Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7801965B2 - Log analysis query creation support device and log analysis query creation support method - Google Patents
[go: Go Back, main page]

JP7801965B2 - Log analysis query creation support device and log analysis query creation support method - Google Patents

Log analysis query creation support device and log analysis query creation support method

Info

Publication number
JP7801965B2
JP7801965B2 JP2022106562A JP2022106562A JP7801965B2 JP 7801965 B2 JP7801965 B2 JP 7801965B2 JP 2022106562 A JP2022106562 A JP 2022106562A JP 2022106562 A JP2022106562 A JP 2022106562A JP 7801965 B2 JP7801965 B2 JP 7801965B2
Authority
JP
Japan
Prior art keywords
query
hunting
attack
log analysis
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022106562A
Other languages
Japanese (ja)
Other versions
JP2024006027A (en
Inventor
伶 山岸
貴大 片山
信隆 川口
倫宏 重本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2022106562A priority Critical patent/JP7801965B2/en
Publication of JP2024006027A publication Critical patent/JP2024006027A/en
Application granted granted Critical
Publication of JP7801965B2 publication Critical patent/JP7801965B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、ログ分析クエリ作成支援装置、ログ分析クエリ作成支援方法およびログ分析クエリ作成支援プログラムに関する。 The present invention relates to a log analysis query creation support device, a log analysis query creation support method, and a log analysis query creation support program.

近年、サイバー攻撃の高度化が進み、従来から使用されてきたセキュリティ機器だけでは、サイバー攻撃を防ぎきれない場合がある。サイバー攻撃を防ぐために、サイバー攻撃の脅威を分析する技術がある。 In recent years, cyber attacks have become increasingly sophisticated, and traditional security equipment alone may not be able to fully prevent them. To prevent cyber attacks, there is technology that analyzes cyber attack threats.

例えば、特許文献1に記載されている技術では、環境およびログが異なる様々な模擬システムで、脅威による攻撃を実行するとともにログをとる。次に、ルール生成装置は、模擬システム毎の、環境の情報、ログの情報および攻撃による影響の情報を比較して、脅威による攻撃が成功する条件および脅威による攻撃による影響を解析する。特許文献1に記載されている技術を用いて、すべての脅威に関して、攻撃が成功する条件を解析しさえすれば、特定の環境について、脅威を分析することが容易になる。 For example, the technology described in Patent Document 1 executes threat attacks in various simulated systems with different environments and logs, and records the logs. The rule generation device then compares the environmental information, log information, and attack impact information for each simulated system to analyze the conditions for a successful threat attack and the impact of the threat attack. By using the technology described in Patent Document 1 to analyze the conditions for a successful attack for all threats, it becomes easy to analyze threats in a specific environment.

国際公開第2020/246011号International Publication No. 2020/246011

ところで、様々な脅威の亜種や、新しい攻撃方法の脅威が、日々作成されており、すべての脅威を認知することは困難である。このため、特許文献1に記載されている技術を用いて、すべての脅威に関して、攻撃が成功する条件を解析することは困難である。従って、特許文献1に記載されている技術を用いて、特定の環境について脅威を分析しても、適切に脅威を検知できない場合がある。 However, various variants of threats and new attack methods are created every day, making it difficult to recognize all threats. For this reason, it is difficult to use the technology described in Patent Document 1 to analyze the conditions for a successful attack for all threats. Therefore, even if the technology described in Patent Document 1 is used to analyze threats in a specific environment, it may not be possible to properly detect the threats.

また、分析対象の環境(対象環境とする)でのログから、脅威の影響を分析する脅威ハンティングが行われている。脅威ハンティングでは、すでに脅威が対象環境に攻撃したと想定して、想定した脅威を特定するハンティングクエリを作成し、対象環境のログをハンティングクエリで検索して脅威の影響を検知し、想定した脅威の影響を分析する。ここで、対象環境のログから、想定した脅威の影響を、誤検知や見逃しなく検知するためには、ハンティングクエリは、想定した脅威の特徴の情報を好適に含む必要がある。このため、想定した脅威の特徴の情報を好適に含むハンティングクエリを作成することを容易にする技術が望まれている。 Threat hunting is also being conducted, in which the impact of threats is analyzed from logs in the environment being analyzed (referred to as the target environment). In threat hunting, a hunting query is created to identify the anticipated threat, assuming that the threat has already attacked the target environment. The hunting query is then used to search the logs of the target environment to detect the impact of the threat, and the impact of the anticipated threat is analyzed. Here, in order to detect the impact of the anticipated threat from the logs of the target environment without false positives or oversights, the hunting query must preferably include information on the characteristics of the anticipated threat. For this reason, there is a demand for technology that makes it easy to create hunting queries that preferably include information on the characteristics of the anticipated threat.

そこで、本発明の目的は、想定した脅威の特徴の情報を好適に含むハンティングクエリを作成することを容易にする、ログ分析クエリ作成支援装置、ログ分析クエリ作成支援方法およびログ分析クエリ作成支援プログラムを提供することを目的とする。 Therefore, an object of the present invention is to provide a log analysis query creation support device, a log analysis query creation support method, and a log analysis query creation support program that make it easy to create hunting queries that preferably include information on the characteristics of anticipated threats.

上記目的を達成するため、本発明のログ分析クエリ作成支援装置の一態様は、対象環境に対する脅威による影響をログから検知するために使用されるハンティングクエリが入力されるログ分析クエリ作成支援装置であって、前記ハンティングクエリで特定できる特定脅威の攻撃の情報に関連性が高いクエリ関連記事の収集のしやすさを表す情報取得容易度を算出する情報取得容易度算出部と、前記ハンティングクエリで特定できる複数の特定脅威それぞれによる前記対象環境への攻撃実行時のそれぞれの実行ログにおける、前記特定脅威の攻撃による影響を、前記ハンティングクエリで前記実行ログを検索して検知する場合に、前記特定脅威の攻撃による影響をどの程度正確に検知できるかを表す正確度を算出するとともに、前記複数の特定脅威それぞれによる前記対象環境への攻撃の実行時のそれぞれの実行ログおける、前記複数の特定脅威の攻撃による影響を、前記ハンティングクエリで前記実行ログを検索して検知する場合に、前記複数の特定脅威に対する検知結果の間で、共通する攻撃の手順を、前記ハンティングクエリでどの程度検知できるかを表す動作共通度を算出する、クエリ脅威影響算出部と、を備える。 To achieve the above objective, one aspect of the log analysis query creation support device of the present invention is a log analysis query creation support device that receives a hunting query used to detect the impact of threats on a target environment from logs, and includes: an information acquisition ease calculation unit that calculates an information acquisition ease that indicates the ease of collecting query-related articles that are highly relevant to information on attacks of a specific threat that can be identified by the hunting query; and a query threat impact calculation unit that calculates an accuracy that indicates how accurately the impact of an attack by a specific threat that can be identified by the hunting query can be detected when the hunting query is used to search the execution logs to detect the impact of the attacks by the specific threats on the target environment, and calculates an operation commonality that indicates the extent to which the hunting query can detect common attack procedures among the detection results for the multiple specific threats when the hunting query is used to search the execution logs to detect the impact of the attacks by the multiple specific threats on the target environment, in the execution logs to detect the impact of the attacks by the multiple specific threats on the target environment.

また、本発明のログ分析クエリ作成支援装置のログ分析クエリ作成支援方法の一態様は、対象環境に対する脅威による影響をログから検知するために使用されるハンティングクエリが入力されるとともにプロセッサを有するログ分析クエリ作成支援装置における前記プロセッサに実行させるログ分析クエリ作成支援方法であって、前記ハンティングクエリとの関連性が高いクエリ関連記事の収集のしやすさを表す情報取得容易度を算出し、前記ハンティングクエリで特定できる複数の特定脅威それぞれによる前記対象環境への攻撃実行時のそれぞれの実行ログにおける、前記特定脅威の攻撃による影響を、前記ハンティングクエリで前記実行ログを検索して検知する場合に、前記特定脅威の攻撃による影響をどの程度正確に検知できるかを表す正確度を算出するとともに、前記複数の特定脅威それぞれによる前記対象環境への攻撃の実行時のそれぞれの実行ログおける、前記複数の特定脅威の攻撃による影響を、前記ハンティングクエリで前記実行ログを検索して検知する場合に、前記複数の特定脅威に対する検知結果の間で、共通する攻撃の手順を、前記ハンティングクエリでどの程度検知できるかを表す動作共通度を算出する。 Another aspect of the log analysis query creation support method of the log analysis query creation support device of the present invention is a log analysis query creation support method that receives a hunting query used to detect the impact of threats on a target environment from logs and causes the processor of the log analysis query creation support device to execute the log analysis query. The method calculates an information acquisition ease indicating the ease of collecting query-related articles that are highly relevant to the hunting query, calculates an accuracy indicating how accurately the impact of attacks by multiple specific threats identified by the hunting query can be detected when the hunting query is used to search the execution logs for each of the specific threats when the hunting query is used to search the execution logs for each of the specific threats when the hunting query is used to search the execution logs for each of the specific threats when the hunting query is used to detect the impact of attacks by the multiple specific threats when the hunting query is used to search the execution logs for each of the specific threats when the hunting query is used to detect the impact of attacks by the multiple specific threats when the hunting query is used to detect the impact of attacks by the multiple specific threats when the hunting query is used to detect the impact of attacks by the multiple specific threats when the hunting query is used to detect the impact of attacks by the multiple specific threats when the hunting query is used to detect the impact of attacks by the multiple specific threats when the hunting query is used to detect the impact of attacks by the multiple specific threats when the hunting query is used to detect the impact of attacks by the multiple specific threats when the hunting query is used to detect the impact of attacks by the multiple specific threats when the hunting query is used to detect the impact of the ...

本発明の代表的な形態によれば、想定した脅威の特徴の情報を好適に含むハンティングクエリを作成することを容易にする。 A representative embodiment of the present invention makes it easy to create hunting queries that preferably include information about the characteristics of anticipated threats.

本明細書において開示される主題の、少なくとも一つの実施の詳細は、添付されている図面と以下の記述の中で述べられる。開示される主題のその他の特徴、態様、効果は、以下の開示、図面、請求項により明らかにされる。 Details of at least one implementation of the subject matter disclosed herein are set forth in the accompanying drawings and the description below. Other features, aspects, and advantages of the disclosed subject matter will become apparent from the following disclosure, drawings, and claims.

ログ分析システムの機能構成図の一例を示す図である。FIG. 1 illustrates an example of a functional configuration diagram of a log analysis system. ログ分析システムのハードウェアおよびソフトウェアの構成図の一例を示す図である。FIG. 1 illustrates an example of a hardware and software configuration diagram of a log analysis system. クエリ管理テーブルのデータ構成の一例を示す図である。FIG. 10 is a diagram illustrating an example of a data configuration of a query management table. 模擬環境テーブルのデータ構成の一例を示す図である。FIG. 10 is a diagram illustrating an example of a data configuration of a simulated environment table. 攻撃情報テーブルのデータ構成の一例を示す図である。FIG. 10 is a diagram illustrating an example of the data configuration of an attack information table. 有効性データのデータ構成の一例を示す図である。FIG. 10 is a diagram illustrating an example of a data configuration of validity data. 分析者端末に表示させる分析画面の一例を示す図である。FIG. 10 is a diagram illustrating an example of an analysis screen displayed on an analyst terminal. 実施例の全体処理を示すフローチャートの一例を示す図である。FIG. 10 is a diagram illustrating an example of a flowchart showing the overall processing of the embodiment. 実施例の情報取得容易度算出処理を示すフローチャートの一例を示す図である。FIG. 10 is a diagram illustrating an example of a flowchart illustrating an information acquisition ease calculation process according to an embodiment. 実施例のクエリ脅威影響算出処理を示すフローチャートの一例を示す図である。FIG. 10 is a diagram illustrating an example of a flowchart illustrating a query threat impact calculation process according to the embodiment. 実施例の手動攻撃実行処理を示すフローチャートの一例を示す図である。FIG. 10 is a diagram illustrating an example of a flowchart showing a manual attack execution process according to an embodiment. 実施例のクエリ有効性算出処理を示すフローチャートの一例を示す図である。FIG. 10 is a diagram illustrating an example of a flowchart illustrating a query effectiveness calculation process according to the embodiment.

以下、図面を参照して本発明の実施の形態を説明する。実施例は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略および簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。特に限定しない限り、各構成要素は単数でも複数でも構わない。 Embodiments of the present invention will be described below with reference to the drawings. The examples are illustrative of the present invention, and have been omitted or simplified as appropriate for clarity of explanation. The present invention can also be implemented in a variety of other forms. Unless otherwise specified, each component may be singular or plural.

図面において示す各構成要素の位置、大きさ、形状、範囲などは、発明の理解を容易にするため、実際の位置、大きさ、形状、範囲などを表していない場合がある。このため、本発明は、必ずしも、図面に開示された位置、大きさ、形状、範囲などに限定されない。 The position, size, shape, range, etc. of each component shown in the drawings may not represent the actual position, size, shape, range, etc. in order to facilitate understanding of the invention. Therefore, the present invention is not necessarily limited to the position, size, shape, range, etc. disclosed in the drawings.

各種情報の例として、「テーブル」、「リスト」、「キュー」等の表現にて説明することがあるが、各種情報はこれら以外のデータ構造で表現されてもよい。例えば、「XXテーブル」、「XXリスト」、「XXキュー」等の各種情報は、「XX情報」としてもよい。識別情報について説明する際に、「識別情報」、「識別子」、「名」、「ID」、「番号」等の表現を用いるが、これらについてはお互いに置換が可能である。 As examples of various types of information, expressions such as "table," "list," and "queue" may be used, but various types of information may also be expressed using other data structures. For example, various types of information such as "XX table," "XX list," and "XX queue" may also be expressed as "XX information." When describing identification information, expressions such as "identification information," "identifier," "name," "ID," and "number" are used, but these are interchangeable.

同一あるいは同様の機能を有する構成要素が複数ある場合には、同一の符号に異なる添字を付して説明する場合がある。また、これらの複数の構成要素を区別する必要がない場合には、添字を省略して説明する場合がある。 When there are multiple components with the same or similar functions, they may be described using the same reference numeral with different subscripts. Also, when there is no need to distinguish between these multiple components, the subscripts may be omitted.

実施例において、プログラムを実行して行う処理について説明する場合がある。ここで、計算機は、プロセッサ(例えばCPU、GPU)によりプログラムを実行し、記憶資源(例えばメモリ)やインターフェースデバイス(例えば通信ポート)等を用いながら、プログラムで定められた処理を行う。そのため、プログラムを実行して行う処理の主体を、プロセッサとしてもよい。同様に、プログラムを実行して行う処理の主体が、プロセッサを有するコントローラ、装置、システム、計算機、ノードであってもよい。プログラムを実行して行う処理の主体は、演算部であれば良く、特定の処理を行う専用回路を含んでいてもよい。ここで、専用回路とは、例えばFPGA(Field Programmable Gate Array)やASIC(Application Specific Integrated Circuit)、CPLD(Complex Programmable Logic Device)等である。 In the embodiments, processing performed by executing a program may be described. Here, a computer executes the program using a processor (e.g., a CPU or GPU) and performs the processing defined in the program using storage resources (e.g., memory) and interface devices (e.g., communication ports). Therefore, the entity performing the processing by executing the program may be the processor. Similarly, the entity performing the processing by executing the program may be a controller, device, system, computer, or node having a processor. The entity performing the processing by executing the program may be any computing unit, and may include a dedicated circuit that performs specific processing. Here, a dedicated circuit is, for example, an FPGA (Field Programmable Gate Array), ASIC (Application Specific Integrated Circuit), or CPLD (Complex Programmable Logic Device).

プログラムは、プログラムソースから不揮発の不揮発性記憶素子を有する記憶装置(以下、不揮発性の記憶装置と称する)を備える計算機にインストールされてもよい。プログラムソースは、例えば、不揮発の記憶装置を備えるプログラム配布サーバまたは不揮発の記憶装置を備える計算機が読み取り可能な不揮発性の記憶メディアであってもよい。プログラムソースがプログラム配布サーバから配布される場合、プログラム配布サーバはプロセッサと配布対象のプログラムを記憶する不揮発の記憶装置を含み、プログラム配布サーバのプロセッサが配布対象のプログラムを記憶装置から読みだして、他の計算機に配布してもよい。また、実施例において、2以上のプログラムが1つのプログラムとして実現されてもよいし、1つのプログラムが2以上のプログラムとして実現されてもよい。 The program may be installed from the program source into a computer equipped with a storage device having a non-volatile memory element (hereinafter referred to as a non-volatile storage device). The program source may be, for example, a non-volatile storage medium readable by a program distribution server equipped with a non-volatile storage device or a computer equipped with a non-volatile storage device. When the program source is distributed from a program distribution server, the program distribution server may include a processor and a non-volatile storage device that stores the program to be distributed, and the processor of the program distribution server may read the program to be distributed from the storage device and distribute it to other computers. Furthermore, in the embodiments, two or more programs may be realized as one program, or one program may be realized as two or more programs.

実施例のログ分析システム1は、脅威ハンティングの手法で、ハンティングクエリを用いて、分析対象とする分析対象環境のログを分析するシステムである。ログ分析クエリ作成支援装置100は、ハンティングクエリが入力されると、ハンティングクエリの有効性を評価して、評価結果を分析者等のユーザに提示する。 The log analysis system 1 of the embodiment is a system that uses a threat hunting technique to analyze logs in an analysis target environment using a hunting query. When a hunting query is input, the log analysis query creation support device 100 evaluates the effectiveness of the hunting query and presents the evaluation results to a user such as an analyst.

<<ログ分析システム1のシステム構成、図1~図2>>
図1は、ログ分析システム1の機能構成図の一例を示す図である。図1に示すように、ログ分析システム1は、ログ分析クエリ作成支援装置100と、分析者端末200と、対象模擬環境装置300a~300nと、ログ管理装置400と、ネットワークNW1とを備えている。また、ネットワークNW1は、ネットワークNW2に接続されている。ネットワークNW2は、分析対象装置500a~500nと、データ共有装置600a~600nに接続されている。
<<System configuration of log analysis system 1, Figures 1 and 2>>
Fig. 1 is a diagram showing an example of a functional configuration diagram of a log analysis system 1. As shown in Fig. 1, the log analysis system 1 includes a log analysis query creation support device 100, an analyst terminal 200, target simulation environment devices 300a to 300n, a log management device 400, and a network NW1. The network NW1 is also connected to a network NW2. The network NW2 is connected to analysis target devices 500a to 500n and data sharing devices 600a to 600n.

ログ分析クエリ作成支援装置100は、分析対象環境510a~510nの分析対象装置500a~500nのログを、脅威ハンティングの手法で分析するためのハンティングクエリが入力され、入力されたハンティングクエリの有効性を算出し、出力する装置である。分析対象装置500a~500nの分析対象環境510a~510nは、例えば、顧客組織のユーザ端末を有する環境や、Web環境であり、本発明はこれらの分析対象環境510a~510nの種別に限定されない。 The log analysis query creation support device 100 is a device that receives a hunting query for analyzing logs of analysis target devices 500a-500n in analysis target environments 510a-510n using threat hunting techniques, calculates the effectiveness of the input hunting query, and outputs the result. The analysis target environments 510a-510n of the analysis target devices 500a-500n are, for example, environments with user terminals of client organizations or web environments, but the present invention is not limited to the types of these analysis target environments 510a-510n.

分析者端末200は、ハンティングクエリを用いる脅威ハンティングの分析者等のユーザが使用する端末であり、分析者等のユーザからハンティングクエリ等が入力され、入力されたハンティングクエリ等の情報をログ分析クエリ作成支援装置100に送信する。 The analyst terminal 200 is a terminal used by a user such as an analyst of threat hunting that uses hunting queries. The analyst or other user inputs hunting queries, etc., and transmits information about the input hunting queries, etc., to the log analysis query creation support device 100.

対象模擬環境装置300a~300nは、分析対象装置500a~500nの分析対象環境510a~510nを模擬した、対象模擬環境310a~310nが設定された装置である。対象模擬環境310a~310nは、物理環境や仮想環境といった環境の種別に限定されない。対象模擬環境310a~310nは、仮想環境のスナップショットなどで分析対象装置500a~500nの分析対象環境510a~510nを完全に模擬することが望ましいが、分析対象環境510a~510nと同一のOSやアプリケーションを導入した環境などの類似の環境が設定されてもよい。 The target simulated environment devices 300a-300n are devices configured with target simulated environments 310a-310n that simulate the analysis target environments 510a-510n of the analysis target devices 500a-500n. The target simulated environments 310a-310n are not limited to types of environments such as physical environments or virtual environments. It is desirable for the target simulated environments 310a-310n to completely simulate the analysis target environments 510a-510n of the analysis target devices 500a-500n using snapshots of the virtual environment, etc., but a similar environment may also be configured, such as an environment in which the same OS and applications as the analysis target environments 510a-510n are installed.

ログ管理装置400は、対象模擬環境装置300a~300nおよび分析対象装置500a~500nのログを保存するログテーブル410を格納する装置である。ログ管理装置400は、顧客環境中やクラウド環境や、分析者環境といった環境で作成された未加工のログを受信し、受信したログをログテーブル410に格納する。ログ管理装置400は、アクセスしたログ分析クエリ作成支援装置100等の装置に、ログテーブル410に格納されたログを送信することができる。 The log management device 400 stores a log table 410 that saves logs from the target simulated environment devices 300a-300n and the analysis target devices 500a-500n. The log management device 400 receives raw logs created in environments such as a customer environment, a cloud environment, or an analyst environment, and stores the received logs in the log table 410. The log management device 400 can send the logs stored in the log table 410 to devices such as the log analysis query creation support device 100 that it accesses.

分析対象装置500a~500nは、分析対象の装置である。分析対象装置500a~500nは、分析対象環境510a~510nに設定されている。データ共有装置600a~600nは、脅威の攻撃の実行手順の情報を格納する装置である。 The analysis target devices 500a-500n are devices to be analyzed. The analysis target devices 500a-500n are set in the analysis target environments 510a-510n. The data sharing devices 600a-600n are devices that store information on the execution procedures of threat attacks.

対象模擬環境装置300a~300nの数、対象模擬環境310a~310nの数、分析対象装置500a~500nの数、分析対象環境510a~510nの数、データ共有装置600a~600nの数は、1つ以上であればよく、数に制限はない。 There is no limit to the number of target simulated environment devices 300a-300n, target simulated environments 310a-310n, analysis target devices 500a-500n, analysis target environments 510a-510n, and data sharing devices 600a-600n, as long as they are one or more.

ネットワークNW1は、構内ネットワーク(LAN:Local Area Network)である。また、ネットワークNW2は、インターネットである。ネットワークNW1、NW2は、ネットワークであればよく、例えば、インターネットでもよく、構内ネットワークでもよく、有線のネットワークでもよいし、無線のネットワークでもよい。 Network NW1 is a local area network (LAN). Network NW2 is the Internet. Networks NW1 and NW2 may be any network, such as the Internet, a local area network, a wired network, or a wireless network.

図2は、ログ分析システム1のハードウェアおよびソフトウェアの構成図の一例を示す図である。 Figure 2 shows an example of the hardware and software configuration of the log analysis system 1.

ログ分析クエリ作成支援装置100は、図1に示されるように、機能構成として、処理実行部111と、情報取得容易度算出部112と、クエリ脅威影響算出部113と、クエリ有効性算出部114と、ログ分析実行部115と、を有する。また、図2に示すようにログ分析クエリ作成支援装置100は、ハードウェア構成として、プロセッサ101、主記憶装置102、副記憶装置103、NWIF104、入出力装置105、これらを接続するバス106等を有している。ログ分析クエリ作成支援装置100は、一般的なサーバ装置や、パーソナルコンピュータや、携帯端末などの情報処理装置で実現することができる。 As shown in FIG. 1, the log analysis query creation support device 100 has, as its functional configuration, a processing execution unit 111, an information acquisition ease calculation unit 112, a query threat impact calculation unit 113, a query effectiveness calculation unit 114, and a log analysis execution unit 115. As shown in FIG. 2, the log analysis query creation support device 100 also has, as its hardware configuration, a processor 101, a main memory device 102, a secondary memory device 103, an NWIF 104, an input/output device 105, and a bus 106 connecting these. The log analysis query creation support device 100 can be implemented using an information processing device such as a general server device, personal computer, or mobile terminal.

プロセッサ101は、ログ分析クエリ作成支援装置100の各部を制御し、副記憶装置103に記憶されたデータやプログラムを主記憶装置102に読み出して、プログラムによって定められた処理を実行する。処理実行部111は、副記憶装置103に記憶されている処理実行プログラム111aを、プロセッサ101が主記憶装置102に読み出して実行することにより実現される。同様に、情報取得容易度算出部112、クエリ脅威影響算出部113、クエリ有効性算出部114、ログ分析実行部115は、副記憶装置103に記憶されている情報取得容易度算出プログラム112a、クエリ脅威影響算出プログラム113a、クエリ有効性算出プログラム114a、ログ分析実行プログラム115aをプロセッサ101が、主記憶装置102に読み出して実行することにより実現される。本明細書では、処理実行部111、情報取得容易度算出部112、クエリ脅威影響算出部113、クエリ有効性算出部114、ログ分析実行部115を主語とする文で処理を説明する場合、ログ分析クエリ作成支援装置100のプロセッサ101が当該機能部を実現する処理実行プログラム111a、情報取得容易度算出プログラム112a、クエリ脅威影響算出プログラム113a、クエリ有効性算出プログラム114a、ログ分析実行プログラム115aを実行していることを示す。 The processor 101 controls each component of the log analysis query creation support device 100, reads data and programs stored in the secondary storage device 103 into the main storage device 102, and executes the processing defined by the program. The processing execution unit 111 is realized by the processor 101 reading the processing execution program 111a stored in the secondary storage device 103 into the main storage device 102 and executing it. Similarly, the information acquisition ease calculation unit 112, the query threat impact calculation unit 113, the query validity calculation unit 114, and the log analysis execution unit 115 are realized by the processor 101 reading the information acquisition ease calculation program 112a, the query threat impact calculation program 113a, the query validity calculation program 114a, and the log analysis execution program 115a stored in the secondary storage device 103 into the main storage device 102 and executing them. In this specification, when processing is described using a sentence with the processing execution unit 111, information acquisition ease calculation unit 112, query threat impact calculation unit 113, query validity calculation unit 114, or log analysis execution unit 115 as the subject, this indicates that the processor 101 of the log analysis query creation support device 100 is executing the processing execution program 111a, information acquisition ease calculation program 112a, query threat impact calculation program 113a, query validity calculation program 114a, and log analysis execution program 115a that realize the relevant functional units.

また、これら、処理実行プログラム111a、情報取得容易度算出プログラム112a、クエリ脅威影響算出プログラム113a、クエリ有効性算出プログラム114a、ログ分析実行プログラム115aを1組にまとめたプログラムをログ分析クエリ作成支援プログラムとする。 Furthermore, a program that combines the processing execution program 111a, information acquisition ease calculation program 112a, query threat impact calculation program 113a, query validity calculation program 114a, and log analysis execution program 115a into one set is referred to as a log analysis query creation support program.

主記憶装置102は、RAMなどであり、揮発性記憶素子を有し、プロセッサ101が実行するプログラムや、データを記憶する。 The main memory device 102 is a RAM or similar device that has volatile memory elements and stores programs and data executed by the processor 101.

副記憶装置103は、HDD(Hard Disk Drive)やSSD(Solid State Drive)などであり、不揮発性記憶素子を有し、プログラムやデータ等を記憶する装置である。副記憶装置103は、処理実行プログラム111a、情報取得容易度算出プログラム112a、クエリ脅威影響算出プログラム113a、クエリ有効性算出プログラム114a、ログ分析実行プログラム115a、クエリ管理テーブル121、模擬環境テーブル122、攻撃情報テーブル123および有効性テーブル124を格納している。 The secondary storage device 103 is a device such as an HDD (Hard Disk Drive) or SSD (Solid State Drive) that has non-volatile storage elements and stores programs, data, etc. The secondary storage device 103 stores a processing execution program 111a, an information acquisition ease calculation program 112a, a query threat impact calculation program 113a, a query effectiveness calculation program 114a, a log analysis execution program 115a, a query management table 121, a simulated environment table 122, an attack information table 123, and an effectiveness table 124.

クエリ管理テーブル121は、詳細は図3を用いて後述するが、ハンティングクエリに関する情報を保存している。模擬環境テーブル122は、詳細は図4を用いて後述するが、対象模擬環境装置300a~300nそれぞれの対象模擬環境310a~310nに関する情報を保存している。攻撃情報テーブル123は、詳細は図5を用いて後述するが、ハンティングクエリで特定できる脅威(本明細書では、特定脅威と称する)の攻撃の実行に関する情報を保存している。有効性テーブル124は、詳細は図6を用いて後述するが、ハンティングクエリの有効性を評価する方法に関する情報を保存している。 The query management table 121, details of which will be described later using FIG. 3, stores information about hunting queries. The simulated environment table 122, details of which will be described later using FIG. 4, stores information about the target simulated environments 310a-310n of the target simulated environment devices 300a-300n, respectively. The attack information table 123, details of which will be described later using FIG. 5, stores information about the execution of attacks on threats that can be identified by hunting queries (referred to as specific threats in this specification). The effectiveness table 124, details of which will be described later using FIG. 6, stores information about methods for evaluating the effectiveness of hunting queries.

また、副記憶装置103には、処理実行プログラム111a、情報取得容易度算出プログラム112a、クエリ脅威影響算出プログラム113a、クエリ有効性算出プログラム114a、ログ分析実行プログラム115aがインストールされている。 In addition, the secondary storage device 103 is installed with a processing execution program 111a, an information acquisition ease calculation program 112a, a query threat impact calculation program 113a, a query effectiveness calculation program 114a, and a log analysis execution program 115a.

NWIF104は、ネットワークNW1に接続されており、分析者端末200と、対象模擬環境装置300a~300nと、ログ管理装置400と、分析対象装置500a~500nと、データ共有装置600a~600nと、ネットワークNW1、NW2を介してデータを送受信可能なインターフェースである。ログ分析クエリ作成支援装置100は、NWIF124を用いて、分析者端末200と、対象模擬環境装置300a~300nと、ログ管理装置400と、分析対象装置500a~500nと、データ共有装置600a~600nと、ネットワークNW1、NW2を介してデータの送受信を行うことができる。 The NWIF 104 is connected to the network NW1 and is an interface capable of transmitting and receiving data via the networks NW1 and NW2 between the analyst terminal 200, the target simulated environment devices 300a-300n, the log management device 400, the analysis target devices 500a-500n, and the data sharing devices 600a-600n. The log analysis query creation support device 100 uses the NWIF 124 to transmit and receive data via the networks NW1 and NW2 between the analyst terminal 200, the target simulated environment devices 300a-300n, the log management device 400, the analysis target devices 500a-500n, and the data sharing devices 600a-600n.

入出力装置105は、キーボードやマウスなど分析者などのユーザが操作を受け付ける入力装置やタッチパネルやディスプレイやスピーカなど情報を出力する出力装置を含む。ログ分析クエリ作成支援装置100は、入力装置を用いて分析者などのユーザの操作により入力された情報を取得でき、また、出力装置を用いて、例えば画面への表示により情報を分析者などのユーザに情報を提示できる。 The input/output device 105 includes input devices such as a keyboard and mouse that accept operations from users such as analysts, and output devices such as a touch panel, display, and speaker that output information. The log analysis query creation support device 100 can use the input device to acquire information entered by operations by users such as analysts, and can use the output device to present information to users such as analysts by, for example, displaying it on a screen.

分析者端末200と、対象模擬環境装置300a~300nと、ログ管理装置400と、分析対象装置500a~500nと、データ共有装置600a~600nは、ログ分析クエリ作成支援装置100と同様のハードウェア資源を使用することで構成できる。なお、ログ管理装置400は、ログ管理装置400の副記憶装置にログテーブル410を格納している。 The analyst terminal 200, target simulated environment devices 300a-300n, log management device 400, analysis target devices 500a-500n, and data sharing devices 600a-600n can be configured using the same hardware resources as the log analysis query creation support device 100. The log management device 400 stores a log table 410 in its secondary storage device.

分析者等のユーザが入力情報(図7の例では、入力欄710の、脅威カテゴリ、脅威種別、対象環境、ハンティングクエリ)を入力し、ログ分析クエリ作成支援装置100が入力情報を取得すると、処理実行部111は、ハンティングクエリの有効性を算出する全体処理(図8参照)を実行する。全体処理は、情報取得容易度算出処理、クエリ脅威影響算出処理、クエリ有効性算出処理などを実行する、全体的な処理である。 When a user such as an analyst inputs input information (in the example of Figure 7, the threat category, threat type, target environment, and hunting query in input field 710) and the log analysis query creation support device 100 acquires the input information, the processing execution unit 111 executes an overall process (see Figure 8) for calculating the effectiveness of the hunting query. The overall process is an overall process that executes an information acquisition ease calculation process, a query threat impact calculation process, a query effectiveness calculation process, etc.

情報取得容易度算出部112は、入力されたハンティングクエリの情報取得容易度を算出する情報取得容易度算出処理(図9参照)を実行する。 The information acquisition ease calculation unit 112 executes an information acquisition ease calculation process (see Figure 9) to calculate the information acquisition ease of the input hunting query.

情報取得容易度は、ハンティングクエリの特定脅威の攻撃の情報に関連性が高いクエリ関連記事の収集のしやすさを表す。 Ease of information acquisition indicates the ease of collecting query-related articles that are highly relevant to information on attacks related to the specific threat in the hunting query.

クエリ脅威影響算出部113は、クエリ脅威影響算出処理(図10~図11参照)を実行する。クエリ脅威影響算出処理では、ハンティングクエリで特定できる複数の脅威(本明細書では、特定脅威と称する)の攻撃を、対象模擬環境装置300a~300nの対象模擬環境310a~310nに対して実行して、動作共通度、環境選択、正確度を算出する。 The query threat impact calculation unit 113 executes the query threat impact calculation process (see Figures 10 and 11). In the query threat impact calculation process, attacks by multiple threats (referred to as specific threats in this specification) that can be identified by a hunting query are executed against the target simulated environments 310a to 310n of the target simulated environment devices 300a to 300n, and the behavior commonality, environment selection, and accuracy are calculated.

動作共通度は、複数の特定脅威それぞれによる対象環境への攻撃の実行時のそれぞれの実行ログおける、複数の特定脅威の攻撃による影響を、ハンティングクエリで実行ログを検索して検知する場合に、複数の特定脅威に対する検知結果の間で、共通する攻撃の手順を、ハンティングクエリでどの程度検知できるかを表す。 Operation commonality indicates the degree to which a hunting query can detect common attack steps among the detection results for multiple specific threats when the impact of attacks by multiple specific threats is detected by searching the execution logs of each specific threat when they are executed against the target environment.

環境選択度は、複数の特定脅威による対象環境への攻撃の実行時の実行ログそれぞれにおける、複数の特定脅威の攻撃による影響を、ハンティングクエリで検知する場合に、脅威を検知できる、攻撃対象の対象環境の種類が、どの程度多いかを表す。 Environment selectivity indicates how many different types of target environments can be targeted by an attack and detect threats when a hunting query detects the impact of attacks by multiple specific threats in each execution log when attacks on a target environment are carried out by multiple specific threats.

正確度は、ハンティングクエリで特定できる複数の特定脅威それぞれによる対象環境への攻撃実行時のそれぞれの実行ログにおける、特定脅威の攻撃による影響を、ハンティングクエリで実行ログを検索して検知する場合に、特定脅威の攻撃による影響をどの程度正確に検知できるかを表す。 Accuracy represents how accurately the impact of a specific threat attack can be detected when searching the execution logs with a hunting query to detect the impact of each specific threat attack on the target environment.

クエリ有効性算出部114は、情報取得容易度、動作共通度、環境選択、正確度に基づいて、ハンティングクエリの有効性を算出するクエリ有効性算出処理(図12参照)を実行する。 The query effectiveness calculation unit 114 executes a query effectiveness calculation process (see Figure 12) that calculates the effectiveness of a hunting query based on the ease of information acquisition, commonality of operations, environment selection, and accuracy.

ログ分析実行部115は、ログ管理装置400にアクセスして、分析対象装置500a~500nのログを取得し、取得したログを、ハンティングクエリで検索して、取得したログから、脅威の影響を検知する。 The log analysis execution unit 115 accesses the log management device 400, acquires logs from the analysis target devices 500a-500n, searches the acquired logs using a hunting query, and detects the impact of threats from the acquired logs.

<<ログ分析システム1のデータ構成、図3~図6>>
次に、図3から図6を用いてログ分析システム1で使用される各種データのデータ構成について説明する。なお、図3~図6および以下で説明する、クエリ管理テーブル121、模擬環境テーブル122、攻撃情報テーブル123、有効性テーブル124のフィールドの構成は例であり、適宜変更できる。
<<Data Structure of Log Analysis System 1, FIGS. 3 to 6>>
Next, the data configurations of various data used in the log analysis system 1 will be described with reference to Figures 3 to 6. Note that the field configurations of the query management table 121, simulated environment table 122, attack information table 123, and validity table 124 shown in Figures 3 to 6 and described below are examples and can be changed as appropriate.

図3は、クエリ管理テーブル121のデータ構成の一例を示す図である。クエリ管理テーブル121は、ハンティングクエリに関する情報を格納している。クエリ管理テーブル121は、クエリID301と、脅威カテゴリ302と、種別303と、ハンティングクエリ304と、対象環境305と、関連情報取得容易度306と、動作共通度307と、環境選択度308と、正確度309と、実行有無310と、実行結果ヒット数311と、をフィールドとするレコードを格納している。 Figure 3 shows an example of the data configuration of the query management table 121. The query management table 121 stores information about hunting queries. The query management table 121 stores records whose fields are a query ID 301, a threat category 302, a type 303, a hunting query 304, a target environment 305, an ease of related information acquisition 306, an operation commonality 307, an environment selectivity 308, an accuracy 309, whether or not execution was performed 310, and the number of execution result hits 311.

クエリID301は、クエリの種類を一意に識別するために割り当てた識別子を格納するフィールドである。クエリID301は、例として数字が割り当てられている。 Query ID 301 is a field that stores an identifier assigned to uniquely identify the type of query. For example, a number is assigned to query ID 301.

脅威カテゴリ302は、詳細は後述するが、分析者等のユーザが入力する入力情報に含まれる脅威のカテゴリの情報を格納するフィールドである。脅威カテゴリ302には、例えば、マルウェア名や、攻撃者名などが保存されている。 Threat category 302, which will be described in more detail below, is a field that stores information about the threat category included in the input information entered by a user such as an analyst. Threat category 302 stores, for example, the name of the malware or the name of the attacker.

種別303は、詳細は後述するが、分析者等のユーザが入力する入力情報に含まれる脅威の種別を格納するフィールドである。種別303には、例えば、脅威カテゴリ302のマルウェアのファミリー名や、攻撃者名などが保存されている。 Type 303, which will be described in more detail below, is a field that stores the type of threat contained in the input information entered by a user such as an analyst. Type 303 stores, for example, the family name of malware in threat category 302 or the name of the attacker.

ハンティングクエリ304は、詳細は後述するが、分析者等のユーザが入力する入力情報に含まれるハンティングクエリを格納するフィールドである。ここで、ハンティングクエリは、分析者等のユーザは、有効性を検証するために入力されたハンティングクエリである。 Hunting query 304, which will be described in more detail below, is a field that stores a hunting query included in the input information entered by a user such as an analyst. Here, the hunting query is a hunting query entered by a user such as an analyst to verify its validity.

対象環境305は、詳細は後述するが、分析者等のユーザが入力する入力情報に含まれる、ハンティングクエリで特定できる脅威の攻撃を検証する環境の情報を格納するフィールドである。 Target environment 305, which will be described in detail later, is a field that stores information about the environment in which threat attacks that can be identified by hunting queries are verified, which is included in the input information entered by users such as analysts.

関連情報取得容易度306は、ハンティングクエリに対する、後述する関連情報取得容易度を格納するフィールドである。動作共通度307は、ハンティングクエリに対する、後述する動作共通度を格納するフィールドである。環境選択度308は、ハンティングクエリに対する、後述する動作共通度を格納するフィールドである。正確度309は、ハンティングクエリに対する、後述する正確度を格納するフィールドである。 Related information acquisition ease 306 is a field that stores the related information acquisition ease for a hunting query, which will be described later. Operation commonality 307 is a field that stores the operation commonality for a hunting query, which will be described later. Environment selectivity 308 is a field that stores the operation commonality for a hunting query, which will be described later. Accuracy 309 is a field that stores the accuracy for a hunting query, which will be described later.

実行有無310は、ハンティングクエリで検査対象の対象環境を検査したか否かを表す数値を格納するフィールドである。ハンティングクエリで検査対象の対象環境を検査した場合には、実行有無310に1が保存されている。一方、ハンティングクエリで検査対象の対象環境を検査していない場合には、実行有無310に0が保存されている。 Execution Status 310 is a field that stores a numerical value indicating whether the target environment of the inspection target was inspected using a hunting query. If the target environment of the inspection target was inspected using a hunting query, a 1 is stored in Execution Status 310. On the other hand, if the target environment of the inspection target was not inspected using a hunting query, a 0 is stored in Execution Status 310.

実行結果ヒット数311は、ハンティングクエリで検査対象の対象環境を検査した際に、検知した脅威の数が保存されている。 The execution result hit count 311 stores the number of threats detected when the target environment was inspected using the hunting query.

図4は、模擬環境テーブル122のデータ構成の一例を示す図である。模擬環境テーブル122は、対象模擬環境装置300a~300nそれぞれの対象模擬環境に関する情報を保存している。模擬環境テーブル122は、環境ID401と、模擬環境名402と、攻撃環境属性403と、OS404と、導入アプリケーション405と、環境設置場所406と、をフィールドとするレコードを格納している。なお、レコードは、これらすべてのフィールドの情報を含まなくてもよく、一部のフィールドの情報を含まなくてもよい。 Figure 4 shows an example of the data structure of the simulated environment table 122. The simulated environment table 122 stores information about the target simulated environment of each of the target simulated environment devices 300a to 300n. The simulated environment table 122 stores records with the following fields: environment ID 401, simulated environment name 402, attack environment attribute 403, OS 404, introduced application 405, and environment installation location 406. Note that a record does not need to include information for all of these fields, or may not include information for some of the fields.

環境ID401は、対象模擬環境装置300a~300nの対象模擬環境310a~310nを一意に識別するために割り当てた識別子を格納するフィールドである。環境ID401は、例として数字が割り当てられている。 The environment ID 401 is a field that stores an identifier assigned to uniquely identify the target simulated environments 310a to 310n of the target simulated environment devices 300a to 300n. For example, a number is assigned to the environment ID 401.

模擬環境名402は、分析者等のユーザが容易に理解できるように、管理する対象模擬環境装置300a~300nの対象模擬環境310a~310nの名称を格納するフィールドである。 The simulated environment name 402 is a field that stores the name of the target simulated environment 310a-310n of the target simulated environment device 300a-300n being managed, so that it can be easily understood by users such as analysts.

攻撃環境属性403は、対象模擬環境装置300a~300nの対象模擬環境310a~310nの属性を格納するフィールドである。 Attack environment attributes 403 are fields that store the attributes of the target simulated environments 310a-310n of the target simulated environment devices 300a-300n.

対象環境404は、対象模擬環境装置300a~300nの対象模擬環境310a~310nのOSの情報を格納するフィールドである。攻撃者やマルウェア等の脅威の攻撃による被害の状況は、脅威の攻撃の実行環境のOSによって変わるため、OSの情報を確認できるように対象環境404のフィールドが設定されている。 Target environment 404 is a field that stores information about the OS of the target simulated environments 310a-310n of the target simulated environment devices 300a-300n. The extent of damage caused by threat attacks, such as attacks by attackers or malware, varies depending on the OS in the execution environment of the threat attack, so the target environment 404 field is set so that OS information can be confirmed.

導入アプリケーション405は、対象模擬環境装置300a~300nの対象模擬環境300a~300nに導入されているアプリケーションを格納するフィールドである。攻撃者やマルウェア等の脅威の攻撃による被害が、被害を受ける環境に導入されているアプリケーションによって被害の状況が変わるため、導入アプリケーション405のフィールドが設定されている。 Installed applications 405 is a field that stores applications installed in the target simulated environments 300a-300n of the target simulated environment devices 300a-300n. The installed applications 405 field is set because the extent of damage caused by attacks by threats such as attackers or malware varies depending on the applications installed in the affected environment.

環境設置場所406は、脅威の攻撃実行のために、対象模擬環境装置300a~300nの設置場所(例えばURLやIPアドレス)を格納するフィールドである。 Environment installation location 406 is a field that stores the installation location (e.g., URL or IP address) of the target simulated environment device 300a-300n for executing a threat attack.

図5は、攻撃情報テーブル123のデータ構成の一例を示す図である。攻撃情報テーブル123は、ハンティングクエリで特定できる特定脅威の攻撃の実行に関する情報を保存している。攻撃情報テーブル123は、攻撃ID501と、クエリID502と、攻撃名503と、攻撃情報源504と、環境ID505と、攻撃開始時間506と、攻撃終了時間507と、をフィールドとするレコードを格納している。 Figure 5 shows an example of the data configuration of the attack information table 123. The attack information table 123 stores information about the execution of attacks of specific threats that can be identified by hunting queries. The attack information table 123 stores records with the following fields: attack ID 501, query ID 502, attack name 503, attack information source 504, environment ID 505, attack start time 506, and attack end time 507.

攻撃ID501は、実行した脅威の攻撃の種類を一意に識別するために割り当てた識別子を格納するフィールドである。攻撃ID501は、例として数字が割り当てられている。 Attack ID 501 is a field that stores an identifier assigned to uniquely identify the type of threat attack that was carried out. Attack ID 501 is assigned a number, for example.

クエリID502は、レコードに対応するクエリ管理テーブル121のクエリID301の識別子を格納するフィールドである。 Query ID 502 is a field that stores the identifier of the query ID 301 in the query management table 121 corresponding to the record.

攻撃名503は、ユーザの理解を容易にするため、攻撃を実行した脅威の名称を格納するフィールドである。 Attack name 503 is a field that stores the name of the threat that carried out the attack, to make it easier for users to understand.

攻撃情報源504は、脅威の攻撃の実行の手順の情報を取得した場所の情報を格納するフィールドである。 Attack information source 504 is a field that stores information about the location where information on the execution procedures of a threat attack was obtained.

環境ID505は、対応する模擬環境テーブル122の環境ID401の識別子を格納するフィールドである。 Environment ID 505 is a field that stores the identifier of the environment ID 401 of the corresponding simulated environment table 122.

攻撃開始時間506は、実行ログ検索時のフィルタに活用する目的で、脅威の攻撃の開始時刻に関わる情報を格納するフィールドである。攻撃終了時間507は、実行ログ検索時のフィルタに活用する目的で、脅威の攻撃の終了時刻に関わる情報を格納するフィールドである。 Attack start time 506 is a field that stores information related to the start time of a threat attack, for use in filters when searching execution logs. Attack end time 507 is a field that stores information related to the end time of a threat attack, for use in filters when searching execution logs.

図6は、有効性テーブル124のデータ構成の一例を示す図である。有効性テーブル124は、ハンティングクエリの有効性の算出方法に関する情報を保存している。有効性テーブル124は、脅威カテゴリ601と、脅威種別602と、有効度計算式603と、有効性閾値604と、をフィールドとするレコードを格納している。 Figure 6 shows an example of the data structure of the validity table 124. The validity table 124 stores information related to the method for calculating the validity of a hunting query. The validity table 124 stores records with the following fields: threat category 601, threat type 602, validity calculation formula 603, and validity threshold 604.

脅威カテゴリ601は、クエリ管理テーブル121の脅威カテゴリ302と同様の脅威のカテゴリの情報を格納するフィールドであり、脅威カテゴリ601と一致する脅威カテゴリ302を含むレコードに対し、後述する有効度計算式603や有効性閾値604を適用する。 Threat category 601 is a field that stores information about a threat category similar to threat category 302 in query management table 121, and the effectiveness calculation formula 603 and effectiveness threshold 604 described below are applied to records that contain a threat category 302 that matches threat category 601.

脅威種別602は、クエリ管理テーブル121の種別303と同様の脅威の種別の情報を格納するフィールドであり、脅威種別602と一致する種別303を含むレコードに対し、ログ分析クエリ作成支援装置100は、後述する有効性判定の有効度計算式603や有効性閾値604を適用して、有効性を算出する。 Threat type 602 is a field that stores information about the type of threat, similar to type 303 in query management table 121. For records that include type 303 that matches threat type 602, the log analysis query creation support device 100 calculates the effectiveness by applying the effectiveness determination effectiveness calculation formula 603 and effectiveness threshold 604, which will be described later.

有効度計算式603は、有効性を判定するための計算式を格納するフィールドである。図6には、例として情報取得容易度と、動作共通度と、環境選択度と、正確度との平均値を有効度として算出する計算式を示したが、有効度計算式603はこの計算式以外でもよい。 Effectiveness calculation formula 603 is a field that stores a calculation formula for determining effectiveness. Figure 6 shows an example of a calculation formula that calculates the effectiveness as the average value of the ease of information acquisition, the commonality of actions, the environmental selectivity, and the accuracy, but the effectiveness calculation formula 603 may be a formula other than this.

有効性閾値604は、有効度計算式603で算出した有効度に対し、有効とするか否かの閾値を格納するフィールドである。 The validity threshold 604 is a field that stores the threshold for determining whether the validity calculated by the validity calculation formula 603 is valid.

<<ログ分析クエリ作成支援装置100の処理手順、図7~図12>>
次に、ログ分析クエリ作成支援装置100の処理手順について説明する。分析者は、分析者端末200を操作して、分析者端末200に、ログ分析クエリ作成支援装置100にアクセスさせる。ログ分析クエリ作成支援装置100は、分析者端末200からアクセスされると、分析画面の情報である分析画面情報を分析者端末200に送信する。分析画面情報は、分析画面の構成の情報と、分析者端末200に分析画面を表示させる旨の情報と、を含む。以下に説明するように、分析画面は、脅威カテゴリ、脅威種別、対象環境、ハンティングクエリを含む入力情報の入力と、入力された入力情報をログ分析クエリ作成支援装置100に送信する旨の入力と、を受け付けることができるように構成されている。
<<Processing Procedure of the Log Analysis Query Creation Support Device 100, FIGS. 7 to 12>>
Next, the processing procedure of the log analysis query creation support device 100 will be described. The analyst operates the analyst terminal 200 to cause the analyst terminal 200 to access the log analysis query creation support device 100. When accessed from the analyst terminal 200, the log analysis query creation support device 100 transmits analysis screen information, which is information about an analysis screen, to the analyst terminal 200. The analysis screen information includes information about the configuration of the analysis screen and information indicating that the analysis screen is to be displayed on the analyst terminal 200. As will be described below, the analysis screen is configured to be able to accept input of input information including a threat category, a threat type, a target environment, and a hunting query, and an input indicating that the input information is to be sent to the log analysis query creation support device 100.

図7は、分析者端末200に表示される分析画面の一例を示す説明図である。図7に示す分析画面700は、入力欄710と、出力欄720と、クエリ実行ボタン730を備えている。入力欄710は、分析者が入力する欄である。入力欄710は、脅威カテゴリ入力欄711と、種別入力欄712と、対象環境入力欄713と、ハンティングクエリ入力欄714と、検証ボタン715と、を備えている。 Figure 7 is an explanatory diagram showing an example of an analysis screen displayed on the analyst terminal 200. The analysis screen 700 shown in Figure 7 includes an input field 710, an output field 720, and an execute query button 730. The input field 710 is a field where the analyst enters information. The input field 710 includes a threat category input field 711, a type input field 712, a target environment input field 713, a hunting query input field 714, and a verify button 715.

脅威カテゴリ入力欄711は、マルウェアや攻撃者といった対象とする脅威カテゴリを入力する欄である。種別入力欄712は、マルウェア種別のEmotetや攻撃者種別のAPT3といった脅威カテゴリよりも詳細な、ハンティングクエリに関する特定脅威の種別名を入力する欄である。対象環境入力欄713は、分析対象の対象環境を入力する欄である。ハンティングクエリ入力欄714は、ハンティングクエリを入力する欄である。検証ボタン715は、押されると、脅威カテゴリ入力欄711に入力された脅威カテゴリの情報と、種別入力欄712に入力された種別名と、対象環境入力欄713に入力された対象環境の情報と、ハンティングクエリ入力欄714に入力されたハンティングクエリと、を含む入力情報が、分析者端末200からログ分析クエリ作成支援装置100に送信されるようになっている。ログ分析クエリ作成支援装置100は、以下に説明する全体処理を実行して、入力情報に基づいて、ハンティングクエリ入力欄714に入力されたハンティングクエリの有効性を算出し、算出結果を出力欄720に表示するようになっている。 The threat category input field 711 is a field for entering the target threat category, such as malware or attacker. The type input field 712 is a field for entering the type name of a specific threat related to the hunting query, which is more detailed than threat categories such as Emotet for malware types or APT3 for attacker types. The target environment input field 713 is a field for entering the target environment to be analyzed. The hunting query input field 714 is a field for entering the hunting query. When the verify button 715 is pressed, input information including the threat category information entered in the threat category input field 711, the type name entered in the type input field 712, the target environment information entered in the target environment input field 713, and the hunting query entered in the hunting query input field 714 is sent from the analyst terminal 200 to the log analysis query creation support device 100. The log analysis query creation support device 100 executes the overall processing described below to calculate the effectiveness of the hunting query entered in the hunting query input field 714 based on the input information, and displays the calculation result in the output field 720.

出力欄720は、クエリ有効性表示欄721と、ハンティングクエリ表示欄722と、情報取得容易度関連情報表示欄723と、クエリ検証結果表示欄724と、再検証ボタン725と、を含む。クエリ有効性表示欄721は、ハンティングクエリが有効か否かを表す有効性判定値を表示する欄である。ハンティングクエリ表示欄722は、有効性判定値の算出対象のハンティングクエリを表示する欄である。ハンティングクエリ表示欄722では、ハンティングクエリを編集できるようになっている。 The output field 720 includes a query validity display field 721, a hunting query display field 722, an information acquisition ease related information display field 723, a query verification result display field 724, and a re-verify button 725. The query validity display field 721 is a field that displays a validity judgment value indicating whether or not a hunting query is valid. The hunting query display field 722 is a field that displays the hunting query for which the validity judgment value is calculated. The hunting query display field 722 allows the hunting query to be edited.

情報取得容易度関連情報表示欄723は、ハンティングクエリ表示欄722のハンティングクエリの情報取得容易度に関する情報を表示する欄である。クエリ検証結果表示欄724は、クエリ検証結果に関する情報を表示する欄である。再検証ボタン725は、押されると、ハンティングクエリ表示欄722のハンティングクエリと、入力欄710の、
脅威カテゴリ入力欄711に入力された脅威カテゴリと、種別入力欄712に入力された種別名と、対象環境入力欄713に入力された対象環境とを、分析者端末200からログ分析クエリ作成支援装置100に送信されるようになっている。ログ分析クエリ作成支援装置100は、これらの情報を受信すると、以下に説明する全体処理を実行して、受信した情報に基づいて、ハンティングクエリ入力欄714に入力されたハンティングクエリの有効性を算出し、算出結果を出力欄720に表示するようになっている。
The information acquisition ease related information display field 723 is a field that displays information related to the information acquisition ease of the hunting query in the hunting query display field 722. The query verification result display field 724 is a field that displays information related to the query verification result. When the re-verification button 725 is pressed, the hunting query in the hunting query display field 722 and the
The threat category entered in the threat category input field 711, the type name entered in the type input field 712, and the target environment entered in the target environment input field 713 are transmitted from the analyst terminal 200 to the log analysis query creation support device 100. Upon receiving this information, the log analysis query creation support device 100 executes the overall processing described below, calculates the effectiveness of the hunting query entered in the hunting query input field 714 based on the received information, and displays the calculation result in the output field 720.

クエリ実行ボタン730は、押されると、ハンティングクエリ入力欄714のハンティングクエリと、ハンティングクエリ表示欄722のハンティングクエリとのうちで直近に作成されたハンティングクエリで、分析対象装置500a~500nのログを検索して、脅威を検知するようになっている。 When the query execution button 730 is pressed, the logs of the analysis target devices 500a-500n are searched for threats using the hunting query most recently created between the hunting query in the hunting query input field 714 and the hunting query in the hunting query display field 722.

なお、図7に示す入力欄710で入力する情報および出力欄720で提示する情報は一例であり、入力情報などはこれらに限定されない。 Note that the information entered in the input field 710 and the information presented in the output field 720 shown in Figure 7 are merely examples, and the input information is not limited to these.

<全体処理、図8>
図8は、ログ分析クエリ作成支援装置100が実行する全体処理の一例を説明するフローチャートである。図8に一例を示す全体処理は、ログ分析クエリ作成支援装置100の処理実行部111が実行する。上述したが、分析者等のユーザが図7に一例を示す分析画面の入力欄に入力情報(図7に例では、入力欄710の、脅威カテゴリ、脅威種別、対象環境、ハンティングクエリ)を入力し、検証ボタン715を押すと、ログ分析クエリ作成支援装置100は入力情報を取得するようになっている。ログ分析クエリ作成支援装置100は、入力情報を取得すると、処理実行部111にて、図8に一例を示す全体処理を実行する。
<Overall processing, Figure 8>
FIG. 8 is a flowchart illustrating an example of the overall processing executed by the log analysis query creation support device 100. The overall processing, an example of which is shown in FIG. 8, is executed by the processing execution unit 111 of the log analysis query creation support device 100. As described above, when a user such as an analyst enters input information in the input fields of the analysis screen, an example of which is shown in FIG. 7 (in the example of FIG. 7, the threat category, threat type, target environment, and hunting query in input field 710) and presses the verify button 715, the log analysis query creation support device 100 acquires the input information. Upon acquiring the input information, the log analysis query creation support device 100 causes the processing execution unit 111 to execute the overall processing, an example of which is shown in FIG. 8.

ログ分析クエリ作成支援装置100は、取得した入力情報をクエリ管理テーブル121に保存する(ステップS801)。 The log analysis query creation support device 100 stores the acquired input information in the query management table 121 (step S801).

次に、ログ分析クエリ作成支援装置100は、入力情報に含まれる対象環境に対応付けられたレコードを模擬環境テーブル122から、すべて抽出し、記憶する。
模擬環境テーブル122のレコードには、分析対象の分析対象環境である対象模擬環境装置300a~300nの対象模擬環境300a~300nの情報が含まれている。ログ分析クエリ作成支援装置100が、対象環境に対応付けられたレコードを少なくとも1つ抽出できた場合には、入力情報に含まれる対象環境は、分析対象の環境である対象模擬環境300a~300nのうちの1つの環境であり、分析対象の環境であると考えることができる。以下、ステップS802にて抽出されたレコードに含まれる環境を、「攻撃対象模擬環境」と称する。
Next, the log analysis query creation support device 100 extracts and stores all records associated with the target environment included in the input information from the simulated environment table 122.
The records in the simulated environment table 122 contain information on the target simulated environments 300a to 300n of the target simulated environment devices 300a to 300n, which are the analysis target environments of the analysis targets. If the log analysis query creation support device 100 is able to extract at least one record associated with the target environment, the target environment included in the input information is one of the target simulated environments 300a to 300n, which are the analysis target environments, and can be considered to be the environment to be analyzed. Hereinafter, the environment included in the record extracted in step S802 will be referred to as the "attack target simulated environment."

次に、ログ分析クエリ作成支援装置100は、ハンティングクエリは、入力情報に含まれる対象環境は、分析対象の環境か否かを判定する(ステップS803)。入力情報に含まれる対象環境は、分析対象環境のうちの少なくとも1つの環境であることにより、入力情報に含まれる対象環境は、分析対象の環境(すなわち、攻撃対象模擬環境)であると判定された場合(ステップS803:YES)は、ステップS804に進む。一方、入力情報に含まれる対象環境は、分析対象環境のいずれでもないことにより、入力情報に含まれる対象環境は、分析対象の環境ではないと判定された場合(ステップS803:NO)は、分析対象環境に関してハンティングクエリは、分析対象の環境の分析に使用できるクエリではないため、ログ分析クエリ作成支援装置100は、全体処理を終了する。 Next, the log analysis query creation support device 100 determines whether the target environment included in the input information for the hunting query is the environment to be analyzed (step S803). If the target environment included in the input information is determined to be at least one of the environments to be analyzed, and therefore the target environment included in the input information is the environment to be analyzed (i.e., the simulated attack target environment) (step S803: YES), the process proceeds to step S804. On the other hand, if the target environment included in the input information is not one of the environments to be analyzed, and therefore the target environment included in the input information is not the environment to be analyzed (step S803: NO), the hunting query for the environment to be analyzed is not a query that can be used to analyze the environment to be analyzed, and the log analysis query creation support device 100 terminates the overall process.

次に、ログ分析クエリ作成支援装置100は、情報取得容易度算出処理を実行する(ステップS804)。詳細は、図9を用いて後述するが、ログ分析クエリ作成支援装置100は、情報取得容易度算出処理にて、インターネットから取得できるハンティングクエリに関する情報を収集して、情報取得容易度を算出する。 Next, the log analysis query creation support device 100 executes an information acquisition ease calculation process (step S804). Details will be described later using FIG. 9 , but in the information acquisition ease calculation process, the log analysis query creation support device 100 collects information related to hunting queries that can be acquired from the Internet and calculates the information acquisition ease.

次に、ログ分析クエリ作成支援装置100は、クエリ脅威影響算出処理を実行する(ステップS805)。詳細は、図10~図11を用いて後述するが、ログ分析クエリ作成支援装置100は、クエリ脅威影響算出処理にて、ハンティングクエリで特定できる複数の特定脅威の攻撃を、分析対象環境で実行し、実行ログをハンティングクエリで分析して、ハンティングクエリの動作共通度と、環境選択度と、正確度とを算出する。 Next, the log analysis query creation support device 100 executes a query threat impact calculation process (step S805). Details will be described later using Figures 10 and 11, but in the query threat impact calculation process, the log analysis query creation support device 100 executes attacks of multiple specific threats that can be identified by the hunting query in the environment to be analyzed, analyzes the execution log with the hunting query, and calculates the operational commonality, environmental selectivity, and accuracy of the hunting query.

次に、ログ分析クエリ作成支援装置100は、クエリ有効性算出処理を実行する(ステップS806)。詳細は図12を用いて後述するが、ログ分析クエリ作成支援装置100は、クエリ有効性算出処理にて、情報取得容易度と、動作共通度と、環境選択度と、正確度と、に基づいて、ハンティングクエリが有効か否かを算出する。 Next, the log analysis query creation support device 100 executes a query validity calculation process (step S806). Details will be described later using FIG. 12, but in the query validity calculation process, the log analysis query creation support device 100 calculates whether the hunting query is valid based on the information acquisition ease, operation commonality, environment selectivity, and accuracy.

次に、ログ分析クエリ作成支援装置100は、有効性などのハンティングクエリの分析結果を分析者端末200に送信して、処理を終了する(ステップS807)。分析者端末200は、分析結果を受け取ると、分析結果を、分析画面(図7参照)にて提示するようになっている。 Next, the log analysis query creation support device 100 transmits the analysis results of the hunting query, such as its validity, to the analyst terminal 200, and ends the process (step S807). Upon receiving the analysis results, the analyst terminal 200 presents the analysis results on the analysis screen (see FIG. 7).

<情報取得容易度算出処理、図9>
図9は、実施例の情報取得容易度算出処理の一例を説明するフローチャートである。図9に一例を示す情報取得容易度算出処理は、ログ分析クエリ作成支援装置100の情報取得容易度算出部112が実行する。
<Information Acquisition Ease Calculation Process, FIG. 9>
9 is a flowchart illustrating an example of the information accessibility calculation process according to the embodiment. The information accessibility calculation process illustrated in FIG. 9 is executed by the information accessibility calculation unit 112 of the log analysis query creation support device 100.

ログ分析クエリ作成支援装置100は、ハンティングクエリの特徴を表す単語であるクエリ特徴語をハンティングクエリから抽出する(ステップS901)。クエリ特徴語には、例えば、「AgentTesla」などのマルウェアの名前や、「html」等のフォーマットを表す語や、脅威の動作を表す語や、「マクロ」等のプログラムに関する語を含む。 The log analysis query creation support device 100 extracts query feature words, which are words that represent the characteristics of the hunting query, from the hunting query (step S901). Query feature words include, for example, malware names such as "AgentTesla," formatting words such as "html," threat behaviors, and program-related words such as "macro."

次に、ログ分析クエリ作成支援装置100は、ステップS901にて抽出したクエリ特徴語で、インターネットを検索して、クエリ特徴語に関する記事であるクエリ関連記事を、収集する(ステップS902)。 Next, the log analysis query creation support device 100 searches the Internet using the query feature words extracted in step S901 and collects query-related articles that are articles related to the query feature words (step S902).

次に、ログ分析クエリ作成支援装置100は、ステップS902にて収集したクエリ関連記事それぞれに対して、クエリ特徴語との関連度を算出し、関連度が所定の関連度閾値よりも高いクエリ関連記事の数を情報取得容易度として算出し、処理を終了する(ステップS903)。 Next, the log analysis query creation support device 100 calculates the relevance with the query feature words for each of the query-related articles collected in step S902, calculates the number of query-related articles whose relevance is higher than a predetermined relevance threshold as the ease of information acquisition, and terminates the process (step S903).

関連度は、ハンティングクエリとクエリ関連記事との関連性の高さを表す数値であればよい。関連度は、例えばクエリ特徴語と、クエリ関連記事との間の関連性を算出できる、クエリ特徴語に含まれる単語の登場回数に基づく算出方法(例えば、TF法)や、Doc2vecのアルゴリズムを用いて算出できる。関連度が関連度閾値よりも高いクエリ関連記事の数が多いほど、ハンティングクエリの特定脅威の攻撃に関する情報をより容易に取得できると考えることができる。従って、情報取得容易度は、ハンティングクエリの特定脅威の攻撃の情報に関連性が高いクエリ関連記事の収集のしやすさを表す。 The relevance may be any numerical value that represents the degree of relevance between the hunting query and the query-related article. The relevance can be calculated, for example, using a calculation method (e.g., the TF method) based on the number of times words included in the query feature words appear, which can calculate the relevance between the query feature words and the query-related article, or the Doc2vec algorithm. It can be considered that the greater the number of query-related articles with a relevance higher than the relevance threshold, the easier it will be to obtain information about attacks on specific threats in the hunting query. Therefore, the ease of information acquisition represents the ease of collecting query-related articles that are highly relevant to information about attacks on specific threats in the hunting query.

また、以上で説明したステップS903にて、インターネットを介して、クローリングで、クエリ特徴語に関する情報を含む所定のWEBサイトの記事を収集してもよい。ハンティングクエリにおける脅威の種別の情報に関連するWEBサイトの記事を抽出できる手法(例えば、Topic分析)で集めた記事を、関連度閾値よりも高いクエリ関連記事とみなしてもよい。ここで、クローリングで収集したWEBサイトの記事にスクレイピングを行って不要な情報を除去したうえで、関連記事を取得してもよい。また、あらかじめ、様々な脅威に関するWEBサイトの記事をクローリングにより収集して、記事を格納するために作成された脅威記事テーブルに格納し、脅威記事テーブルを、ステップS903の処理に使用してもよい。 In addition, in step S903 described above, articles from specified websites containing information related to the query feature words may be collected via crawling via the Internet. Articles collected using a method (e.g., topic analysis) that can extract website articles related to information on the threat type in the hunting query may be considered to be query-related articles with a relevance higher than the relevance threshold. Here, the website articles collected by crawling may be scraped to remove unnecessary information before obtaining related articles. Alternatively, website articles related to various threats may be collected in advance by crawling and stored in a threat article table created for storing the articles, and the threat article table may be used in the processing of step S903.

<クエリ脅威影響算出処理、図10>
図10は、実施例のクエリ脅威影響算出処理の一例を説明するフローチャートである。図10に一例を示すクエリ脅威影響算出処理は、ログ分析クエリ作成支援装置100のクエリ脅威影響算出部113が実行する。
<Query threat impact calculation process, FIG. 10>
10 is a flowchart illustrating an example of a query threat impact calculation process according to the embodiment. The query threat impact calculation process illustrated in FIG. 10 is executed by the query threat impact calculation unit 113 of the log analysis query creation support apparatus 100.

ログ分析クエリ作成支援装置100は、攻撃対象模擬環境の現在の状態をバックアップする(ステップS1001)。具体的には、例えば、攻撃対象環境が仮想環境の場合、スナップショットの作成などがあげられる。上述したが、攻撃対象模擬環境は、全体処理のステップS802にて記憶したレコードに含まれる、対象模擬環境310a~310nのうちの少なくとも1つの対象模擬環境であり、ハンティングクエリで特定できる特定脅威が攻撃できる環境である。 The log analysis query creation support device 100 backs up the current state of the attack target simulated environment (step S1001). Specifically, for example, if the attack target environment is a virtual environment, a snapshot may be created. As mentioned above, the attack target simulated environment is at least one of the target simulated environments 310a to 310n included in the record stored in step S802 of the overall processing, and is an environment that can be attacked by a specific threat that can be identified by a hunting query.

次に、ログ分析クエリ作成支援装置100は、攻撃対象模擬環境の現状のログを、ログ管理装置400のログテーブル410に格納するとともに記憶する(ステップS1002)。具体的には、以下に説明する処理で、ハンティングクエリに関する攻撃有無で、ログの状態の違いを把握するため、攻撃対象模擬環境の現状のログをログテーブル410に格納する。この現状のログは、sysmonログなどのイベントログやファイルやレジストリ情報などの静的な情報などを含む。なお、このログは一例であり、本発明はこの種別に限定されない。 Next, the log analysis query creation support device 100 stores and memorizes the current log of the attack target simulated environment in the log table 410 of the log management device 400 (step S1002). Specifically, in the process described below, the current log of the attack target simulated environment is stored in the log table 410 to understand the difference in log status depending on whether or not there is an attack related to a hunting query. This current log includes event logs such as sysmon logs, and static information such as file and registry information. Note that this log is an example, and the present invention is not limited to this type.

次に、ログ分析クエリ作成支援装置100は、ハンティングクエリで特定できる特定脅威に関する検体や、ハンティングクエリに関する手動の脅威の攻撃方法の情報を、インターネットを用いて複数入手する(ステップS1003)。具体的には、ハンティングクエリで特定できる特定脅威が、マルウェアなどの自動で実行される脅威の場合には、マルウェアなどの検体を入手する。また、ハンティングクエリで特定できる特定脅威が、手動で実行される脅威の場合には、ハンティングクエリに関する手動の特定脅威の攻撃方法の情報を入手する。ここで、マルウェアファミリとマルウェアの検体リストを公開している個人ブログや、ベンダレポート、およびWebサービスを格納するデータ共有装置600a~600nから、指定された脅威種別の検体リストや、特定脅威の攻撃方法の情報を入手する。換言すれば、ログ分析クエリ作成支援装置100は、複数の特定脅威による対象環境への攻撃の実行手順の情報を格納する少なくとも1つのデータ共有装置600a~600nから複数の特定脅威による対象環境への攻撃の実行手順の情報を取得する。 Next, the log analysis query creation support device 100 obtains, via the Internet, multiple specimens related to specific threats that can be identified by the hunting query and information on manual threat attack methods related to the hunting query (step S1003). Specifically, if the specific threat that can be identified by the hunting query is an automatically executed threat such as malware, specimens such as malware are obtained. Furthermore, if the specific threat that can be identified by the hunting query is a manually executed threat, information on manual threat attack methods related to the hunting query is obtained. Here, specimen lists of the specified threat type and information on specific threat attack methods are obtained from personal blogs that publish lists of malware families and malware specimens, vendor reports, and data sharing devices 600a-600n that store web services. In other words, the log analysis query creation support device 100 obtains information on the execution procedures for attacks on the target environment by multiple specific threats from at least one data sharing device 600a-600n that stores information on the execution procedures for attacks on the target environment by multiple specific threats.

また、例えば、特定脅威がマルウェアの場合、検体リストをもとにマルウェアを共有するサービスから検体を1つ以上取得する。なお、取得する検体の数や、脅威の攻撃方法の情報の数は、複数が望ましいが、1つでも良い。また、取得する検体や、特定脅威の攻撃方法の情報は、多くの場合複数取得できる。 For example, if the specific threat is malware, one or more samples are obtained from a malware sharing service based on the sample list. While it is desirable to obtain multiple samples and information on threat attack methods, one sample is sufficient. In many cases, multiple samples and information on specific threat attack methods can be obtained.

次に、ログ分析クエリ作成支援装置100は、入力情報に含まれる脅威カテゴリの情報に基づいて、ハンティングクエリの脅威の攻撃を自動で実行できるか否かを判定する(ステップS1004)。ハンティングクエリの脅威カテゴリがマルウェアであり、ハンティングクエリの脅威の攻撃を自動で実行できると判定された場合(ステップS1004:YES)は、ステップS1006に進む。一方、ハンティングクエリの脅威カテゴリがマルウェアではなく、ハンティングクエリの脅威の攻撃を自動で実行できないと判定された場合(ステップS1004:NO)は、ステップS1205に進み、手動攻撃実行処理を実行する。 Next, the log analysis query creation support device 100 determines whether an attack on the threat of the hunting query can be executed automatically based on the threat category information included in the input information (step S1004). If the threat category of the hunting query is malware and it is determined that an attack on the threat of the hunting query can be executed automatically (step S1004: YES), the process proceeds to step S1006. On the other hand, if the threat category of the hunting query is not malware and it is determined that an attack on the threat of the hunting query cannot be executed automatically (step S1004: NO), the process proceeds to step S1205, where manual attack execution processing is executed.

なお、ハンティングクエリの脅威の攻撃を自動で実行できると判定された場合(ステップS1004:YES)は、ステップS1006以降で、ハンティングクエリに関する攻撃を自動で実施する。一方、ハハンティングクエリの脅威の攻撃を自動で実行できないと判定された場合(ステップS1004:NO)は、ハンティングクエリに関する攻撃を、自動で実施できず、手動で実施せざるを得ないため、ステップS1205に進んで、ハンティングクエリに関する攻撃を、手動で実施する。また、ハンティングクエリの脅威カテゴリがマルウェアであっても、ステップS1205に進んで、ハンティングクエリに関する攻撃を、手動で実施するように、ハンティングクエリの脅威の攻撃を自動で実行できるか否かの判定基準を分析者が設定してもよい。 If it is determined that an attack on a hunting query threat can be executed automatically (step S1004: YES), the attack on the hunting query is executed automatically from step S1006 onwards. On the other hand, if it is determined that an attack on a hunting query threat cannot be executed automatically (step S1004: NO), the attack on the hunting query cannot be executed automatically and must be executed manually, so the process proceeds to step S1205, where the attack on the hunting query is executed manually. Furthermore, even if the threat category of the hunting query is malware, the analyst may set criteria for determining whether an attack on a hunting query threat can be executed automatically, so that the process proceeds to step S1205 and the attack on the hunting query is executed manually.

次に、ログ分析クエリ作成支援装置100は、詳細は図11を用いて後述するが、手動攻撃実行処理を実行する(ステップS1005)。詳細は後述するが、ステップS10005にて、ログ分析クエリ作成支援装置100は、ステップS1001にてバックアップを取った対象模擬環境装置300a~300nの攻撃対象模擬環境に対して、分析者がハンティングクエリに関する攻撃を実行し、この攻撃実行時のログを取得する。 Next, the log analysis query creation support device 100 executes a manual attack execution process (step S1005), details of which will be described later using FIG. 11. In step S10005, the log analysis query creation support device 100 executes an attack related to a hunting query by an analyst against the attack target simulated environment of the target simulated environment devices 300a-300n that were backed up in step S1001, and acquires the log of the attack execution.

次に、ログ分析クエリ作成支援装置100は、ステップ1003にて取得したマルウェアの検体についてのループ処理を開始する(ステップS1006)。ループ開始のステップS1006からループ終了のステップS1010の間に示す処理は、ステップ1003にて取得したマルウェアの検体毎に繰り返し行う。ステップS1006にて、ログ分析クエリ作成支援装置100は、未処理のマルウェアの検体の中から一つのマルウェアの検体を選択する。 Next, the log analysis query creation support device 100 starts loop processing for the malware sample acquired in step 1003 (step S1006). The processing shown between step S1006, which starts the loop, and step S1010, which ends the loop, is repeated for each malware sample acquired in step 1003. In step S1006, the log analysis query creation support device 100 selects one malware sample from the unprocessed malware samples.

次に、ログ分析クエリ作成支援装置100は、ステップS1006にて選択したマルウェアの検体を用いた攻撃を、ステップS1001にてバックアップを取った対象模擬環境装置300a~300nの攻撃対象模擬環境それぞれに実行し、この攻撃実行時のログを取得し、ログテーブル410に格納するとともに記憶する(ステップS1007)。 Next, the log analysis query creation support device 100 executes an attack using the malware sample selected in step S1006 on each of the target simulated environments of the target simulated environment devices 300a-300n backed up in step S1001, acquires a log of this attack execution, and stores and remembers it in the log table 410 (step S1007).

次に、ログ分析クエリ作成支援装置100は、ステップS1007にて実行した攻撃それぞれに関する情報を、攻撃情報テーブル123に保存する(ステップS1008)。具体的には、ログ分析クエリ作成支援装置100は、攻撃それぞれに対して、攻撃ID501に一意の新規ID、クエリID502に対応するクエリ管理テーブル121のクエリID301、攻撃名503に実行した検体の脅威種別やマルウェアのハッシュ値、攻撃情報源504にステップS1003で検体を取得したURL、環境ID505には対応する模擬環境テーブル122の環境ID401の識別子、攻撃開始時間506に攻撃を開始した時間、および、攻撃終了時間507に攻撃を終了した時間、を含むレコードを、攻撃情報テーブル123に保存する。 Next, the log analysis query creation support device 100 saves information about each attack executed in step S1007 in the attack information table 123 (step S1008). Specifically, for each attack, the log analysis query creation support device 100 saves a record in the attack information table 123, including: a unique new ID in attack ID 501; the query ID 301 in query management table 121 corresponding to query ID 502; the threat type of the executed sample or the malware hash value in attack name 503; the URL from which the sample was obtained in step S1003 in attack information source 504; the identifier of the corresponding environment ID 401 in simulated environment table 122 in environment ID 505; the time the attack started in attack start time 506; and the time the attack ended in attack end time 507.

次に、ログ分析クエリ作成支援装置100は、ステップS1001にてバックアップを取った対象模擬環境装置300a~300nの攻撃対象模擬環境それぞれを、ステップS1001にてとったバックアップの状態に復元させる(ステップS1009)。 Next, the log analysis query creation support device 100 restores each of the attack target simulated environments of the target simulated environment devices 300a to 300n, which were backed up in step S1001, to the state of the backup taken in step S1001 (step S1009).

次に、ログ分析クエリ作成支援装置100は、ステップ1003にて取得したすべてのマルウェアの検体について処理が完了したか否かを判定する(ステップS1010)。全てのマルウェアの検体について処理が完了していないと判定された場合、ログ分析クエリ作成支援装置100は、ステップS1006に戻り、処理を継続する。一方、全てのマルウェアの検体について処理が完了したと判定された場合、ログ分析クエリ作成支援装置100は、ステップS1011に進む。 Next, the log analysis query creation support device 100 determines whether processing has been completed for all malware samples acquired in step 1003 (step S1010). If it is determined that processing has not been completed for all malware samples, the log analysis query creation support device 100 returns to step S1006 and continues processing. On the other hand, if it is determined that processing has been completed for all malware samples, the log analysis query creation support device 100 proceeds to step S1011.

次に、ログ分析クエリ作成支援装置100は、ステップS1007にて実行した攻撃それぞれに関する情報、または図11を用いて後述する手動攻撃実行処理のステップS1102にて取得した手動攻撃それぞれに関する情報に基づいて、動作共通度、環境選択度、正確度を算出して記憶し、図9の情報取得容易度算出処理のステップS903にて算出した、情報取得容易度とともに、クエリ管理テーブルに保存し、処理を終了する(ステップS1011)。 Next, the log analysis query creation support device 100 calculates and stores the action commonality, environment selectivity, and accuracy based on information about each attack executed in step S1007 or information about each manual attack acquired in step S1102 of the manual attack execution process described below using Figure 11, and saves these in the query management table together with the information acquisition ease calculated in step S903 of the information acquisition ease calculation process in Figure 9, and terminates the process (step S1011).

上述したように、動作共通度は、複数の特定脅威(例えば、マルウェアのファミリーの検体、手動攻撃における特定の攻撃者のパターン)それぞれによる分析対象環境510a~510n(対象環境)への攻撃の実行時のそれぞれの実行ログおける、複数の特定脅威の攻撃による影響を、ハンティングクエリで実行ログを検索して検知する場合に、複数の特定脅威に対する検知結果の間で、共通する攻撃の手順を、ハンティングクエリでどの程度検知できるかを表す。動作共通度が高いクエリ程、類似するより多くの種類の脅威をハンティングクエリで検知できる。動作共通度の算出方法は、例えば、類似するn個の、検体または手動攻撃による攻撃の実行結果のログ(n個のログ)それぞれを、ハンティングクエリで検索して、m回脅威を検知した場合、動作共通度はm/n(動作共通度=m/n)として算出する。本発明では、動作共通度の算出方法は、この方法以外でもよい。 As described above, behavioral commonality represents the degree to which a hunting query can detect common attack procedures among the detection results for multiple specific threats when the impact of attacks by multiple specific threats (e.g., samples of a malware family, patterns of a specific attacker in a manual attack) on the analysis target environment 510a-510n (target environment) is detected by searching the execution logs using a hunting query. The higher the behavioral commonality of a query, the more similar types of threats the hunting query can detect. For example, if a hunting query is used to search the logs of the execution results of n similar samples or manual attacks (n logs) and m threats are detected, the behavioral commonality is calculated as m/n (behavioral commonality = m/n). In the present invention, other methods of calculating behavioral commonality may also be used.

上述したように、環境選択度は、複数の特定脅威(例えば、マルウェアのファミリーの検体、手動攻撃における特定の攻撃者のパターン)による分析対象環境510a~510n(攻撃対象環境)への攻撃の実行時の実行ログそれぞれにおける、複数の特定脅威の攻撃による影響を、ハンティングクエリで検知する場合に、脅威を検知できる、攻撃対象の対象環境の種類が、どの程度多いかを表す。環境選択度が高いクエリ程、より多くの種類の環境に対する脅威による攻撃をハンティングクエリで検知できる。環境選択度の算出方法は、例えば、1つの検体または1種類の手動攻撃で、n種類の模擬環境それぞれを攻撃して、それぞれの攻撃実行時のログをクエリで検索してm回脅威を検知した場合、環境選択度はm/n(環境選択度=m/n)として算出する。本発明では、環境選択度の算出方法は、この方法以外でもよい。 As described above, environment selectivity represents the number of different target environments in which threats can be detected when a hunting query is used to detect the impact of attacks by multiple specific threats (e.g., a malware family specimen, or a specific attacker's pattern in a manual attack) on analysis target environments 510a-510n (attack target environments) in the execution logs of those attacks. The higher the environment selectivity, the more types of environments attacks by threats can be detected by the hunting query. For example, if one specimen or one type of manual attack is used to attack n types of simulated environments, and the logs from the execution of each attack are searched using a query to detect threats m times, the environment selectivity is calculated as m/n (environment selectivity = m/n). Other methods for calculating environment selectivity are also possible in the present invention.

上述したように、正正確度は、ハンティングクエリで特定できる複数の特定脅威それぞれによる対象環境への攻撃実行時のそれぞれの実行ログにおける、特定脅威の攻撃による影響を、ハンティングクエリで実行ログを検索して検知する場合に、特定脅威の攻撃による影響をどの程度正確に検知できるかを表す。正確度が高いハンティングクエリほど、実行結果のログからハンティングクエリで脅威をより正確に検知できる。正確度の算出方法は、例えば、1つの検体または1種類の手動攻撃で、1つの模擬環境にn回別々に攻撃を実行して、それぞれの攻撃実行時の実行グをクエリで検索してm回検知した場合、正確度はm/n(正確度=m/n)とする。本発明では、正確度の算出方法は、この方法以外でもよい。 As described above, accuracy indicates how accurately the impact of a specific threat attack can be detected when the impact of each specific threat identified by a hunting query is detected by searching the execution logs with the hunting query when the execution logs are used to detect the impact of the specific threat attack on the target environment. The higher the accuracy of a hunting query, the more accurately the hunting query can detect threats from the execution result logs. For example, if one sample or one type of manual attack is used to perform n separate attacks on a simulated environment, and the execution logs for each attack are searched and detected m times with a query, the accuracy is calculated as m/n (accuracy = m/n). In the present invention, other methods of calculating accuracy may also be used.

<手動攻撃実行処理、図11>
図11は、実施例のログ分析クエリ作成支援装置100が実行する手動攻撃実行処理の一例を説明するフローチャートである。図11に一例を示す手動攻撃実行処理は、ログ分析クエリ作成支援装置100のクエリ脅威影響算出部113が実行する。
<Manual attack execution process, Figure 11>
11 is a flowchart illustrating an example of a manual attack execution process executed by the log analysis query creation support device 100 according to the embodiment. The manual attack execution process illustrated in FIG. 11 is executed by the query threat impact calculation unit 113 of the log analysis query creation support device 100.

ログ分析クエリ作成支援装置100は、図10のクエリ脅威影響算出処理のステップ1003にて取得した手動攻撃の実行方法の情報についてのループ処理を開始する(ステップS1101)。ループ開始のステップS1101からループ終了のステップS1105の間に示す処理は、上述した図10の攻撃実行処理のステップ1003にて取得した手動攻撃の実行方法の情報毎に繰り返し行う。ステップS1101にて、ログ分析クエリ作成支援装置100は、未処理の手動攻撃の実行方法の情報の中から一つの手動攻撃の実行方法の情報を選択し、分析者に提示する。分析者は、手動攻撃の実行方法の情報が提示されると、提示された手動攻撃の実行方法の情報に基づいて、手動攻撃を実行する。手動攻撃は、例えば、レッドチームツールを活用して実行される。本発明は手動攻撃の実行方法に依らない。 The log analysis query creation support device 100 starts loop processing for the information on manual attack execution methods acquired in step 1003 of the query threat impact calculation process in FIG. 10 (step S1101). The processing shown between step S1101, which starts the loop, and step S1105, which ends the loop, is repeated for each piece of manual attack execution method information acquired in step 1003 of the attack execution process in FIG. 10 described above. In step S1101, the log analysis query creation support device 100 selects one piece of manual attack execution method information from the unprocessed manual attack execution method information and presents it to the analyst. When presented with the manual attack execution method information, the analyst executes the manual attack based on the presented manual attack execution method information. The manual attack is executed using, for example, a red team tool. The present invention is not dependent on the method of executing the manual attack.

次に、ログ分析クエリ作成支援装置100は、分析者による攻撃対象模擬環境それぞれに対する手動攻撃の実行を待ち受け、この手動攻撃実行時の実行ログを取得し、ログテーブル410に格納するとともに記憶する(ステップS1102)。 Next, the log analysis query creation support device 100 waits for the analyst to execute a manual attack on each of the attack target simulated environments, acquires the execution log of this manual attack, and stores and memorizes it in the log table 410 (step S1102).

次に、ログ分析クエリ作成支援装置100は、ステップS1102にて取得した手動攻撃それぞれに関する情報を、攻撃情報テーブル123に保存する(ステップS1103)。具体的には、ログ分析クエリ作成支援装置100は、攻撃それぞれに対して、攻撃ID501に一意の新規ID、クエリID502に対応するクエリ管理テーブル121のクエリID301、攻撃名503に実行した実行した脅威の実行方法の情報、攻撃情報源504にステップS1003で検体を取得したURL、環境ID505には対応する模擬環境テーブル122の環境ID401の識別子、攻撃開始時間506に攻撃を開始した時間、および、攻撃終了時間507に攻撃を終了した時間、を含むレコードを、攻撃情報テーブル123に保存する。 Next, the log analysis query creation support device 100 saves information about each manual attack acquired in step S1102 in the attack information table 123 (step S1103). Specifically, for each attack, the log analysis query creation support device 100 saves a record in the attack information table 123, including: a unique new ID in attack ID 501; the query ID 301 in the query management table 121 corresponding to query ID 502; information about the execution method of the threat executed in attack name 503; the URL from which the sample was acquired in step S1003 in attack information source 504; the identifier of the corresponding environment ID 401 in the simulated environment table 122 in environment ID 505; the time the attack started in attack start time 506; and the time the attack ended in attack end time 507.

次に、ログ分析クエリ作成支援装置100は、図10のクエリ脅威影響算出処理のステップS1001にてバックアップを取った対象模擬環境装置300a~300nの攻撃対象模擬環境それぞれを、ステップS1001にてとったバックアップの状態に復元させる(ステップS1104)。 Next, the log analysis query creation support device 100 restores each of the attack target simulated environments of the target simulated environment devices 300a to 300n, which were backed up in step S1001 of the query threat impact calculation process in FIG. 10, to the state of the backup taken in step S1001 (step S1104).

次に、ログ分析クエリ作成支援装置100は、図10のクエリ脅威影響算出処理のステップS1003にて取得した手動攻撃の実行方法のすべての情報について処理が完了したか否かを判定する(ステップS1105)。手動攻撃の実行方法のすべての情報について処理が完了していないと判定された場合、ログ分析クエリ作成支援装置100は、ステップS1101に戻り、処理を継続する。一方、手動攻撃の実行方法のすべての情報について処理が完了したと判定された場合、ログ分析クエリ作成支援装置100は、処理を終了する。 Next, the log analysis query creation support device 100 determines whether processing has been completed for all information on manual attack execution methods acquired in step S1003 of the query threat impact calculation process in FIG. 10 (step S1105). If it is determined that processing has not been completed for all information on manual attack execution methods, the log analysis query creation support device 100 returns to step S1101 and continues processing. On the other hand, if it is determined that processing has been completed for all information on manual attack execution methods, the log analysis query creation support device 100 terminates processing.

<クエリ有効性算出処理、図12>
図12は、実施例のログ分析クエリ作成支援装置100が実行するクエリ有効性算出処理の一例を説明するフローチャートである。図12に一例を示すクエリ有効性算出処理は、ログ分析クエリ作成支援装置100のクエリ有効性算出部114が実行する。
<Query Effectiveness Calculation Process, FIG. 12>
12 is a flowchart illustrating an example of a query validity calculation process executed by the log analysis query creation support device 100 according to the embodiment. The query validity calculation process illustrated in FIG. 12 is executed by the query validity calculation unit 114 of the log analysis query creation support device 100.

ログ分析クエリ作成支援装置100は、入力情報の脅威カテゴリおよび種別が一致するレコード(すなわち、ハンティングクエリに対応するレコード)を、有効性テーブル124から抽出する(ステップS1201)。 The log analysis query creation support device 100 extracts records from the validity table 124 that match the threat category and type of the input information (i.e., records that correspond to the hunting query) (step S1201).

次に、ログ分析クエリ作成支援装置100は、図9の情報取得容易度算出処理のステップS903にて算出した情報取得容易度、図10のクエリ脅威影響算出処理のステップS1011にて算出した動作共通度、環境選択度、および正確度を、ステップS1201にて抽出したレコードの有効性計算式に当てはめて有効度を算出し、さらに有効性判定値を算出する(ステップS1202)。ここで、有効判定値は、ハンティングクエリが有効か否かを表す。ログ分析クエリ作成支援装置100は、ステップS1201にて抽出したレコードの有効性閾値が、算出した有効度よりも大きい場合には、有効性判定値を「有効性あり」と算出し、レコードの有効性閾値が算出した有効度未満の場合には、有効性判定値を「有効性なし」と算出する。 Next, the log analysis query creation support device 100 calculates the effectiveness by applying the information acquisition ease calculated in step S903 of the information acquisition ease calculation process of FIG. 9 and the behavior commonality, environment selectivity, and accuracy calculated in step S1011 of the query threat impact calculation process of FIG. 10 to the effectiveness calculation formula for the record extracted in step S1201, and further calculates the effectiveness determination value (step S1202). Here, the effectiveness determination value indicates whether the hunting query is effective or not. If the effectiveness threshold of the record extracted in step S1201 is greater than the calculated effectiveness, the log analysis query creation support device 100 calculates the effectiveness determination value as "effective," and if the record's effectiveness threshold is less than the calculated effectiveness, the log analysis query creation support device 100 calculates the effectiveness determination value as "ineffective."

次に、ログ分析クエリ作成支援装置100は、ハンティングクエリの有効性に関する出力情報を出力して、分析者端末200に送信し、処理を終了する(ステップS1503)。ここで、ハンティングクエリの有効性に関する出力情報は、有効度と、有効性判定値と、情報取得容易度に関する情報と、クエリ脅威影響算出処理で算出した情報などを含むクエリ検証結果の情報と、これらの情報を分析画面(図7の分析画面700参照)に追加して表示する旨の情報と、を含む。分析者端末200は、出力情報を受け取ると、分析画面(図7の分析画面700参照)に、受け取った、有効性判定値と、情報取得容易度に関する情報と、クエリ検証結果の情報と、を含む、ハンティングクエリの有効性に関する情報を分析画面(図7の分析画面700参照)に追加して表示するようになっている。 Next, the log analysis query creation support device 100 outputs output information regarding the validity of the hunting query, transmits it to the analyst terminal 200, and terminates the process (step S1503). Here, the output information regarding the validity of the hunting query includes information regarding the validity, the validity judgment value, the ease of information acquisition, information regarding the query verification results including information calculated in the query threat impact calculation process, and information indicating that this information will be added and displayed on the analysis screen (see analysis screen 700 in FIG. 7). Upon receiving the output information, the analyst terminal 200 adds and displays, on the analysis screen (see analysis screen 700 in FIG. 7), information regarding the validity of the hunting query, including the received information regarding the validity judgment value, the ease of information acquisition, and the query verification results.

さらに、分析者が、分析者端末200に表示された分析画面(図7の分析画面700参照)のクエリ実行ボタン730を押すと、分析者端末200は、ハンティングクエリで分析対象装置500a~500nのログを分析する旨の情報を、ログ分析クエリ作成支援装置100に送信するようになっている。 Furthermore, when the analyst presses the query execution button 730 on the analysis screen (see analysis screen 700 in Figure 7) displayed on the analyst terminal 200, the analyst terminal 200 transmits information to the log analysis query creation support device 100 indicating that the logs of the analysis target devices 500a to 500n will be analyzed using a hunting query.

ログ分析クエリ作成支援装置100は、ハンティングクエリで分析対象装置500a~500nのログを分析する旨の情報を、分析者端末200から受け取ると、ログ分析クエリ作成支援装置100のログ分析実行部115が、ハンティングクエリで分析対象装置500a~500nのログを分析する。すなわち、ログ分析実行部115は、ログ管理装置400にアクセスして、分析対象装置500a~500nのログを取得し、取得したログを、ハンティングクエリで検索して、取得したログから、特定脅威の影響を検知する。そして、ログ分析実行部115は、クエリ管理テーブル121のハンティングクエリに対応するレコードの、実行有無310に「実行あり」の情報を保存し、実行結果ヒット数311に、実行結果である脅威の影響を検知した数の情報を保存する。 When the log analysis query creation support device 100 receives from the analyst terminal 200 information indicating that the logs of the analysis target devices 500a-500n will be analyzed using a hunting query, the log analysis execution unit 115 of the log analysis query creation support device 100 analyzes the logs of the analysis target devices 500a-500n using the hunting query. That is, the log analysis execution unit 115 accesses the log management device 400 to acquire the logs of the analysis target devices 500a-500n, searches the acquired logs using the hunting query, and detects the impact of a specific threat from the acquired logs. The log analysis execution unit 115 then stores "executed" in the execution status 310 field of the record corresponding to the hunting query in the query management table 121, and stores information on the number of detected threat impacts, which is the execution result, in the execution result hit count 311.

ここで、ログ分析実行部115は、特定脅威の影響を検知した場合は、アラート
を提示する旨を、分析者端末200に送信して、分析者端末200にアラートを提示させる。アラートを提示する方法は、分析画面700への警告情報を提示する方法や、警告の情報を含むメールを送信する方法でもよく、分析者にアラートを提示できる方法であれば、これら以外の方法でもよい。また、以上で説明したように、ログ分析実行部115は、対象環境で作成された検査対象の実行ログ(分析対象装置500a~500nのログ)に対して、ハンティングクエリで検索して、脅威に関する情報を検査する(特定脅威の影響を検知する)。
Here, if the log analysis execution unit 115 detects the impact of a specific threat, it sends a notice to the analyst terminal 200 that an alert will be presented, causing the analyst terminal 200 to present the alert. The method of presenting the alert may be a method of presenting warning information on the analysis screen 700, a method of sending an email containing the warning information, or any other method that can present the alert to the analyst. Also, as described above, the log analysis execution unit 115 uses a hunting query to search the execution logs of the inspection target (logs of the analysis target devices 500a to 500n) created in the target environment, and inspects information related to the threat (detects the impact of the specific threat).

<<発明の効果>>
このように、ログ分析クエリ作成支援装置100は、ハンティングクエリに対して、情報取得容易度と、正確度と、動作共通度とを算出する。また、情報取得容易度と、正確度と、動作共通度とに基づいて、ハンティングクエリの有効性が高いか否かを判断できる。ハンティングクエリの有効性が高いと判断できる場合に、ハンティングクエリは、想定した脅威の特徴の情報を好適に含むハンティングクエリとなっていると考えることができる。これにより、ログ分析クエリ作成支援装置100は、ハンティングクエリが、想定した脅威の特徴の情報を好適に含む有効性が高いハンティングクエリか否かを判断することを容易にする。ひいては、ログ分析クエリ作成支援装置100は、ハンティングクエリの有効性を判断することを容易にする。
<<Effects of the Invention>>
In this way, the log analysis query creation support device 100 calculates the ease of information acquisition, accuracy, and behavior commonality for a hunting query. Furthermore, based on the ease of information acquisition, accuracy, and behavior commonality, it is possible to determine whether the effectiveness of a hunting query is high. If it is determined that the effectiveness of a hunting query is high, it can be considered that the hunting query is a hunting query that preferably includes information on the characteristics of an anticipated threat. This makes it easy for the log analysis query creation support device 100 to determine whether a hunting query is a highly effective hunting query that preferably includes information on the characteristics of an anticipated threat. Ultimately, the log analysis query creation support device 100 makes it easy to determine the effectiveness of a hunting query.

また、ログ分析クエリ作成支援装置100は、セキュリティ機器(Firewall等)やセキュリティソフトによって防御できずに、システムに侵入されたマルウェアやクラッカー等の脅威を、システムの状態ログから検出する脅威ハンティング(Threat Hunting)によるシステムの解析を容易にする。その結果、システムの不具合による業務停滞やデータ漏洩による信用低下を抑制できる。 The log analysis query creation support device 100 also facilitates system analysis through threat hunting, which detects threats such as malware and crackers that have invaded the system and cannot be prevented by security devices (such as firewalls) or security software, from the system status log. As a result, it is possible to prevent business interruptions due to system malfunctions and loss of credibility due to data leaks.

さらに、ログ分析クエリ作成支援装置100は、システムの不具合の対応に必要となるエネルギーや生成される二酸化炭素の排出量を減らすことができ、地球温暖化を抑制できる。 Furthermore, the log analysis query creation support device 100 can reduce the energy required to respond to system malfunctions and the amount of carbon dioxide emissions generated, thereby curbing global warming.

また、ログ分析クエリ作成支援装置100は、ハンティングクエリの有効性を表す有効度を算出する。これにより、分析者が、ハンティングクエリが、想定した脅威の特徴の情報を好適に含む有効性が高いハンティングクエリか否かを判断することが容易になる。従って、ログ分析クエリ作成支援装置100は、ハンティングクエリの有効性を判断することを容易にすることができる。 The log analysis query creation support device 100 also calculates the effectiveness of a hunting query, which indicates the effectiveness of the hunting query. This makes it easier for analysts to determine whether a hunting query is highly effective and appropriately includes information on the characteristics of the anticipated threat. Therefore, the log analysis query creation support device 100 can easily determine the effectiveness of a hunting query.

また、ログ分析クエリ作成支援装置100は、ハンティングクエリが有効か否かを表す有効判定値を出力する。これにより、分析者が、ハンティングクエリが、想定した脅威の特徴の情報を好適に含む有効性が高いハンティングクエリか否かを判断することが容易になる。 The log analysis query creation support device 100 also outputs a validity determination value indicating whether a hunting query is valid. This makes it easier for analysts to determine whether a hunting query is highly effective and appropriately includes information on the characteristics of anticipated threats.

また、ログ分析クエリ作成支援装置100は、有効度が有効性閾値よりも高い場合に、対象環境で作成された検査対象の実行ログに対して、ハンティングクエリで検索して、脅威に関する情報を検査する。これにより、対象環境で作成された検査対象の実行ログに対して、ハンティングクエリで検索して、脅威に関する情報を検査することが容易になる。 Furthermore, when the effectiveness is higher than the effectiveness threshold, the log analysis query creation support device 100 searches the execution logs to be inspected that were created in the target environment using a hunting query to inspect information related to threats. This makes it easy to search the execution logs to be inspected that were created in the target environment using a hunting query to inspect information related to threats.

また、ログ分析クエリ作成支援装置100は、複数の特定脅威による対象環境への攻撃の実行手順の情報を、ネットワークを介して取得できる。これにより、ログ分析クエリ作成支援装置100は、複数の特定脅威で対象環境への攻撃を実行し、実行ログをハンティングクエリで検索して、複数の特定脅威で対象環境への脅威の影響を調べることを、より確実に実行できる。 The log analysis query creation support device 100 can also acquire information about the execution procedures for attacks on a target environment by multiple specific threats via a network. This allows the log analysis query creation support device 100 to more reliably execute attacks on a target environment by multiple specific threats, search the execution logs using a hunting query, and investigate the impact of multiple specific threats on a target environment.

また、ログ分析クエリ作成支援装置100は、ハンティングクエリでマルウェアの検体を特定できる場合に、自動で、複数の特定脅威で対象環境への攻撃を実行し、実行ログをハンティングクエリで検索して、複数の特定脅威で対象環境への脅威の影響を自動で調べる。これにより、ログ分析クエリ作成支援装置100は、ハンティングクエリを用いて検知できる複数の特定脅威の、対象環境への影響をより容易に調べることができる。 Furthermore, when a malware sample can be identified using a hunting query, the log analysis query creation support device 100 automatically executes attacks on the target environment using multiple specific threats, searches the execution log using the hunting query, and automatically investigates the impact of the multiple specific threats on the target environment. This allows the log analysis query creation support device 100 to more easily investigate the impact on the target environment of multiple specific threats that can be detected using a hunting query.

また、ログ分析クエリ作成支援装置100は、ハンティングクエリで、手動で実行される脅威の実行手順の情報を取得できる場合に、手動で実行される複数の特定脅威による対象環境への攻撃の実行時の実行ログを取得し、取得した実行ログにおける複数の特定脅威の攻撃による影響を、ハンティングクエリで検知して、検知結果に基づいて、正確度および動作共通度を算出する。これにより、ハンティングクエリを用いて検知できる複数の特定脅威の、対象環境への影響をより容易に調べることができる。 Furthermore, when information on the execution procedures of manually executed threats can be obtained using a hunting query, the log analysis query creation support device 100 acquires execution logs of attacks on the target environment by multiple manually executed specific threats, detects the impact of the attacks by the multiple specific threats in the acquired execution logs using a hunting query, and calculates accuracy and commonality of behavior based on the detection results. This makes it easier to investigate the impact on the target environment of multiple specific threats that can be detected using a hunting query.

なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加、削除、または置換をしてもよい。 The present invention is not limited to the above-described embodiments, and includes various modifications and equivalent configurations within the spirit of the appended claims. For example, the above-described embodiments have been described in detail to clearly explain the present invention, and the present invention is not necessarily limited to configurations that include all of the described configurations. Furthermore, part of the configuration of one embodiment may be replaced with the configuration of another embodiment. Furthermore, the configuration of another embodiment may be added to the configuration of one embodiment. Furthermore, part of the configuration of each embodiment may be added to, deleted from, or replaced with other configurations.

1:ログ分析システム
100:ログ分析クエリ作成支援装置
101:プロセッサ
102:主記憶装置
103:副記憶装置
104:NWIF
105:入出力装置
106:バス
111:処理実行部
111a:処理実行プログラム
112:情報取得容易度算出部
112a:情報取得容易度算出プログラム
113:クエリ脅威影響算出部
113a:クエリ脅威影響算出プログラム
114:クエリ有効性算出部
114a:クエリ有効性算出プログラム
115:ログ分析実行部
115a:ログ分析実行プログラム
121:クエリ管理テーブル
122:模擬環境テーブル
123:攻撃情報テーブル
124:有効性テーブル
200:分析者端末
300a~300n:対象模擬環境装置
310a~310n:対象模擬環境
400:ログ管理装置
410:ログテーブル
500a~500n:分析対象装置
510a~510n:分析対象環境
600a~600n:データ共有装置
NW1、NW2:ネットワーク
1: Log analysis system 100: Log analysis query creation support device 101: Processor 102: Main memory device 103: Sub-memory device 104: NWIF
105: Input/output device 106: Bus 111: Processing execution unit 111a: Processing execution program 112: Information acquisition ease calculation unit 112a: Information acquisition ease calculation program 113: Query threat impact calculation unit 113a: Query threat impact calculation program 114: Query validity calculation unit 114a: Query validity calculation program 115: Log analysis execution unit 115a: Log analysis execution program 121: Query management table 122: Simulated environment table 123: Attack information table 124: Effectiveness table 200: Analyst terminal 300a to 300n: Target simulated environment device 310a to 310n: Target simulated environment 400: Log management device 410: Log tables 500a to 500n: Analysis target device 510a to 510n: Analysis target environment 600a to 600n: Data sharing devices NW1, NW2: Network

Claims (8)

対象環境に対する脅威による影響をログから検知するために使用されるハンティングクエリが入力されるログ分析クエリ作成支援装置であって、
前記ハンティングクエリで特定できる特定脅威の攻撃の情報に関連性が高いクエリ関連記事の収集のしやすさを表す情報取得容易度を算出する情報取得容易度算出部と、
前記ハンティングクエリで特定できる複数の特定脅威それぞれによる前記対象環境への攻撃実行時のそれぞれの実行ログにおける、前記特定脅威の攻撃による影響を、前記ハンティングクエリで前記実行ログを検索して検知する場合に、前記特定脅威の攻撃による影響をどの程度正確に検知できるかを表す正確度を算出するとともに、前記複数の特定脅威それぞれによる前記対象環境への攻撃の実行時のそれぞれの実行ログおける、前記複数の特定脅威の攻撃による影響を、前記ハンティングクエリで前記実行ログを検索して検知する場合に、前記複数の特定脅威に対する検知結果の間で、共通する攻撃の手順を、前記ハンティングクエリでどの程度検知できるかを表す動作共通度を算出する、クエリ脅威影響算出部と、
前記情報取得容易度と、前記正確度と、前記動作共通度とに基づいて、前記ハンティングクエリの有効性を表す有効度を算出する、クエリ有効性算出部と、を備える、
ログ分析クエリ作成支援装置。
A log analysis query creation support device to which a hunting query used to detect the impact of a threat on a target environment from a log is input, comprising:
an information acquisition ease calculation unit that calculates an information acquisition ease indicating the ease of collecting query-related articles that are highly relevant to information on attacks of a specific threat that can be identified by the hunting query;
a query threat impact calculation unit that calculates an accuracy indicating how accurately the impact of an attack by a specific threat can be detected when the hunting query is used to search the execution logs to detect the impact of the attack by each of the multiple specific threats when the hunting query is used to search the execution logs to detect the impact of the attack by the specific threats when the hunting query is used to search the execution logs to detect the impact of the attack by the multiple ...
a query effectiveness calculation unit that calculates an effectiveness indicating the effectiveness of the hunting query based on the information acquisition ease, the accuracy, and the operation commonality;
Log analysis query creation support device.
請求項に記載のログ分析クエリ作成支援装置であって、
前記クエリ有効性算出部は、さらに、前記有効度に基づいて前記ハンティングクエリが有効か否かを表す有効性判定値を出力する、
ログ分析クエリ作成支援装置。
2. The log analysis query creation support device according to claim 1 ,
The query effectiveness calculation unit further outputs an effectiveness determination value indicating whether the hunting query is effective or not based on the effectiveness.
Log analysis query creation support device.
請求項に記載のログ分析クエリ作成支援装置であって、
さらに、前記対象環境で作成された検査対象の実行ログに対して、前記ハンティングクエリで検索して、脅威に関する情報を検査する、ログ分析実行部を備える
ログ分析クエリ作成支援装置。
2. The log analysis query creation support device according to claim 1 ,
The log analysis query creation support device further includes a log analysis execution unit that searches the execution log to be inspected, which is created in the target environment, using the hunting query to inspect information related to threats.
請求項1に記載のログ分析クエリ作成支援装置であって、
さらに、前記複数の特定脅威による前記対象環境への攻撃の実行手順の情報を格納する少なくとも1つのデータ共有装置に接続されたネットワークに接続しており、
前記クエリ脅威影響算出部は、前記複数の特定脅威による前記対象環境への攻撃の実行手順の情報を、前記ネットワークを介して取得し、
取得した、前記複数の特定脅威による前記対象環境への攻撃の実行手順の情報を用いて、前記複数の特定脅威による前記対象環境への攻撃を実行する、
ログ分析クエリ作成支援装置。
2. The log analysis query creation support device according to claim 1,
Furthermore, the system is connected to a network that is connected to at least one data sharing device that stores information on execution procedures for attacks on the target environment by the plurality of specific threats,
the query threat impact calculation unit acquires information on execution procedures of attacks on the target environment by the plurality of specific threats via the network;
Executing an attack on the target environment by the plurality of specific threats using the acquired information on the execution procedure of an attack on the target environment by the plurality of specific threats.
Log analysis query creation support device.
請求項に記載のログ分析クエリ作成支援装置であって、
前記クエリ脅威影響算出部は、前記複数の特定脅威による前記対象環境への攻撃の実行手順の情報が、マルウェアの検体の場合には、
前記マルウェアの検体である前記複数の特定脅威による前記対象環境への攻撃の実行手順の情報を用いて、前記対象環境への攻撃を実行するとともに、実行ログを取得し、
取得した実行ログにおける前記特定脅威の攻撃による影響を、前記ハンティングクエリで検知して、検知結果に基づいて、前記正確度および前記動作共通度を算出する、
ログ分析クエリ作成支援装置。
5. The log analysis query creation support device according to claim 4 ,
When the information on the execution procedures of attacks on the target environment by the plurality of specific threats is a malware sample, the query threat impact calculation unit:
using information on the execution procedures of attacks on the target environment by the plurality of specific threats that are samples of the malware, to execute the attacks on the target environment and acquire an execution log;
Detecting the impact of the attack of the specific threat in the acquired execution log using the hunting query, and calculating the accuracy and the behavior commonality based on the detection result.
Log analysis query creation support device.
請求項に記載のログ分析クエリ作成支援装置であって、
前記クエリ脅威影響算出部は、前記特定脅威による前記対象環境への攻撃の実行手順の情報が、手動で実行される脅威の実行手順の情報の場合には、
前記複数の特定脅威による前記対象環境への攻撃の実行手順の情報を出力し、
前記複数の特定脅威による前記対象環境への攻撃の実行時の実行ログを取得し、
取得した実行ログにおける前記複数の特定脅威の攻撃による影響を、前記ハンティングクエリで検知して、検知結果に基づいて、前記正確度および前記動作共通度を算出する、
ログ分析クエリ作成支援装置。
5. The log analysis query creation support device according to claim 4 ,
When the information on the execution procedure of an attack on the target environment by the specific threat is information on the execution procedure of a threat that is executed manually, the query threat impact calculation unit:
outputting information on the execution procedures of attacks on the target environment by the plurality of specific threats;
acquiring an execution log of attacks by the plurality of specific threats on the target environment;
Detecting the effects of attacks of the plurality of specific threats in the acquired execution logs using the hunting query, and calculating the accuracy and the behavior commonality based on the detection results.
Log analysis query creation support device.
対象環境に対する脅威による影響をログから検知するために使用されるハンティングクエリが入力されるとともにプロセッサを有するログ分析クエリ作成支援装置における前記プロセッサに実行させるログ分析クエリ作成支援方法であって、
前記ハンティングクエリとの関連性が高いクエリ関連記事の収集のしやすさを表す情報取得容易度を算出し、
前記ハンティングクエリで特定できる複数の特定脅威それぞれによる前記対象環境への攻撃実行時のそれぞれの実行ログにおける、前記特定脅威の攻撃による影響を、前記ハンティングクエリで前記実行ログを検索して検知する場合に、前記特定脅威の攻撃による影響をどの程度正確に検知できるかを表す正確度を算出するとともに、前記複数の特定脅威それぞれによる前記対象環境への攻撃の実行時のそれぞれの実行ログおける、前記複数の特定脅威の攻撃による影響を、前記ハンティングクエリで前記実行ログを検索して検知する場合に、前記複数の特定脅威に対する検知結果の間で、共通する攻撃の手順を、前記ハンティングクエリでどの程度検知できるかを表す動作共通度を算出
前記情報取得容易度と、前記正確度と、前記動作共通度とに基づいて、前記ハンティングクエリの有効性を表す有効度を算出する、
ログ分析クエリ作成支援方法。
1. A log analysis query creation support method for receiving a hunting query used to detect an impact of a threat on a target environment from a log and causing a processor in a log analysis query creation support device to execute the hunting query, the method comprising:
Calculating an information acquisition ease indicating the ease of collecting query-related articles that are highly relevant to the hunting query;
calculate an accuracy indicating how accurately the impact of an attack by a specific threat can be detected when the hunting query is used to search the execution logs to detect the impact of the attack by each of the multiple specific threats when the hunting query searches the execution logs to detect the impact of the attack by the specific threat, and calculate an operation commonality indicating how accurately the hunting query can detect common attack procedures between detection results for the multiple specific threats when the hunting query is used to search the execution logs to detect the impact of the attack by ...
calculating an effectiveness indicating the effectiveness of the hunting query based on the information acquisition ease, the accuracy, and the action commonality;
A method for assisting in creating log analysis queries.
対象環境に対する脅威による影響をログから検知するために使用されるハンティングクエリが入力されるとともにプロセッサを有するログ分析クエリ作成支援装置の前記プロセッサに実行されるログ分析クエリ作成支援プログラムであって、
ログ分析クエリ作成支援プログラムは、
前記ハンティングクエリとの関連性が高いクエリ関連記事の収集のしやすさを表す情報取得容易度を算出し、
前記ハンティングクエリで特定できる複数の特定脅威それぞれによる前記対象環境への攻撃実行時のそれぞれの実行ログにおける、前記特定脅威の攻撃による影響を、前記ハンティングクエリで前記実行ログを検索して検知する場合に、前記特定脅威の攻撃による影響をどの程度正確に検知できるかを表す正確度を算出するとともに、前記複数の特定脅威それぞれによる前記対象環境への攻撃の実行時のそれぞれの実行ログおける、前記複数の特定脅威の攻撃による影響を、前記ハンティングクエリで前記実行ログを検索して検知する場合に、前記複数の特定脅威に対する検知結果の間で、共通する攻撃の手順を、前記ハンティングクエリでどの程度検知できるかを表す動作共通度を算出
前記情報取得容易度と、前記正確度と、前記動作共通度とに基づいて、前記ハンティングクエリの有効性を表す有効度を算出する、
ログ分析クエリ作成支援プログラム。
A log analysis query creation support program for inputting a hunting query used to detect the impact of a threat on a target environment from a log and for executing the program on a processor of a log analysis query creation support device having a processor, the program comprising:
Log analysis query creation support program
Calculating an information acquisition ease indicating the ease of collecting query-related articles that are highly relevant to the hunting query;
calculate an accuracy indicating how accurately the impact of an attack by a specific threat can be detected when the hunting query is used to search the execution logs to detect the impact of the attack by each of the multiple specific threats when the hunting query searches the execution logs to detect the impact of the attack by the specific threat, and calculate an operation commonality indicating how accurately the hunting query can detect common attack procedures between detection results for the multiple specific threats when the hunting query is used to search the execution logs to detect the impact of the attack by ...
calculating an effectiveness indicating the effectiveness of the hunting query based on the information acquisition ease, the accuracy, and the action commonality;
A program to assist in creating log analysis queries.
JP2022106562A 2022-06-30 2022-06-30 Log analysis query creation support device and log analysis query creation support method Active JP7801965B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022106562A JP7801965B2 (en) 2022-06-30 2022-06-30 Log analysis query creation support device and log analysis query creation support method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022106562A JP7801965B2 (en) 2022-06-30 2022-06-30 Log analysis query creation support device and log analysis query creation support method

Publications (2)

Publication Number Publication Date
JP2024006027A JP2024006027A (en) 2024-01-17
JP7801965B2 true JP7801965B2 (en) 2026-01-19

Family

ID=89539656

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022106562A Active JP7801965B2 (en) 2022-06-30 2022-06-30 Log analysis query creation support device and log analysis query creation support method

Country Status (1)

Country Link
JP (1) JP7801965B2 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200014713A1 (en) 2018-07-09 2020-01-09 Cisco Technology, Inc. Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane
WO2020246011A1 (en) 2019-06-06 2020-12-10 日本電気株式会社 Rule generation device, rule generation method, and computer readable storge medium

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200014713A1 (en) 2018-07-09 2020-01-09 Cisco Technology, Inc. Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane
WO2020246011A1 (en) 2019-06-06 2020-12-10 日本電気株式会社 Rule generation device, rule generation method, and computer readable storge medium

Also Published As

Publication number Publication date
JP2024006027A (en) 2024-01-17

Similar Documents

Publication Publication Date Title
Zipperle et al. Provenance-based intrusion detection systems: A survey
US12169528B2 (en) Systems and methods for web content inspection
Allodi et al. A preliminary analysis of vulnerability scores for attacks in wild: The ekits and sym datasets
US9300682B2 (en) Composite analysis of executable content across enterprise network
Dumitraş et al. Toward a standard benchmark for computer security research: The Worldwide Intelligence Network Environment (WINE)
CN105491053A (en) Web malicious code detection method and system
Aly et al. MEGR-APT: a memory-efficient apt hunting system based on attack representation learning
CN111435393B (en) Object vulnerability detection method, device, medium and electronic device
CN112131571B (en) Threat tracing method and related equipment
CN108353083A (en) The system and method for algorithm (DGA) Malware is generated for detecting domains
CN103279710A (en) Method and system for detecting malicious codes of Internet information system
CN107241296A (en) A kind of Webshell detection method and device
CN112887341B (en) An External Threat Monitoring Method
CN116155519A (en) Threat warning information processing method, device, computer equipment and storage medium
CN107547490A (en) A kind of scanner recognition method, apparatus and system
Hakim et al. A novel digital forensic framework for data breach investigation
CN114003794A (en) Asset collection method, device, electronic equipment and medium
Amjad et al. Trackersift: Untangling mixed tracking and functional web resources
CN114817928A (en) Cyberspace data fusion analysis method, system, electronic device and storage medium
Singh et al. A survey on different phases of web usage mining for anomaly user behavior investigation
Mathew et al. Understanding multistage attacks by attack-track based visualization of heterogeneous event streams
Almazrouei et al. The internet of things network penetration testing model using attack graph analysis
JP7801965B2 (en) Log analysis query creation support device and log analysis query creation support method
Kim Potential risk analysis method for malware distribution networks
JP7302223B2 (en) Script detection device, method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20241204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20251017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20251111

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20251210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20251223

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20260106

R150 Certificate of patent or registration of utility model

Ref document number: 7801965

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150