一种用于提供分层威胁智能的设备包括存储指令的非暂时性机器可读存储介质,所述指令使设备:接收多个威胁管理设备的多个所计算的威胁评分,其中该威胁评分分别与环境信息相关联;基于所计算的威胁评分的第一子集来确定第一实体的第一威胁评分;基于所计算的威胁评分的第二子集来确定第二实体的第二威胁评分;从威胁管理设备的监听器接收第一子集的所计算的威胁评分中的一个威胁评分的更新信息;以及基于该更新信息来更新第一威胁评分。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】分层威胁智能
技术介绍
安全信息和事件管理(SIEM,Security Information and Event Management)技 术提供了对网络硬件和应用所产生的安全警报的实时分析。SIEM技术能够检测对计算网络 的可能威胁。这些可能威胁能够根据对安全事件的分析来确定。仪表板能够用于呈现关于 可能威胁的信息。【附图说明】 下面的详细描述参考附图,其中: 图1是根据一个示例的用于确定威胁评分的系统的框图; 图2是根据一个示例的能够基于其他实体的威胁评分来确定威胁评分的系统的框 图; 图3是根据一个示例的用于基于另一威胁评分来确定实体的威胁评分的方法的流 程图; 图4是根据一个示例的用于基于更新后的所计算威胁评分来更新威胁评分的方法 的流程图; 图5是根据一个示例的能够更新并且呈现实体的威胁评分的计算设备的框图;以 及 图6是根据一个示例的用于呈现威胁评分的仪表板的示例用户界面的框图。【具体实施方式】 安全信息/事件管理(S頂或SIEM)系统一般关注从网络和反映网络活动和/或设备 的操作的联网设备来收集数据并且分析该数据以增强安全性。例如,数据可以被分析以识 别网络或联网设备上的攻击并且确定哪个用户或机器负有责任。如果攻击正在进行,可以 执行对策以挫败攻击或者减轻由攻击造成的损坏。能够被收集的数据可以起源于由联网设 备产生的消息(例如,事件、警报、预警等)或日志文件中的条目。示例联网设备包括防火墙、 入侵检测系统、服务器等。在一个示例中,每条消息或日志文件条目("事件")能够被存储以 在将来使用。被存储的事件能够以多种方式来组织。 在因特网和/或其他网络上存在多个基于因特网协议(IP)地址的设备。这些的设 备中的许多设备可能有正执行的恶意代码。此外,雇员或其他个体具有对网络的物理访问 可能造成安全威胁。应针对任何恶意行为仔细检查从任何潜在恶意设备至企业的通信。另 外,来自这些设备的攻击模式的类型和这些设备能够利用的弱点可能差异很大。SIEM技术 能够识别大量的威胁,例如,风险和/或攻击程序。然而,对系统的威胁会是对安全分析员或 管理员提出的挑战。 因此,本文中的各种实施例描述了与SIEM-起使用的分层威胁实体。威胁实体可 以是使用SIEM数据库和/或实时组件(例如,数据监视器)基于对安全事件和模型信息执行 查询来计算威胁评分的独立实体。威胁实体可以与一个或多个SIEM实体(例如,演员、资产、 团体、用户、区域、类别等)相关联。此信息能够被提供给安全分析员或管理员,他们能快速 理解该信息技术(IT)基础设施的安全威胁风险,并且深入分析详细的威胁构成。威胁历史 能够被保留,并且能够允许用户观察在顶级以及在子级的威胁趋势。此外,能够基于威胁评 分和/或威胁评分的变化来采取自动的动作。例如,如果威胁评分按0-100的百分制,则大于 80的威胁评分会导致警报,但大于95的威胁评分会导致威胁实体(例如,用户账户)的禁用。 此外,威胁评分能够与安全事件关联以触发附加的警报或动作。例如,如果威胁评分是50, 则可以不采取自动的警报和动作,然而,当与进入的安全事件关联时,能够采取警报或其他 动作。 威胁评分可以基于各种方法。威胁可以被认为是可能会利用弱点来破坏安全的可 能危险,这可能造成可能的危害。威胁可能是蓄意的、偶然的(例如,由于功能故障或不可抗 力)或其他的情况、能力、动作或事件。威胁的示例可以包括物理破坏、自然事件、失去重要 服务(例如,电力)、技术故障、信息损坏、功能损坏等。 如前所述,威胁可以基于各种情况。找到恶意活动的方法包括经由签名匹配、模式 发现和匹配等。模式发现是基于数据挖掘的抢先式方法,用于解决安全信息和事件管理 (SIEM)系统所面对的许多挑战。如此,系统能够通过匹配已知签名和/或通过关联安全信息 并发现系统中的未知跟踪模式来检查系统异常。在某些示例中,针对网络的安全信息/事件管理可包括从网络和反映网络活动和/ 或设备的操作的网络设备收集数据并且分析数据以增强安全性。网络设备的示例可包括防 火墙、入侵检测系统、服务器、工作站、个人计算机等。数据能够被分析以检测模式,模式可 指示对网络或网络设备的攻击或异常。所检测的模式可以用于例如定位数据中的那些模 式。例如,模式可以指示试图访问网络中的计算机并且安装恶意软件的蠕虫或其他类型计 算机病毒的活动。 从网络和网络设备收集的数据用于事件。事件可以是能够被监视和被分析的任何 活动。针对事件采集的数据被称为事件数据。对所采集的事件数据的分析可以被执行,以确 定该事件是否与威胁或一些其他情况相关联。与事件相关联的活动的示例可以包括登陆、 退出、通过网络发送数据、发送电子邮件、访问应用、读或写数据、端口扫描、安装软件、访问 设施中的房间等。事件数据可以从由网络设备生成的消息、日志文件条目或者从其他源来 收集。安全系统还可以产生事件数据,例如,关联事件和审计事件。 在某些示例中,异常检测还可以通过构建系统的正常模式的基线来实现,该基线 被离线地学习。当出现任何异常时,系统能够检测新模式并且向系统管理发警报。除了其他 信息,此警报可用于确定威胁评分。 图1是根据一个示例的用于确定威胁评分的系统的框图。系统100可以包括经由通 信网络110与监听器104通信的威胁管理设备102a-102n,以及其他设备(未示出)。在某些示 例中,通信网络110还可以允许连接至仪表板设备106。在一些示例中,仪表板设备106可以 是威胁管理设备。在某些示例中,威胁管理设备102、监听器104、和/或仪表板设备106是计 算设备,例如服务器、客户端计算机、桌面计算机、移动计算机、工作站等。在其他实施例中, 这些设备可以包括专用机器。这些设备可以经由处理元件、存储器和/或其他组件来实现。 威胁管理设备102可以包括与在该通信网络110或其他网络上的其他设备通信的 通信模块122。威胁管理设备102还可以包括数据监视器124。数据监视器124能用于接收关 于一个或多个设备或实体的的信息。在某些示例中,数据监视器可以将事件与增强信息关 联。例如,数据监视器可以从安全事件和关联获得信息,并且提供附加信息,例如每小时计 数、事件图(联系分析可视化)、地理事件图、分层图、关于最后的"N"个事件的信息、最后的 状态、一个或多个规则、统计、事件以及会话和解的部分匹配、系统和系统属性监视器、资产 类别计数等。 威胁管理设备102还包括用于确定实体的评分的评分模块126。如前所述,威胁实 体可以被认为是使用SIEM数据库和/或实时组件基于对安全事件和模型信息执行查询来计 算威胁评分的独立实体。实体自身可以基于实体的环境(context)。例如,威胁实体可以包 括用户、建筑的区域、访问受控位置、计算信息(例如,受保护的数据库)。威胁评分可以是实 体处于可能危险中的表示,该危险可能利用弱点来破坏安全性,这可以造成可能的危害。当 针对实体的威胁评分被更新时,信息可以经由通信模块122被发送至监听器104。如上所述, 系统能够基于实时监视器实时维护威胁评分。 监听器104能够接收信息。在一些示例中,该信息可以包括威胁实体的威胁评分和 标识符。此外,信息可包括威胁管理设备102的本文档来自技高网...
【技术保护点】
一种存储指令的非暂时性机器可读存储介质,所述指令在由用于提供分层威胁智能的设备的至少一个处理器执行的情况下,使所述设备:接收多个威胁管理设备的多个所计算的威胁评分,其中所述威胁评分分别与环境信息相关联;基于所计算的威胁评分的第一子集来确定第一实体的第一威胁评分;基于所计算的威胁评分的第二子集来确定第二实体的第二威胁评分;从所述威胁管理设备的监听器接收所述第一子集的所计算的威胁评分中的一个威胁评分的更新信息;以及基于所述更新信息来更新所述第一威胁评分。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:阿努拉克·辛格拉,莫妮卡·哈因,
申请(专利权)人:慧与发展有限责任合伙企业,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。