JP2009510564A - イベントログをレビューするためのシステム及び方法 - Google Patents
イベントログをレビューするためのシステム及び方法 Download PDFInfo
- Publication number
- JP2009510564A JP2009510564A JP2008532437A JP2008532437A JP2009510564A JP 2009510564 A JP2009510564 A JP 2009510564A JP 2008532437 A JP2008532437 A JP 2008532437A JP 2008532437 A JP2008532437 A JP 2008532437A JP 2009510564 A JP2009510564 A JP 2009510564A
- Authority
- JP
- Japan
- Prior art keywords
- report
- log
- review
- asset
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 27
- 238000012552 review Methods 0.000 claims description 62
- 238000012544 monitoring process Methods 0.000 claims description 15
- 230000003111 delayed effect Effects 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 16
- 230000008520 organization Effects 0.000 description 9
- 238000012790 confirmation Methods 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000001105 regulatory effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Economics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- General Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Software Systems (AREA)
- Marketing (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本発明によって提供されるイベントログ管理システムは、電子ネットワークの資産に関連するイベントログデータを生成するイベントログソース110と、上記イベントログデータを格納するイベントログデータベース130と、資産情報を格納する資産データベース240と、上記資産データベース240に格納された上記資産情報に基づいて、上記イベントログデータをログレポートにまとめるログレポート生成部210とを具備することを特徴とする。
Description
本発明は、イベントログの管理のためのシステム及び方法、特に、イベントログレポートの生成及び追跡レビューを行うためのシステム及び方法に関する。
この出願は、2005年9月23日に出願された米国特許仮出願第60/720,169号の優先権を主張するものであり、引用によりそのすべてを本明細書に組み込む。さらに、この出願は、2004年12月29日に出願された米国特許出願第11/025,694号及び第11/025,871号と同時係属関係にあり、また、引用によりそのすべてを本明細書に組み込む。
情報技術(IT)の進歩は、相互に接続されたコンピュータ及びその他の通信デバイスに、効率的なやり方で、より容易なデータのやりとり及びサービスへのアクセスを可能にする方法を提供してきた。集約的なデータサービスを提供する企業に対して、無数のコンピュータ及びその他の通信デバイスが、その企業によって提供されるデータサービスへの接続及びアクセスを試みている。これらの要求されるデータコネクションは、外部のクライアントからのみならず内部からもある。
セキュリティ上の目的で、セキュリティシステムは、セキュリティ脅威をチェックするために後日レビューされるこれらのトランザクションを記録(log)する環境が整えられている。典型的に、セキュリティ問題は、企業のサーバ、ファイル、アプリケーション、及びその他のIT資産への許可されていないアクセスの試みを背景として発生する。さらにまた、正当なソースによって実施されたように見える修正されたファイル及びアプリケーションなどのその他のイベントは、資産に精通している人々によってのみ識別可能であるという懸案事項となる。さらに、例えば、SOX法(Sarbanes-Oxley)規則要求などの規制ポリシーは、データの完全性を保証するために、企業内に提供される予防及び検出制御を要求する環境を整える。しかしながら、企業にこのようなセキュリティ監視を提供するには、さまざまな課題がある。
平日には、何百万とはいかないまでも、何千ものログイベントが、企業の規模及びIT能力に応じて記録されている。従って、このことは、ログイベントの一つ一つをレビューするというたいへんな課題となる。さらに、企業のIT能力に応じて、これらのログイベントは、多数のサーバに散在する多数のアプリケーションによって生成されるかもしれない。典型的に、これらのセキュリティログは、ネットワーク及びその動作を監視するために配置されたセキュリティ要員によってレビューされる。セキュリティ要員は、ネットワークへの許可されていないアクセス又は障害となるイベントの試みを対象とするログを認識できるが、一方、特殊なアプリケーション又はサーバなどのある種の資産に特有のログイベントがたやすく見落とされる。さらに、ログの特徴のない性質のみならず、一定期間わたって生成されるログイベント量は、イベントの不正を判断するためにログイベントを適切にレビュー及び評価するための膨大な課題を生み出す。加えて、現在のセキュリティ監視システムは、誰がログイベントをレビューしたか、及びどのログイベントがレビューされたかを記録する効率的な方法を有していない。
従って、本発明は、従来技術の制限及び不利益に起因する1つ以上の問題を十分に取り除くシステム及び方法を対象とする。
本発明の1つの目的は、ログイベントの効率的な監視の手助けを行うセキュリティログレビューのためのシステム及び方法を提供することにある。
本発明の別の目的は、データ及びデータソース資産の効率的な予防及び検知制御を提供するセキュリティログレビューのためのシステム及び方法を提供することにある。
本発明のさらに別の目的は、イベントの正当性を判断するために最も適している人員へログイベントを確実に届けるセキュリティログレビューのためのシステム及び方法を提供することにある。
本発明の追加的な特徴及び利益が以下に記載され、かつその一部は記載から明らかとなるか、又は発明の実施によって知るところとなる。発明の目的及びその他の利点は、添付の図面のみならず、明細書中の記載及び特許請求の範囲に特に挙げた構成によって具現及び達成される。
具現化されかつ広範に記載されたように、これら及びその他の利益を得るため、並びに本発明の目的に従って、本発明のイベントログ管理システムは、電子ネットワークの資産に関連するイベントログデータを生成するイベントログソースと、イベントログデータを格納するイベントログデータベースと、資産情報を格納する資産データベースと、資産データベースに格納された資産情報に基づいてイベントログデータをログレポートにまとめるログレポート生成部とを具備する。
別の態様において、イベントログ管理方法は、電子ネットワークの資産に関連するイベントログデータを生成する段階と、イベントログデータベースにイベントログデータを格納する段階と、資産データベースに資産情報を格納する段階と、資産データベースに格納された資産情報に基づいてイベントログデータをログレポートにまとめる段階とを有する。
当然ながら、上記の概略的な記載と以下の詳細な記載とは、どちらも例示的かつ説明的なものであり、特許請求の範囲としての本発明の説明をさらに提供することを意図したものである。
発明のさらなる理解を助けるとともに、この明細書に組み込まれかつその一部を構成する添付の図面は、発明の実施形態を示すとともに、明細書の記載と合わせて発明の原理を説明する働きをする。
これより、本発明の好適な実施形態を詳細に記載する。それらの実施例は添付の図面に示される。
本発明によるセキュリティログレビューのためのシステム及び方法は、効率的なログイベントの収集、ログレポートの生成、ログレポートのレビュー、及びログレポートの保存、並びに企業規模での監査、規制順守、及び組織のセキュリティのためのレビュー作業を容易にする。明細書中で用いられる用語「資産(asset)」は、それに限定されないが、組織の情報技術(IT)に関するハードウェア及びソフトウェア資産を含む。ハードウェア資産のいくつかの例としては、サーバ、クライアントコンピュータ、プリンタ、ルータ、ネットワークハブ、及びストレージデバイスなどがある。ソフトウェア資産の例としては、コンピュータプログラムアプリケーション、データベース、及びデータファイルなどがある。
図1は、本発明の例示的な実施形態を示す。具体的には、本発明は、典型的に、複数のイベントログソース110、セキュリティ情報管理部(SIM)120、イベントログデータベース130、及びログレビュー管理システム140を具備する。複数のイベントログソース110は、組織のさまざまな資産に関するイベントログを作成する。例えば、イベントログソースは、SNMP(Simple Network Management Protocol)ソース、ファイアウォールソース、及び組織の資産に関するイベントのその他のソースであってもよい。イベントログデータは、それに限定されないが、例えば組織のネットワークに流れ込む及び/又は流れ出る通信などのファイアウォールインスタンスに関するデータと、組織のネットワーク内のさまざまなサーバ及び周辺デバイスのアクセス動作と、例えば組織のネットワークのサーバに格納されたファイル及びアプリケーションへの修正などのプログラムディレクトリ構造への修正とであってもよい。
未加工のイベントログデータは、SIM120に伝達される。SIM120は、未加工のイベントログデータを処理するとともに、イベントログデータベース130にイベントログを格納する。未加工のイベントログデータが異なるソースによって生成されるので、SIM120は、未加工のイベントログデータを受信した後、イベントログデータベース130に格納するために、イベントログデータを共通のフォーマットへ標準化してもよい。例えば、未加工のイベントログデータは、イベントのタイムスタンプ、資産ID、イベントを引き起こした人物のユーザID、イベントの識別情報、及びイベントに関連する何らかの情報など、共通の情報を含むように標準化されてもよい。イベントログデータは、ネットワークを介して発生したイベントとしてリアルタイムで受信され、処理され、かつ格納される。イベントログデータベース130に格納されたイベントログには、データの完全性を維持するために、許可されていないユーザはアクセスできない。
ログレビュー管理システム140は、以下でより詳細に記載されるが、イベントログを取得するとともに、特定の資産に対応するイベントログレポートにイベントログをまとめる。そして、イベントログレポートは、レビューされるために、指名された資産管理者へ配布される。ログレビュー管理システム140は、イベントログレポートとともに、レビュー作業を追跡及び記録する。
図2は、ログレビュー管理システム140の例示的な実施形態を示す。ログレビュー管理システム140は、レポート生成部210、レポートデータ格納部220、及びレビュー監視部230を具備する。例示的な実施形態において、ログレビュー管理システム140は、組織の現存するITインフラストラクチャへの統合を容易にするために、企業ネットワークのSIM120(図1)と結びついたミドルウェアとして実装される。しかしながら、本発明の範囲から逸脱することなく、その他の実装方法が用いられてもよい。
レポート生成部210は、イベントログデータベース130(図1)に格納されたイベントログからイベントログレポート(例えば、レポート1〜レポートN)を生成する。具体的には、レポート生成部210は、資産データベース(ADb)250から資産情報を取得するとともに、イベントログデータベース130に格納されたイベントログデータをまとめる。資産データベース240は、組織の資産毎の情報を格納するデータベースである。例えば、資産データベース240は、資産名、資産タイプ、資産の説明、資産管理者名(例えば、所有者、指名された管理者及び/又はレビュア)などの資産情報を格納するリレーショナルデータベースである。資産データベース240の詳細は、2004年12月29日に出願された同時係属中の米国特許出願第11/025,871号中に、より詳細に記載されている。上記出願の内容は、引用によって本明細書に組み込まれている。レポート生成部210は、イベントログデータベース130からのイベントログデータを資産データベース240からの資産情報に関連付ける。例えば、図2に示されるように、「資産名」に関連するイベントログデータは、グループ分けされるとともに、例えばスプレッドシートなどのレポートに一緒にまとめられる。別の実施例では、「資産タイプ」に関連するイベントログデータは、グループ分けされるとともに、別のレポートに一緒にまとめられてもよい。レポートは、本発明の範囲から逸脱することなく、任意の資産属性に基づいてまとめられてもよい。
レポート生成部210によってレポートが生成されるとすぐに、生成されたレポートは、レポートデータ格納部220へ送信される。図2に示されるように、レポートデータ格納部220は、レポート保管データベース220aと、レポート追跡データベース220bとを具備する。生成されたレポートは、生成された時刻及び関連する資産に関するメタデータと共に格納される。上記レポートは、レポート保管データベース220aに含まれる。例えば、レポートメタデータは、レポート発行時刻、レポートレビュア名、レポートファイル名、及びレポートでレビューされるイベントの回数を含む。しかしながら、本発明の範囲から逸脱することなく、レポートに関する別の情報が格納されてもよい。レポート追跡データベース220bは、生成されかつレポート保管データベース220aに格納されたレポートそれぞれの追跡情報を格納する。例えば、レポート追跡データベース220bは、レポートファイル名、レポートが資産管理者へ伝達される可能性がある時刻、レポート中のイベントログデータの対象期間、及びレポートのレビューの完了が認知された時刻などの情報を格納する。レポート追跡データベース220bに格納された情報は、レポート監視部230と共に、以下にさらに記載される。
レポートが生成され、かつレポート保管データベース220aに格納されるとすぐ、レポート監視部230は、レポートが生成された資産の指名された資産管理者へ通知メッセージを伝達する。この情報は、レポート生成部210によって、資産データベース240から取得される。従って、特定の資産の許可された資産管理者として資産データベース240で指名された人物だけが、特定の資産に関する生成されたログレポートの通知を受ける。さらに重要なことは、例えば電子メール(eメール)230aである未解決レポートの通知は、実際のレポートを含まないということである。正確には、未解決レポート通知は、資産管理者(ここでは「レビュア」と称する)を、未解決レポートをレビューするためのセキュアポータル230bへ向かわせる。ポータルは、インターネット又はイントラネットポータルであってもよい。例えば、eメール通知230aは、ハイパーテキストリンクを埋め込まれてもよく、レビュアによってクリックされたとき、レビュアがHTTPレビューポータル230bへアクセスできるようにする。しかしながら、本発明の範囲から逸脱することなく、その他のタイプの電子インタフェース及び実装方法が用いられてもよい。
図3〜図7は、本発明による通信の例示的な画面を示す。例えば、図3は、レビューされるための未解決のレポートの例示的な通知を示す。図3に示されるように、例示的なeメール通知310は、資産データベース240(図2)で資産管理者として指名されたレビュアへ送信される。eメール通知310は、セキュアポータル230bへのハイパーテキストリンク320を有する。この実施例に示されたように、レビュアは、また、レポートがレビュアを指名していない資産に関連する場合に、システムに通知する機能を与えられる。レビュアがリンク320をクリックするとすぐに、そのレビュアは、ポータル230b(図示せず)のページ中のログへのアクセス権が与えられる。許可及び認証過程の後、レビュアは、レビューを受けるための未解決レポートへのアクセス権が与えられる。
図4は、ログレポートを検索及びレビューするための例示的なユーザインタフェースを示す。図4に示されるように、レビューを受けるレポート410のリストがレビュアへ提示される。リストは、クリック可能なファイルリスト及びハイパーリンク410〜430として提示されてもよい。しかしながら、本発明の範囲から逸脱することなく、その他のタイプのインタフェースが用いられてもよい。この実施例において、レビュアは、ログレポートをレビューするためにレポート410の名称をクリックする。レポート410が選択されたとき、イベントログがレビューのためにユーザへ提示される。
図5A及び図5Bは、例示的なレポートのさまざまな画面を示す。図5Aに示されるように、レポートの概要ページは、資産名(例えば、サーバ名)と、資産それぞれに対して記録がつけられているイベントの数とを表示する。この実施例において、各資産に対する特定のログデータは、資産それぞれに対する個別のタブに整理されている。図5Bに示されるように、資産に対するログデータ(すなわち、「IonTESTprod1」)は、イベント時刻、リクエストされたアクセスの結果、資産にアクセスしたユーザの識別情報、ユーザによって資産上で実施された動作、及び資産になされた修正を含んでもよい。本発明の範囲から逸脱することなく、資産に関するその他のタイプのログ情報が表示されてもよい。
レビュアがレビュアの資産に関するログデータをレビューするとすぐに、レビュアは、レポートのレビューを(例えば、「accept」リンク420で)知らせる。ログデータのレビュー時に、レビュアがレポート中に疑わしい動作を発見した場合、そのレビュアは、セキュリティ要員へ(例えば、「notify」リンク430で)レビューを上申(escalation)する。レポートが上申された場合、上申確認通知がレビュアへ提示される。図6は、例示的な上申確認通知画面を示す。レビュアが上申過程を確認するとすぐに、レビュアは、上申処置を記録するとともに、上申の理由を文書化する。図7は、上申処置に関する情報を提供するための例示的な上申処置記録フォーム画面を示す。レビューが終了した場合、レビュー監視部230は確認チケットを生成する。図8は、例示的な確認メッセージ画面を示す。
図2に示されるように、チケット追跡システム230cは、レポートがレビューされたことを確認するとともに、レポート追跡データベース220bに情報を格納する。上申が開始された場合、上申の発生がレポート追跡データベース220bに記録され、かつ指示されたログレポートのさらなるレビューのために上申通知がセキュリティ要員へ転送される。また、例えば、上申通知のタイムスタンプ、並びに上申要求を転送した人物及び/又は部門などの上申に関する追加的な情報が、レポート追跡データベース220bに格納されてもよい。
また、チケット追跡システム230cは、レポート保管データベース220a中のまだレビューされていない未解決のレポートを監視する。所定の有効期限に基づいて、レポート監視部230は、レビューが滞っているレポートに関係するレビュアへ通知メッセージを再発行する。或いは単に、チケット追跡システム230cは、レポートのレビュー期限が過ぎ、従ってレビューは行われなかったということを記録する。さらに、レビュアは、自身が通知を受け取っていないことを認識する場合に、レポート通知の再発行を要請してもよい。
本発明にはいくつかの利点が存在する。第1に、本発明のログレビュー管理システムは、イベントログが関連性のある資産に基づいて区分されるように、資産情報に基づいて膨大な量のログデータをまとめる。さらに、それらのまとめられたレポートは、ログデータに関係する資産の管理者として指名された人物によってのみレビューされるので、最も精通した人員によってログデータのレビューが行われる。それによって、ログデータの十分なレビューと、疑わしい動作の素早い識別とが容易になる。
第2に、本発明のログレビュー管理システムは、資産データベースから直接、関連する資産にログデータを自動的に関連付けるので、レポートは素早くかつ効率よくまとめられる。さらに、資産データベースからの資産情報をイベントログデータへ結びつける機能によって、資産に必要な全ての情報として、組織を横断する連続した情報が中央データベースに格納できる。換言すると、もし、レビュア及び資産情報の個々の指定が組織をわたって異なる管理システムに格納されるならば、全データベースが互いに更新し合えない場合に、資産情報の更新は、まとまりのないものとなる。本発明のログレビュー管理システムにおいては、資産及び指定された資産管理者に関する正確な情報を提供するために、データベース(すなわち、資産データベース)のみが保守されればよい。
第3に、資産データベースからの資産情報に基づくログレポートのまとめと、資産データベースにおいて指名された資産管理者のみへの通知とが、イベントログデータのセキュアなレビューを保証する。さらに、資産データベースにおいて指名された資産管理者のみが管理者の保護の下に資産に関連するログレポートを見る権利を与えられるので、不適切なレビューはすみやかかつ容易に見きわめられる。
第4に、未加工のイベントログデータ、ログレポート、及びレポート追跡データが個別のデータベースに格納されるので、データの完全性及び安全性を不注意な修正から遠ざけることが可能である。この保証された完全性は、SOX法規則順守に関する予防及び検知制御という背景において特に重要となる。さらに、ログレポート及びレビュー処置は、タイムスタンプが記録されるとともに一定期間に亘って記録されるので、セキュリティ尺度の調整が容易となる。
本発明を説明するために特定の実施例が用いられたが、本発明の精神及び範囲から逸脱することなく、本発明のセキュリティログレビューのためのシステム及び方法へさまざまな修正及び変形を加えることが可能であることは、当業者には明白である。故に、本発明は、添付された特許請求の範囲及びその均等物から与えられるこの発明の修正例及び変形例を包含する。
110 複数のイベントログソース
120 セキュリティ情報管理部(SIM)
130 イベントログデータベース
140 ログレビュー管理システム
210 レポート生成部
220 レポートデータ格納部
220a レポート保管データベース
220b レポート追跡データベース
230 レポート監視部
230a 未解決レポート通知
230b ログレビューポータル
230c チケット追跡システム
240 資産データベース
120 セキュリティ情報管理部(SIM)
130 イベントログデータベース
140 ログレビュー管理システム
210 レポート生成部
220 レポートデータ格納部
220a レポート保管データベース
220b レポート追跡データベース
230 レポート監視部
230a 未解決レポート通知
230b ログレビューポータル
230c チケット追跡システム
240 資産データベース
Claims (29)
- 電子ネットワークの資産に関連するイベントログデータを生成するイベントログソースと、
前記イベントログデータを格納するイベントログデータベースと、
資産情報を格納する資産データベースと、
前記資産データベースに格納された前記資産情報に基づいて、前記イベントログデータをログレポートにまとめるログレポート生成部と
を具備するシステム。 - 前記ログレポート生成部が、資産名に従って前記イベントログデータをまとめることを特徴とする請求項1に記載のシステム。
- 前記ログレポート生成部が、資産タイプに従って前記イベントログデータをまとめることを特徴とする請求項1に記載のシステム。
- 前記ログレポートを格納するレポート保管データベースをさらに具備することを特徴とする請求項1に記載のシステム。
- 前記レポート保管データベースが、前記レポートの発行時刻と、レビュアの名称と、前記レポートの名称と、前記レポート中でレビューされるイベントの数とのうちの少なくとも1つを含む前記ログレポートに関するメタデータをさらに格納することを特徴とする請求項4に記載のシステム。
- 前記ログレポートのレビューステータスを追跡するレビュー監視部をさらに具備することを特徴とする請求項1に記載のシステム。
- 前記レビュー監視部が、レビューを受ける前記ログレポートにアクセスするためのポータルをさらに具備することを特徴とする請求項6に記載のシステム。
- 前記ポータルが、インターネットポータル又はイントラネットポータルであることを特徴とする請求項7に記載のシステム。
- 前記レビュー監視部が、レビューを受ける前記ログレポートをレビュアへ通知する電子通知部をさらに具備することを特徴とする請求項6に記載のシステム。
- 前記レビュアが、前記資産データベースで指名された資産管理者であることを特徴とする請求項9に記載のシステム。
- 前記レビュー監視部が、前記ログレポートの前記レビューステータスを追跡するための電子チケットを具備することを特徴とする請求項6に記載のシステム。
- 前記レビュー監視部が、さらなるレビューのために、前記ログレポートを上申するためのユーザインタフェースを具備することを特徴とする請求項6に記載のシステム。
- 前記ログレポートが所定期間内にレビューされなかった場合に、前記レビュー監視部が、レビューの延滞をレビュアへ通知することを特徴とする請求項6に記載のシステム。
- 前記ログレポートのレビューステータスを格納するためのレポート追跡データベースをさらに具備することを特徴とする請求項1に記載のシステム。
- 前記レビューステータスが、前記ログレポートを入手できることがレビュアへ伝達された時の第1タイムスタンプと、前記ログレポートの対象期間と、前記ログレポートがレビューされた時の第2タイムスタンプと、さらなるレビューのための前記ログレポートの上申とのうちの少なくとも1つを含むことを特徴とする請求項14に記載のシステム。
- 電子ネットワークの資産に関連するイベントログデータを生成する段階と、
イベントログデータベースに前記イベントログデータを格納する段階と、
資産データベースに資産情報を格納する段階と、
前記資産データベースに格納された前記資産情報に基づいて、ログレポートに前記イベントログデータをまとめる段階と
を有することを特徴とする方法。 - 資産名に従って前記イベントログデータをまとめる段階をさらに有することを特徴とする請求項16に記載の方法。
- 資産タイプに従って前記イベントログデータをまとめる段階をさらに有することを特徴とする請求項16に記載の方法。
- レポート保管データベースに前記ログレポートを格納する段階をさらに有することを特徴とする請求項16に記載の方法。
- 前記ログレポートを格納する段階が、前記レポートの発行時刻と、レビュアの名称と、前記レポートの名称と、前記レポート中でレビューされるイベントの数とのうちの少なくとも1つを含む前記ログレポートに関するメタデータの格納を含むことを特徴とする請求項19に記載の方法。
- 前記ログレポートのレビューステータスを追跡する段階をさらに有することを特徴とする請求項16に記載の方法。
- 前記ログレポートをレビューするためにポータルへアクセスする段階をさらに有することを特徴とする請求項16に記載の方法。
- 前記ポータルが、インターネットポータル又はイントラネットポータルであることを特徴とする請求項22に記載の方法。
- レビューを受ける前記ログレポートをレビュアへ通知する段階をさらに有することを特徴とする請求項16に記載の方法。
- 前記レビュアが、前記資産データベースで指名された資産管理者であることを特徴とする請求項24に記載の方法。
- さらなるレビューのために前記ログレポートを上申する段階をさらに有することを特徴とする請求項16に記載の方法。
- 前記ログレポートがレビューされることなく所定期間が経過したかどうかを判断する段階と、
前記ログレポートのレビューが延滞されている場合に、レビュアへ通知する段階と
をさらに有することを特徴とする請求項16に記載の方法。 - レポート追跡データベースに前記ログレポートのレビューステータスを格納する段階をさらに有することを特徴とする請求項16に記載の方法。
- 前記レビューステータスが、前記ログレポートを入手できることがレビュアへ伝達された時の第1タイムスタンプと、前記ログレポートの対象期間と、前記ログレポートがレビューされた時の第2タイムスタンプと、さらなるレビューのための前記ログレポートの上申とのうちの少なくとも1つを含むことを特徴とする請求項28に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US72016905P | 2005-09-23 | 2005-09-23 | |
| US60/720,169 | 2005-09-23 | ||
| PCT/US2006/037081 WO2007038327A2 (en) | 2005-09-23 | 2006-09-22 | System and method for event log review |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009510564A true JP2009510564A (ja) | 2009-03-12 |
| JP4753997B2 JP4753997B2 (ja) | 2011-08-24 |
Family
ID=37900327
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008532437A Expired - Fee Related JP4753997B2 (ja) | 2005-09-23 | 2006-09-22 | イベントログをレビューするためのシステム及び方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8402002B2 (ja) |
| EP (1) | EP1934705A4 (ja) |
| JP (1) | JP4753997B2 (ja) |
| CA (1) | CA2623491A1 (ja) |
| WO (1) | WO2007038327A2 (ja) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8578500B2 (en) * | 2005-05-31 | 2013-11-05 | Kurt James Long | System and method of fraud and misuse detection |
| US20070180101A1 (en) * | 2006-01-10 | 2007-08-02 | A10 Networks Inc. | System and method for storing data-network activity information |
| US8151322B2 (en) | 2006-05-16 | 2012-04-03 | A10 Networks, Inc. | Systems and methods for user access authentication based on network access point |
| US7716378B2 (en) | 2006-10-17 | 2010-05-11 | A10 Networks, Inc. | System and method to associate a private user identity with a public user identity |
| US8312507B2 (en) | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
| US8079081B1 (en) * | 2008-06-27 | 2011-12-13 | Alert Logic, Inc. | Systems and methods for automated log event normalization using three-staged regular expressions |
| US9122853B2 (en) | 2013-06-24 | 2015-09-01 | A10 Networks, Inc. | Location determination for user authentication |
| WO2015065379A1 (en) * | 2013-10-30 | 2015-05-07 | Hewlett-Packard Development Company, L.P. | Parameter suggestion based on user activity |
| US11165770B1 (en) | 2013-12-06 | 2021-11-02 | A10 Networks, Inc. | Biometric verification of a human internet user |
| JP5640166B1 (ja) * | 2014-03-31 | 2014-12-10 | 株式会社ラック | ログ分析システム |
| EP2991441A3 (en) | 2014-08-27 | 2016-04-06 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | A transceiver, a sudac, a method for signal processing in a transceiver, and methods for signal processing in a sudac |
| JP6516592B2 (ja) * | 2015-06-30 | 2019-05-22 | キヤノン株式会社 | データ処理装置、データ処理装置の制御方法、及びプログラム |
| US9385993B1 (en) * | 2015-08-06 | 2016-07-05 | XL Associates, Inc. | Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device |
| US10706056B1 (en) * | 2015-12-02 | 2020-07-07 | Palantir Technologies Inc. | Audit log report generator |
| US10305753B2 (en) | 2016-08-30 | 2019-05-28 | Red Hat, Inc. | Supplementing log messages with metadata |
| CN112154437A (zh) * | 2018-05-30 | 2020-12-29 | 瑞典爱立信有限公司 | 用于处置电子设备的入侵的方法和入侵管理器 |
| US11086840B2 (en) | 2018-12-07 | 2021-08-10 | Snowflake Inc. | Transactional streaming of change tracking data |
| US11573930B2 (en) * | 2019-06-03 | 2023-02-07 | Zuora, Inc. | Self-healing data synchronization |
| CA3155083A1 (en) * | 2019-10-17 | 2021-04-22 | Pivot Industries Limited | Self-organizing data capture, analysis, and collaboration system |
| US20230044404A1 (en) * | 2021-08-03 | 2023-02-09 | Elevance Health, Inc. | System and method for operational workflow transparency and end-to-end events tracking |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006011888A (ja) * | 2004-06-28 | 2006-01-12 | Hitachi Ltd | 遠隔管理システム |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3778652B2 (ja) * | 1997-04-18 | 2006-05-24 | 株式会社日立製作所 | ログデータ収集管理方法及びその装置 |
| US6064656A (en) | 1997-10-31 | 2000-05-16 | Sun Microsystems, Inc. | Distributed system and method for controlling access control to network resources |
| US6963910B1 (en) * | 2000-03-03 | 2005-11-08 | International Business Machines Corporation | Graphical user interface for creating assets |
| US8392552B2 (en) * | 2000-09-28 | 2013-03-05 | Vig Acquisitions Ltd., L.L.C. | System and method for providing configurable security monitoring utilizing an integrated information system |
| US6768994B1 (en) * | 2001-02-23 | 2004-07-27 | Trimble Navigation Limited | Web based data mining and location data reporting and system |
| US6961734B2 (en) * | 2002-01-17 | 2005-11-01 | International Business Machines Corporation | Method, system, and program for defining asset classes in a digital library |
| US20030167191A1 (en) * | 2002-02-25 | 2003-09-04 | Slabonik Elizabeth Ann | System and method for underwriting review in an insurance system |
| US7373666B2 (en) * | 2002-07-01 | 2008-05-13 | Microsoft Corporation | Distributed threat management |
| US7599911B2 (en) * | 2002-08-05 | 2009-10-06 | Yahoo! Inc. | Method and apparatus for search ranking using human input and automated ranking |
| US20040167859A1 (en) * | 2003-02-14 | 2004-08-26 | Richard Mirabella | Software license management system configurable for post-use payment business models |
| US20040193462A1 (en) * | 2003-03-31 | 2004-09-30 | Beasley Peter M. | System, method and apparatus to manage infrastructure asset information |
| US7831498B2 (en) * | 2003-04-25 | 2010-11-09 | The Western Union Company | Systems and methods for producing suspicious activity reports in financial transactions |
| US7590971B2 (en) * | 2003-08-01 | 2009-09-15 | Idx Investment Corporation | Enterprise task manager |
| US7302436B2 (en) * | 2003-10-02 | 2007-11-27 | Bayerische Motoren Werke Aktiengesellschaft | Business workflow database and user system |
| US20050097571A1 (en) * | 2003-11-04 | 2005-05-05 | Partner Marketing Works International Inc. | Event management system and method |
| US20060117091A1 (en) * | 2004-11-30 | 2006-06-01 | Justin Antony M | Data logging to a database |
-
2006
- 2006-09-22 JP JP2008532437A patent/JP4753997B2/ja not_active Expired - Fee Related
- 2006-09-22 EP EP06825083A patent/EP1934705A4/en not_active Withdrawn
- 2006-09-22 CA CA002623491A patent/CA2623491A1/en not_active Abandoned
- 2006-09-22 WO PCT/US2006/037081 patent/WO2007038327A2/en active Application Filing
- 2006-09-22 US US11/525,212 patent/US8402002B2/en not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006011888A (ja) * | 2004-06-28 | 2006-01-12 | Hitachi Ltd | 遠隔管理システム |
Also Published As
| Publication number | Publication date |
|---|---|
| US8402002B2 (en) | 2013-03-19 |
| JP4753997B2 (ja) | 2011-08-24 |
| CA2623491A1 (en) | 2007-04-05 |
| WO2007038327A2 (en) | 2007-04-05 |
| EP1934705A4 (en) | 2010-06-16 |
| WO2007038327A3 (en) | 2007-09-07 |
| EP1934705A2 (en) | 2008-06-25 |
| US20070179986A1 (en) | 2007-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4753997B2 (ja) | イベントログをレビューするためのシステム及び方法 | |
| US10360399B2 (en) | System and method for detecting fraud and misuse of protected data by an authorized user using event logs | |
| US7577689B1 (en) | Method and system to archive data | |
| US8935524B1 (en) | Systems and methods for managing certificates | |
| US20060080656A1 (en) | Methods and instructions for patch management | |
| US20080201464A1 (en) | Prevention of fraud in computer network | |
| US11783349B2 (en) | Compliance management system | |
| US20060004614A1 (en) | Content management system | |
| Claycomb et al. | Chronological examination of insider threat sabotage: Preliminary observations. | |
| KR100926735B1 (ko) | 웹 소스 보안 관리 시스템 및 방법 | |
| US7571150B2 (en) | Requesting, obtaining, and processing operational event feedback from customer data centers | |
| JP6618093B2 (ja) | 情報処理システム、情報処理方法及びプログラム | |
| US20030233258A1 (en) | Methods and systems for tracking and accounting for the disclosure of record information | |
| US8931048B2 (en) | Data system forensics system and method | |
| Dorofee et al. | Incident Management Capability Assessment | |
| Mogull | Understanding and selecting a database activity monitoring solution | |
| US20230401503A1 (en) | Compliance management system | |
| Evans | The Importance of Incident Response | |
| AU2013267064B2 (en) | System and method of fraud and misuse detection | |
| Rouached et al. | Applying Digital Forensics to Service Oriented Architecture | |
| Waxvik | Risk, response, and recovery | |
| Pearl et al. | Surviving the Audit | |
| Wit | Continuous forensic readiness | |
| Ahmad | Digital Forensics: Increasing the Evidential Weight of System Activity Logs | |
| Fellegi et al. | X-log Incident-Monitor System for Internal Control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100727 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20100827 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101025 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110324 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110405 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110426 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110524 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140603 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4753997 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |