セキュリティオペレーションの効率化に向けたSOCアナリストの共通行動抽出
書誌事項
- タイトル別名
-
- Extracting Common Behavior of SOC Analysts for Efficient Security Operation
説明
Security Operation Center (SOC) では複数のアナリストがセキュリティ機器のアラートを分析し,脅威がある場合に通知あるいは暫定対処を行う.<br>アラートを受けて通知すべき脅威かどうかの判断はSOCアナリスト個人に委ねられ,<br>個々のスキルに依存する部分が大きく,どのような判断基準かは共通になっていない.<br>そのため,SOCアナリスト個々が試行錯誤して判定を行うため手順が増大し稼働がかかったり,<br>判定の品質が一定でなかったりすることが課題である.<br>本研究ではこの暗黙知となっているアラートに対する脅威の判断手順・判断基準を明確にし,形式知にすることで,<br>SOCアナリストがより迅速に判断できるよう支援することでSOC業務の効率化を試みる.<br>より具体的にはSOCアナリストの調査・分析の際に行った行動を記録し,共通する行動を明確化する.<br>参加者実験によりアラート種類に応じて共通する検索や情報を参照するといった行動を抽出することができ,<br>今まで暗黙だったアラート調査の手順が明確になった.
In a Security Operation Center (SOC), multiple analysts analyze alerts triggered by security devices to determine if they are threats. Once a threat is identified, analysts notify it to a customer or respond to it.<br>This analysis and determination is not stylized and depend on experience and skills of SOC analysts.<br>Specifically, SOC analysts make decisions through trial and error.<br>As a result, the analysis requires a lot of time and the quality of the decision is not constant.<br>Therefore, we propose a method for clarifying the decision-making procedure and criteria of SOC analyst by extracting implicit knowledge from behavior of SOC analysts.<br>We record the actions taken by SOC analysts in their analysis, and extract the common actions.<br>The experimental result shows our method clarified the procedure for alert analysis, which was previously implicit.
収録刊行物
-
- コンピュータセキュリティシンポジウム2020論文集
-
コンピュータセキュリティシンポジウム2020論文集 645-652, 2020-10-19
情報処理学会
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050011097168752640
-
- NII論文ID
- 170000184005
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
- CiNii Articles
