CN110140125A - 安全性与合规性环境中的威胁情报管理 - Google Patents
安全性与合规性环境中的威胁情报管理 Download PDFInfo
- Publication number
- CN110140125A CN110140125A CN201780081475.XA CN201780081475A CN110140125A CN 110140125 A CN110140125 A CN 110140125A CN 201780081475 A CN201780081475 A CN 201780081475A CN 110140125 A CN110140125 A CN 110140125A
- Authority
- CN
- China
- Prior art keywords
- threat
- data
- potential
- user
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Abstract
提供了安全性和合规性环境中的威胁情报管理。安全性和合规***的威胁探测器平台或模块可以在组织级别检测、调查、管理并提供针对威胁的可操作洞察。利用收集不同类型的信号(元数据、文档、活动等等)并在多级评估中进行关联的数据洞察平台,威胁情报模块可以提供有关潜在威胁、受影响区域和可操作洞察的可操作视觉信息,其中可操作洞察是使用数据洞察平台内的数据的上下文相关性从内部威胁数据和外部信息推导出的。可以基于上下文在多个级别动态调整用户体验,并允许用户向下钻取任意深度。
Description
背景技术
服务提供商的租户向其用户提供(例如公司向其员工或组织向其成员提供)的托管服务是越来越常见的软件使用模型。托管服务涵盖范围广泛的软件应用和***,从云存储到生产力、以及从协作到通信。因此,任何数量的用户可以利用在托管服务框架下提供的应用来生成、处理、存储、以及协作文档和其它数据。
威胁管理服务的准确性、效率和有效性可以与对这些数据的底层数据和分析能力的范围和类型成比例地增加。例如,仅针对恶意威胁来检查传入的电子邮件或附件可能非常有限,并且无法捕获已经通过防御的用户动作或恶意软件。针对安全性或合规性的常规服务通常是单维的并且遭受这些限制的结果。
发明内容
提供本发明内容以用简化形式引入一些概念,这些概念以下在详细描述中进一步描述。本发明内容并非旨在标识所要求保护的主题内容的关键特征或必要特征,也并非旨在帮助确定所要求保护的主题内容的范围。
各实施例涉及安全性和合规性环境中的威胁情报管理。在一些示例中,可以基于对相关和多级评估数据的分析来分析租户的服务环境以确定接收到的和潜在的威胁,其中相关和多级评估数据包括通信、存储的内容、元数据和活动。可以基于分析结果以及接收到的和潜在的威胁来确定每个接收到的威胁的潜在影响,并通过一个或多个交互式可视化内容来呈现潜在影响,其中每个可视化内容的至少一个元素是可操作的。随后可以呈现和/或自动实现针对每个接收到的威胁的补救。
通过阅读以下详细描述和对相关附图的查阅,这些和其它特征和优点将是显而易见的。要理解,前述一般描述和以下的详细描述两者都是说明性的,并不限制所要求保护的各方面。
附图说明
图1A至图1C包括示出了示例性网络环境的显示图,其中可以实现在安全性和合规性环境中提供威胁情报管理的***;
图2A和图2B包括示出了在安全性和合规性环境中提供威胁情报管理的安全性和合规***的组件和交互的显示图;
图3包括概念性地示出了在安全性和合规性环境中提供威胁情报管理的威胁探测器模块的输入和输出的显示图;
图4包括示出了根据实施例的用于分析威胁并生成洞察和补救输出的***的示例性输入的显示图;
图5A和图5B包括示出了示例性威胁探测器仪表板上的可视化内容和动作的显示图;
图6是其中可以实现根据各实施例的***的联网环境;
图7是示例性计算设备的框图,该计算设备可以用于在安全性和合规性环境中提供威胁情报管理;以及
图8示出了根据本文所描述的至少一些实施例布置的用于在安全性和合规性环境中提供威胁情报管理的方法的逻辑流程图。
具体实施方式
如上面简要描述的,各实施例涉及安全性和合规性环境中的威胁情报管理。在一些示例中,安全性和合规***的威胁探测器模块可以在组织级别检测、调查、管理并提供针对威胁的可操作洞察。利用收集不同类型的信号(元数据、文档、活动等等)并在多级评估中进行关联的数据洞察平台,威胁情报模块可以提供有关潜在威胁、受影响区域和可操作洞察的可操作视觉信息,其中可操作洞察是使用数据洞察平台内的数据的上下文相关性从内部威胁数据和外部信息推导出的。可以基于上下文在多个级别动态地调整用户体验,并允许用户向下钻取(drill down)任意深度。
如本文所使用的,上下文相关性是指根据相关联的元数据和活动对诸如通信、文档和非文档内容之类的数据进行多级评估和关联。例如,可以基于文档的敏感信息内容、删除人员或实体、删除人员或实体的位置等等来针对潜在威胁来评估特定位置中的文档的删除。因此,可以实现更细粒度的威胁评估和管理方法,从而减少误报并允许及早检测到实际威胁。
在以下详细描述中,参考形成该详细描述的一部分的附图,并且在附图中通过说明、特定实施例或示例来示出。可以组合这些方面,可以利用其它方面,并且可以在不脱离本公开内容的精神或范围的情况下做出结构性改变。因此,以下详细描述不应被视为是限制性的,并且本发明的范围由所附权利要求及其等效方案来限定。
虽然将在结合在个人计算机上的操作***上运行的应用程序来执行的程序模块的一般上下文中描述一些实施例,但是本领域技术人员将认识到,也可以与其它程序模块组合地实现各方面。
通常,程序模块包括例程、程序、组件、数据结构、以及执行特定任务或实现特定抽象数据类型的其它类型的结构。此外,本领域技术人员将意识到,可以利用其它计算机***配置来实现各实施例,包括手持设备、微处理器***、基于微处理器或可编程消费电子产品、小型计算机、大型计算机、以及类似的计算设备。还可以在分布式计算环境中实现各实施例,其中由通过通信网络链接的远程处理设备来执行各任务。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备两者中。
一些实施例可以被实现为计算机实现的过程(方法)、计算***、或者被实现为制品,例如计算机程序产品或计算机可读介质。计算机程序产品可以是可由计算机***读取的计算机存储介质,并且编码有包括指令的计算机程序,这些指令用于使得计算机或计算***执行示例性过程。计算机可读存储介质是计算机可读存储器设备。例如,计算机可读存储介质可以经由以下各项中的一项或多项来实现:易失性计算机存储器、非易失性存储器、硬盘驱动器、闪存驱动器、软盘、或压缩盘、以及类似的硬件介质。
贯穿该说明书,术语“平台”可以是用于在安全性和合规性环境中提供威胁情报管理的软件和硬件组件的组合。平台的示例包括但不限于在多个服务器上执行的托管服务、在单个计算设备上执行的应用、以及类似***。术语“服务器”通常是指执行通常在联网环境中的一个或多个软件程序的计算设备。然而,服务器也可以被实现为在一个或多个计算设备上执行的虚拟服务器(软件程序),该服务器被视为网络上的服务器。以下提供关于这些技术和示例性操作的更多细节。
图1A至图1C包括示出了示例性网络环境的显示图,其中可以实现在安全性和合规性环境中提供威胁情报管理的***。
如示图100A-100C中所示出的,示例性***可以包括在至少一个处理服务器116上执行托管服务114的数据中心112,处理服务器116例如可以与其它服务器120结合来向用户提供生产力、通信、云存储、协作和类似服务。托管服务114还可以包括调度服务、在线会议服务和类似服务。托管服务114可以被配置为:在一个或多个网络(例如网络110)上通过一个或多个客户端设备102与客户端应用106互操作。客户端设备102可以包括台式计算机、膝上型计算机、平板计算机、车载计算机、智能电话或可穿戴计算设备、以及其它类似设备。在一些示例中,托管服务114可以允许用户通过在客户端设备102上执行的客户端应用106来访问其服务。在其它示例中,托管服务114可以被提供给租户(例如,企业、组织、或类似实体),该租户可以为其用户配置和管理服务。
在一个实施例中,如示图100A中所示出的,处理服务器116可操作用于执行托管服务114的安全性和合规性应用118,其中安全性和合规性应用118可以与托管服务114集成以提供数据管理、安全性、威胁管理、数据存储和处理合规性、以及类似服务。安全性和合规性应用118可以包括威胁情报模块122,该模块122被配置为:分析包括通信、存储的内容、元数据和活动的相关和多级评估的数据,并基于分析结果来确定针对接收到的威胁的潜在影响。威胁情报模块122还可以通过一个或多个交互式和可操作的可视化内容来呈现接收到的和潜在的威胁以及潜在影响,并呈现或自动地实现针对威胁的补救动作。
在另一实施例中,如示图100B中所示出的,安全性和合规性模块118可以在客户端设备102处结合客户端应用106来执行。威胁情报模块122仍然可以在托管服务114内接收和监视整个托管服务114中的数据和活动并提供上面提到的服务。在另一实施例中,如示图100C中所示出的,威胁情报模块122可以与单独的保护服务126集成,并由保护服务126的一个或多个处理服务器124执行。保护服务126可以被配置为:对托管服务114和/或与托管服务114相关联的多个应用(例如客户端应用106)进行服务。此外,保护服务126可以向多个托管服务提供其服务。因此,如果租户订阅多个托管服务,则可以使用公共信息(例如,分析结果、用户简档、数据和元数据)来协调建议的策略和配置,从而减少管理员的策略实现负担的重复。如本文所述,托管服务114、安全性和合规性应用118、威胁情报模块122和保护服务126可以实现为软件、硬件或其组合。
在一些实施例中,威胁情报模块122可以被配置为:从由数据洞察平台提供的上下文相关和多级评估数据并且与外部信息(诸如组织信息的上下文中的趋势威胁)组合来确定内部威胁。相同的因素和信号也可以用于确定可操作洞察。
如先前讨论的,服务提供商的租户向其用户提供的托管服务是越来越常见的软件使用模型,因为它允许任意数量的用户利用托管服务框架下提供的应用来生成、处理、存储、以及协作文档和其它数据。托管服务的使用可以包括大量用户的处理和存储或大量数据,从而使得数据和底层基础设施易受内部和外部威胁的影响。因此,***管理员在主动保护***和数据的同时允许对用户进行有效且无阻碍的数据和资源访问是具有挑战性的工作。如本文所描述的安全性和合规性环境中实现威胁情报管理可以允许托管服务的租户了解他们的安全环境、确定他们的漏洞和保护需求、配置他们的***、实现策略/补救动作、以及以有效的方式定制用户界面。通过这些技术优势,可以保持处理和网络容量,可以增强数据安全性,可以改善可用性,并且可以增加用户交互性。
如本文所描述的,各实施例解决由不能够由人管理的基于软件的服务产生的非常大规模操作引起的需求。本文所描述的动作/操作不仅仅是计算机的使用,而是解决***的结果,该***是用作与大量设备和使用托管服务的用户一起提供的服务的软件的直接结果。
图2A和图2B包括示出了在安全性和合规性环境中提供威胁情报管理的安全性和合规***的组件和交互的显示图。
示图200A和200B示出了用于全面的安全性和合规***的示例性基础设施,该基础设施可以在其组件中包括用于在安全性和合规性环境中提供威胁情报管理的威胁情报模块。在一些示例中,根据策略要分析、分类、保护和处理的数据可以来自各种源,例如通信数据存储202、协作数据存储204和云存储206。本地数据源208也可以有助于要处理的数据。相关的多级数据存储服务210(也称为数据洞察平台)可以接收存储的数据、与数据相关联的活动、以及元数据,并基于活动和元数据在多个级别上关联数据。例如,查看包含敏感信息的所有文档的共享的威胁分析可能是过度的并且消耗不必要的资源,导致误报等等。在根据实施例的***中,可以基于上下文关联来实现更精细的方法。例如,包含金融(例如,信用***)或个人(例如,社会安全号码)的文档的外部共享可以用作威胁评估的触发。可以根据这些更细粒度的类别来确定策略和补救动作,从而允许更准确和有效地处理和保护数据。
较大的基础设施还可以包括警报引擎212以基于威胁或不可接受的数据使用来确定和发出警报,以及策略引擎214以确定和实现保留、处理和保护策略。如示图200B中所示出的,相关的多级数据存储可以由多个模块(例如威胁情报模块230)用于管理内部和外部威胁,并且由数据探测器模块226用于识别数据类别并针对所识别的数据确定适用的策略和补救动作。可以提供诸如威胁情报用户界面232、警报用户界面224和策略用户界面222之类的用户体验作为安全性和合规性中心220的一部分,以呈现与服务的各个方面相关联的可操作可视化内容并且接收要提供给各个模块的用户/管理员输入。各种应用编程接口(API)(例如REST API)可以用于在***的不同组件之间交换通信。
图3包括概念性地示出了在安全性和合规性环境中提供威胁情报管理的威胁探测器模块的输入和输出的显示图。
在示图300的示例性配置中,威胁探测器模块304可以接收威胁馈送308作为输入,威胁馈送308可以包括内部威胁数据、外部威胁数据和用户简档326。根据诸如上下文因素(例如用户简档、活动、受影响的数据类型等等)来分析威胁数据,威胁探测器模块304可以生成威胁警报306、补救动作310,并管理威胁情报仪表板302。威胁情报仪表板302可以提供对当前保护级别、确定的和潜在的威胁、威胁趋势(例如,全局)的概述,以及针对另外保护的推荐322。威胁警报306可以包括关于错过的威胁的警报(例如,具有潜在危险的经传递通信或存储的数据)324。补救动作310可以包括删除错过或捕获的威胁,调查选项(针对错过的威胁),修改或许可级别,重置用户简档,活动和***组件328。
安全性和合规性环境中的威胁情报管理的另一方面可以包括集成312,其中威胁探测器模块304及其活动可以与不同的托管服务、安全服务或应用以及跨***检测330集成。例如,相同的威胁探测器模块304可以向多个托管服务(例如,生产力服务、协作服务、通信服务)提供威胁情报管理服务和/或与一个或多个安全服务或应用(例如,病毒保护应用、网络钓鱼保护服务等等)协调其操作。该***还可以与操作***、云存储***和其它***互操作,以接收对数据和信息的访问,并提供对威胁分析的反馈。***还可以允许集成到不同的门户和连接中,并且可以基于威胁而在各平台之间改变用户体验(例如,生产力服务到操作***并返回)。
在一些实施例中,可以智能地分析威胁。例如,可以调查具有类似主体但来自不同源的电子邮件;可以调查来自外部源的第一次接触。可以基于用户或组织级别风险评估来定制调查和补救。例如,如果用户共享文档并与大量其他用户通信或者可以访问机密数据,则该用户可以被视为较高的风险/优先级。补救动作可以基于文档、基于用户或基于***策略。如果某些威胁通过防御,则可以启用多个级别的调查,并在事后移除威胁。可以根据策略来维护调查和补救审计跟踪(例如,删除电子邮件)。示例性补救动作可以包括实现建议的策略和限制以下一项或多项:删除动作、共享动作、复制动作、移动动作、匿名链接创建、同步、站点创建、创建的豁免、权限修改、清除电子邮箱、文件夹移动、用户添加、和/或群组添加。
图4包括示出了根据实施例的用于分析威胁并生成洞察和补救输出的***的示例性输入的显示图。
如示图400中所示出的,根据实施例的***可以接收通信和文档元数据402、404,以将存储的通信、文档和非文档内容在多级相关存储442中进行关联。对***的进一步输入可以包括审计活动412、点击轨迹414、数据丢失防止(DLP)命中416。威胁信息(接收到的或潜在的)可以包括网络钓鱼尝试422、恶意软件424、欺骗电子邮件426、以及机器感染428等等。此外,定向或目标威胁432(针对特定人员、群组、基础设施组件或数据类别),广义威胁436和全局威胁趋势信息434。
可以通过关于多级相关存储442处的数据的基于查询的分析444来推导对接收到的和潜在威胁的洞察以及补救动作446。可以基于推导的洞察和补救动作446来管理交互式仪表板452提供与保护状态、威胁、补救动作、向下钻取操作等相关联的可视化内容和可操作项目。在其它实施例中,还可以基于推导的洞察和补救动作446来生成和提供通知454,例如警报、报告和类似物。
在一些示例性实现方式中,如果用户接收到恶意软件或类似威胁,则可以遵循与用户相关联的一系列事件并且基于这一系列事件(例如,用户采取什么动作、什么潜在后果等等)对补救动作进行分类。例如,用户可以接收可疑电子邮件、打开文档、将文档保存在可以由另一个用户打开的云存储上等等。整个事件链可以是调查的一部分,从而允许***执行对该***内的受影响通信、文档和其它资源执行校正动作。
可以基于威胁和受影响的数据来协调和分组补救动作。例如,可以响应于检测到严重威胁来实现多个动作(例如,删除、向用户警告、停止共享灯等),而相对良性的威胁可以仅导致对用户或管理员的通知。可以基于用户(例如,指示与用户相关联的风险等级的用户简档、由用户处理的文档量或由用户交换的通信等等)来确定补救动作。还可以基于文档(例如,文档的敏感信息内容、文档的共享状态等等)或基于所定义的***策略来确定补救动作(例如,对与组织的某些部门相关联的数据的威胁与其它部门(其中策略可规定更管送的方法)相比可能与更严格的补救动作相关联。
图5A和图5B包括示出了示例性威胁探测器仪表板上的可视化内容和动作的显示图。
如示图500A和500B中所示出的,威胁情报仪表板可以提供与当前威胁、保护状态、以及与可操作项目的调查相关联的视觉信息,从而允许选择更详细的视图、向下钻取操作和补救动作。例如,示图500A中的仪表板502可以使用图表、列表和/或地图(地图或起源、受影响区域等等)来呈现关于潜在威胁和检测到的威胁(全球、行业级别、地区、类型和其它类别)的可视和可操作信息的用户体验。通过各种方案(颜色、阴影、图形、文本等等),可以显示内部和外部威胁之间的相关性以及通过向下钻取可获得的详细信息(即,用户可以点击任何显示的数据点并被提供单独的数据)。用户体验还可以指示威胁是针对组织(或组织内的特定群组/人员)还是一般性的。可以与建议的动作一起显示自动补救动作和结果。
除此之外,仪表板502还可以包括多个标签504,每个标签504提供可以由租户、管理员和/或用户通过仪表板502管理的一个或多个基于安全性和合规性的特征。示例性标签504可以包括主页仪表板视图、以及与威胁分析、警报、安全策略、数据管理、数据发现、调查、报告、全局趋势和本地趋势相关的另外视图。
在示例性仪表板502中,威胁检测505以图形方式呈现各种类别的威胁检测(例如,扫描的项目、顶级威胁、移除的威胁等等)。检测到的威胁510可以用图形和文本方式呈现检测到的威胁的类型,例如恶意软件、病毒、网络钓鱼诈骗等等。攻击源地图508可以显示检测到的威胁源自何处的地理地图。顶级目标用户列表514可以显示接收到最具针对性的威胁的用户列表。显示的信息可以包括向下钻取的能力。例如,通过选择顶级目标用户列表514中的一个用户,管理员可以看到该用户接收到的威胁的细节、受威胁影响的文档或通信、以及甚至可以跟踪一系列事件,即,通过交换的通信、共享文档等等来查看可能受所选择用户影响的其他用户。仪表板502还可以根据威胁分析来显示提供策略或补救动作提议的建议512,以及可以允许管理员对人员、通信、文档和其它与威胁相关的主题执行搜索的调查部分516。还可以通过调查部分516来访问审计跟踪。
示例性仪表板522包括不同类型的视觉呈现。例如,威胁族图表524可以在时间线上呈现检测到的威胁的条形图,示出其在所有检测到的威胁中的百分比。条形图的元素可以是可操作的,即,可以允许用户通过选择数据点向下钻取并查看关于每种威胁类型的更详细信息。顶级目标用户列表532可以呈现(除了仪表板502中所示出的用户列表之外)图形选择选项以查看每个用户的连接534(例如,与所选择用户交换通信的人、与所选择用户共享文档的人等等)。图形选择选项还可以包括文档536,文档536在被选择时可以呈现可能受到威胁影响的由所选择用户处理的文档。
顶级威胁526图形可以使用条形图来显示接收到或检测到的顶级威胁以及威胁数量,其中一者或两者可以是可操作的。仪表板522还可以包括用于进一步动作的控件540,例如调整威胁分析的时间范围、选择或修改可视化内容或分析的过滤器、导出分析结果或其它相关数据、以及提供保护状态。
可视化内容可以包括图形表示,例如条形图、饼图、地图、以及采用各种突出显示、颜色,文本、图形和阴影方案的其它表示。一些或全部可视化内容可以是可操作的,即,用户可以通过单击可视化内容的元素来向下钻取数据、查看细节、改变过滤参数、改变可视化参数等等。用户可以减少或增加数量、改变图形表示等等。在一些实施例中,用户可以能够组合可视化内容。例如,攻击源地图可以与攻击类型列表组合,以使得可以呈现提供不同攻击类型及其起源的地图的新可视化内容。
仪表板502和522不限于上面描述的组件和特征。可以采用各种图形、文本、着色、阴影和视觉效果方案,以通过仪表板在安全性和合规性环境中提供威胁情报管理。
图1A至图5B中提供的各示例是利用特定***、服务、应用、模块和显示器来示出的。各实施例不限于根据这些示例的环境。安全性和合规性环境中的威胁情报管理可以在采用更少或另外***、服务、应用、模块和显示器的环境中实现。此外,图1A至图5B中所示出的示例性***、服务、应用、模块和通知可以使用本文所描述的原理利用其它用户界面或动作流程序列以类似的方式来实现。
图6是其中可以实现根据各实施例的***的联网环境。如本文所描述的威胁探测器模块可以与托管的应用和服务(例如,与托管服务114或保护服务126相关联的客户端应用106)结合使用,该威胁探测器模块可以经由在一个或多个服务器606或个人服务器608上执行的软件来实现,如示图600中所示出的。托管的服务或应用可以通过网络610与各个计算设备(例如手持计算机601、台式计算机602、膝上型计算机603、智能电话604、平板计算机(或平板)605(‘客户端设备’))上的客户端应用进行通信并控制呈现给用户的用户界面(例如仪表板)。
客户端设备601-605用于访问由托管的服务或应用提供的功能。服务器606或服务器608中的一个或多个服务器可以用于提供如上面讨论的各种服务。相关数据可以存储在一个或多个数据存储装置(例如,数据存储装置614)中,这些数据存储装置可以由服务器606中的任何一个服务器或者由数据库服务器612来管理。
网络610可以包括服务器、客户端、互联网服务提供商、以及通信介质的任何拓扑。根据各实施例的***可以具有静态或动态拓扑。网络610可以包括安全网络(例如企业网络)、不安全网络(例如,无线开放网络或互联网)。网络610还可以通过其它网络(例如PSTN或蜂窝网络)来协调通信。网络610提供本文所描述的各节点之间的通信。举例而言而非限制,网络610可以包括无线介质,例如声学、RF、红外和其它无线介质。
可以采用计算设备、应用、引擎、数据源和数据分发***的许多其它配置来在安全性和合规性环境中提供威胁情报管理。此外,图6中所讨论的联网环境仅是出于说明目的。各实施例不限于示例性应用、引擎或过程。
图7是可以用于在安全性和合规性环境中提供威胁情报管理的示例性计算设备的框图。
例如,计算设备700可以用作为服务器、台式计算机、便携式计算机、智能电话、专用计算机、或类似设备。在示例性基本配置702中,计算设备700可以包括一个或多个处理器704和***存储器706。存储器总线708可以用于在处理器704与***存储器706之间进行通信。基本配置702在图7中由内部虚线内的那些组件示出。
取决于期望配置,处理器704可以是任何类型,包括但不限于微处理器(μP)、微控制器(μC)、数字信号处理器(DSP)、或者其任意组合。处理器704可以包括一级或多级高速缓存,例如级高速缓存存储器712、一个或多个处理器核714、以及寄存器716。示例性处理器核714可以(均)包括算术逻辑单元(ALU)、浮点单元(FPU)、数字信号处理核(DSP核)、或者其任意组合。示例性存储器控制器718也可以与处理器704一起使用,或者在一些实现方式中,存储器控制器718可以是处理器704的内部部分。
取决于期望配置,***存储器706可以是任何类型,包括但不限于易失性存储器(例如RAM)、非易失性存储器(例如ROM、闪存等等)、或者其任意组合。***存储器706可以包括操作***720、保护应用或服务722、以及程序数据724。保护应用或服务722可以包括威胁情报模块726,其可以是保护应用或服务722的集成模块。威胁情报模块726可以被配置为:分析租户的服务环境以基于对相关和多级评估数据(其包括通信、存储的内容、元数据和活动)来确定接收到的和潜在的威胁。可以基于分析结果来确定每个接收到的威胁的潜在影响并且通过一个或多个交互式可视化内容来呈现的接收到的和潜在的威胁以及潜在影响,其中每个可视化内容的至少一个元素是可操作的。随后可以呈现和/或自动实现针对每个接收到的威胁的补救。除了其它数据之外,程序数据724可以包括威胁数据728,例如用户信息、托管服务信息等等,如本文所述。
计算设备700可以具有另外的特征或功能、以及另外的接口来促进基本配置702与任何期望的设备和接口之间的通信。例如,总线/接口控制器730可以用于经由存储接口总线734来促进基本配置702与一个或多个数据存储设备732之间的通信。数据存储设备732可以是一个或多个可移动存储设备736、一个或多个不可移动存储设备738、或者其组合。可移动存储设备和不可移动存储设备的示例包括磁盘设备(例如,软盘驱动器和硬盘驱动器(HDD))、光盘驱动器(例如压缩盘(CD)驱动器或数字多功能光盘(DVD)驱动器)、固态驱动器(SSD)、以及磁带驱动器,举一些示例。示例性计算机存储介质可以包括用任何用于存储信息(例如,计算机可读指令、数据结构、程序模块或其它数据)的方法或技术实现的易失性和非易失性、可移动和不可移动介质。
***存储器706、可移动存储设备736和不可移动存储设备738是计算机存储介质的示例。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能光盘(DVD)、固态驱动器、或其它光盘存储、盒式磁带、磁带、磁盘存储或其它磁存储设备、或者可以用于存储期望信息并且可以由计算设备700访问的任何其它介质。任何此类计算机存储介质可以是计算设备700的一部分。
计算设备700还可以包括接口总线740以用于经由总线/接口控制器730来促进从各种接口设备(例如,一个或多个输出设备742、一个或多个***接口744、以及一个或多个通信设备746)到基本配置702的通信。示例性输出设备742中的一些输出设备包括图形处理单元748和音频处理单元750,该图形处理单元748和音频处理单元750可以被配置为:经由一个或多个A/V端口752与各种外部设备(例如显示器或扬声器)进行通信。一个或多个示例性***接口744可以包括串行接口控制器754或并行接口控制器756,该串行接口控制器754或并行接口控制器756可以被配置为:经由一个或多个I/O端口758来与诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备等等)或其它***设备(例如,打印机、扫描仪等等)之类的外部设备进行通信。示例性通信设备746包括网络控制器760,该网络控制器760可以被布置为:经由一个或多个通信端口764促进在网络通信链路上与一个或多个其它计算设备762的通信。该一个或多个其它计算设备762可以包括服务器、计算设备、以及类似设备。
网络通信链路可以是通信介质的一个示例。通信介质通常可以由计算机可读指令、数据结构、程序模块或经调制数据信号中的其它数据(诸如载波或其它传输机制)来体现,并且可以包括任何信息传递介质。术语“经调制数据信号”意指如下信号,该信号以使得将信息编码到该信号中的方式来设置或改变该信号的一个或多个特性。举例而言而非限制,通信介质可以包括有线介质(例如,有线网络或直接有线连接)和无线介质(例如,声学、射频(RF)、微波、红外(IR)和其它无线介质)。如本文所使用的术语计算机可读介质可以包括存储介质和通信介质两者。
计算设备700可以被实现为通用或专用服务器、大型机、或包括任何上述功能的类似计算机的一部分。计算设备700还可以被实现为包括膝上型计算机和非膝上型计算机配置两者的个人计算机。
示例性实施例还可以包括用于在安全性和合规性环境中提供威胁情报管理的方法。这些方法可以用任何数量的方式(包括本文所描述的结构)来实现。一种此类方式可以是通过对本公开内容中所描述的类型的设备的机器操作。另一种可选方式可以是结合一个或多个人类操作者来执行各方法的各个操作中的一个或多个操作,这些人类操作者执行一些操作,而其它操作可以由机器执行。这些人类操作者不需要彼此共置,但是每个操作者可以仅处理执行程序的一部分的机器。在其它实施例中,可以例如通过可以是机器自动化的预先选择的标准来自动化人类交互。
图8示出了用于在安全性和合规性环境中提供威胁情报管理的方法的逻辑流程图。过程800可以在计算设备、服务器或其它***上实现。示例***器可以包括通信接口,以促进一个或多个客户端设备与服务器之间的通信。示例***器还可以包括用于存储指令的存储器,以及耦合到存储器的一个或多个处理器。处理器结合存储在存储器上的指令可以被配置为在安全性和合规性环境中提供威胁情报管理。
过程800开始于操作810,在操作810处可以分析租户的服务环境(例如存储的数据、通信和活动)以基于对相关和多级评估数据的分析来确定接收到的和潜在的威胁。在操作820处,可以基于分析结果来确定接收到的威胁的潜在影响。在操作830处,可以通过仪表板上的一个或多个交互式可视化内容来呈现接收到的和潜在的威胁以及所确定的潜在影响。在操作840处,可以呈现和/或自动实现针对接收到的威胁的补救动作。
过程800中所包括的操作是出于说明目的。安全性和合规性环境中的威胁情报管理可以通过具有更少或另外步骤的类似过程以及使用本文所描述的原理的不同操作顺序来实现。可以由在一个或多个计算设备上操作的一个或多个处理器、一个或多个处理器核、专用处理设备和/或通用处理设备以及其它示例来执行本文所描述的操作。
根据各示例,描述了一种用于提供针对托管服务的威胁情报的单元。该单元可以包括:用于分析租户的服务环境以基于对相关和多级评估数据的分析来确定接收到的和潜在的威胁的单元,其中,该相关和多级评估数据包括通信、存储的内容、元数据和活动。该单元还可以包括:用于基于分析结果来确定针对接收到的威胁的潜在影响的单元;用于通过一个或多个交互式可视化内容来呈现接收到的和潜在的威胁以及潜在影响的单元,其中,每个可视化内容的至少一个元素是可操作的;以及用于呈现的单元和用于自动实现与所接收到的威胁相关联的补救动作的单元中的一个或多个。
根据一些示例,描述了一种用于提供针对托管服务的威胁情报的方法。该方法可以包括:分析租户的服务环境以基于对相关和多级评估数据的分析来确定接收到的和潜在的威胁,其中,该相关和多级评估数据包括通信、存储的内容、元数据和活动。该方法还可以包括:基于分析结果来确定针对接收到的威胁的潜在影响;通过一个或多个交互式可视化内容来呈现接收到的和潜在的威胁以及潜在影响,其中,每个可视化内容的至少一个元素是可操作的;以及进行以下一者或多者:呈现和自动实现与所接收到的威胁相关联的补救动作。
根据其它示例,该方法还可以包括:确定与所接收到的威胁相关联的用户的用户简档;以及在分析中考虑该用户简档。用户简档可以包括基于交换的通信、共享的内容、访问的内容、以及访问位置中的一个或多个而对用户的风险评估。呈现所接收到的和潜在的威胁以及潜在影响可以包括:显示与所接收到的和潜在的威胁以及潜在影响相关联的图表、地图和文本信息中的一个或多个。与所接收到的和潜在的威胁以及潜在影响相关联的图表、地图和文本信息中的该一个或多个可以包括使得管理员能够向下钻取所显示信息的一部分的可操作元素。该方法还可以包括使得管理员能够进行以下一者:基于所选择的标准来过滤和组合该一个或多个可视化内容。
根据另外的示例,该方法还可以包括:提供调查选项以搜索与关联于所接收到的威胁的用户相关联的通信和数据来确定受影响的通信和数据。该方法还可以包括:基于受影响的通信和数据来确定补救动作;以及基于租户简档来定制该一个或多个可视化内容,其中,该租户简档包括以下各项中的一项或多项:行业、大小、地理位置、托管服务生态***、角色、管理要求、法律要求、以及与租户相关联的威胁历史。补救动作可以包括以下各项中的一项或多项:传输通知、移除受影响的通信和数据、修改用户许可、重置***配置、以及启动调查。该方法还可以包括呈现以下各项中的一项或多项:威胁趋势、过滤选项、配置选项、保护状态、时间范围定义选项、以及数据导出选项。
根据其它示例,描述了一种被配置为提供针对托管服务的威胁情报的服务器。该服务器可以包括:通信接口,该通信接口被配置为:促进托管安全性和合规***的另一服务器、一个或多个客户端设备、以及该服务器之间的通信;被配置为存储指令的存储器;以及一个或多个处理器,该一个或多个处理器耦合到通信接口和存储器并且被配置为执行威胁情报模块。该威胁情报模块可以被配置为:分析租户的服务环境以基于对相关和多级评估数据的分析来确定接收到的和潜在的威胁,其中,该相关和多级评估数据包括通信、存储的内容、元数据和活动;基于分析结果来确定与接收到的威胁相关联的潜在影响和补救动作;呈现包括一个或多个交互式可视化内容的仪表板,该一个或多个交互式可视化内容表示威胁趋势、接收到的和潜在的威胁、以及潜在影响中的一个或多个,其中,该一个或多个可视化内容的一部分是可操作的;以及自动实现与所接收到的威胁相关联的补救动作。
根据一些示例中,补救动作可以包括以下各项中的一项或多项:传输通知、移除受影响的通信和数据、修改用户许可、重置***配置、实现建议的策略、以及限制以下一者或多者:删除动作、共享动作、复制动作、移动动作、匿名链接创建、同步、站点创建、创建的豁免、许可修改、清除电子邮箱、文件夹移动、用户添加、以及群组添加。该威胁情报模块还可以被配置为:呈现目标用户列表;以及实现对目标用户列表的下钻操作以确定所接收到的威胁的影响。
根据其它示例,下钻操作可以包括呈现以下各项中的一项或多项:交换的通信、共享的文档、处理的文档、以及由目标用户使用的资源。该威胁情报模块还可以被配置为:遵循与错过的威胁相关联的一系列事件,其中,该一系列事件包括确定潜在受影响的通信和数据的列表、以及受错过的威胁影响的用户与其他用户之间的连接。该威胁情报模块还可以被配置为:基于使用的平台和威胁的类型来调整连接和仪表板配置中的一个或多个。平台可以是操作***或托管服务。
根据另外的示例,一种其上存储有用于提供针对托管服务的威胁情报的指令的计算机可读存储器设备,这些指令在被执行时被配置为使得一个或多个计算设备执行动作。这些动作可以包括:分析租户的服务环境以基于对相关和多级评估数据的分析来确定接收到的和潜在的威胁,其中,该相关和多级评估数据包括通信、存储的内容、元数据和活动;基于分析结果来确定与接收到的威胁相关联的潜在影响和补救动作;呈现包括一个或多个交互式可视化内容的仪表板,该一个或多个交互式可视化内容表示威胁趋势、接收到的和潜在的威胁、以及潜在影响中的一个或多个,其中,该一个或多个可视化内容的一部分是可操作的;基于检测到的威胁类型、租户简档和平台中的一个或多个来定制仪表板;以及自动实现与所接收到的威胁相关联的补救动作。根据另外其它的示例,这些动作还可以包括:确定接收到的威胁是目标威胁还是一般威胁。
上述说明书、示例和数据提供了对各实施例的组合物的制造和使用的完整描述。虽然以特定于结构特征和/或方法动作的语言描述了主题内容,但应理解,所附权利要求中定义的主题内容并不一定限于上述特定特征或动作。相反,上述的特定特征和动作是作为实现各权利要求和实施例的示例形式而公开的。
Claims (12)
1.一种用于提供针对托管服务的威胁情报的方法,所述方法包括:
分析租户的服务环境以基于对相关和多级评估数据的分析来确定接收到的和潜在的威胁,其中,所述相关和多级评估数据包括通信、存储的内容、元数据和活动;
基于分析结果来确定针对接收到的威胁的潜在影响;
通过一个或多个交互式可视化内容来呈现接收到的和潜在的威胁以及所述潜在影响,其中,每个可视化内容的至少一个元素是可操作的;以及
进行以下一者或多者:呈现和自动实现与所述接收到的威胁相关联的补救动作。
2.根据权利要求1所述的方法,还包括:
确定与所述接收到的威胁相关联的用户的用户简档;以及
在所述分析中考虑所述用户简档。
3.根据权利要求1所述的方法,其中,呈现所述接收到的和潜在的威胁以及所述潜在影响包括:
显示与所述接收到的和潜在的威胁以及所述潜在影响相关联的图表、地图和文本信息中的一个或多个。
4.根据权利要求3所述的方法,还包括:
使得管理员能够进行以下一者:基于所选择的标准来过滤和组合所述一个或多个可视化内容。
5.根据权利要求1所述的方法,还包括:
提供调查选项以搜索与关联于所述接收到的威胁的用户相关联的通信和数据,从而确定受影响的通信和数据。
6.根据权利要求1所述的方法,还包括:
基于所述受影响的通信和数据来确定所述补救动作。
7.一种被配置为提供针对托管服务的威胁情报的服务器,所述服务器包括:
通信接口,所述通信接口被配置为:促进托管安全性和合规***的另一服务器、一个或多个客户端设备、以及所述服务器之间的通信;
被配置为存储指令的存储器;以及
一个或多个处理器,所述一个或多个处理器耦合到所述通信接口和所述存储器并且被配置为执行威胁情报模块,其中,所述威胁情报模块被配置为:
分析租户的服务环境以基于对相关和多级评估数据的分析来确定接收到的和潜在的威胁,其中,所述相关和多级评估数据包括通信、存储的内容、元数据和活动;
基于分析结果来确定与接收到的威胁相关联的潜在影响和补救动作;
呈现包括一个或多个交互式可视化内容的仪表板,所述一个或多个交互式可视化内容表示威胁趋势、接收到的和潜在的威胁、以及潜在影响中的一个或多个,其中,所述一个或多个可视化内容的一部分是可操作的;以及
自动实现与所述接收到的威胁相关联的所述补救动作。
8.根据权利要求7所述的服务器,其中,所述补救动作包括以下各项中的一项或多项:传输通知、移除受影响的通信和数据、修改用户许可、重置***配置、实现建议的策略、以及限制以下一者或多者:删除动作、共享动作、复制动作、移动动作、匿名链接创建、同步、站点创建、创建的豁免、许可修改、清除电子邮箱、文件夹移动、用户添加、以及群组添加。
9.根据权利要求7所述的服务器,其中,所述威胁情报模块还被配置为:
呈现目标用户列表;以及
实现对所述目标用户列表的向下钻取操作以确定所述接收到的威胁的影响。
10.根据权利要求7所述的服务器,其中,所述威胁情报模块还被配置为:
遵循与错过的威胁相关联的一系列事件,其中,所述一系列事件包括确定潜在受影响的通信和数据的列表、以及受所述错过的威胁的影响的用户与其他用户之间的连接。
11.一种其上存储有用于提供针对托管服务的威胁情报的指令的计算机可读存储器设备,所述指令在被执行时被配置为使得一个或多个计算设备执行包括以下各项的动作:
分析租户的服务环境以基于对相关和多级评估数据的分析来确定接收到的和潜在的威胁,其中,所述相关和多级评估数据包括通信、存储的内容、元数据和活动;
基于分析结果来确定与接收到的威胁相关联的潜在影响和补救动作;
呈现包括一个或多个交互式可视化内容的仪表板,所述一个或多个交互式可视化内容表示威胁趋势、接收到的和潜在的威胁、以及潜在影响中的一个或多个,其中,所述一个或多个可视化内容的一部分是可操作的;
基于检测到的威胁类型、租户简档和平台中的一个或多个来定制所述仪表板;以及
自动实现与所述接收到的威胁相关联的所述补救动作。
12.根据权利要求11所述的计算机可读存储器设备,其中,所述动作还包括:
确定所述接收到的威胁是目标威胁还是一般威胁。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662440934P | 2016-12-30 | 2016-12-30 | |
| US62/440,934 | 2016-12-30 | ||
| US15/473,998 US10701100B2 (en) | 2016-12-30 | 2017-03-30 | Threat intelligence management in security and compliance environment |
| US15/473,998 | 2017-03-30 | ||
| PCT/US2017/068388 WO2018125854A1 (en) | 2016-12-30 | 2017-12-26 | Threat intelligence management in security and compliance environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110140125A true CN110140125A (zh) | 2019-08-16 |
| CN110140125B CN110140125B (zh) | 2023-07-07 |
Family
ID=62708604
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780081475.XA Active CN110140125B (zh) | 2016-12-30 | 2017-12-26 | 安全性与合规性环境中的威胁情报管理的方法、服务器和计算机可读存储器设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US20180191781A1 (zh) |
| EP (1) | EP3563285A1 (zh) |
| CN (1) | CN110140125B (zh) |
| WO (1) | WO2018125854A1 (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9342661B2 (en) * | 2010-03-02 | 2016-05-17 | Time Warner Cable Enterprises Llc | Apparatus and methods for rights-managed content and data delivery |
| US11356484B2 (en) * | 2016-02-12 | 2022-06-07 | Micro Focus Llc | Strength of associations among data records in a security information sharing platform |
| US10579821B2 (en) | 2016-12-30 | 2020-03-03 | Microsoft Technology Licensing, Llc | Intelligence and analysis driven security and compliance recommendations |
| US10848501B2 (en) | 2016-12-30 | 2020-11-24 | Microsoft Technology Licensing, Llc | Real time pivoting on data to model governance properties |
| US20180191781A1 (en) | 2016-12-30 | 2018-07-05 | Microsoft Technology Licensing, Llc | Data insights platform for a security and compliance environment |
| US10887333B1 (en) | 2017-08-03 | 2021-01-05 | Amazon Technologies, Inc. | Multi-tenant threat intelligence service |
| US10397273B1 (en) | 2017-08-03 | 2019-08-27 | Amazon Technologies, Inc. | Threat intelligence system |
| US10565372B1 (en) * | 2017-08-03 | 2020-02-18 | Amazon Technologies, Inc. | Subscription-based multi-tenant threat intelligence service |
| US10904272B2 (en) * | 2017-11-02 | 2021-01-26 | Allstate Insurance Company | Consumer threat intelligence service |
| US10614071B1 (en) | 2017-11-27 | 2020-04-07 | Lacework Inc. | Extensible query interface for dynamic data compositions and filter applications |
| US11973784B1 (en) | 2017-11-27 | 2024-04-30 | Lacework, Inc. | Natural language interface for an anomaly detection framework |
| US12034754B2 (en) | 2017-11-27 | 2024-07-09 | Lacework, Inc. | Using static analysis for vulnerability detection |
| US11979422B1 (en) | 2017-11-27 | 2024-05-07 | Lacework, Inc. | Elastic privileges in a secure access service edge |
| US12021888B1 (en) | 2017-11-27 | 2024-06-25 | Lacework, Inc. | Cloud infrastructure entitlement management by a data platform |
| US20230308472A1 (en) * | 2018-02-20 | 2023-09-28 | Darktrace Limited | Autonomous email report generator |
| US11228614B1 (en) * | 2018-07-24 | 2022-01-18 | Amazon Technologies, Inc. | Automated management of security operations centers |
| US11290479B2 (en) * | 2018-08-11 | 2022-03-29 | Rapid7, Inc. | Determining insights in an electronic environment |
| US11539531B2 (en) * | 2019-02-24 | 2022-12-27 | Ondefend Holdings, Llc | System and apparatus for providing authenticable electronic communication |
| US11477226B2 (en) * | 2019-04-24 | 2022-10-18 | Saudi Arabian Oil Company | Online system identification for data reliability enhancement |
| CN110460594B (zh) * | 2019-07-31 | 2022-02-25 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
| US11388176B2 (en) * | 2019-12-03 | 2022-07-12 | Sonicwall Inc. | Visualization tool for real-time network risk assessment |
| US11693961B2 (en) | 2019-12-03 | 2023-07-04 | Sonicwall Inc. | Analysis of historical network traffic to identify network vulnerabilities |
| US11256759B1 (en) | 2019-12-23 | 2022-02-22 | Lacework Inc. | Hierarchical graph analysis |
| US11663544B2 (en) * | 2020-01-28 | 2023-05-30 | Salesforce.Com, Inc. | System and methods for risk assessment in a multi-tenant cloud environment |
| US11381591B2 (en) * | 2020-01-29 | 2022-07-05 | Bank Of America Corporation | Information security system based on multidimensional disparate user data |
| US11914719B1 (en) | 2020-04-15 | 2024-02-27 | Wells Fargo Bank, N.A. | Systems and methods for cyberthreat-risk education and awareness |
| US11777979B2 (en) | 2020-05-11 | 2023-10-03 | Firecompass Technologies Pvt Ltd | System and method to perform automated red teaming in an organizational network |
| CN112039865A (zh) * | 2020-08-26 | 2020-12-04 | 北京计算机技术及应用研究所 | 一种威胁驱动的网络攻击检测与响应方法 |
| US12041089B2 (en) * | 2020-10-01 | 2024-07-16 | Zscaler, Inc. | Cloud access security broker user interface systems and methods |
| CN112596984B (zh) * | 2020-12-30 | 2023-07-21 | 国家电网有限公司大数据中心 | 业务弱隔离环境下的数据安全态势感知*** |
| US11907387B2 (en) * | 2021-04-07 | 2024-02-20 | Salesforce, Inc. | Service for sharing data insights |
| US11671457B2 (en) * | 2021-04-30 | 2023-06-06 | Splunk Inc. | On-premises action execution agent for cloud-based information technology and security operations applications |
| US11546381B1 (en) * | 2021-11-08 | 2023-01-03 | Beijing Bytedance Network Technology Co., Ltd. | Unified data security labeling framework |
| US11528279B1 (en) | 2021-11-12 | 2022-12-13 | Netskope, Inc. | Automatic user directory synchronization and troubleshooting |
| CN114218578A (zh) * | 2021-12-31 | 2022-03-22 | 奇安信科技集团股份有限公司 | 威胁情报内生方法及装置 |
| US11936678B2 (en) * | 2022-01-06 | 2024-03-19 | Oracle International Corporation | System and techniques for inferring a threat model in a cloud-native environment |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| CN103366116A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端的应用程序潜在威胁的预判***、方法及装置 |
| US20150172321A1 (en) * | 2013-12-13 | 2015-06-18 | Palerra, Inc. | Systems and Methods for Cloud Security Monitoring and Threat Intelligence |
| WO2015134008A1 (en) * | 2014-03-05 | 2015-09-11 | Foreground Security | Automated internet threat detection and mitigation system and associated methods |
| CN105009137A (zh) * | 2013-01-31 | 2015-10-28 | 惠普发展公司,有限责任合伙企业 | 定向安全警告 |
| US20160127418A1 (en) * | 2014-11-03 | 2016-05-05 | Hewlett Packard Enterprise Development Lp | Policy-guided fulfillment of a cloud service |
| CN105991595A (zh) * | 2015-02-15 | 2016-10-05 | 华为技术有限公司 | 网络安全防护方法及装置 |
| CN106060018A (zh) * | 2016-05-19 | 2016-10-26 | 中国电子科技网络信息安全有限公司 | 一种网络威胁情报共享模型 |
Family Cites Families (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020091940A1 (en) * | 2001-01-05 | 2002-07-11 | Welborn Christopher Michael | E-mail user behavior modification system and mechanism for computer virus avoidance |
| US7813947B2 (en) | 2003-09-23 | 2010-10-12 | Enterra Solutions, Llc | Systems and methods for optimizing business processes, complying with regulations, and identifying threat and vulnerabilty risks for an enterprise |
| US9100422B1 (en) * | 2004-10-27 | 2015-08-04 | Hewlett-Packard Development Company, L.P. | Network zone identification in a network security system |
| WO2006091956A2 (en) | 2005-02-24 | 2006-08-31 | Epic Systems Corporation | System and method for facilitating cross enterprise data sharing in a healthcare setting |
| US9069599B2 (en) | 2008-06-19 | 2015-06-30 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer with security zone facilities |
| US20100319004A1 (en) | 2009-06-16 | 2010-12-16 | Microsoft Corporation | Policy Management for the Cloud |
| US8910278B2 (en) | 2010-05-18 | 2014-12-09 | Cloudnexa | Managing services in a cloud computing environment |
| WO2012109633A2 (en) | 2011-02-11 | 2012-08-16 | Achilles Guard, Inc. D/B/A Critical Watch | Security countermeasure management platform |
| US9369433B1 (en) | 2011-03-18 | 2016-06-14 | Zscaler, Inc. | Cloud based social networking policy and compliance systems and methods |
| US8464335B1 (en) | 2011-03-18 | 2013-06-11 | Zscaler, Inc. | Distributed, multi-tenant virtual private network cloud systems and methods for mobile security and policy enforcement |
| US8577823B1 (en) | 2011-06-01 | 2013-11-05 | Omar M. A. Gadir | Taxonomy system for enterprise data management and analysis |
| US9509711B1 (en) | 2012-02-01 | 2016-11-29 | Tripwire, Inc. | Comparing an organization's security data to aggregate security data |
| US20130346294A1 (en) | 2012-03-21 | 2013-12-26 | Patrick Faith | Risk manager optimizer |
| US9912638B2 (en) | 2012-04-30 | 2018-03-06 | Zscaler, Inc. | Systems and methods for integrating cloud services with information management systems |
| US8850588B2 (en) | 2012-05-01 | 2014-09-30 | Taasera, Inc. | Systems and methods for providing mobile security based on dynamic attestation |
| US9117027B2 (en) | 2012-09-03 | 2015-08-25 | Tata Consultancy Services Limited | Method and system for compliance testing in a cloud storage environment |
| US10169090B2 (en) | 2012-09-12 | 2019-01-01 | Salesforce.Com, Inc. | Facilitating tiered service model-based fair allocation of resources for application servers in multi-tenant environments |
| US20140289793A1 (en) * | 2012-12-20 | 2014-09-25 | Bank Of America Corporation | Granular risk expression |
| CN103886384B (zh) | 2012-12-20 | 2018-10-19 | 伊姆西公司 | 用于数据保护的方法和*** |
| US9203723B2 (en) | 2013-01-30 | 2015-12-01 | Broadcom Corporation | Network tracing for data centers |
| US9613322B2 (en) | 2013-04-02 | 2017-04-04 | Orbis Technologies, Inc. | Data center analytics and dashboard |
| US9438648B2 (en) | 2013-05-09 | 2016-09-06 | Rockwell Automation Technologies, Inc. | Industrial data analytics in a cloud platform |
| US20150067761A1 (en) | 2013-08-29 | 2015-03-05 | International Business Machines Corporation | Managing security and compliance of volatile systems |
| US9467477B2 (en) | 2013-11-06 | 2016-10-11 | Intuit Inc. | Method and system for automatically managing secrets in multiple data security jurisdiction zones |
| US10063654B2 (en) * | 2013-12-13 | 2018-08-28 | Oracle International Corporation | Systems and methods for contextual and cross application threat detection and prediction in cloud applications |
| US9444819B2 (en) | 2014-01-16 | 2016-09-13 | International Business Machines Corporation | Providing context-based visibility of cloud resources in a multi-tenant environment |
| US9785795B2 (en) | 2014-05-10 | 2017-10-10 | Informatica, LLC | Identifying and securing sensitive data at its source |
| US10585892B2 (en) | 2014-07-10 | 2020-03-10 | Oracle International Corporation | Hierarchical dimension analysis in multi-dimensional pivot grids |
| US9386033B1 (en) | 2014-09-10 | 2016-07-05 | Amazon Technologies, Inc. | Security recommendation engine |
| CN106796635B (zh) * | 2014-10-14 | 2019-10-22 | 日本电信电话株式会社 | 确定装置、确定方法 |
| US9521151B2 (en) | 2014-10-22 | 2016-12-13 | CloudHealth Technologies, Inc. | Automated and policy driven optimization of cloud infrastructure through delegated actions |
| US9692778B1 (en) * | 2014-11-11 | 2017-06-27 | Symantec Corporation | Method and system to prioritize vulnerabilities based on contextual correlation |
| JP2016095631A (ja) * | 2014-11-13 | 2016-05-26 | 株式会社リコー | 情報診断システム、情報診断装置、情報診断方法およびプログラム |
| US10855688B2 (en) | 2014-12-16 | 2020-12-01 | Netapp Inc. | Multi-tenant security in the cloud |
| WO2016099569A1 (en) | 2014-12-19 | 2016-06-23 | Nordholm Cameron | Multi-tenant publishing system |
| US9521160B2 (en) | 2014-12-29 | 2016-12-13 | Cyence Inc. | Inferential analysis using feedback for extracting and combining cyber risk information |
| US20180027006A1 (en) | 2015-02-24 | 2018-01-25 | Cloudlock, Inc. | System and method for securing an enterprise computing environment |
| WO2016138566A1 (en) | 2015-03-04 | 2016-09-09 | Lumanetix Pty Ltd | A system and method for federated enterprise analysis |
| US9836598B2 (en) | 2015-04-20 | 2017-12-05 | Splunk Inc. | User activity monitoring |
| US20170236131A1 (en) | 2015-04-30 | 2017-08-17 | NetSuite Inc. | System and methods for leveraging customer and company data to generate recommendations and other forms of interactions with customers |
| US10033766B2 (en) | 2015-06-05 | 2018-07-24 | Cisco Technology, Inc. | Policy-driven compliance |
| US9363149B1 (en) * | 2015-08-01 | 2016-06-07 | Splunk Inc. | Management console for network security investigations |
| US10033604B2 (en) | 2015-08-05 | 2018-07-24 | Suse Llc | Providing compliance/monitoring service based on content of a service controller |
| US9456000B1 (en) * | 2015-08-06 | 2016-09-27 | Palantir Technologies Inc. | Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications |
| US10642990B2 (en) * | 2015-10-24 | 2020-05-05 | Oracle International Corporation | Generation of dynamic contextual pivot grid analytics |
| US10230749B1 (en) | 2016-02-29 | 2019-03-12 | Palo Alto Networks, Inc. | Automatically grouping malware based on artifacts |
| US10003606B2 (en) | 2016-03-30 | 2018-06-19 | Symantec Corporation | Systems and methods for detecting security threats |
| US10169608B2 (en) | 2016-05-13 | 2019-01-01 | Microsoft Technology Licensing, Llc | Dynamic management of data with context-based processing |
| US20180191781A1 (en) | 2016-12-30 | 2018-07-05 | Microsoft Technology Licensing, Llc | Data insights platform for a security and compliance environment |
| US10579821B2 (en) | 2016-12-30 | 2020-03-03 | Microsoft Technology Licensing, Llc | Intelligence and analysis driven security and compliance recommendations |
| US10848501B2 (en) | 2016-12-30 | 2020-11-24 | Microsoft Technology Licensing, Llc | Real time pivoting on data to model governance properties |
-
2017
- 2017-03-30 US US15/474,042 patent/US20180191781A1/en not_active Abandoned
- 2017-03-30 US US15/473,998 patent/US10701100B2/en active Active
- 2017-12-26 EP EP17832860.5A patent/EP3563285A1/en active Pending
- 2017-12-26 WO PCT/US2017/068388 patent/WO2018125854A1/en unknown
- 2017-12-26 CN CN201780081475.XA patent/CN110140125B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| CN103366116A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端的应用程序潜在威胁的预判***、方法及装置 |
| CN105009137A (zh) * | 2013-01-31 | 2015-10-28 | 惠普发展公司,有限责任合伙企业 | 定向安全警告 |
| US20150172321A1 (en) * | 2013-12-13 | 2015-06-18 | Palerra, Inc. | Systems and Methods for Cloud Security Monitoring and Threat Intelligence |
| WO2015134008A1 (en) * | 2014-03-05 | 2015-09-11 | Foreground Security | Automated internet threat detection and mitigation system and associated methods |
| US20160127418A1 (en) * | 2014-11-03 | 2016-05-05 | Hewlett Packard Enterprise Development Lp | Policy-guided fulfillment of a cloud service |
| CN105991595A (zh) * | 2015-02-15 | 2016-10-05 | 华为技术有限公司 | 网络安全防护方法及装置 |
| CN106060018A (zh) * | 2016-05-19 | 2016-10-26 | 中国电子科技网络信息安全有限公司 | 一种网络威胁情报共享模型 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180191771A1 (en) | 2018-07-05 |
| CN110140125B (zh) | 2023-07-07 |
| WO2018125854A1 (en) | 2018-07-05 |
| EP3563285A1 (en) | 2019-11-06 |
| US10701100B2 (en) | 2020-06-30 |
| US20180191781A1 (en) | 2018-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110140125A (zh) | 安全性与合规性环境中的威胁情报管理 | |
| US10200399B2 (en) | Threat model chaining and attack simulation systems and methods | |
| US10699008B2 (en) | Threat model chaining and attack simulation systems and related methods | |
| AU2017250108B2 (en) | Method and apparatus for reducing security risk in a networked computer system architecture | |
| US10848501B2 (en) | Real time pivoting on data to model governance properties | |
| US8799462B2 (en) | Insider threat correlation tool | |
| AU2011209894B2 (en) | Insider threat correlation tool | |
| US9426169B2 (en) | System and method for cyber attacks analysis and decision support | |
| US11550921B2 (en) | Threat response systems and methods | |
| US20180255099A1 (en) | Security and compliance alerts based on content, activities, and metadata in cloud | |
| US20150026823A1 (en) | Method and system for entitlement setting, mapping, and monitoring in big data stores | |
| CN114761953A (zh) | 用于对抗网络攻击的攻击活动智能和可视化 | |
| US11381591B2 (en) | Information security system based on multidimensional disparate user data | |
| US20230035450A1 (en) | Systems, devices, and methods for observing a computer network and/or securing data access to a computer network | |
| DeSombre et al. | Surveillance technology at the fair: Proliferation of cyber capabilities in international arms markets | |
| Jhaveri et al. | Cloud security information & event management | |
| Kern et al. | Strategic selection of data sources for cyber attack detection in enterprise networks: A survey and approach | |
| Mansikka | Data loss prevention: for securing enterprise data integrity | |
| Lozito | Mitigating risk: Analysis of security information and event management | |
| Hamilton | Making the Most of Limited Cybersecurity Budgets with Anylogic Modeling | |
| Rekha | Big Data and National Cyber Security Intelligence |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |