する前記ログソースの変更に応じて自動的に更新するよう構成された中央制御プレーンモジュールと、を備えており、前記セキュリティ監視サブシステムは、取り込まれた前記フォーマット済みデータに基づいて、前記複数のテナントネットワークの少なくとも1つに関連するセキュリティアクションを実行するように構成されている、システム。
【0108】
第32項:前記複数のデータゲートウェイモジュールの各々は、関連するセキュリティフィールドのみを含むように前記ローログデータをフィルタリングして前記フォーマット済みログデータを生成し、標準スキーマに基づいて前記ローデータを正規化して前記フォーマット済みログデータを生成する、ように構成されている、第31項に記載のシステム。
【0109】
第33項:前記中央制御プレーンモジュールは、前記複数のゲートウェイモジュールの設定を更新し、関連するセキュリティフィールドの更新に基づいて前記ローログデータの前記フィルタリングを更新するように構成されている、第31又は32項に記載のシステム。
【0110】
第34項:前記複数のデータゲートウェイモジュールのうちの少なくとも1つは、前記ローログデータをテナントストレージアーカイブへとルーティングし、前記フォーマット済みログデータをSIEM検知エンジンにルーティングする、ように構成されている、第31~33項に記載のシステム。
【0111】
第35項:前記エッジモジュールがSIEMプロバイダサーバによってホスティングされ、前記SIEM検出エンジンが前記SIEMプロバイダサーバによってホスティングされ、前記テナントストレージアーカイブがテナントサーバによってホスティングされる、第31~34項に記載のシステム。
【0112】
第36項:前記エッジモジュールがSIEMプロバイダサーバによってホスティングされ、前記SIEM検出エンジンが前記SIEMプロバイダサーバによってホスティングされ、前記テナントストレージアーカイブが前記SIEMプロバイダサーバによってホスティングされる、第31~35項に記載のシステム。
【0113】
第37項:前記SIEM検出エンジンがサードパーティサーバによってホスティングされ、前記エッジモジュールがサードパーティサーバによってホスティングされ、前記テナントストレージアーカイブがテナントサーバによってホスティングされる、第31~38項に記載のシステム。
【0114】
第38項:前記SIEM検出エンジンがサードパーティサーバによってホスティングされ、前記テナントストレージアーカイブが前記サードパーティサーバによってホスティングされる、第31~39項に記載のシステム。
【0115】
第39項:前記中央制御プレーンモジュールは、前記複数のゲートウェイモジュールの設定を、それらに関連するログソースに対する共通の変更に基づいて同時に更新し、前記複数のゲートウェイモジュールのうちの少なくとも1つの設定を、それと関連するログソースに関連する例外に基づいて更新する、ように構成されている、第31~40項に記載のシステム。
【0116】
第40項:前記中央制御プレーンモジュールは、新しいログソースに関連付けられる新しいゲートウェイモジュールを生成するように構成される、第31~39項に記載のシステム。
【0117】
第41項:前記複数のテナントネットワークの少なくとも1つは、クラウドベースのログソースとオンプレミスのログソースとを備える、第31~40項に記載のシステム。
【0118】
第42項:前記エッジモジュールはSIEMプロバイダサーバによってホスティングされ、前記中央制御プレーンモジュールは前記SIEMプロバイダサーバによってホスティングされる、第31~41項に記載のシステム。
【0119】
第43項:前記中央制御プレーンモジュールは、もはやローログデータを生成していないログソースを識別するように構成される、第31~42項に記載のシステム。
【0120】
第44項:前記セキュリティアクションは、前記少なくとも1つのテナントネットワークの管理者に送信されるセキュリティ警告を生成することを含む、第31~43項に記載のシステム。
【0121】
第45項:前記セキュリティアクションは、前記少なくとも1つのテナントネットワークにアクセスするように構成された1つまたは複数のデバイスから前記少なくとも1つのテナントネットワークへのアクセス権を削除することを含む、第31~44項に記載のシステム。
【0122】
第46項:セキュリティ情報およびイベント管理のための複数のテナントネットワークからのデータの取り込みを合理化および標準化するためのシステムおよび方法が、本明細書に実質的に開示および記述される。
【0123】
本明細書に記述される全ての特許、特許出願、刊行物、またはその他の開示資料は、各個々の参照がそれぞれ参照により明示的に組み込まれたかのように、その全体が参照により本明細書に組み込まれる。参照により本明細書に組み込まれると言われる全ての参照、および任意の材料、またはその一部は、組み込まれる材料が、本開示に記載される既存の定義、記述、またはその他の開示材料と矛盾しない限りにおいてのみ、本明細書に組み込まれる。そのため、および必要な範囲で、本明細書に明記される本開示は、参照により本明細書に組み込まれる任意の矛盾する材料に優先し、本開示は本出願の管理内で明示的に記載される。
【0124】
様々な例示的および例証的態様が説明されている。本明細書に記載される態様は、本開示の様々な態様の様々な詳細の例示的な特徴を提供するものとして理解され、そのため別途指定がない限り、当然のことながら、本開示の範囲から逸脱することなく、可能な限り、一つ以上の特徴、要素、コンポーネント、成分、原料、構造、モジュール、および/または本開示の態様うちの態様を組み合わせて、分離し、交換し、および/または一つ以上の他の特徴、要素、コンポーネント、成分、原料、構造、モジュール、および/または本開示の態様のうちの態様とまたはそれらに対して再配置してもよい。したがって、当業者であれば、特許請求された主題から逸脱することなく、例示的な態様のいずれかの様々な置換、改変、または組み合わせがなされ得ることを認識するであろう。さらに、当業者は、本明細書の再調査により、日常的な実験のみを使用して本開示の様々な態様に対する多くの等価物を認識するか、または確認することができる。したがって、本開示は、様々な態様の説明によって限定されず、特許請求の範囲によってのみ限定される。
【0125】
当業者は、概して、本明細書で使用される用語、および特に添付の特許請求の範囲(例えば、添付の特許請求の範囲の本文)において、一般には「制約のない」用語(例えば、用語「含む(including)」は、「含むが限定されるものではない」と解釈されるべきであり、用語「有する(having)」は「少なくとも有する」と解釈されるべきであり、用語「含む(includes)」は、「含むが限定されるものではない」と解釈されるべきである、など)として意図されていることを認識するであろう。特定の数の導入された特許請求の範囲の列挙が意図される場合、そのような意図は特許請求の範囲に明示的に列挙され、そのような列挙がない場合、そのような意図は存在しないことが、当業者によってさらに理解されるであろう。例えば、理解の補助として、以下の添付の特許請求の範囲は、特許請求の範囲の列挙を導入するための、導入語句の「少なくとも一つ」および「一つ以上」の使用を含み得る。しかし、こうした語句の使用は、不定冠詞「a」または「an」による請求項の列挙の導入が、そのような導入された請求項の列挙を含む任意の特定の請求項を、そのような列挙を一つのみを含む特許請求の範囲に限定することを暗示するものとして解釈されるべきではなく、同じ請求項が、導入語句「一つ以上」または「少なくとも一つ」、および「a」または「an」などの不定冠詞を含む場合でも(例えば、「a」、および/または「an」は通常、「少なくとも一つ」または「一つ以上」を意味すると解釈されるべきである)、請求項の列挙を導入するために使用される定冠詞の使用についても同様である。
【0126】
さらに、導入された請求項の列挙の特定の数が明示的に列挙されていても、当業者は、このような列挙は、典型的には、少なくとも列挙された数(例えば、「二つの列挙」という単なる列挙は、他の修飾語句なしでは、少なくとも二つの列挙または二つ以上の列挙を通常意味する)を意味すると解釈されるべきであることを認識するであろう。さらに、「A、B、およびCなどのうちの少なくとも一つ」に類似の慣例が使用されるこれらの事例では、一般的に、このような構造は、当業者が、慣例を理解するという意味で意図される(例えば、「A、B、およびCのうちの少なくとも一つを有するシステム」は、A単独、B単独、C単独、AおよびBを一緒に有するシステム、AおよびCを一緒に有するシステム、BおよびCを一緒に有するシステム、および/またはA、B、およびCを一緒に有するシステムなどを含むが、これらに限定されない)。「A、B、またはC等のうちの少なくとも一つ」に類似の慣例が、使用される事例では、一般的に、このような構造は、当業者が、慣例を理解するという意味で意図される(例えば、「A、B、またはCのうちの少なくとも一つを有するシステム」は、A単独、B単独、C単独、AおよびBを一緒に有するシステム、AおよびCを一緒に有するシステム、BおよびCを一緒に有するシステム、および/またはA、B、およびCを一緒に有するシステムなどを含むが、これらに限定されない)。説明、特許請求の範囲、または図面のいずれにおいても、通常、二つ以上の代替的な用語を提示する離接語および/または語句は、文脈が別段の指示をしない限り、当該用語のうちの一つ、当該用語のいずれか、または両方の用語を含む可能性を企図するように理解されるべきであると当該技術分野の者によってさらに理解されるであろう。例えば、語句「AまたはB」は、典型的には、「A」または「B」または「A、とB」の可能性を含むと理解されるであろう。
【0127】
添付の特許請求の範囲に関して、当業者は、その中に列挙された動作が概して任意の順序で行われてもよいことを理解するであろう。また、請求項の列挙は順(複数可)に提示されているが、様々な動作は、記載されるもの以外の他の順序で行われてもよく、または同時に行われてもよいことが理解されるべきである。こうした代替的順序の例としては、文脈が別途指示しない限り、重複、インターリーブ、中断、再注文、増分、準備、補足、同時、逆、または他のバリアント順序が挙げられる。さらに、文脈上別段の指示がない限り、「応答する」、「関連する」、または他の過去型形容詞などの用語は、一般に、こうしたバリアントを除外することを意図していない。
【0128】
注目すべきは、「一態様」、「態様」、「例示」、「一例示」、および類似のものへの任意の言及は、態様に関連して記述された特定の特徴、構造、または特性が、少なくとも一つの態様に含まれることを意味する。したがって、本明細書全体を通して様々な場所での語句の「一態様では」、「ある態様では」、「ある例示では」、および「一例示では」の出現は、必ずしもすべて同じ態様を指すわけではない。さらに、特定の特徴、構造または特性は、一つ以上の態様では、任意の適切な様式で組み合わせられてもよい。
【0129】
本明細書で使用される場合、文脈が別途明確に指示しない限り、単数形の「a」、「an」、および「the」は、複数の参照を含む。
【0130】
例えば、限定されるものではないが、上、下、左、右、下方、上方、前、後、およびその変形など、本明細書で使用される方向語句は、添付図面に示される要素の配向に関連し、別段の明示的な記載がない限り、特許請求の範囲に関して限定しないものとする。
【0131】
本開示で使用される用語「約」または「およそ」は、別段の指定がない限り、当業者によって決定される特定の値についての許容可能な誤差を意味し、これは、値がどのように測定または決定されるかに部分的に依存する。特定の態様では、用語「約」または「およそ」は、1、2、3、または4標準偏差以内を意味する。特定の態様では、用語「約」または「およそ」は、所与の値または範囲の50%、200%、105%、100%、9%、8%、7%、6%、5%、4%、3%、2%、1%、0.5%、または0.05%以内を意味する。
【0132】
本明細書において、別段の示唆が無い限り、全ての数値パラメータは、前置きされているものとして理解され、全ての場合で、数値パラメータは、パラメータの数値を決定するために使用される基礎となる測定技法の固有変動特性を有する、「約」という用語によって修正されると理解されるべきである。少なくとも、請求の範囲に対する均等の原理の適用を限定する試みとしてではなく、本明細書に記載の各数値パラメータは少なくとも報告される有効数字の数に照らし合わせて、および通常の四捨五入法を適用することで解釈されるものとする。
【0133】
本明細書に列挙される任意の数値範囲は、列挙された範囲内に包含されるすべてのサブ範囲を含む。例えば、1から100の範囲は、列挙された最小値1と、列挙された最大値100との間の(かつそれを含む)、すなわち、最小値が1以上、および最大値が100以下を有するすべてのサブ範囲を含む。また、本明細書で列挙されるすべての範囲は、列挙された範囲の終点を含む。例えば、1から100の範囲は、終点1および100を含む。本明細書に列挙される任意の最大数的制限は、その中に包含されるすべてのより低い数的制限を含むことが意図され、本明細書に列挙される任意の最小数的制限は、その中に包含されるすべてのより高い数的制限を含むことが意図される。したがって、出願人は、特許請求の範囲を含め、明示的に列挙された範囲内に包含された部分範囲を明示的に列挙する本明細書を修正する権利を留保する。こうしたすべての範囲は、本明細書に本質的に記載される。
【0134】
本明細書において言及される、および/または任意のアプリケーションデータシートに列挙される任意の特許出願、特許、非特許公開、またはその他の開示資料は、組み込まれた資料が本明細書と矛盾しない限り、参照により本明細書に組み込まれる。したがって、および必要な範囲で、本明細書に明示的に記載される本開示は、参照により本明細書に組み込まれる任意の矛盾する材料に優先する。参照により本明細書に組み込まれると言われるが、本明細書に明記される既存の定義、声明、またはその他の開示資料と矛盾する任意の資料またはその一部は、その組み込まれた資料と既存の開示資料との間にいかなる矛盾も生じない範囲でのみ、組み込まれる。
【0135】
用語「備える(comprise)」(および「comprises」、「comprising」などのcompriseの任意の形態)および、「有する(have)」(ならびに「has」、および「have」などのhaveの任意の形態)、「含む(include)」(および「includes」および「including」などのincludeの任意の形態)、および「包含する(contain)」(および「contains」および「containing」などのcontainの任意の形態)は、オープンエンドの連結動詞である。結果として、一つ以上の要素を「備える」、「有する」、「含む」、または「包含する」システムは、それらの一つ以上の要素を保有するが、それら一つ以上の要素のみを保有することに限定されない。同様に、一つ以上の特徴を「備える」、「有する」、「含む」、または「包含する」システム、デバイス、または装置の要素は、それらの一つ以上の特徴を保有するが、それら一つ以上の特徴のみを保有することに限定されない。
【0136】
前述の詳細な説明は、ブロック図、フローチャート、および/または例の使用による、デバイスおよび/またはプロセスの様々な形態を記載している。こうしたブロック図、フローチャート、および/または例が一つ以上の機能および/または動作を含む場合、当該技術分野の者であれば、こうしたブロック図、フローチャート、および/または例内の各機能および/または動作は、広範囲のハードウェア、ソフトウェア、ファームウェア、または実質的にそれらの任意の組み合わせによって、個別に、および/または集合的に実装され得ることが理解されるであろう。当業者は、本明細書に開示される形態のいくつかの態様は、一つ以上のコンピュータ上で動作する一つ以上のコンピュータプログラムとして(例えば、一つ以上のコンピュータシステム上で動作する一つ以上のプログラムとして)、一つ以上のプロセッサ上で動作する一つ以上のプログラムとして(例えば、一つ以上のマイクロプロセッサ上で動作する一つ以上のプログラムとして)、ファームウェアとして、または実質的にそれらの任意の組み合わせとして全部または一部を等価に集積回路に実装することができ、回路の設計、および/またはソフトウェア用のコードの記載、およびまたはファームウェアは、本開示に照らして、当業者の技能の範囲内であることを認識するであろう。さらに、当業者は、本明細書に記載される主題の機構が、様々な形態で一つ以上のプログラム製品として配布されることができ、本明細書に記載される主題の例示的な形態は、実際に配布を実施するために使用される特定のタイプの信号担持媒体に関係なく適用されることを理解するであろう。
【0137】
論理をプログラムして様々な開示された態様を実施するために使用される命令は、動的ランダムアクセスメモリ(DRAM)、キャッシュ、フラッシュメモリ、または他の記憶装置など、システム内のメモリ内に格納され得る。さらに、命令は、ネットワークを介して、または他のコンピュータ可読媒体を介して配布され得る。したがって、機械可読媒体は、機械(例えば、コンピュータ)によって読み取り可能な形態で情報を格納する、または伝送するための任意の機構であるが、それに限定されるものではない、フロッピーディスケット、光ディスク、コンパクトディスク、読み取り専用メモリ(CD-ROM)、および磁気光学ディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、消去可能なプログラム可能な読み取り専用メモリ(EPROM)、電気的に消去可能なプログラム可能な読み取り専用メモリ(EEPROM)、磁気または光学カード、フラッシュメモリ、または電気的、光学的、音響または他の形態の伝播信号(例えば、搬送波、赤外線信号、デジタル信号、など)を介してインターネット上で情報を送信する際に使用される有形の機械可読記憶装置を含み得る。したがって、非一時的コンピュータ可読媒体は、電子命令または情報を、機械(例えば、コンピュータ)によって可読な形態で格納または伝送するのに適した、任意のタイプの有形の機械可読媒体を含む。
【0138】
本明細書の任意の態様で使用される場合、用語「制御回路」は、例えば、配線された回路、プログラム可能回路(例えば、一つ以上の個々の命令処理コアを備えるコンピュータプロセッサ、処理ユニット、プロセッサ、マイクロコントローラ、マイクロコントローラユニット、コントローラ、デジタルシグナルプロセッサ(DSP)、プログラム可能論理装置(PLD)、プログラム可能論理アレイ(PLA)、またはフィールドプログラマブルゲートアレイ(FPGA)、状態機械回路、プログラム可能回路によって実行される命令を格納するファームウェアおよびそれらの任意の組み合わせを指すことができる。制御回路は、集合的にまたは個別に、より大きなシステム、例えば、集積回路(IC)、特定用途向け集積回路(ASIC)、システムオンチップ(SoC)、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、サーバ、スマートフォンなどの一部を形成する回路として具体化され得る。したがって、本明細書で使用される場合、「制御回路」には、限定されるものではないが、少なくとも一つのディスクリート電気回路を有する電気回路と、少なくとも一つの集積回路を有する電気回路と、少なくとも一つの特定用途向け集積回路を有する電気回路と、コンピュータプログラムによって構成される汎用コンピューティングデバイスを形成する電気回路(例えば、プロセスを少なくとも部分的に実行するコンピュータプログラムによって構成される汎用コンピュータ、および/または本明細書に記載されるデバイス、または少なくとも部分的にプロセスを実行するコンピュータプログラムによって構成されるマイクロプロセッサ、および/または本明細書に記述されるデバイス)、メモリデバイスを形成する電気回路(例えば、ランダムアクセスメモリの形態)、および/または通信デバイスを形成する電気回路(例えば、モデム、通信スイッチ、または光電気機器)を含む。当業者であれば、本明細書に記載される主題が、アナログもしくはデジタルの様式またはそれらのいくつかの組み合わせで実装され得ることを認識するであろう。
【0139】
本明細書の任意の態様で使用される場合、用語「ロジック」は、前述の動作のいずれかを行うように構成されたアプリケーション、ソフトウェア、ファームウェア、および/または回路を指し得る。ソフトウェアは、ソフトウェアパッケージ、コード、命令、命令セット、および/または非一時的コンピュータ可読記憶媒体に記録されたデータとして具現化され得る。ファームウェアは、コード、命令、または命令セット、および/またはメモリデバイス内にハードコードされた(例えば、不揮発性)データとして具現化され得る。
【0140】
本明細書の任意の態様で使用される場合、用語「コンポーネント」、「システム」、「モジュール」などは、コンピュータ関連実体、ハードウェア、ハードウェアおよびソフトウェアの組み合わせ、ソフトウェア、または実行中のソフトウェアを指すことができる。
【0141】
本明細書の任意の態様で使用される場合、「アルゴリズム」は、所望の結果をもたらすステップの自己整合的な順序を指し、「ステップ」は、物理的量の操作、および/または必ずしもそうである必要はないが、格納、移動、結合、比較、およびその他操作することができる電気信号または磁気信号の形態を取ることができる論理状態を指す。これらの信号をビット、値、要素、記号、文字、用語、数字などと呼ぶのが一般的である。これらおよび類似の用語は、適切な物理量と関連付けられてもよく、これらの量および/または状態に適用される単に便利な符号である。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6】
【図7】
【国際調査報告】