威胁检测的企业图形方法技术

技术编号:21041100 阅读:30 留言:0更新日期:2019-05-04 09:48
提供了用于分析企业内的安全警报的系统和方法。企业图形基于诸如关于企业的操作智能的信息而被生成。企业图形标识企业的实体之间的关系,并且多个安全警报由企业的多个安全组件产生。基于企业图形中所标识的关系的强度,标识多个安全警报中的两个或更多个安全警报之间的一个或多个重要关系。重要关系被用来标识安全警报中的两个或更多个安全警报之间的潜在安全事故。

【技术实现步骤摘要】
【国外来华专利技术】威胁检测的企业图形方法
技术介绍
云计算和存储方案给企业提供存储和处理数据的各种能力。然而,存在与云计算和企业网络相关联的安全问题。必须适当地配置、管理和保证基础设施,并且还必须保护数据和应用。高效的安全架构应当识别并且解决出现的问题,但是情况不总是那样。虽然每天检测到的安全攻击的数目已经随着安全信息和事件管理(SIEM)软件工具和服务的使用而增加,但是任何一个攻击的重要性不容易被辨别。攻击的泛滥独自地常常阻止IT职业确定哪些攻击是最重要的。而且,经由SIEM出于安全目的记录的安全日志、警报和其他虚拟机(VM)和网络数据常常失去其关于哪些机器或电器产生他们的功能上下文,其进一步模糊攻击中的许多攻击的重要性。
技术实现思路
提供本
技术实现思路
以引入以在下面的详细描述章节中被进一步描述的简化形式的概念的选择。本
技术实现思路
不旨在标识所要求保护的主题内容的关键特征或基本特征,其也不旨在辅助确定所要求保护的主题内容的范围。根据本文所公开的一个方面,呈现了一种用于分析安全警报的方法。本文所公开的方法包括基于与企业相关联的信息生成企业图形。企业图形被用来标识企业的计算机之间的关系。在接收到由企业的安全组件产生的多个安全警报时,基于企业图形中所标识的关系的强度,标识安全警报中的两个或更多个安全警报之间的至少一个重要关系。方法然后包括基于多个安全警报中的两个或更多个安全警报之间的至少一个重要关系,标识至少一个潜在安全事故。方法还可以包括检查与至少一个潜在安全事故相关联的安全警报以标识攻击的至少一个已知部分。根据本文所公开的另一方面,呈现了一种用于分析安全警报的系统。本文所公开的系统包括用于基于与企业相关联的信息生成企业图形的企业图形服务,该信息用于标识企业的计算机之间的关系。多个安全组件生成关于企业的多个安全警报,并且然后融合服务标识安全警报之间的重要关系,其中每个重要关系被标识在企业图形中并且符合至少两个或更多个安全警报。系统还包括用于基于安全警报中的两个或更多个安全警报之间的重要关系标识潜在安全事故的杀伤链解译器。系统还可以包括优先化符合杀伤链解译器所标识的潜在安全事故的安全警报的列表,以及以下推荐:潜在安全事故中的一个或多个安全事故的安全警报被给予高于不与任何其他所标识的潜在安全事故相关联的其他安全警报的优先级。根据本文所公开的又一方面,呈现了一种包括用于分析安全警报的指令的计算机可读存储介质。由处理器执行的指令包括:基于与企业相关联的信息来生成企业图像;利用企业图形标识企业的计算机之间的关系;以及接收由企业的多个安全组件产生的多个安全警报。指令还包括:基于企业图形中所标识的关系的强度,标识安全警报中的两个或更多个安全警报之间的至少一个重要关系;以及基于安全警报中的两个或更多个安全警报之间的至少一个重要关系,标识包含企业的两个或更多个实体的潜在安全事故,其中潜在安全事故符合恶意可执行代码的已知片段的至少一部分。指令然后还包括指示潜在安全事故的多个安全警报具有高于不与所标识的潜在安全事故相关联的其他安全警报的优先级,以及推断潜在安全事故是实际攻击。示例被实现为计算机过程、计算系统或用于一个或多个计算机的计算机程序产品。根据方面,计算机程序产品是具有包括用于执行计算机过程的指令的计算机程序的计算机系统的服务器。在以下附图和描述中阐述一个或多个方面的细节。其他特征和优点从以下详细描述的阅读和相关联的附图的回顾将是明显的。将理解到,以下详细描述仅是解释性的并且不是对权利要求的限制。附图说明并入在本公开中并且构成其一部分的附图图示了各方面。在附图中:图1图示了具有各方面中被利用的企业网络的示例环境;图2图示了各方面中被利用的基于云的企业网络的示例环境;图3图示了根据各方面的用于分析企业内的安全警报的示例性系统;图4图示了示出被包含在分析具有图3的系统的企业内的安全警报中的一般阶段的流程图;图5图示了用于分析具有图3的系统的安全警报的图4的流程图的可选阶段;以及图6图示了用于各种实施例中被利用的设备/计算机的物理组件的示例性环境。具体实施方式以下详细描述参考附图。在可能的情况下,相同的附图标记被用在附图中并且以下描述参考相同或者类似元件。虽然可以描述示例,但是修改、改编和其他实现是可能的。例如,可以对附图中所图示的元件做出替代、添加或者修改,并且本文所描述的方法可以通过对所公开的方法的替代、重排或者添加阶段来修改。相应地,以下详细描述不是限制性的,但是相反,适当的范围由所附的权利要求定义。示例可以采取硬件实现、或者全部软件实现、或者组合软件和硬件方面的实现的形式。因此,以下详细描述将不以限制性意义理解。下文参考根据本专利技术的实施例的方法、装置(系统)和计算机程序产品的流程图图示和/或框图来描述本专利技术的各方面。将理解到,流程图图示和/或框图中的每个框和流程图图示和/或框图中的框的组合可以通过计算机程序指令实现。这些计算机程序指令可以被提供到通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由该计算机或其他可编程数据处理装置的处理器运行的所述指令创建用于实现所述流程图和/或(一个或多个)框图的(多个)框中所指定的功能/动作的装置。图1图示了在其中可以实践本公开的示例计算环境100。如所图示的,企业(诸如企业网络110)被分为多个站点。给定站点120可以由位于企业网络110外部或者远程于站点120定位的远程设备130远程访问,或者可以由位于企业网络110内部或者本地于站点120定位的本地设备140本地访问。企业网络110与地理位置服务150通信以为远程设备130提供位置数据。虽然图示了两个站点120、一个远程设备130和一个本地设备140,但是站点120、远程设备130和本地设备140的数目可以大于或小于被图示在示例环境100中的内容。尽管遍及多个站点120和域散布(例如,对于被散布在大地理区域上的公司、政府机构、教育机构而言),企业网络110提供在其上计算设备可以交互的单个操作环境。企业网络110的每个站点120包括:网关122,其可操作以接受来自连接到站点120的设备的通信;域控制器124,其与网关122通信并且可操作以认证试图访问企业网络110的实体;和监视器126,其与域控制器124通信并且可操作以聚集来自远程设备130的连接信息以管理实体位置数据。网关122和域控制器124将由本领域的技术人员理解为包括硬件设备和在那些设备上运行的软件以提供其功能。在各方面中,监视器126可以在专用硬件上运行或者可以经由被用于数个目的的计算设备上(诸如例如在与域控制器124相同的硬件上)的软件提供。在附加的方面中,企业网络110可以利用比站点120更少的监视器126;站点120中的一些或全部站点可以共享监视器126。远程设备130和本地设备140图示了众多计算系统,包括但不限于台式计算机系统、有线和无线计算系统、移动计算系统(例如,移动电话、上网本、平板电脑或者平板型计算机、笔记本计算机和膝上型计算机)、手持式设备、多处理器系统、基于微处理器或者可编程的消费者电子产品、小型计算机、打印机和大型计算机。远程设备130和本地设备140由用户操作,其可以是请求到企业网络110的一个或多个站点120的连接的人类或者自动化系统(例本文档来自技高网...

【技术保护点】
1.一种用于分析安全警报的方法,包括:基于与企业相关联的信息,生成企业图形;利用所述企业图形标识所述企业的计算机之间的关系;接收由所述企业的多个安全组件产生的多个安全警报;基于所述企业图形中所标识的关系的强度,标识所述多个安全警报中的两个或更多个安全警报之间的至少一个重要关系,以及基于所述多个安全警报中的所述两个或更多个安全警报之间的所述至少一个重要关系,标识至少一个潜在安全事故。

【技术特征摘要】
【国外来华专利技术】2016.09.22 US 15/273,6041.一种用于分析安全警报的方法,包括:基于与企业相关联的信息,生成企业图形;利用所述企业图形标识所述企业的计算机之间的关系;接收由所述企业的多个安全组件产生的多个安全警报;基于所述企业图形中所标识的关系的强度,标识所述多个安全警报中的两个或更多个安全警报之间的至少一个重要关系,以及基于所述多个安全警报中的所述两个或更多个安全警报之间的所述至少一个重要关系,标识至少一个潜在安全事故。2.根据权利要求1所述的方法,还包括:检查与所述至少一个潜在安全事故相关联的所述安全警报以标识攻击的至少一个已知部分。3.根据权利要求2所述的方法,其中检查与所述至少一个潜在安全事故相关联的所述安全警报以标识攻击的至少一个已知部分包括将事件链与针对攻击的准则相比较。4.根据权利要求1所述的方法,还包括:指示潜在安全事故的所述多个安全警报具有高于不与任何其他所标识的潜在安全事故相关联的其他安全警报的优先级。5.根据权利要求1所述的方法,还包括:推荐潜在安全事故的所述多个安全警报被给予调查优先级。6.根据权利要求1所述的方法,还包括:基于一个或多个潜在安全事故,生成安全警报的优先级列表。7.根据权利要求1所述的方法,还包括:推断潜在安全事故是实际攻击。8.一种用于分析安全警报的系统,包括:企业图形服务,其用于基于与企业相关联的、用于标识所述企业的计算机之间的关系的信息,生成企业图形;多个安全组件,其生成关于所述企业的多个安全警报;融合服务,其用于标识安全警报之间的重要关系,其中每个重要关系在所述企业图形中被标识并且符合至少两个或更多个安全警报;以及杀伤链解译器,其用于基于所述多个安全警报中的两个或更多个安全警报之间...

【专利技术属性】
技术研发人员:E·胡迪斯M·布拉沃曼布卢门斯特克D·阿隆H·H·纽沃思R·罗南Y·古瑞维奇
申请(专利权)人:微软技术许可有限责任公司
类型:发明
国别省市:美国,US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1