安全事故调查工作空间生成和调查控制制造技术

在主权云中的安全调查平台包括请求处理系统，所述请求处理系统接收关于调查事故的请求。控制消息处理系统在所述主权云内创建工作空间，从而能够在该工作空间内进行调查。识别包括在所述调查中所使用的调查资源的调查包，并且利用所识别出的调查包来预配置所述工作空间。所述控制消息处理系统使用所述调查包在所述工作空间内执行调查任务。所述工作空间内执行调查任务。所述工作空间内执行调查任务。

【技术实现步骤摘要】
【国外来华专利技术】安全事故调查工作空间生成和调查控制

技术介绍

[0001]计算机系统目前被广泛使用。许多计算机系统托管由远程客户端计算系统访问和使用的服务。例如，许多计算系统提供基于云的服务，在基于云的服务中，各种软件应用被作为服务提供给客户。
[0002]在这些类型的服务中，可能会发生各种不同类型的事故(incident)，这些事故将被调查以对其进行纠正。例如，服务的特征或组件可能出现故障、存在错误、或者以其他不期望的方式操作。类似地，可能会发生安全漏洞类型的事故，在所述事故中，秘密行动者获得或者试图获得对客户数据的访问。
[0003]这些类型的服务可以跨多个不同的合规(compliance)边界来提供。所述合规边界定义有时称为“主权云”的内容。不同的主权云可以沿着合规边界被划分。不同的主权云中的每个主权云可以具有不同的合规规则或法规，其用于管理如何处理数据、数据访问、以及其他安全问题。驻留在地理上位于一个区域(诸如欧洲)中的主权云中的数据可以通过关于在该区域中被应用的数字数据的合规规则来管理。然而，驻留在位于另一地理区域(诸如美国)中的主权云中的数据可以通过在该区域被应用的合规规则的不同集合来管理。因此，可以说这两个主权云被合规边界分开，因为其是通过不同的合规规则来管理的。
[0004]例如，特定主权云可能具有对访问生产服务器施加特定约束以便限制对客户数据的暴露或潜在暴露的合规规则。其他主权云可能具有禁止从该主权云中对数据的移除的合规规则或法规(例如，禁止跨合规边界移动数据)。
[0005]以上讨论仅仅提供一般背景信息，并且并不旨在用作辅助确定所要求保护的主题的范围。

技术实现思路

[0006]在主权云中的安全调查平台包括接收关于调查事故的请求的请求处理系统。控制消息处理系统在所述主权云内创建工作空间，从而能够在该工作空间内进行调查。包括在所述调查中使用的调查资源的调查包被识别，并且所述工作空间是利用所识别出的调查包被预配置的。所述控制消息处理系统使用所述调查包在所述工作空间内执行调查任务。
[0007]提供本概述以简化的形式介绍在下文的详细描述中进一步描述的概念的选择。本概述并不意图识别所要求保护的主题的关键特征或基本特征，也并不意图用于辅助确定所要求保护的主题的范围。所要求保护的主题并不限于解决背景中所提到的任何或所有缺点的实现方式。
附图说明
[0008]图1是计算系统架构的一个示例的框图。
[0009]图2A和图2B(在本文中被统称为图2)示出了图示出在图1中所图示的架构的操作的一个示例的流程图。
[0010]图3是更详细示出请求处理系统的一个示例的框图。
[0011]图4是更详细示出控制消息处理系统的一个示例的框图。
[0012]图5是图示了在图3中所图示的请求处理系统以及在图4中所图示的控制消息处理系统的操作的一个实例的流程图。
[0013]图6是更详细示出数据/工具摄取(ingestion)系统的一个示例的框图。
[0014]图7A和图7B(在本文中被统称为图7)示出了图示出在图6中所示的系统将数据和/或工具摄取到工作空间中的操作的一个示例的流程图。
[0015]图8是更详细示出安全日志生成系统的一个示例的框图。
[0016]图9是示出了在图8中所图示的安全日志生成系统将信息存储到安全日志存储装置的操作的一个示例的流程图。
[0017]图10是更详细示出机器学习调查系统的一个示例的框图。
[0018]图11是图示了在图10中所示的机器学习调查系统生成调查包模型和分支逻辑模型的总体操作的一个示例的流程图。
[0019]图11A是图示了调查模型生成调查包的操作的一个示例的流程图。
[0020]图12是图示了在图10中所图示的机器学习调查系统使用调查包模型的操作的一个实例的流程图。
[0021]图13是示出了在图10中所图示的机器学习调查系统使用分支逻辑模型的操作的一个示例的流程图。
[0022]图14是示出了在图1所图示的架构被部署在云计算架构中的一个示例的框图。
[0023]图15是示出了能够在先前图中所示的架构中使用的计算环境的一个示例的框图。
具体实施方式
[0024]如上文所讨论的，合规边界能够使得难以调查在由那些合规边界定义的不同主权云内提供的服务内发生的不同事故。例如，可能难以获得对生产服务器的访问权，以便避免对客户数据的任何意外泄露。类似地，将数据移出主权云(例如，跨合规边界)进行调查可能不是一种选项，因为这可能违反合规要求。这会使对任何安全或服务事故进行故障排除变得非常困难。
[0025]因此，本讨论关于安全调查平台进行，在安全调查平台中，调查员能够在其中提供服务的特定合规边界内创建专门的调查工作空间。所述安全调查平台包括请求处理系统和控制消息处理系统。所述请求处理系统可以是面向调查员(或者用户)的系统，并且在不通过所述控制消息处理系统的情况下不能访问所述工作空间。所述控制消息处理系统基于从所述请求处理系统接收到的请求来管理所述工作空间并且在所述工作空间内执行任务。所述控制消息处理系统不能够由用户访问，除了从所述请求处理系统接收控制消息。如下文所描述的，也能够认证和/或批准关于在所述工作空间中执行操作的请求。因此，所述请求处理系统与所述工作空间隔离，并且所述控制消息处理系统与所述用户隔离。数据以及其他功能或工具能够被摄取到所述工作空间中，使得所述工具能够被用于对所述数据进行操作以执行各种不同类型的调查任务。来自所述工作空间的数据被作为证据归档到安全的日志存储装置中。类似地，机器学习系统能够访问所述安全日志存储装置以生成机器学习模型，所述机器学习模型能够被用于建议可以在为了调查未来事故而生成的工作空间中所使用的数据和(调查工具)。一旦工作空间被创建，这些就能够为调查员预加载到所述工作空
间中。所述机器学习系统也能够被用于生成分支逻辑模型，当未来调查在工作空间中进行时，所述分支逻辑模型能够被用于建议下一调查任务。
[0026]图1是计算系统架构100的一个示例的框图。架构100包括可以访问服务数据源104
‑
106的安全调查平台服务实例102。在一个示例中，可能存在被部署在每个主权云内的安全调查平台服务实例102，使得能够在该主权云内调查事故而没有任何数据跨越合规边界。
[0027]在图1中所示的示例中，客户端计算系统108能够通过网络110访问安全调查平台服务实例102。因此，网络110能够是多种不同类型的网络中的任意网络，诸如广域网、局域网、近现场通信网络、蜂窝通信网络、或者多种其他网络或网络组合中的任意一种。
[0028]图1也示出了，在一个示例中，客户端计算系统108生成用于由用户114进行交互的接口112。用户114可以是希望调查在服务数据源104
‑
106中的一个服务数据源中发生的事故的调查员或者其他用户。因此，用户114能够与接口112进行交互，以便控制计算系统108和安本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算系统，包括：请求处理系统，其接收创建工作空间请求输入，所述创建工作空间请求输入识别要被调查的事故的特性并且指示关于在主权云计算系统内创建工作空间的用户请求，所述请求处理系统基于所述创建工作空间请求输入来生成第一控制消息；控制消息处理系统，其接收所述第一控制消息，并且基于所述第一控制消息在所述主权云计算系统内生成工作空间；机器学习的调查包建议模型，其基于所述事故的所述特性来识别调查包，所述调查包包括调查资源；调查包输出生成器，其生成所识别出的调查包的指示；以及预配置系统，其将所识别出的调查包输入到所述工作空间。2.根据权利要求1所述的计算系统，其中，所述预配置系统包括：自动预配置逻辑单元，其被配置为将所识别出的调查包自动地加载到所述工作空间中。3.根据权利要求1所述的计算系统，其中，所述预配置系统包括：请求处理系统交互逻辑单元，其被配置为将所识别出的调查包的所述指示提供给所述请求处理系统以用于作为建议的调查包来呈现以用于用户批准。4.根据权利要求1所述的计算系统，并且还包括：日志，其被配置为存储指示在其他工作空间中用于调查具有对应事故特性的其他事故的调查资源的任务数据；以及机器学习调查包生成模型，其被配置为：访问所述日志中的所述任务数据，并且基于所述任务数据来生成调查包，并且将所述调查包和所述对应事故特性存储在调查包存储中。5.根据权利要求4所述的计算系统，其中，所述机器学习的调查包建议模型被配置为：访问所述调查包存储中的所述调查包，以基于所述事故的所述特性和与被存储在所述调查包存储中的所述调查包相对应的所述事故特性来识别所识别出的调查包。6.根据权利要求4所述的计算系统，并且还包括：机器学习系统，其被配置为：访问所述日志中的所述任务数据，并且基于所述日志中的所述任务数据来自动地生成和更新所述调查包建议模型和所述调查包生成模型。7.根据权利要求6所述的计算系统，其中，所述机器学习系统包括：学习触发标准检测逻辑单元，其被配置为检测学习标准，所述学习标准指示所述机器学习系统要训练所述调查包生成模型或所述调查包建议模型中的至少一个模型；以及调查包模型训练逻辑单元，其被配置为基于所述日志中的所述任务数据来训练所述至少一个模型。8.根据权利要求4所述的计算系统，其中，所述请求处理系统接收执行任务请求输入，所述执行任务请求输入识别要在所述工作空间内执行的任务，并且生成指示所识别出的任务的第二控制消息，并且所述计算系统还包括：任务运行逻辑单元，其被配置为基于所述第二控制消息在所述工作空间中运行所述任务，所述请求处理系统与所述工作空间隔离，并且所述控制消息处理系统与用户交互隔离。9.根据权利要求8所述的计算系统，并且还包括：机器学习的分支逻辑模型，其被配置为基于所述事故的所述特性和基于所述第二控制

【专利技术属性】
技术研发人员：Y，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：