安全事故调查事件捕获
背景技术:
1.计算机系统目前被广泛使用。许多计算机系统托管由远程客户端计算系统访问和使用的服务。例如,许多计算系统提供基于云的服务,在基于云的服务中,各种软件应用被作为服务提供给客户。
2.在这些类型的服务中,可能会发生各种不同类型的事故(incident),这些事故将被调查以对其进行纠正。例如,服务的特征或组件可能出现故障、存在错误、或者以其他不期望的方式操作。类似地,可能会发生安全漏洞类型的事故,在所述事故中,秘密行动者获得或者试图获得对客户数据的访问。
3.这些类型的服务可以跨多个不同的合规(compliance)边界来提供。所述合规边界定义有时称为“主权云”的内容。不同的主权云可以沿着合规边界被划分。不同的主权云中的每个主权云可以具有不同的合规规则或法规,其用于管理如何处理数据、数据访问、以及其他安全问题。驻留在地理上位于一个区域(诸如欧洲)中的主权云中的数据可以通过关于在该区域中被应用的数字数据的合规规则来管理。然而,驻留在位于另一地理区域(诸如美国)中的主权云中的数据可以通过在该区域被应用的合规规则的不同集合来管理。因此,可以说这两个主权云被合规边界分开,因为其是通过不同的合规规则来管理的。
4.例如,特定主权云可能具有对访问生产服务器施加特定约束以便限制对客户数据的暴露或潜在暴露的合规规则。其他主权云可能具有禁止从该主权云中对数据的移除的合规规则或法规(例如,禁止跨合规边界移动数据)。
5.以上讨论仅仅提供一般背景信息,并且并不旨在用作辅助确定所要求保护的主题的范围。
技术实现要素:
6.一种在主权云中的安全调查平台包括请求处理系统,所述请求处理系统接收关于调查事故的请求。控制消息处理系统在所述主权云内创建工作空间,从而能够在该工作空间内进行调查。所述控制消息处理系统在所述工作空间内执行调查任务。安全日志生成系统捕获与所述任务相对应的信息,并且基于所捕获的信息来生成事件记录。
7.提供本概述以简化的形式介绍在下文的详细描述中进一步描述的概念的选择。本概述并不意图识别所要求保护的主题的关键特征或基本特征,也并不意图用于辅助确定所要求保护的主题的范围。所要求保护的主题并不限于解决背景中所提到的任意或所有缺点的实现方式。
附图说明
8.图1是计算系统架构的一个示例的框图。
9.图2a和图2b(在本文中被统称为图2)示出了图示出在图1中所图示的架构的操作的一个示例的流程图。
10.图3是更详细示出请求处理系统的一个示例的框图。
11.图4是更详细示出控制消息处理系统的一个示例的框图。
12.图5是图示了在图3中所图示的请求处理系统以及在图4中所图示的控制消息处理系统的操作的一个实例的流程图。
13.图6是更详细示出数据/工具摄取(ingestion)系统的一个示例的框图。
14.图7a和图7b(在本文中被统称为图7)示出了图示出在图6中所示的系统将数据和/或工具摄取到工作空间中的操作的一个示例的流程图。
15.图8是更详细示出安全日志生成系统的一个示例的框图。
16.图9是示出了在图8中所图示的安全日志生成系统将信息存储到安全日志存储装置的操作的一个示例的流程图。
17.图10是更详细示出机器学习调查系统的一个示例的框图。
18.图11是图示了在图10中所示的机器学习调查系统生成调查包模型和分支逻辑模型的总体操作的一个示例的流程图。
19.图11a是图示了调查模型生成调查包的操作的一个示例的流程图。
20.图12是图示了在图10中所图示的机器学习调查系统使用调查包模型的操作的一个实例的流程图。
21.图13是示出了在图10中所图示的机器学习调查系统使用分支逻辑模型的操作的一个示例的流程图。
22.图14是示出了在图1所图示的架构被部署在云计算架构中的一个示例的框图。
23.图15是示出了能够在先前图中所示的架构中使用的计算环境的一个示例的框图。
具体实施方式
24.如上文所讨论的,合规边界能够使得难以调查在由那些合规边界定义的不同主权云内提供的服务内发生的不同事故。例如,可能难以获得对生产服务器的访问权,以便避免对客户数据的任何意外泄露。类似地,将数据移出主权云(例如,跨合规边界)进行调查可能不是一种选项,因为这可能违反合规要求。这会使对任何安全或服务事故进行故障排除变得非常困难。
25.因此,本讨论关于安全调查平台进行,在安全调查平台中,调查员能够在其中提供服务的特定合规边界内创建专门的调查工作空间。所述安全调查平台包括请求处理系统和控制消息处理系统。所述请求处理系统可以是面向调查员(或者用户)的系统,并且在不通过所述控制消息处理系统的情况下不能访问所述工作空间。所述控制消息处理系统基于从所述请求处理系统接收到的请求来管理所述工作空间并且在所述工作空间内执行任务。所述控制消息处理系统不能够由用户访问,除了从所述请求处理系统接收控制消息。因此,所述请求处理系统与所述工作空间隔离,并且所述控制消息处理系统与所述用户隔离。数据以及其他功能或工具能够被摄取到所述工作空间中,使得所述工具能够被用于对所述数据进行操作以执行各种不同类型的调查任务。来自所述工作空间的数据被归档到安全的日志存储装置中以用于分析。类似地,机器学习系统能够访问所述安全日志存储装置以生成机器学习模型,所述机器学习模型能够被用于建议可以在为了调查未来事故而生成的工作空间中所使用的数据和调查工具。一旦工作空间被创建,这些就能够为调查员预加载到所述工作空间中。所述机器学习系统也能够被用于生成分支逻辑模型,当未来调查在工作空间
中进行时,所述分支逻辑模型能够被用于建议下一调查任务。
26.图1是计算系统架构100的一个示例的框图。架构100包括可以访问服务数据源104-106的安全调查平台服务实例102。在一个示例中,可能存在被部署在每个主权云内的安全调查平台服务实例102,使得能够在该主权云内调查事故而没有任何数据跨越合规边界。
27.在图1中所示的示例中,客户端计算系统108能够通过网络110访问安全调查平台服务实例102。因此,网络110能够是多种不同类型的网络中的任意网络,诸如广域网、局域网、近现场通信网络、蜂窝通信网络、或者多种其他网络或网络组合中的任意一种。
28.图1也示出了,在一个示例中,客户端计算系统108生成用于由用户114进行交互的接口112。用户114可以是希望调查在服务数据源104-106中的一个服务数据源中发生的事故的调查员或者其他用户。因此,用户114能够与接口112进行交互,以便控制计算系统108和安全调查平台服务实例102的一些部分,从而用户114能够调查所述事故。
29.在图1中所示的示例中,安全调查平台服务实例102说明性地包括调查中央管理器计算系统116、一个或多个不同的工作空间118-120,并且其能够包括其他项目122。用户114说明性地通过网络110向调查中央管理器计算系统116提供请求,所述请求指示用户114希望调查事故。所述事故可能已经由所述服务中的一个服务的用户报告,或者其可能已经被自动地检测到,等等。当接收到所述请求时,调查中央管理器计算系统116说明性地在其中发生所述事故的合规边界内(例如,在同一主权云中)生成工作空间120。用户114能够请求将数据摄取到工作空间120中。其能够被存储在工作空间120中的数据容器122中。用户114也能够请求调查工具124连同任何其他项目126一起可以被摄取到工作空间120中。然后,用户114能够向调查中央管理器计算系统116提供输入,所述输入指示用户114希望在工作空间120内执行的调查任务。这可以例如使用工具124(其能够是调查工具或代码等)对数据122进行操作,以便发现与发生的事故相对应的特性或者其他信息。
30.在图1中所示的示例中,调查中央管理器计算系统116能够包括一个或多个处理器或服务器128、请求处理系统130、控制消息处理系统132、数据/工具摄取系统134、安全日志生成系统136、安全日志存储装置138、机器学习调查系统140,并且其能够包括各种各样的其他项目142。请求处理系统130说明性地是面向用户的,因为其通过客户端计算系统108和网络110接收由用户114输入的所述请求。其基于所接收到的用户输入来将控制消息提供给控制消息处理系统132。同样基于从用户114提供给请求处理系统130的用户请求,控制消息处理系统132说明性地控制对工作空间118-120的创建、管理那些工作空间的生命周期、控制对数据的摄取和安全记录(分别使用系统134和136)并且操作用于在工作空间118-120内执行调查任务。因此,在一个示例中,请求处理系统130不能访问工作空间118-120,除了将控制消息发布到控制消息处理系统132,并且控制消息处理系统132不可用于由用户114或客户端计算系统108的访问,除了通过请求处理系统130。这种类型的隔离增强了安全性。
31.在更详细描述架构100的总体操作之前,现在将提供对架构100中的项目中的一些项目以及其操作的简要描述。数据/调查工具(例如,工具)摄取系统134由控制消息处理系统132来控制以取回数据和其他功能(诸如调查工具等)并且将其摄取到工作空间118-120中。通过这样做,数据/工具摄取系统134可以访问来自服务数据源104-106的数据,并且将其加载到数据/工具摄取系统134内的临时数据存储中。然后可以扫描数据和/或调查工具
(诸如通过使用恶意软件扫描器或者其他类型的扫描系统)以确保其在被摄取到其预期的特定工作空间中之前不包含任何恶意软件(或者其他秘密逻辑单元)。
32.安全日志生成系统136说明性地生成指示相对于工作空间或者在工作空间内发生的所有操作的事件(event)记录。各种系统能够具有日志事件通知器逻辑单元,其在已经发生的事件要被日志记录时通知系统136。系统136同样也能够针对事件来侦听其他系统。所述事件记录可以识别谁请求了任务、被执行的特定任务、对其进行操作的数据、用于对该数据进行操作的代码或逻辑单元、在事件记录中识别出的任务与在所述工作空间中执行的其他任务之间的相关性,以及其他各种事情。安全日志生成系统136说明性地生成那些安全事件记录并且将其存储在安全日志存储装置138中。在一个示例中,安全日志生成系统136仅仅将额外记录添加到安全日志存储装置138,并且其被限制修改或者删除任何现有记录。因此,当需要时,在安全日志存储装置138中的信息能够被用于执行审计操作或者其他操作。
33.机器学习调查系统140说明性地访问安全日志存储装置138中的信息(并且其也能够访问其他信息),并且基于所访问的信息来执行机器学习。所述机器学习能够被用于生成不同类型的机器学习模型,所述机器学习模型能够被用于增强未来的调查。例如,其能够生成调查包模型(在下文所讨论的),所述调查包模型识别当调查具有特定特性的事故时被摄取到特定工作空间中并且在所述特定工作空间中使用的不同类型的数据和功能。因此,当在将来要调查类似事故时,所述调查包模型能够生成可以被预加载到新创建的工作空间中的调查包。
34.机器学习调查系统140也能够被用于生成机器学习分支逻辑模型(下文所讨论的),其能够在工作空间内的调查期间使用。例如,当在特定工作空间内调查具有特定特性的事故时,所述分支逻辑模型能够确定在该工作空间内执行了哪些调查步骤或任务。也能够确定那些调查任务在识别或补救所述事故方面是否成功或有用。当类似事故被报告时,所述分支逻辑模型然后能够辅助调查员执行未来的调查。例如,当工作空间被创建以调查类似事故时,所述分支逻辑模型能够建议当调查该事故时要执行的下一调查任务或者步骤。
35.图2a和图2b(在本文中被统称为图2)更详细示出了图示出架构100的总体操作的一个示例的流程图。首先假设安全调查平台服务实例被部署在其中要调查服务事故的合规边界内(例如,在主权云上)。这由图2的流程图中的框150来指示。如上文所讨论的,在一个示例中,安全调查平台服务实例被部署在要使用其的每个主权云中。这由框152来指示。如上文所讨论的,其说明性地与单独的请求处理系统130和控制消息处理系统132一起部署。这由框154来指示。其也能够以其他方式被部署,如由框156所指示的。
36.在某一时刻处,请求处理系统130检测到指示用户114希望基于已经被识别出的事故来开始调查的输入。这由图2的流程图中的框158来指示。其能够认证输入和/或提交所述输入以获得任何期望的批准。这由框157来指示。其也能够以其他方式来处理所检测到的输入。这由框159来指示。
37.然后,请求处理系统130将指示该输入的消息写入控制消息处理系统132。这在下文更详细地描述,并且由图2的流程图中的框160来指示。作为响应,控制消息处理系统132创建将在其中进行调查的工作空间(诸如工作空间120)。其在也部署了安全调查平台服务实例102的合规边界内创建该工作空间。创建所述工作空间由图2的流程图中的框162来指
示。
38.在一个示例中,控制消息处理系统132可以访问机器学习调查系统140以确定是否存在应当被预加载到工作空间120中的、针对这种类型的事故的任何建议的调查包。这由图2的流程图中的框164来指示。其能够使用机器学习的调查包模型来完成,如上文简要描述的,并且将在下文关于图10-13更详细地描述。使用机器学习的调查包模型由框166来指示。所述模型将接收要被调查的事故的特性作为输入,并且输出可能有助于所述调查的任何预先存在的调查包的指示。
39.建议的调查包可以识别可以由用户114在执行所述调查中所采用的调查资源(诸如数据和/或计算/分析功能,诸如调查工具或代码)。这由图2中的框168来指示。所述调查包也可以包括其他项目,如由框170所指示的。
40.如果存在任何建议的调查包,则其可以由数据/工具摄取系统134摄取到工作空间120中。这由图2的流程图中的框172来指示。在一个示例中,建议的调查包将由请求处理系统130呈现以供用户114批准。一旦被批准,其就能够被摄取到工作空间120中。在用户批准的情况下对所述建议的调查包的摄取由框174来指示。在另一示例中,能够自动地摄取所述建议的调查包,从而为用户114自动地预配置工作空间120。这由框176来指示。其也能够以其他方式被建议和/或摄取到所述工作空间中,并且这由框178来指示。
41.也可以是,除了基于所述建议的调查包被摄取的数据和/或工具之外,用户114可能希望其他数据和/或工具被摄取。在这种情况下,用户114可以向请求处理系统130提供输入,进行这种请求。作为响应,系统130能够将控制消息写入到控制消息处理系统132,控制消息处理系统132继而能够控制摄取系统134来摄取所请求的数据和/或工具。在另一示例中,系统130将所述控制消息直接写入到摄取系统134。摄取任何其他请求的数据和/或功能由图2的流程图中的框180来指示。
42.一旦工作空间120在数据容器122中配置有期望的数据和期望的计算/分析功能(或者工具)124,则用户114就可以向请求处理系统130提供输入,所述输入请求在工作空间120内执行特定调查任务。例如,所述请求可以指示工具或功能块124之一是对数据容器122中的数据的特定部分进行操作。这仅仅是一个示例,并且也能够执行其他调查任务。基于被提供给请求处理系统130的用户请求使用控制消息处理系统132在工作空间120内执行调查任务是由图2的流程图中的框182来指示的。
43.如上文简要提到的(并且如下文关于图10-13更详细描述的)机器学习调查系统140也可以具有机器学习分支逻辑模型,所述机器学习分支逻辑模型能够被用于辅助用户114进行在工作空间120内的调查。所述分支逻辑模型接收指示正在被调查的事故的特性的输入,以及指示迄今为止在工作空间120中的所述调查中已经被执行的特定任务或步骤的输入。然后,能够执行预测性调查分支以识别和/或建议要执行的下一调查任务。这由图2的流程图中的框184来指示。使用机器学习的分支逻辑模型来执行该任务由框186来指示。将所识别出的任务呈现为供用户114批准的建议的任务由框188来指示。在另一示例中,那些任务能够自动地执行,并且这由框190来指示。也能够以多种其他方式来执行预测性调查分支,并且这由框192来指示。
44.安全日志生成系统136也在安全日志存储装置138中记录所有操作以及识别所述操作和所述操作的不同特性的各种不同类型的识别数据(或者元数据)。记录这些操作由图
2的流程图中的框194来指示。如由框195所指示的,要记录的事件的通知能够通过在其中发生所述事件的其他系统/工作空间等被发送至系统136。如由框197所指示的,系统136同样能够侦听和检测事件。这能够包括记录由用户114提供的注释,所述注释指示调查的结果和/或在所述调查期间执行的个体任务或步骤的结果。记录调查员注释由框196来指示。记录操作能够以多种其他方式进行,所述方式中的一些方式在下文关于图8和图9更详细地描述。这在图2的流程图中由框198来指示。
45.同样地,如上文简要讨论的,机器学习调查系统140然后能够访问所述安全日志存储装置和任何其他相关信息,并且执行机器学习以训练(生成或更新)所述调查包模型和所述分支逻辑模型。这由图2的流程图中的框200来指示。在一个示例中,所述机器学习是在调查完成之后进行的。在另一示例中,其也能够在所述调查期间被执行。
46.在所述调查完成之前,如由框202所指示的,处理可以返回到框182,在框182处,调查员114继续在工作空间120内执行调查任务或步骤以继续所述调查。在那些步骤期间,额外数据或工具可以被摄取到工作空间120中。可以记录额外的信息和/或能够利用或执行额外的机器学习。
47.图3是更详细示出了请求处理系统130的一个示例的框图。在图3中,请求处理系统130说明性地包括客户端交互逻辑单元204、认证/批准逻辑单元206、消息队列交互逻辑单元208、超时处理逻辑单元210、数据存储212、日志事件通知器逻辑单元213,并且其能够包括各种其他项目214。客户端交互逻辑单元204说明性地检测来自用户114(通过客户端计算系统108提供)的用户输入,并且生成能够在接口112上用于由用户114进行交互的输出。能够检测那些用户交互并且将对其的指示提供给调查中央管理器计算系统116中的其他项目。
48.认证/批准逻辑单元206说明性地认证用户114。通过这样做,其能够确定用户114是否被授权具有用户114正在请求的访问权。其能够以多种不同的方式来授权或认证用户114和请求。类似地,其能够将接收到的任何请求提交给任何期望的批准过程,然后对其采取动作。批准处理可以是手动的、自动的或者组合的。
49.消息队列交互逻辑单元208说明性地将指示其接收到的用户请求的信息写入到消息队列(将在下文更详细地描述)。例如,当用户114请求创建工作空间时,控制消息将被写入到控制消息队列。所述控制消息将向控制消息处理系统132指示这一点。在另一示例中,扫描控制消息可以被写入到扫描控制消息队列(也在下文中描述),其指示用户114已经请求将特定数据摄取到所述工作空间中。在该情况下,数据/工具摄取系统134在所述数据被摄取到所述工作空间中之前对所述数据执行扫描操作。响应于被写入到所述扫描消息队列的扫描消息而这样做,如下文所描述的。
50.超时处理逻辑单元210能够从控制消息处理132系统获得超时信息,并且当用户114请求所述超时信息时提供所述超时信息。举例来说,被写入到所述控制消息队列的每个控制消息可以由控制消息处理系统132的不同实例来访问。当其被访问时,超时变量可以被修改,其指示何时访问所述控制消息。所述超时变量可以指示所述控制消息处理系统的特定实例必须执行在所述控制消息中识别出的任务的特定时间量。其能够向请求处理系统130报告关于所述超时变量的信息,其中,超时处理逻辑单元210能够在被请求时为用户114呈现该信息。
51.数据存储212可以是高速缓存,或者存储请求处理系统130可能需要的信息的其他数据存储。
52.在系统130通知安全日志生成系统136要记录的事件的示例中,日志事件通知器逻辑单元213将通知连同要记录的事件数据一起发送到系统136。这同样能够以其他方式来完成。
53.图4是更详细示出控制消息处理系统132的一个示例的框图。在图4中所示的示例中,控制消息处理系统132包括控制消息队列216,控制消息队列216能够存储由请求处理系统130中的消息队列交互逻辑单元208写入的控制消息218-220。控制消息218-220中的每个控制消息可以指示由请求处理系统130中的客户端交互逻辑单元204接收到的请求。因此,控制消息218-220中的每个控制消息可以指示在工作空间内进行调查时要执行的任务或操作。
54.控制消息处理系统132也可以包括队列交互逻辑单元222、一个或多个控制消息处理逻辑实例224-226,并且其能够包括各种各样的其他项目228。
55.队列交互逻辑单元222说明性地与控制消息队列216进行交互以选择下一排队的消息以供控制消息处理逻辑实例224-226中的一个实例来访问。那些实例中的每个实例都可以从控制消息队列216(使用队列交互逻辑单元222)获得控制消息,并且开始执行由该控制消息所识别(或者与该控制消息相对应)的任务或操作。
56.在图4中所示的示例中,每个控制消息处理逻辑实例能够包括工作空间创建逻辑单元230、工作空间访问管理逻辑单元232、工作空间生命周期管理系统234、资源请求逻辑单元236、数据记录逻辑单元238、超时逻辑单元240、请求处理系统交互逻辑单元242,并且其能够包括各种各样的其他调查任务运行逻辑单元244。
57.工作空间创建逻辑单元230说明性地被用于基于指示要创建工作空间的控制消息来创建新的工作空间(例如,工作空间120)。工作空间访问管理逻辑单元232说明性地管理对该工作空间的访问。例如,在一个示例中,特定工作空间可以由多个不同的用户来共享,以便他们能够协作地调查事故。那些用户将拥有认证或访问信息,所述认证或访问信息能够被用于对那些用户进行认证或者授权那些用户访问所述工作空间。这能够由工作空间访问管理逻辑单元232来管理。通过这样做,逻辑单元232能够与另一授权或认证系统进行通信,或者其能够自身执行这些类型的管理任务。
58.工作空间生命周期管理逻辑单元234说明性地管理所创建的不同工作空间118-120的生命周期。例如,所述工作空间可以具有与正在进行的特定调查相对应的使用期。所述生命周期也可以以其他方式被限制或确定。当特定工作空间的所述生命周期耗尽时(如由工作空间资源释放标准所指示的,诸如正在完成的调查或者其他标准),则逻辑单元234确保来自该工作空间的信息已经被安全日志生成系统136记录,并且然后释放由该特定工作空间所使用(或者被分配给该特定工作空间)的计算和数据存储资源(例如,处理器和存储器资源或者其他计算和数据存储资源,诸如blob存储装置、文件共享存储装置等),以便其能够以其他方式被使用。
59.资源请求逻辑单元236确定何时已经请求资源(诸如数据和/或计算或分析功能或者其他工具)用于摄取。然后,其与数据/工具摄取系统134进行交互以请求扫描那些资源并且将其摄取到所述工作空间中。数据记录逻辑单元238向安全日志生成系统136提供信息,
使得其能够生成指示在所述工作空间内执行的所有任务和不同操作的安全事件记录。其能够提供将触发事件记录创建的信息或者其他信息。
60.超时逻辑单元240识别与控制消息处理逻辑实例224当前正在处理的特定控制消息相对应的超时变量。其能够向请求处理系统130报告该超时变量中的变化,从而在被请求时能够将所述变化提供给用户114。
61.请求处理系统交互逻辑单元242说明性地处理在控制消息处理逻辑实例224与请求处理系统130之间的不同交互项目。例如,其能够处理在请求处理系统130中的超时逻辑单元240与超时处理逻辑单元210之间的所述交互。其也能够处理其他交互。
62.其他调查任务运行逻辑单元244能够包括用于在工作空间内运行多种不同类型的任务或步骤的多种不同类型的逻辑单元。这些可以基于正在被调查的事故、调查的类型等而变化。
63.图5是图示了请求处理系统130和控制消息处理系统132如何工作以在特定工作空间内执行可以由用户114请求的所请求的操作的一个示例的流程图。在某一时刻,客户端交互逻辑单元204将检测关于特定调查的用户输入。这由图5的流程图中的框250来指示。其可以首先使用认证逻辑单元206来认证用户,如由框252所指示的。所述用户输入可以请求平台服务实例102开始调查或者创建工作空间。这由框254来指示。所述请求可以是将数据或工具摄取到工作空间中,如由框256所指示的。其可以是在工作空间内执行调查任务,如由框258所指示的。其可以是将数据记录到各种位置,如由框260所指示的;或者可以是结束所述调查,如由框262所指示的。所有这些输入可以是从客户端计算系统108接收到的命令形式的输入,或者其能够是其他形式的输入。这由框264来指示。客户端交互逻辑单元204也能够以多种其他方式来检测客户端输入,并且这由框266来指示。
64.基于所检测到的用户输入,消息队列交互逻辑单元208将控制消息写入到控制消息处理系统132中的控制消息队列216。这由框268来指示。再次注意,请求处理系统130不能直接访问工作空间118-120。这由框270来指示。请求处理系统130也可以使用数据存储212来执行任何需要的临时存储操作。这由框272来指示。请求处理系统130也能够执行其他操作,以将控制消息写入到控制消息队列216。这由框274来指示。
65.队列交互逻辑单元222说明性地监听控制消息队列216以确定是否已经在那里写入了任何控制消息218-220。当这发生时,队列交互逻辑单元220从所述控制消息队列中取回下一控制消息,如由框276所指示的。队列交互逻辑单元222也能够以其他方式从控制消息队列216取回消息。这由图5的流程图中的框280来指示。
66.控制消息处理逻辑实例224然后从队列交互逻辑单元222接收所述控制消息。这由图5的流程图中的框282来指示。控制消息处理逻辑实例224然后使用其逻辑单元来基于(或者对应于)其已经接收到的所述控制消息来执行工作空间中的任务。这由框284来指示。实例224能够使用工作空间创建逻辑单元230来创建工作空间,如由框286所指示的。实例224能够使用工作空间访问管理逻辑单元232来管理对所述工作空间的访问,如由框288所指示的。实例224能够使用工作空间生命周期管理逻辑单元234来管理所述工作空间的生命周期,如由框290所指示的。实例224能够使用多种任务运行逻辑单元244中的任意逻辑单元来运行一个或多个调查任务,如由框292所指示的。实例224能够使用超时逻辑单元240来执行超时更新,如由框294所指示的。实例224能够使用数据记录逻辑单元238来访问各种诊断日
志并且记录该信息,如由框296所指示的。实例224还能够请求调用安全日志生成系统136以将数据存储在所述安全日志中,如由框298所指示的。实例224能够提供描述所述任务的所有数据和元数据和/或其他信息,并且所述任务的各种特性能够被用于触发和生成事件记录。实例224能够基于所接收到的控制消息来执行多种其他任务中的任意任务,如由框300所指示的。
67.只要在控制消息队列216中存在控制消息,处理就返回到框276,在框276处,队列交互逻辑单元222从所述队列中获得消息,并且将其提供给控制消息处理逻辑实例。这由图5的流程图中的框302来指示。
68.图6是更详细示出数据/工具摄取系统134的一个示例的框图。在图6中所示的示例中,数据/工具摄取系统134说明性地包括扫描控制消息队列304,扫描控制消息队列304能够包括多个不同的扫描控制消息306-308。系统134还说明性地包括资源(数据/工具)访问系统310、临时数据存储交互逻辑单元312、临时数据存储314、扫描系统316、工作空间摄取逻辑单元318、日志事件通知器逻辑单元319,并且其能够包括多种其他项目320。扫描系统316能够包括队列交互逻辑单元322、逻辑标识符324、多种不同类型的扫描逻辑单元326-328,并且其能够包括其他项目330。
69.当请求处理系统130接收到关于将数据和/或工具摄取到工作空间中的请求时,客户端交互逻辑单元204向消息队列交互逻辑单元208提供对此的指示。消息队列交互逻辑单元208然后将扫描控制消息写入到扫描控制消息队列304。所述扫描控制消息识别已经被请求用于摄取到工作空间中的资源(数据和/或工具)。队列交互逻辑单元322侦听扫描控制消息队列304,并且当存在消息时,其从所述队列中获得下一消息,并且将其提供给逻辑标识符324和资源访问系统310。资源访问系统310访问特定服务数据源104-106,数据和/或工具或逻辑驻留在特定服务数据源104-106中,并且使用临时数据存储交互逻辑单元312获得该数据和/或工具或逻辑单元并且将其存储在临时数据存储314中。
70.逻辑标识符324识别特定类型的扫描逻辑单元326-328,其被用于扫描将被摄取的数据和/或工具(或者代码),并且其已经被临时地存储在临时数据存储314中。例如,假设用户114已经请求将来自特定服务的虚拟机的图像摄取到所述工作空间中。该虚拟机的所述图像将由资源访问系统310来访问,并且由临时数据存储交互逻辑单元312存储在临时数据存储314中。扫描逻辑标识符324识别将被用于扫描虚拟图像以确保其未损坏、不包含恶意软件等的扫描逻辑326-328的特定集合。例如,扫描逻辑标识符324可以识别取证工具集合,所述取证工具将在被存储在临时数据存储314中的虚拟机图像上运行以确保其在取证上可接受被摄取到所述工作空间中。
71.扫描系统316生成到工作空间摄取逻辑单元318的输出,所述输出指示扫描操作的结果。如果所述扫描操作指示能够将数据和/或工具摄取到所述工作空间中,则工作空间摄取逻辑单元318从临时数据存储314中取回该数据和/或工具,并且将其摄取到在调查中使用其的工作空间中。然而,如果所述扫描逻辑单元指示出于某种原因不应当摄取数据和/或工具,则其向负责处理所述数据摄取的控制消息处理逻辑实例224指示这种情况,并且在该实例中,请求处理系统交互逻辑单元242向请求处理系统130提供指示,其指示由所述扫描逻辑单元找到的恶意软件或者其他问题。然后,其能够为用户114呈现或者以另一种方式被处理。
72.日志事件通知器逻辑单元319说明性地通知安全日志生成系统136数据/工具摄取系统134已经执行了与工作空间相关的一些操作。逻辑单元319能够提供对该操作的指示以及与所述操作相关的各种其他信息(诸如谁请求摄取、要摄取什么、扫描结果等)。这些仅仅是示例。
73.图7a和图7b(在本文中被统称为图7)更详细示出了图示出数据/工具摄取系统134的操作的一个示例的流程图。首先假设请求处理系统130中的客户端交互逻辑单元204接收来自用户114(或者其他地方)的请求,所述请求请求将数据和/或工具或代码摄取到特定工作空间中。这由图7的流程图中的框332来指示。所述请求能够指示数据/工具摄取将是手动的(如由框331所指示的)还是自动的(如由框333所指示的)。自动化或自动意味着能够在没有进一步参与的情况下执行所述任务,除非可能发起或批准所述任务。其能够包括其他项目以及由框335所指示的。消息队列交互逻辑单元208然后将扫描控制消息放置在扫描控制消息队列304中,其指示将被摄取的数据。这由框334来指示。
74.扫描系统316中的队列交互逻辑单元332然后从扫描控制消息队列304获得所述扫描控制消息。这由框336来指示。资源访问系统310从特定服务数据存储104-106获得要被摄取到所述工作空间中的数据和/或工具。这由框338来指示。临时数据存储交互逻辑单元312在数据和/或工具被摄取到所述工作空间中之前将该数据和/或工具存储在临时数据存储314中。这由框340来指示。
75.这能够以多种不同的方式来完成。例如,其能够手动地完成,在这种情况下,用户能够使用上传工具将(一个或多个)数据/工具上传到临时(例如,blob)存储314。这由框341来指示。所述上传也能够自动地完成。例如,所述摄取请求可以包括源路径和目的地uri。资源访问系统310和临时数据存储交互逻辑单元312分别使用源路径和目的地uri来访问资源并且将其存储在临时数据存储314中。这由框343来指示。所述数据/工具能够以其他方式被上传,如由框345所指示的。
76.扫描逻辑标识符324然后识别扫描逻辑326-328的集合,其将在刚刚已经被存储在临时数据存储314中的资源上运行。这由框342来指示。被识别出的所述扫描逻辑单元然后在临时数据存储314中的资源上运行。这由图7的流程图中的框344来指示。所述扫描逻辑单元将生成指示所述扫描的结果的输出。例如,其可能指示资源是干净的(适合于摄取到所述工作空间)。其可以指示所述资源具有病毒或者其他恶意软件,或者某些其他秘密特性。确定所述资源是否干净(例如,适合于摄取到工作空间中)由图7的流程图中的框346来指示。如果否,则相应地处理摄取该资源的请求。这由框348来指示。例如,可能仅仅是资源没有被摄取到所述工作空间并且所述请求被拒绝。这由框350来指示。可能引发错误或警报以用于呈现给用户114。这由框352来指示。也可以以多种其他方式来处理得到请求,并且这由框354来指示。
77.然而,如果在框346处确定所述资源是干净的,则工作空间摄取逻辑单元318将该资源输入到所述工作空间中以用于所述调查。这由框356来指示。
78.日志事件通知器逻辑单元319然后能够将由数据功能摄取系统134执行的操作通知给安全日志摄取系统136,从而能够生成和记录事件记录。这由框357来指示。
79.图8是更详细示出安全日志生成系统136和安全日志存储装置138的一个示例的框图。在图8中所示的实例中,安全日志生成系统136说明性地包括接口生成/交互逻辑单元
358、输入流合并逻辑单元360、诊断日志交互逻辑单元362、安全事件记录生成逻辑单元364(其能够包括流解析逻辑单元363并且能够具有其他项365)、存储交互逻辑单元366、事件记录生成触发监测器367、通知系统369,并且其能够包括各种其他项目368。同样地,在图8中所示的实例中,安全日志存储装置138能够将安全事件存储在表存储设备装置370、blob存储装置372中,或者存储在如由框374所指示的多种其他结构中。
80.简言之,作为示例,安全日志生成系统136能够从安全调查平台服务实例102的不同部分(以及从其他地方)关于多种不同类型的信息进行通信以生成用于存储在安全日志存储装置138中的安全事件记录。例如,其能够与控制消息处理系统132进行通信,如由图8的框图中的框376所指示的。其能够与请求处理系统130进行通信,如由图8的框图中的框378所指示的。其能够与工作空间118-120进行通信,如由图8的框图中的框380所指示的。其能够从各种计算系统中的诊断日志接收信息,如由框382所指示的。其能够与数据/工具摄取系统134进行通信,如由框381所指示的。其能够与机器学习调查系统140进行通信,如由框383所指示的。其也能够发送和接收各种其他信息384。
81.接口生成/交互逻辑单元358说明性地暴露了接口386,接口386能够由向安全日志生成系统136提供信息的各种系统来调用。接口386能够暴露允许安全日志生成系统136获得生成安全事件记录所需的信息的方法或功能。例如,接口386可以包括接收事件创建时间或事件发生时间、指示发生了什么的事件类型、识别请求事件的用户、或者以其他方式与事件相关的用户id、对其进行操作的资源的标识符(诸如数据被摄取的位置,其识别该数据等)、识别将作为事件记录的主题的事件与其他事件相关的事件相关性的事件相关标识符、与事件相对应的任何诊断日志数据的方法和功能,并且其能够包括各种其他可定制的参数或者其他参数。
82.事件记录生成触发检测器367能够检测来自其他系统中的各种通知器的输入,或者其能够检测触发对事件记录的生成的触发标准。输入流合并逻辑单元360能够在各种输入流376-384经过接口386之前或之后对其进行合并。
83.诊断日志交互逻辑单元362说明性地与所述安全平台中的或者所述安全平台从其接收信息的各种组件、系统或者其他项目进行交互,以从那些系统获得诊断日志。在一个示例中,诊断日志交互逻辑单元362被配置为每次创建事件时从相关系统获得诊断日志信息。在其他示例中,其间歇性地、定期地、或者基于其他标准从所有相关系统获得诊断日志信息,即使在其他安全日志事件未被处理时也是如此。
84.流解析逻辑单元363解析合并的流以获得要被用于生成所述事件记录的信息。安全事件记录生成逻辑单元364基于所接收到的信息来生成用于存储在安全日志存储装置138中的安全事件记录。图8示出了逻辑单元364已经生成安全事件记录388,安全事件记录388包括事件创建时间390、事件类型392、用户id 394、对其进行操作的资源的标识符396、事件相关id 398、任何相关诊断日志数据400,以及各种其他(例如,可定制的)参数402中的任意参数。
85.一旦生成了安全事件记录388,存储交互逻辑单元366将其存储在安全日志存储装置138中的期望的数据结构中。例如,各种类型的元数据可以被存储在表存储装置370中。诊断日志数据可以如blob存储装置372等被存储。这些仅仅是示例。
86.通知系统369然后通知任何其他感兴趣的系统新的事件记录已经被生成并且被存
储在安全日志存储138中。例如,系统369能够通知机器学习调查系统140在日志138中存在要利用其进行训练的新数据。
87.图9是图示了在图8中所示的安全日志生成系统136的操作的一个示例的流程图。首先假设接口生成/交互逻辑单元358暴露了具有接收用于创建和存储安全日志事件记录的信息的功能或方法的接口。这由图9的流程图中的框404来指示。触发检测器367检测触发以生成事件记录。这由框391来指示。举例来说,可能是用户已经请求对事件记录的创建。这由框393来指示。可能是特定标准自动地触发事件记录的生成。例如,触发检测器367可以检测到已经接收到关于在工作空间中执行任务的请求,如由框395所指示的。可以检测到控制消息或扫描控制消息已经在对应的队列中被排队,如分别由框397和框399所指示的。可能是调查任务在工作空间中被执行了或者摄取操作已经被执行,如分别由框401和框403所指示的。可能是工作空间已经访问了机器学习调查系统140,如由框405所指示的。触发也能够以其他方式被检测到,如由框407所指示的。
88.接口生成/交互逻辑单元358然后检测与所暴露的接口的交互以通过所述接口386捕获所述事件和围绕所述事件的元数据。这由图9的流程图中的框406来指示。通过这样做,能够合并多个数据流以生成一组合并的信息。例如,在图8中所示的各种输入能够由输入流合并逻辑单元360来合并。这由框409来指示。然后,所合并的信息能够由流解析逻辑单元363来解析以获得将被用于生成所述安全事件记录的信息。从所述合并集合中解析出的所述信息能够包括在安全事件记录388中所示的那些项目,如也在图9的流程图中所图示的,或者其他项目。
89.当该信息被捕获时,安全事件记录生成逻辑单元364生成对应的安全事件记录。这由图9的流程图中的框412来指示。其还能够生成多种不同的索引标准,因此能够基于所述标准对所述记录进行索引。所述索引标准能够包括识别与所述事件记录相对应的工作空间的工作空间标识符、被包含在所述事件记录中的所述信息中的任意信息、或者其他标准。所述索引标准的生成由框411来指示。
90.逻辑单元364将安全事件记录和索引标准提供给存储交互逻辑单元366,存储交互逻辑单元366将所述安全事件记录存储在安全日志存储装置138中。这由图9的流程图中的框414来指示。在一个示例中,安全日志生成系统136被配置为仅生成新事件记录并且将其存储在安全日志存储装置138中。这由框416来指示。以这种方式,不能删除或修改已经存在的记录。这由框418来指示。能够将所述信息存储在表存储装置370、blob存储装置372中或者以多种其他方式374来存储。逻辑单元358也能够生成输出,所述输出向其他系统、组件或逻辑单元指示新事件记录被存储在存储装置138中。这由图9中的框419来指示。
91.图10是更详细示出机器学习调查系统140的一个示例的框图。在图10中所示的示例中,系统140包括学习触发标准检测逻辑单元420、安全日志交互逻辑单元422、模型生成/更新数据标识符424、调查包模型生成/更新逻辑单元426(其能够包括包模型训练器451、包生成模型训练器453,并且其能够包括其他项目455)、分支模型生成/更新逻辑单元428、模型输入标准逻辑单元430、配置系统433,并且其能够包括各种其他项目434。在图10中所示的示例中,机器学习调查系统140还示出了具有一个或多个调查包模型436、调查包生成模型437、以及分支逻辑模型438。调查包模型436包括触发检测逻辑单元440、包标识符442、输出生成器444,并且其能够包括其他项目446。调查包生成模型437包括触发检测逻辑单元
439、包标识符441、输出生成器443,并且其能够包括其他项目445。分支逻辑模型438包括触发检测逻辑单元448、分支标识符450、输出生成器452,并且其也能够包括其他项目454。
92.配置系统433能够包括自动预配置逻辑单元447和请求处理系统交互逻辑单元432。其也能够包括其他项目449。
93.图10也示出了机器学习调查系统140与调查包存储456进行交互。调查包存储456能够存储一个或多个不同的调查包458,并且其能够包括各种其他项目460。
94.简言之,在操作中,学习触发标准检测逻辑单元420检测触发机器学习调查系统140执行模型训练以训练(生成或更新)模型、或者应用输入以使用模型来识别调查包或调查分支步骤的标准。例如,假设学习触发标准检测逻辑单元420检测到指示机器学习调查系统140要生成或更新模型的标准。例如,这可以在新信息被存储到安全日志数据存储138时发生。这可以在调查结束并且工作空间被关闭时发生。其也可以发生在其他标准下。在该情况下,安全日志交互逻辑单元422从安全日志存储装置138获得信息,使得其能够基于安全日志存储装置138中的信息来训练一个或多个模型(例如,生成所述模型或者更新所述模型)。
95.模型生成/更新数据标识符424识别将用于训练系统140中的模型的不同类型的数据。例如,可以识别被摄取到工作空间中以调查特定类型的事故的数据和/或工具的不同集合,并且将该信息提供给调查包模型生成/更新逻辑单元426。然后,逻辑单元426使用该信息来生成和/或更新一个或多个不同的调查包模型436和437。
96.模型生成/更新数据标识符424还可以识别在工作空间中的调查期间执行了哪些特定任务。可以将该信息提供给分支逻辑模型生成/更新逻辑单元428。逻辑单元428能够使用所述信息来训练(例如,创建或更新)分支逻辑模型438。
97.一旦生成了模型436、437和438,其就能够被用于辅助事故调查。例如,调查包生成模型437能够识别在调查不同事故类型的事故时可能有用的不同调查包458。调查包458能够与不同事故的特性相关,使得当将来发生具有那些特性的事故时,能够识别相关调查包458并且将其预加载到工作空间中,例如,使用调查包模型436和配置系统433。
98.例如,触发检测逻辑单元440可以从模型输入标准逻辑单元430接收模型输入标准,所述模型输入标准指示已经报告了具有特定特性的事故并且已经为该事故创建了工作空间。包标识符442可以识别由调查包生成模型437根据具有相似特性的先前事故生成的一个或多个调查包458(如果有的话)。输出生成器444说明性地生成指示那些识别出的调查包的输出,并且将其提供给请求处理系统交互逻辑单元432,请求处理系统交互逻辑单元432能够将其提供给请求处理系统130以用于呈现给用户114或者另一用户。
99.类似地,当调查在工作空间中进行时,在该调查中已经执行的任务可以由模型输入标准逻辑单元430来识别并且提供给分支逻辑模型438。分支逻辑模型438可以使用触发检测逻辑单元448来检测那些输入,并且使用分支标识符450来识别可能建议的下一调查任务或步骤。输出生成器452生成指示下一建议的任务或分支的输出。请求处理系统交互逻辑单元432能够将建议的任务或分支呈现给用户114或者另一用户。
100.图11是图示出机器学习调查系统140在生成调查包模型436、调查包生成模型437和/或分支逻辑模型438中的操作的一个示例的流程图。首先假设学习触发标准检测逻辑单元420检测触发学习操作以便系统140训练(生成或更新)模型的学习触发。检测学习触发由
图11的流程图中的框462来指示。所述触发能够基于多种不同的标准。例如,所述学习操作能够由指示用户希望所述系统训练模型的用户输入来触发。这由框464来指示。学习操作能够由安全日志生成系统136存储在安全日志存储装置138中的一个或多个新事件记录来触发。这由框466来指示。所述学习可以由在工作空间118-120中完成的调查来触发。这由框468来指示。其可以由控制消息处理系统132关闭工作空间118-120来触发。这由框470来指示。所述学习操作也能够以多种其他方式来触发,这由框472来指示。
101.安全日志交互逻辑单元422然后从安全日志存储装置138获得信息。这由框474来指示。所述信息可以是自上次学习操作被执行以来已经被添加的新信息。其可以是已经针对预定时间量或预定操作次数在存储装置138中存储的所有信息。其也可能是其他信息。
102.模型生成/更新数据标识符424然后解析所取回的信息以识别用于训练(生成和/或更新)所述模型的数据。这由框476来指示。例如,为了生成或者更新调查包模型436,数据标识符424可以识别从安全日志存储装置138取回的数据的特定子集(如由框473所指示的)。为了生成或者更新调查包生成模型437(如由框471所指示的)或分支逻辑模型438(如由框475所指示的),模型生成/更新数据标识符424可以识别从安全日志存储装置138中取回的数据的不同子集。这些仅仅是示例,并且能够识别其他模型训练数据,如由框477所指示的。
103.然后,该信息被用于训练要训练的模型。如果要训练调查包模型436,则所述信息被提供给调查包模型生成/更新逻辑单元426,其中,包模型训练器451训练模型436。在该信息上运行机器学习算法以训练(生成或更新)模型436。如果要训练调查包生成模型437,则将信息提供给训练调查包生成模型437的包生成模型训练器453。如果要训练分支逻辑模型438,则将由数据标识符424获得的信息提供给分支逻辑模型生成/更新逻辑单元428。在该数据上运行机器学习算法以训练(生成或更新)分支逻辑模型438。执行机器学习以训练模型由图11的流程图中的框478来指示。
104.所述训练逻辑单元然后输出训练的模型436、437和/或438以用于在调查期间使用。这由框480来指示。其能够将已经由调查包生成模型437生成的任何预配置的调查包458存储在调查包存储456中。也能够以其他方式输出所述模型,如由框484所指示的。
105.图11a是示出了指示能够如何使用调查包生成模型437的一个示例的流程图。触发检测逻辑单元439首先检测正在调用调查包生成模型437的模型调用触发信息。这由图11a的流程图中的框487来指示。当用户114在请求生成相关调查包以便其能够被加载到工作空间中时,所述触发信息能够基于用户输入489。可以基于可以由用户114或另一系统提供的事故调查信号来触发所述模型,所述信号指示已经调查了新事故(或者阈值数量的事故)。这由框491来指示。可以基于额外的数据可用于生成更多调查包458的指示来触发所述模型。这由框493来指示。所述模型也能够由其他触发来调用,并且这由框495来指示。
106.模型输入标准逻辑单元430然后获取信息(诸如事故特性,其对应于已经被调查的事故,或者其他信息)并且将其提供到调查包生成模型437。这由图11a的流程图中的框497来指示。所述信息可以从安全日志138获得,如由框499所指示的。所述信息也可以以多种其他方式来获得。这由图11a的流程图中的框501来指示。
107.所述信息由模型输入标准逻辑单元430来解析以识别对模型437的模型输入。所述模型输入包括在生成新调查包中有用的信息。解析所述信息以识别所述模型输入由图11a
的流程图中的框503来指示。
108.那些特性作为输入被提供给调查包生成模型437。这由图11a的流程图中的框505来指示。基于那些输入,包标识符441生成对使用其调查有帮助的任何调查包458。例如,包标识符441能够识别在调查(即,成功的调查)中使用的、具有对应特性的调查资源(数据、工具、代码、功能等),并且输出生成器443生成输出,所述输出指示包括或识别那些资源的新的调查包458。
109.输出生成器443然后将所述输出作为调查包458存储在调查包存储456中。这由图11a的流程图中的框507来指示。如由图11a的流程图中的框509和511分别指示的,包458能够通过事故特性或者多种其他索引标准来索引。
110.图12是示出了能够如何使用调查包模型436的一个示例的流程图。触发检测逻辑单元440首先检测正在调用调查包模型436的模型调用触发信息。这由图12的流程图中的框486来指示。当用户114正在请求呈现相关调查包以便其能够被加载到工作空间中时,所述触发信息能够基于用户输入488。所述模型可以基于可以由用户114或者另一系统提供的事故调查信号490来触发,所述信号指示事故已经被报告并且将被调查。所述模型可以基于对工作空间的创建来触发,如由框492所指示的。例如,每次创建新的工作空间时,这可以触发调查包模型436以呈现建议的调查包以供摄取到新创建的工作空间中。所述模型也能够被其他触发调用,并且这由框494来指示。
111.模型输入标准逻辑单元430然后获取与要被调查的事故相对应的事故特性并且将其提供给调查包模型436。这由图12的流程图中的框496来指示。事故的特性可以包括多种不同类型的信息。例如,事故可以由用户在描述所述事故的事故报告中进行报告。因此,所述事故特性可以包括在所述事故报告中的信息,如由框498所指示的。所述特性可以包括在其中发生所述事故的特定服务的标识符。这由框540来指示。其可以包括事故的类型(诸如是服务的组件的问题还是潜在的安全事故等)。这由框542来指示。所述事故的特性可以包括事故中所涉及的特定资源,如由框544所指示的。所述特性可以包括与所述事故相对应的多种其他特性或元数据。这由图12的流程图中的框546来指示。
112.那些特性被作为输入提供给调查包模型436。基于那些事故,包标识符442识别在被摄取到工作空间中的情况下可能有帮助的任何相关调查包458。例如,能够通过将新报告的事故的特性与根据其生成调查包458的事故的特性进行比较来做到这一点。模型436能够是神经网络,或者将事故特性作为输入并且生成指示可能在调查中有帮助的一个或多个不同调查包的输出的多种其他分类器或者其他类型的模型中的任意一种。
113.输出生成器444然后生成指示所识别出的调查包的输出。识别相关调查包并且生成指示那些调查包的模型输出由图12的流程图中的框548来指示。
114.同样地,所识别出的调查包可以包括要扫描和摄取到所述工作空间中的数据,如由框550所指示的。其可以包括诸如取证工具或其他逻辑单元、代码的功能或者在被扫描和摄取在所述工作空间的情况下对所述调查有帮助的其他功能。这由框552来指示。其可以包括多种其他信息,如由框554所指示的。
115.然后,模型输出由系统140来处理。这由图12的流程图中的框556来指示。例如,能够向控制消息处理系统132提供输出,以利用所识别出的调查包自动地配置所述工作空间。这由框558来指示。能够使用请求处理系统交互逻辑单元432来将所识别出的调查包的指示
发送到请求处理系统130,从而其能够被呈现以供用户114用于用户授权。这由框560来指示。一旦接收到授权,这就能够被指示给控制消息处理系统132,然后控制消息处理系统132将所述调查包摄取到所述工作空间中。所述模型输出也能够以多种其他方式来处理,并且这由图12的流程图中的框562来指示。
116.图13是示出了在图10中所图示的机器学习调查系统使用分支逻辑模型438的一个示例的流程图。
117.触发检测逻辑单元448首先检测调用对模型438的使用的模型调用触发。这由图13的流程图中的框564来指示。这可以是指示正在进行调查的输入(诸如已经接收到事故报告并且用户114正在试图对其进行调查)。这由框566来指示。其可以包括指示任务已经在工作空间内被执行的信息。这由框568来指示。其可以是请求分支逻辑模型438建议下一调查任务或操作的用户输入。这由框570来指示。其也可以是各种各样的其他触发标准,并且这由框572来指示。
118.模型输入标准逻辑单元430然后获得可以由分支逻辑模型438使用的各种类型的模型输入,以便识别在所述调查中的下一任务或步骤。其将那些调查特性提供给分支逻辑模型438。这由图13的流程图中的框574来指示。所述特性可以是不同的,这取决于调查的类型(诸如是否调查潜在的安全漏洞、病毒、性能问题等)。向模型438提供调查的类型由框576来指示。所述调查特性可以包括描述正在被调查的事故的事故特性。这由框578来指示。其能够包括调查任务历史(诸如已经在工作空间中执行的任务或调查步骤的历史以及该任务历史的结果)。这由框580来指示。被输入到分支逻辑模型438中的所述调查特性也能够包括多种其他特性,并且这由框582来指示。
119.分支标识符450然后识别要在工作空间中执行的分支(例如,下一任务),并且输出生成器452生成指示所述分支(下一任务)的模型输出。这由图13的流程图中的框584来指示。例如,所述模型输出可以识别应当被摄取到所述工作空间中的额外的数据集或者应当被摄取到所述工作空间的额外的工具或者其他功能。这由框586来指示。所述模型输出可以识别要执行的下一计算任务(诸如运行取证代码的下一集合)。这由框588来指示。所述模型输出也能够指示各种其他事物,并且这由框590来指示。
120.然后处理所述模型输出。这由图13的流程图中的框592来指示。例如,所述模型输出能够被提供给控制消息处理系统132,控制消息处理系统132自动地执行由所述模型输出识别出的下一任务。其可以自动地摄取额外的数据或功能。其可以在所述工作空间内执行下一调查任务等。自动地执行下一任务由图13的流程图中的框594来指示。
121.所述模型输出可以由请求处理系统交互逻辑432发送到请求处理系统130,在此其被呈现以用于用户授权。这由框596来指示。例如,下一任务可以在所述工作空间内被执行之前由用户114(或者不同的用户)来授权。在这种情况下,其能够由请求处理系统130通过用户界面112呈现给用户114以用于授权。
122.所述模型输出也能够以多种其他方式来处理,并且这由图13的流程图中的框598来指示。
123.将注意,以上讨论已经描述了多种不同的系统、组件、工具、功能和/或逻辑单元。将意识到,这样的系统、组件、工具、功能和/或逻辑单元能够由执行与那些系统、组件、工具、功能和/或逻辑单元相关联的功能的硬件项目组成(诸如处理器和相关联的存储器,或
者其他处理组件,其中的一些组件在下文被描述)。另外,所述系统、组件、工具、功能和/或逻辑单元能够由被加载到存储器中并且随后由处理器或服务器或者其他计算组件运行的软件组成,如下文所描述的。所述系统、组件、工具、功能和/或逻辑单元也能够由硬件、软件、固件等的不同组合来组成,下文描述了其中的一些示例。这些仅仅是能够被用于形成所述系统、组件、工具、功能和/或逻辑的不同结构的一些示例。也能够使用其他结构。
124.本讨论已经提到了处理器和服务器。在一个实施例中,处理器和服务器包括具有未单独示出的相关联的存储器和计时电路的计算机处理器。其是其所属于的系统或设备的功能部分,并且由这些系统中的其他组件或项目激活,并且促进这些系统中的其他组件或项目的功能。
125.同样地,已经讨论了许多用户界面显示。其能够采用多种不同的形式,并且能够在其上设置多种不同的用户可致动输入机制。例如,所述用户可致动输入机制能够是文本框、复选框、图标、链接、下拉菜单、搜索框等。其也能够以多种不同的方式来致动。例如,其能够使用点击设备(诸如轨迹球或鼠标)来致动。其能够使用硬件按钮、开关、操纵杆或键盘、拇指开关或拇指垫等来致动。其还能够使用虚拟键盘或者其他虚拟致动器来致动。另外,在显示其的屏幕是触敏屏幕的情况下,能够使用触摸手势来对其进行致动。同样地,在显示其的设备具有语音识别组件的情况下,能够使用语音命令来对其进行致动。
126.还已经讨论了许多数据存储。将注意,其每个都能够被分成多个数据存储。对于访问其系统而言,所有这些都能够是本地的,所有都能够是远程的,或者一些能够是本地的而另一些是远程的。所有这些配置都在本文中被设想到。
127.同样地,附图示出了具有归属于每个框的功能的多个框。应当注意,可以使用更少的框,因此功能由更少的组件来执行。同样地,能够使用更多框以及被分布在更多组件中的功能。
128.图14是示出了架构500的框图,在架构500中,两个主权云502和504被合规边界505分隔开。因此,云502中的数据被存储在与云504中的数据不同的地理区域中,并且管理不同区域的数字数据合规规则是不同的。图14示出了被设置在云502中的架构100,在架构100中,服务104和106与安全调查平台服务实例102处在相同的主权云502中。主权云504具有服务104a和106a(其能够与服务104和106相似或不同)以及平台的单独实例102a。用户114能够使用具有客户端计算系统108的客户端设备506来访问主权云502。用户512能够使用具有客户端计算系统510的客户端设备508来访问主权云504。这些仅仅是示例。云计算提供计算、软件、数据访问和存储服务,所述服务不需要最终用户了解提供服务的系统的物理位置或配置。在各种实施例中,云计算使用适当的协议通过诸如互联网的广域网来提供服务。例如,云计算提供商通过广域网来提供应用,并且能够通过web浏览器或者任何其他计算组件来对其进行访问。架构100的软件或组件以及对应的数据能够被存储在远程位置处的服务器上。云计算环境中的计算资源能够在远程数据中心位置处进行整合,或者其也能够是散布的。云计算基础设施能够通过共享数据中心来提供服务,即使其表现为针对用户的单个访问点。因此,在本文中所描述的组件和功能能够使用云计算架构从远程位置处的服务提供商来提供。替代地,其能够从常规服务器提供,或者其能够被直接安装在客户端设备上,或者以其他方式来提供。
129.该描述旨在包括公共云计算和私有云计算两者。云计算(公共和私有两者)提供了
实质上无缝池化资源,并且减少了管理和配置底层硬件基础设施的需要。
130.公共云由供应商来管理并且通常支持使用相同基础设施的多个消费者。同样地,与私有云相反,公共云能够让最终用户免于管理硬件。私有云可以由组织自身来管理,并且基础设施通常不与其他组织共享。组织仍然在一定程度上维护硬件,诸如安装和维修等。
131.还应当注意,架构100或者其一部分能够被设置在多种不同的设备上。那些设备中的一些设备包括:服务器、台式计算机、膝上型计算机、平板计算机、或者其他移动设备,诸如掌上计算机、手机、智能电话、多媒体播放器、个人数字助理等。
132.图15是在其中(例如)能够部署架构100或者其一部分的计算环境的一个示例。参考图15,用于实现一些实施例的示例性系统包括计算机810形式的通用计算设备。计算机810的组件可以包括但不限于:处理单元820(其能够包括来自先前图的处理器或服务器)、系统存储器830、以及将包括系统存储器的各种系统组件耦合到处理单元820的系统总线821。系统总线821可以是若干类型的总线结构中的任意一种,包括:存储器总线或者存储器控制器、外围总线、以及使用各种总线架构中的任意一种的本地总线。作为示例而非限制,这样的架构包括:工业标准架构(isa)总线、微通道架构(mca)总线、增强型isa(eisa)总线、视频电子标准协会(vesa)本地总线和外围组件互连(pci)总线(也被称为夹层总线)。关于图1所描述的存储器和程序能够被部署在图15的对应部分中。
133.计算机810通常包括各种计算机可读介质。计算机可读介质能够是能够由计算机810访问的任何可用介质,并且包括易失性和非易失性介质、可移动和不可移动介质。作为示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质不同于并且不包括经调制的数据信号或载波。其包括硬件存储介质,所述硬件存储介质包括以用于存储信息(诸如计算机可读指令、数据结构、程序模块或者其他数据)的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于:ram、rom、eeprom、闪存或其他存储技术、cd-rom、数字多功能磁盘(dvd)或其他光盘存储、盒式磁带、磁带、磁盘存储或其他磁存储设备,或者可用于存储期望的信息并且可由计算机810访问的任何其他介质。通信介质通常体现传输机制中的计算机可读指令、数据结构、程序模块或者其他数据,并且包括任何信息输送介质。术语“经调制的数据信号”意指以编码信号中的信息的方式设置或改变其一个或多个特性的方信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接之类的有线介质,以及诸如声学、rf、红外线和其他无线介质之类的无线介质。上述任意一种的组合也应当被包括在计算机可读介质的范围之内。
134.系统存储器830包括易失性和/或非易失性存储器形式的计算机存储介质,诸如只读存储器(rom)831和随机存取存储器(ram)832。基本输入/输出系统833(bios)包含有助于在计算机810内的元件之间传输信息的基本例程,诸如在启动期间,通常被存储在rom 831中。ram 832通常包含能由处理单元820立即访问和/或当前正在操作的数据和/或程序模块。作为示例而非限制,图15示出了操作系统834、应用程序835、其他程序模块836和程序数据837。
135.计算机810还可以包括其他可移动/不可移动易失性/非易失性计算机存储介质。仅作为示例,图15示出了从不可移动的非易失性磁介质读取或写入的硬盘驱动器841,以及从诸如cd rom或其他光学介质的可移动的非易失性光盘856读取或写入的光盘驱动器855。
可以在示例性操作环境中使用的其他可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于磁带盒、闪存卡、数字多功能磁盘、数字视频磁带、固态ram、固态rom等。硬盘驱动器841通常通过诸如接口840之类的不可移动存储器接口连接到系统总线821,并且光盘驱动器855通常通过诸如接口850之类的可移动存储器接口连接到系统总线821。
136.替代地或另外,在本文中所描述的功能可以至少部分地由一个或多个硬件逻辑组件来执行。例如但不限于:可以使用的硬件逻辑组件的说明性类型包括现场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、片上系统(soc)、复杂可编程逻辑器件(cpld)等。
137.上文讨论并且在图15中示出的驱动器以及其相关联的计算机存储介质为计算机810提供计算机可读指令、数据结构、程序模块和其他数据的存储。在图15中,例如,硬盘驱动器841被示为存储操作系统844、应用程序845、其他程序模块846和程序数据847。注意,这些组件可以与操作系统834、应用程序835、其他程序模块836和程序数据837相同或不同。操作系统844、应用程序845、其他程序模块846和程序数据847在此被赋予不同的编号,以说明其至少是不同的副本。
138.用户可以通过诸如键盘862、麦克风863和定点设备861(例如鼠标、轨迹球或触摸板)的输入设备将命令和信息输入到计算机810中。其他输入设备(未示出)可以包括操纵杆、游戏手柄、卫星天线、扫描仪等。这些和其他输入设备通常通过耦合到系统总线的用户输入接口860连接到处理单元820,但也可以通过其他接口和总线结构连接,例如并行端口、游戏端口或通用串行总线(usb)。视觉显示器891或其他类型的显示设备也经由接口连接到系统总线821,例如视频接口890。除了监视器,计算机还可以包括其他外围输出设备,例如扬声器897和打印机896,其可以通过输出外围接口895连接。
139.计算机810可以是被配置为执行如上文所讨论的通用计算设备。其也可以是安全工作站,为管理员提供安全加固的工作站环境,该环境具有明确的应用控制和各种保护特征(证书、设备、利用等)。这样的工作站还可以采用网络访问控制列表来进一步加强安全性。
140.计算机810使用到一个或多个远程计算机(例如远程计算机880)的逻辑连接在网络环境中操作。远程计算机880可以是个人计算机、手持设备、服务器、路由器、网络pc、对等设备或其他公共网络节点,并且通常包括上文相对于计算机810描述的许多或所有元件。图10中描绘的逻辑连接包括局域网(lan)871和广域网(wan)873,但也可以包括其他网络。这种网络环境在办公室、企业范围的计算机网络、内联网和互联网中很常见。
141.当在lan网络环境中使用时,计算机810通过网络接口或适配器870连接到lan 871。当在wan网络环境中使用时,计算机810通常包括调制解调器872或用于在wan 873(例如,互联网)上建立通信的其他单元。调制解调器872可以是内部的或外部的,可以经由用户输入接口860或其他适当的机制连接到系统总线821。在联网环境中,相对于计算机810描述的程序模块或其部分可以存储在远程存储器存储设备中。作为示例而非限制,图10将远程应用程序885示为驻留在远程计算机880上。应当理解,所示的网络连接是示例性的,并且可以使用在计算机之间建立通信链接的其他方式。
142.还应当注意,在本文中所描述的不同示例可以以不同方式组合。亦即,一个或多个示例的部分可以与一个或多个其他示例的部分相组合。所有这些都在本文中被设想到。
143.示例1是一种计算系统,包括:
144.请求处理系统,其接收创建工作空间请求输入,所述创建工作空间请求输入识别要被调查的事故的特性并且指示关于在主权云计算系统内创建工作空间的用户请求,所述请求处理系统基于所述创建工作空间请求输入来生成第一控制消息,其中,所述请求处理系统接收执行任务请求输入,所述执行任务请求输入识别要在所述工作空间内执行的任务,并且生成指示所识别的任务的第二控制消息:
145.控制消息处理系统,其接收所述第一控制消息并且基于所述第一控制消息在所述主权云计算系统内生成工作空间并且基于所述第二控制消息在所述工作空间中运行所述任务;以及
146.在所述主权云内的安全日志生成系统,其接收指示所述工作空间被创建的工作空间创建指示符和指示所述任务被执行的任务指示符,并且生成指示所述工作空间被创建的第一事件记录和指示所执行的所述任务的第二事件记录,所述安全日志生成系统输出所述第一事件记录和所述第二事件记录以用于存储在安全日志存储中。
147.示例2是任意或所有先前示例的计算系统,其中,所述安全日志生成系统包括:
148.接口生成逻辑单元,其被配置为暴露具有信息接收功能的接口以接收所述工作空间创建指示符和所述任务指示符。
149.示例3是任意或所有先前示例的计算系统,其中,所述安全日志生成系统包括:
150.事件记录生成触发检测器,其检测事件记录生成触发并且基于所检测到的事件记录生成触发来生成触发信号。
151.示例4是任意或所有先前示例的计算系统,其中,所述安全日志生成系统包括:
152.安全事件记录生成逻辑单元,其被配置为通过所暴露的接口来获得与所述工作空间的创建相对应的第一记录信息,并且生成包括所述第一记录信息的所述第一事件记录,并且通过所暴露的接口来获得与在所述工作空间中执行的所述任务相对应的第二记录信息,并且生成包括所述第二记录信息的所述第二事件记录。
153.示例5是任意或所有先前示例的计算系统,其中,所述安全日志生成系统包括:
154.输入流合并逻辑单元,其被配置为将通过所暴露的接口获得的信息合并为事件信息的合并集合。
155.示例6是任意或所有先前示例的计算系统,其中,所述安全事件记录生成逻辑单元包括:
156.流解析逻辑单元,其被配置为解析所述事件信息的合并集合以识别所述第一记录信息和所述第二记录信息。
157.示例7是任意或所有先前示例的计算系统,其中,所述安全日志生成系统包括:
158.存储交互逻辑单元,其被配置为与所述安全日志存储进行交互以将所述第一事件记录和所述第二事件记录存储在所述安全日志存储中。
159.示例8是任意或所有先前示例的计算系统,并且还包括:
160.机器学习调查系统,其被配置为训练调查模型;以及
161.数据摄取系统,其被配置为将数据输入到所述工作空间中,其中,所述接口生成逻辑单元被配置为接收指示由所述请求处理系统、所述控制消息处理系统、所述数据摄取系统和所述机器学习调查执行的任务的记录信息。
162.示例9是任意或所有先前示例的计算系统,其中,所述安全日志生成系统包括:
163.通知系统,其被配置为当所述存储交互逻辑单元将事件记录存储在所述安全日志存储中时通知另一系统。
164.示例10是任意或所有先前示例的计算系统,其中,一旦事件记录被存储在所述安全日志存储中,所述安全日志生成系统就被限制修改所述事件记录。
165.实施例11是一种计算机实现的方法,包括:
166.在请求处理系统处接收执行任务请求输入,所述执行任务请求输入识别要在主权云计算系统内创建的工作空间内执行的任务;
167.生成具有指示所识别的任务的任务指示符的第一控制消息;
168.利用所述主权云计算系统中的控制消息处理系统在所述工作空间中基于所述第一控制消息来运行所识别的任务;
169.利用安全日志生成系统在所述主权云内生成指示所执行的任务的第一事件记录;以及
170.从所述安全日志生成系统输出所述第一事件记录以用于存储在安全日志存储中。
171.示例12是任意或所有先前示例的计算机实现的方法,并且还包括:
172.将接口暴露给所述控制消息处理系统,所述接口具有信息接收功能以接收所述任务指示符。
173.示例13是任意或所有先前示例的计算机实现的方法,并且还包括:
174.检测事件记录生成触发;以及
175.基于所检测到的事件记录生成触发来生成触发信号。
176.示例14是任意或所有先前示例的计算机实现的方法,其中,生成第一事件记录包括:
177.通过所暴露的接口来获得与在所述工作空间中执行的所述任务相对应的第一记录信息;以及将通过所暴露的接口获得的信息合并为事件信息的合并集合。
178.示例15是任意或所有先前示例的计算机实现的方法,生成所述第一事件记录包括:
179.解析所述事件信息的合并集合以识别所记录的所述第一记录信息和所述第二记录信息。
180.示例16是任意或所有先前示例的计算机实现的方法,并且还包括:
181.通过所暴露的接口来接收指示由所述请求处理系统、所述控制消息处理系统、被配置为将数据输入到所述工作空间中的数据摄取系统和被配置为生成调查模型以在所述工作空间中执行调查任务的机器学习调查系统执行的任务的记录信息。
182.示例17是任意或所有先前示例的计算机实现的方法,并且还包括:
183.当所述存储交互逻辑单元将事件记录存储在所述安全日志存储中时通知所述机器学习调查系统。
184.示例18是一种计算系统,包括:
185.请求处理系统,其接收执行任务请求输入,所述执行任务请求输入识别要在主权云计算系统内创建的工作空间内执行的任务,并且生成具有指示所识别的任务的任务指示符的第一控制消息;
186.在所述主权云计算系统中的控制消息处理系统,其在所述工作空间中基于所述第一控制消息运行所识别的任务;
187.在所述主权云内的安全日志生成系统,其生成指示所执行的任务的第一事件记录,并且输出所述第一事件记录以用于存储在安全日志存储中。
188.示例19是任意或所有先前示例的计算系统,其中,所述安全日志生成系统包括:
189.接口生成和交互逻辑单元,其被配置为将接口暴露给所述控制消息处理系统,所述接口具有信息接收功能以接收所述任务指示符。
190.示例20是任意或所有先前示例的计算系统,其中,所述接口生成和交互逻辑单元被配置为通过所暴露的接口来获得与在所述工作空间中执行的所述任务相对应的第一记录信息,并且其中,所述安全日志生成系统包括:
191.输入流合并逻辑单元,其被配置为将通过所暴露的接口获得的信息合并为事件信息的合并集合;以及
192.流解析逻辑单元,其被配置为解析合所述事件信息的合并集合,以识别所记录的所述第一记录信息和所述第二记录信息。
193.尽管已经以特定于结构特征和/或方法动作的语言描述了主题,但是应当理解,在所附权利要求中定义的主题不一定限于上述特定特征或动作。相反,上述特定特征和动作是作为实施权利要求的示例性形式公开的。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
