一种在主权云中的安全调查平台包括请求处理系统,所述请求处理系统是面向用户的系统并且接收关于为事故调查做准备的请求。控制消息处理系统在所述主权云内创建工作空间,从而能够在该工作空间内进行调查。所述请求处理系统不访问所述工作空间,并且所述控制消息处理系统不可供用户外部访问。数据和功能被摄取到所述工作空间中。所述控制消息处理系统在所述工作空间内执行调查准备任务。所述调查任务的结果将被呈现以用于用户访问。结果将被呈现以用于用户访问。结果将被呈现以用于用户访问。
【技术实现步骤摘要】
【国外来华专利技术】安全调查平台
技术介绍
[0001]计算机系统目前被广泛使用。许多计算机系统托管由远程客户端计算系统访问和使用的服务。例如,许多计算系统提供基于云的服务,在基于云的服务中,各种软件应用被作为服务提供给客户。
[0002]在这些类型的服务中,可能会发生各种不同类型的事故(incident),这些事故将被调查以对其进行纠正。例如,服务的特征或组件可能出现故障、存在错误、或者以其他不期望的方式操作。类似地,可能会发生安全漏洞类型的事故,在所述事故中,秘密行动者获得或者试图获得对客户数据的访问。
[0003]这些类型的服务可以跨多个不同的合规(compliance)边界来提供。所述合规边界定义有时称为“主权云”的内容。不同的主权云可以沿着合规边界被划分。不同的主权云中的每个主权云可以具有不同的合规规则或法规,其用于管理如何处理数据、数据访问、以及其他安全问题。驻留在地理上位于一个区域(诸如欧洲)中的主权云中的数据可以通过关于在该区域中被应用的数字数据的合规规则来管理。然而,驻留在位于另一地理区域(诸如美国)中的主权云中的数据可以通过在该区域被应用的合规规则的不同集合来管理。因此,可以说这两个主权云被合规边界分开,因为其是通过不同的合规规则来管理的。
[0004]例如,特定主权云可能具有对访问生产服务器施加特定约束以便限制对客户数据的暴露或潜在暴露的合规规则。其他主权云可能具有禁止从该主权云中对数据的移除的合规规则或法规(例如,禁止跨合规边界移动数据)。
[0005]以上讨论仅仅提供一般背景信息,并且并不旨在用作辅助确定所要求保护的主题的范围。
技术实现思路
[0006]一种在主权云中的安全调查平台包括请求处理系统,所述请求处理系统是面向用户的系统,并且接收关于创建工作空间以调查事故的请求。控制消息处理系统在所述主权云内创建工作空间,从而能够在该工作空间内进行调查。所述请求处理系统不直接访问所述工作空间,并且所述控制消息处理系统不可供用户外部访问。数据和工具被摄取到所述工作空间中以用于调查。所述控制消息处理系统在所述工作空间内执行调查任务。所述调查任务的结果将被呈现以用于用户访问。
[0007]提供本概述以简化的形式介绍在下文的详细描述中进一步描述的概念的选择。本概述并不意图识别所要求保护的主题的关键特征或基本特征,也并不意图用于辅助确定所要求保护的主题的范围。所要求保护的主题并不限于解决背景中所提到的任意或所有缺点的实现方式。
附图说明
[0008]图1是计算系统架构的一个示例的框图。
[0009]图2A和图2B(在本文中被统称为图2)示出了图示出在图1中所图示的架构的操作
的一个示例的流程图。
[0010]图3是更详细示出请求处理系统的一个示例的框图。
[0011]图4是更详细示出控制消息处理系统的一个示例的框图。
[0012]图5是图示了在图3中所图示的请求处理系统以及在图4中所图示的控制消息处理系统的操作的一个实例的流程图。
[0013]图6是更详细示出数据/工具摄取(ingestion)系统的一个示例的框图。
[0014]图7A和图7B(在本文中被统称为图7)示出了图示出在图6中所示的系统将数据和/或工具摄取到工作空间中的操作的一个示例的流程图。
[0015]图8是更详细示出安全日志生成系统的一个示例的框图。
[0016]图9是示出了在图8中所图示的安全日志生成系统将信息存储到安全日志存储装置的操作的一个示例的流程图。
[0017]图10是更详细示出机器学习调查系统的一个示例的框图。
[0018]图11是图示了在图10中所示的机器学习调查系统生成调查包模型和分支逻辑模型的总体操作的一个示例的流程图。
[0019]图12是图示了在图10中所图示的机器学习调查系统使用调查包模型的操作的一个实例的流程图。
[0020]图13是示出了在图10中所图示的机器学习调查系统使用分支逻辑模型的操作的一个示例的流程图。
[0021]图14是示出了在图1所图示的架构被部署在云计算架构中的一个示例的框图。
[0022]图15是示出了能够在先前图中所示的架构中使用的计算环境的一个示例的框图。
具体实施方式
[0023]如上文所讨论的,合规边界能够使得难以调查在由那些合规边界定义的不同主权云内提供的服务内发生的不同事故。例如,可能难以获得对生产服务器的访问权,以便避免对客户数据的任何意外泄露。类似地,将数据移出主权云(例如,跨合规边界)进行调查可能不是一种选项,因为这可能违反合规要求。这会使对任何安全或服务事故进行故障排除变得非常困难。
[0024]因此,本讨论关于安全调查平台进行,在安全调查平台中,调查员能够在其中提供服务的特定合规边界内创建专门的调查工作空间。所述安全调查平台包括请求处理系统和控制消息处理系统。所述请求处理系统可以是面向调查员(或者用户)的系统,并且在不通过所述控制消息处理系统的情况下不能访问所述工作空间。所述控制消息处理系统基于从所述请求处理系统接收到的请求来管理所述工作空间并且在所述工作空间内执行任务。所述控制消息处理系统不能够由用户访问,除了从所述请求处理系统接收控制消息。因此,所述请求处理系统与所述工作空间隔离,并且所述控制消息处理系统与所述用户隔离。数据和工具能够被摄取到所述工作空间中,使得所述工具能够被用于对所述数据进行操作以执行各种不同类型的调查任务。来自所述工作空间的数据被作为证据归档到安全存储装置中。类似地,机器学习系统能够访问所归档的数据以生成机器学习模型,所述机器学习模型能够被用于建议可以在为了调查未来事故而生成的工作空间中所使用的数据和工具。所述机器学习系统也能够被用于生成分支逻辑模型,当调查在使用工作空间进行时,所述分支
逻辑模型能够被用于建议下一调查任务。
[0025]图1是计算系统架构100的一个示例的框图。架构100包括可以访问服务数据源104
‑
106的安全调查平台服务实例102。在一个示例中,可能存在被部署在每个主权云内的安全调查平台服务实例102,使得能够在该主权云内调查事故而没有任何数据跨越合规边界。
[0026]在图1中所示的示例中,客户端计算系统108能够通过网络110访问安全调查平台服务实例102。因此,网络110能够是多种不同类型的网络中的任意网络,诸如广域网、局域网、近现场通信网络、蜂窝通信网络、或者多种其他网络或网络组合中的任意一种。
[0027]图1也示出了,在一个示例中,客户端计算系统108生成用于由用户114进行交互的接口112。用户114可以是希望调查在服务数据源104
‑
106中的一个服务数据源中发生的事故的调查员或者其他用户。因此,用户114能够与接口112进行交互,以便控制和操纵计算系统108和安全调查平台服务实例102的一些部分,从而用户114能够调查所述事故。
[0028]在图1中所示的示例中,安全调查平台服务实例102说明本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种计算系统,包括:在主权云计算系统内的至少一个处理器;以及存储计算机可执行指令的存储器,所述计算机可执行指令当由所述至少一个处理器运行时在所述主权云计算系统内提供:请求处理系统,其接收指示关于创建工作空间的用户请求的创建工作空间请求输入,并且基于所述创建工作空间请求输入来生成第一控制消息,所述请求处理系统接收指示关于使任务在所述工作空间内执行的用户请求的执行任务请求输入,并且基于所述执行任务请求输入来生成与所述任务相对应的第二控制消息;控制消息处理系统,其接收所述第一控制消息并且基于所述第一控制消息在所述主权云计算系统内生成工作空间;以及任务运行逻辑单元,其基于所述第二控制消息在所述工作空间中运行所述任务,所述请求处理系统与所述工作空间隔离,并且所述控制消息处理系统与用户交互隔离。2.根据权利要求1所述的计算系统,其中,所述请求处理系统被配置为:接收指示关于将所请求的资源输入到所述工作空间中的请求的摄取请求输入,并且生成指示所请求的资源的扫描控制消息。3.根据权利要求2所述的计算系统,其中,所请求的资源包括以下中的至少一项:被配置为在所述工作空间内执行调查任务的调查代码,或者在所述工作空间中执行所述调查时要使用的数据。4.根据权利要求2所述的计算系统,并且还包括:摄取系统,其被配置为:接收所述扫描控制消息,并且基于所述扫描控制消息将所请求的资源摄取到所述工作空间中。5.根据权利要求4所述的计算系统,其中,所述摄取系统包括:扫描控制消息队列,其存储所述扫描控制消息。6.根据权利要求5所述的计算系统,其中,所述摄取系统包括:资源访问系统,其被配置为识别所请求的资源并且访问资源以获得所请求的资源并且将所请求的资源存储在临时数据存储中;以及扫描系统,其被配置为:扫描所请求的资源以确定所请求的资源是否适合于摄取到所述工作空间中,并且生成指示所述确定的扫描结果信号。7.根据权利要求6所述的计算系统,其中,所述扫描系统包括:扫描逻辑单元的多个不同集合,每个集合执行不同的扫描操作;以及扫描逻辑单元标识符,其被配置为基于所请求的资源来选择扫描逻辑单元的所述多个不同集合中的至少一个集合。8.根据权利要求1所述的计算系统,其中,所述控制消息处理系统包括:控制消息队列,其中,所述请求处理系统将其生成的控制消息写入到所述控制消息队列。9.根据权利要求1所述的计算系统,其中,所述控制消息处理系统包括:工作空间访问管理逻辑单元,其被配置为基于与指示要在所述工作空间中执行的给定任务的控制消息相对应的用户标识来授权所述给定任务。10.根据权利要求1所述的计算系统,其中,所述控制消息处理...
【专利技术属性】
技术研发人员:Y,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。