安全事故调查事件捕获制造技术

一种在主权云中的安全调查平台包括请求处理系统，所述请求处理系统接收关于调查事故的请求。控制消息处理系统在所述主权云内创建工作空间，从而能够在该工作空间内进行调查。所述控制消息处理系统在所述工作空间内执行调查任务。安全日志生成系统捕获与所述任务相对应的信息并且基于所捕获的信息来生成事件记录。记录。记录。

【技术实现步骤摘要】
【国外来华专利技术】安全事故调查事件捕获

技术介绍

[0001]计算机系统目前被广泛使用。许多计算机系统托管由远程客户端计算系统访问和使用的服务。例如，许多计算系统提供基于云的服务，在基于云的服务中，各种软件应用被作为服务提供给客户。
[0002]在这些类型的服务中，可能会发生各种不同类型的事故(incident)，这些事故将被调查以对其进行纠正。例如，服务的特征或组件可能出现故障、存在错误、或者以其他不期望的方式操作。类似地，可能会发生安全漏洞类型的事故，在所述事故中，秘密行动者获得或者试图获得对客户数据的访问。
[0003]这些类型的服务可以跨多个不同的合规(compliance)边界来提供。所述合规边界定义有时称为“主权云”的内容。不同的主权云可以沿着合规边界被划分。不同的主权云中的每个主权云可以具有不同的合规规则或法规，其用于管理如何处理数据、数据访问、以及其他安全问题。驻留在地理上位于一个区域(诸如欧洲)中的主权云中的数据可以通过关于在该区域中被应用的数字数据的合规规则来管理。然而，驻留在位于另一地理区域(诸如美国)中的主权云中的数据可以通过在该区域被应用的合规规则的不同集合来管理。因此，可以说这两个主权云被合规边界分开，因为其是通过不同的合规规则来管理的。
[0004]例如，特定主权云可能具有对访问生产服务器施加特定约束以便限制对客户数据的暴露或潜在暴露的合规规则。其他主权云可能具有禁止从该主权云中对数据的移除的合规规则或法规(例如，禁止跨合规边界移动数据)。
[0005]以上讨论仅仅提供一般背景信息，并且并不旨在用作辅助确定所要求保护的主题的范围。

技术实现思路

[0006]一种在主权云中的安全调查平台包括请求处理系统，所述请求处理系统接收关于调查事故的请求。控制消息处理系统在所述主权云内创建工作空间，从而能够在该工作空间内进行调查。所述控制消息处理系统在所述工作空间内执行调查任务。安全日志生成系统捕获与所述任务相对应的信息，并且基于所捕获的信息来生成事件记录。
[0007]提供本概述以简化的形式介绍在下文的详细描述中进一步描述的概念的选择。本概述并不意图识别所要求保护的主题的关键特征或基本特征，也并不意图用于辅助确定所要求保护的主题的范围。所要求保护的主题并不限于解决背景中所提到的任意或所有缺点的实现方式。
附图说明
[0008]图1是计算系统架构的一个示例的框图。
[0009]图2A和图2B(在本文中被统称为图2)示出了图示出在图1中所图示的架构的操作的一个示例的流程图。
[0010]图3是更详细示出请求处理系统的一个示例的框图。
[0011]图4是更详细示出控制消息处理系统的一个示例的框图。
[0012]图5是图示了在图3中所图示的请求处理系统以及在图4中所图示的控制消息处理系统的操作的一个实例的流程图。
[0013]图6是更详细示出数据/工具摄取(ingestion)系统的一个示例的框图。
[0014]图7A和图7B(在本文中被统称为图7)示出了图示出在图6中所示的系统将数据和/或工具摄取到工作空间中的操作的一个示例的流程图。
[0015]图8是更详细示出安全日志生成系统的一个示例的框图。
[0016]图9是示出了在图8中所图示的安全日志生成系统将信息存储到安全日志存储装置的操作的一个示例的流程图。
[0017]图10是更详细示出机器学习调查系统的一个示例的框图。
[0018]图11是图示了在图10中所示的机器学习调查系统生成调查包模型和分支逻辑模型的总体操作的一个示例的流程图。
[0019]图11A是图示了调查模型生成调查包的操作的一个示例的流程图。
[0020]图12是图示了在图10中所图示的机器学习调查系统使用调查包模型的操作的一个实例的流程图。
[0021]图13是示出了在图10中所图示的机器学习调查系统使用分支逻辑模型的操作的一个示例的流程图。
[0022]图14是示出了在图1所图示的架构被部署在云计算架构中的一个示例的框图。
[0023]图15是示出了能够在先前图中所示的架构中使用的计算环境的一个示例的框图。
具体实施方式
[0024]如上文所讨论的，合规边界能够使得难以调查在由那些合规边界定义的不同主权云内提供的服务内发生的不同事故。例如，可能难以获得对生产服务器的访问权，以便避免对客户数据的任何意外泄露。类似地，将数据移出主权云(例如，跨合规边界)进行调查可能不是一种选项，因为这可能违反合规要求。这会使对任何安全或服务事故进行故障排除变得非常困难。
[0025]因此，本讨论关于安全调查平台进行，在安全调查平台中，调查员能够在其中提供服务的特定合规边界内创建专门的调查工作空间。所述安全调查平台包括请求处理系统和控制消息处理系统。所述请求处理系统可以是面向调查员(或者用户)的系统，并且在不通过所述控制消息处理系统的情况下不能访问所述工作空间。所述控制消息处理系统基于从所述请求处理系统接收到的请求来管理所述工作空间并且在所述工作空间内执行任务。所述控制消息处理系统不能够由用户访问，除了从所述请求处理系统接收控制消息。因此，所述请求处理系统与所述工作空间隔离，并且所述控制消息处理系统与所述用户隔离。数据以及其他功能或工具能够被摄取到所述工作空间中，使得所述工具能够被用于对所述数据进行操作以执行各种不同类型的调查任务。来自所述工作空间的数据被归档到安全的日志存储装置中以用于分析。类似地，机器学习系统能够访问所述安全日志存储装置以生成机器学习模型，所述机器学习模型能够被用于建议可以在为了调查未来事故而生成的工作空间中所使用的数据和调查工具。一旦工作空间被创建，这些就能够为调查员预加载到所述工作空间中。所述机器学习系统也能够被用于生成分支逻辑模型，当未来调查在工作空间
中进行时，所述分支逻辑模型能够被用于建议下一调查任务。
[0026]图1是计算系统架构100的一个示例的框图。架构100包括可以访问服务数据源104
‑
106的安全调查平台服务实例102。在一个示例中，可能存在被部署在每个主权云内的安全调查平台服务实例102，使得能够在该主权云内调查事故而没有任何数据跨越合规边界。
[0027]在图1中所示的示例中，客户端计算系统108能够通过网络110访问安全调查平台服务实例102。因此，网络110能够是多种不同类型的网络中的任意网络，诸如广域网、局域网、近现场通信网络、蜂窝通信网络、或者多种其他网络或网络组合中的任意一种。
[0028]图1也示出了，在一个示例中，客户端计算系统108生成用于由用户114进行交互的接口112。用户114可以是希望调查在服务数据源104
‑
106中的一个服务数据源中发生的事故的调查员或者其他用户。因此，用户114能够与接口112进行交互，以便控制计算系统108和安全调查平台服务实例102的一些部分，从而用户114能够调查所述事故。
[0029]在图1中本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算系统，包括：请求处理系统，其接收创建工作空间请求输入，所述创建工作空间请求输入识别要被调查的事故的特性并且指示关于在主权云计算系统内创建工作空间的用户请求，所述请求处理系统基于所述创建工作空间请求输入来生成第一控制消息，其中，所述请求处理系统接收执行任务请求输入，所述执行任务请求输入识别要在所述工作空间内执行的任务，并且生成指示所识别的任务的第二控制消息；控制消息处理系统，其接收所述第一控制消息并且基于所述第一控制消息在所述主权云计算系统内生成工作空间，并且基于所述第二控制消息在所述工作空间中运行所述任务；以及在所述主权云内的安全日志生成系统，其接收指示所述工作空间被创建的工作空间创建指示符和指示所述任务被执行的任务指示符，并且生成指示所述工作空间被创建的第一事件记录和指示所执行的所述任务的第二事件记录，所述安全日志生成系统输出所述第一事件记录和所述第二事件记录以用于存储在安全日志存储中。2.根据权利要求1所述的计算系统，其中，所述安全日志生成系统包括：接口生成逻辑单元，其被配置为暴露具有信息接收功能的接口以接收所述工作空间创建指示符和所述任务指示符。3.根据权利要求2所述的计算系统，其中，所述安全日志生成系统包括：事件记录生成触发检测器，其检测事件记录生成触发并且基于所检测到的事件记录生成触发来生成触发信号。4.根据权利要求3所述的计算系统，其中，所述安全日志生成系统包括：安全事件记录生成逻辑单元，其被配置为：通过所暴露的接口来获得与所述工作空间的创建相对应的第一记录信息并且生成包括所述第一记录信息的所述第一事件记录，以及通过所暴露的接口来获得与在所述工作空间中执行的所述任务相对应的第二记录信息并且生成包括所述第二记录信息的所述第二事件记录。5.根据权利要求4所述的计算系统，其中，所述安全日志生成系统包括：输入流合并逻辑单元，其被配置为将通过所暴露的接口获得的信息合并为事件信息的合并集合。6.根据权利要求5所述的计算系统，其中，所述安全事件记录生成逻辑单元包括：流解析逻辑单元，其被配置为解析所述事件信息的合并集合以识别所述第一记录信息和所述第二记录信息。7.根据权利要求6所述的计算系统，其中，所述安全日志生成系统包括：存储交互逻辑单元，其被配置为与所述安全日志存储进行交互以将所述第一事件记录和所述第二事件记录存...

【专利技术属性】
技术研发人员：Y，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：