地理映射系統(tǒng)安全事件的制作方法
【專利摘要】標識了已經(jīng)被檢測為針對包含在具體計算系統(tǒng)中的具體計算裝置的具體安全事件�����。具體計算系統(tǒng)內(nèi)的多個資產(chǎn)分組中的具體資產(chǎn)分組被標識為包含具體計算裝置���。還標識了具體安全事件的源,并且地理位置和多個資產(chǎn)分組中的資產(chǎn)分組中的至少一項與標識的源關(guān)聯(lián)�����。生成適用于使具體安全事件的圖形表示呈現(xiàn)在顯示裝置上的數(shù)據(jù)����,圖形表示包含表示在具體資產(chǎn)分組中所包含的具體計算裝置的第一圖形元素和表示與地理位置和資產(chǎn)分組中的至少一項關(guān)聯(lián)的源的第二圖形元素�����。
【專利說明】地理映射系統(tǒng)安全事件
【技術(shù)領(lǐng)域】
[0001]一般而言����,此公開涉及數(shù)據(jù)分析領(lǐng)域���,并且更具體地說���,涉及數(shù)據(jù)分析軟件中的圖形用戶界面。
【背景技術(shù)】
[0002]計算機安全工具已經(jīng)被部署遍及全世界�����,以幫助保護計算系統(tǒng)�����、裝置和資源免于各種威脅��、漏洞和風險�。由全域資源的不斷增長以及國際化引起的惡意軟件�、病毒���、蠕蟲�、系統(tǒng)漏洞����、黑客和威脅的演進繼續(xù)進行,以跟上計算的進步����。因而,也已經(jīng)增加了對于對抗此類威脅的魯棒且精密的安全工具的需求���。給定此類工具不斷增加的復雜性以及管理員可定制它們的安全工具以應對特定威脅(包含對具體裝置�����、系統(tǒng)和應用唯一的威脅)的不斷增加的程度,管理和理解一些安全工具的功能性對于幾乎最富有經(jīng)驗的用戶都已經(jīng)變得太復雜了�。管理起來已經(jīng)變得出了名的復雜的安全工具的一個此類示例是現(xiàn)代網(wǎng)絡防火墻。防火墻可以是設計成允許或拒絕進出系統(tǒng)的數(shù)據(jù)傳送(包含通過網(wǎng)絡傳送的傳送)的裝置或裝置集合�。防火墻的操作可基于規(guī)則或策略的集合,并且比如可用于保護網(wǎng)絡和系統(tǒng)免于不法用戶和程序的未授權(quán)訪問���,同時仍允許合法通信����。在一些實例中,操作系統(tǒng)也可包含基于軟件的防火墻以保護對應系統(tǒng)或主機免于各種威脅�,諸如通常經(jīng)由因特網(wǎng)發(fā)現(xiàn)和傳遞的威脅。
【專利附圖】
【附圖說明】
[0003]專利或申請文件含有用顏色創(chuàng)作的至少一幅圖�����。具有彩圖的此專利或?qū)@暾埞嫉目截悓⒂稍摼衷谡埱蠛椭Ц侗匾M用時提供����。
[0004]圖1是根據(jù)至少一些實施例包含安全事件管理和地理映射功能性的示例計算系統(tǒng)的簡化示意圖;
圖2是根據(jù)至少一些實施例包含示例地理映射引擎的示例系統(tǒng)的簡化框圖���;
圖3A-3D是闡明根據(jù)至少一些實施例在系統(tǒng)中檢測的示例安全事件的簡化框圖�����;
圖4A-4D是闡明根據(jù)至少一些實施例的安全事件地理映射的示例用戶界面的屏幕截
圖�;
圖5A-5B是闡明與至少一些實施例關(guān)聯(lián)的示例操作的簡化流程圖�����。
[0005]各個附圖中的相似附圖標記和命名指示相似元素。
【具體實施方式】
[0006]一般而言�,在此說明書中描述的主題的一個方面可用包含標識在具體計算系統(tǒng)中檢測的具體安全事件的動作的方法實施,具體安全事件檢測為針對包含在具體計算系統(tǒng)中的具體計算裝置��。為具體計算系統(tǒng)內(nèi)的裝置定義的多個資產(chǎn)分組中的具體資產(chǎn)分組可被標識為包含具體計算裝置�����?���?蓸俗R與至少一個第二計算裝置關(guān)聯(lián)的具體安全事件的源,并且地理位置和包含在多個資產(chǎn)分組中的資產(chǎn)分組中的至少一項可與具體安全事件的源關(guān)聯(lián)����。可生成適用于使或讓具體安全事件的圖形表示呈現(xiàn)在顯示裝置上的數(shù)據(jù)��,圖形表示包含表示在具體資產(chǎn)分組中所包含的具體計算裝置的第一圖形元素和表示與地理位置和包含在多個資產(chǎn)分組中的資產(chǎn)分組中的至少一項關(guān)聯(lián)的源的第二圖形元素��。
[0007]進一步說����,在另一通用方面,可提供包含至少一個處理器裝置�����、至少一個存儲器元件和地理映射引擎的系統(tǒng)����。地理映射引擎當由處理器執(zhí)行時可標識在具體計算系統(tǒng)中檢測的具體安全事件(具體安全事件檢測為針對包含在具體計算系統(tǒng)中的具體計算裝置),將為具體計算系統(tǒng)內(nèi)的裝置定義的多個資產(chǎn)分組中的具體資產(chǎn)分組標識為包含具體計算裝置��,標識具體安全事件的源��,將源與地理位置和包含在多個資產(chǎn)分組中的資產(chǎn)分組中的至少一項關(guān)聯(lián)����;并生成適用于使具體安全事件的圖形表示呈現(xiàn)在顯示裝置上的數(shù)據(jù)。圖形表示可包含表示在具體資產(chǎn)分組中所包含的具體計算裝置的第一圖形元素和表示與地理位置和包含在多個資產(chǎn)分組中的資產(chǎn)分組中的至少一項關(guān)聯(lián)的源的第二圖形元素�����。
[0008]進一步說��,在此說明書中描述的主題的另一方面中可用包含標識在具體計算系統(tǒng)中檢測的具體安全事件的動作的方法實施�,具體安全事件檢測為涉及包含在具體計算系統(tǒng)中的具體計算裝置,并且針對在計算系統(tǒng)外部的至少一個第二計算裝置�����。為具體計算系統(tǒng)內(nèi)的裝置定義的多個資產(chǎn)分組中的具體資產(chǎn)分組可標識為包含具體計算裝置。第二計算裝置可與地理位置關(guān)聯(lián)�����。此外��,可生成適用于使或讓具體安全事件的圖形表示呈現(xiàn)在顯示裝置上的數(shù)據(jù)���,圖形表示包含表示作為具體安全事件源并且包含在具體資產(chǎn)分組中的具體計算裝置的第一圖形元素和表示與地理位置關(guān)聯(lián)的第二計算裝置并疊加在對應于所述地理位置的地理地圖的部分表示上的第二圖形元素���。
[0009]這些以及其它實施例可各可選地包含一個或多個如下特征��。圖形表示可包含地理地圖的視圖�,并且第一圖形元素和第二圖形元素中的至少一個可疊加在地理地圖的視圖上���。所述源可與包含在地理地圖的視圖中的具體地理位置關(guān)聯(lián)�,并且具體地理位置可根據(jù)與所述源關(guān)聯(lián)的裝置標識符標識�。圖形表示可進一步包含多個資產(chǎn)分組中的兩個或更多資產(chǎn)分組的表示,兩個或更多資產(chǎn)分組包含具體分組�。第一圖形元素可位于與具體分組的表示對應的圖形表示中,并且第二圖形元素可位于與地理地圖的視圖上的具體地理位置對應的圖形表示中�����。圖形表示可進一步包含圖形連接體��,所述圖形連接體將第一圖形元素與第二圖形元素關(guān)聯(lián)��,并表示具體計算裝置和所述源與具體安全事件關(guān)聯(lián)�。第一圖形元素可以是氣泡(bubble)元素,并且氣泡元素的直徑對應于包含具體安全事件的檢測的安全事件的量�。圖形表示可進一步包含多個安全事件中的每個事件的表示。第一圖形元素可包含表示安全事件目標的第一類型圖形元素����,而第二圖形元素可以是表示安全事件源的第二不同類型安全事件。
[0010]進一步說�����,實施例可各可選地包含一個或多個如下特征��。所述源可被標識為包含在具體計算系統(tǒng)中�����,并且所述源可與多個資產(chǎn)分組中的第一分組關(guān)聯(lián)���。具體分組可以是第一分組�����,或者不同于第一分組的分組�����。在一些實例中��,資產(chǎn)分組可以是截然不同的用戶定義的資產(chǎn)分組�,而在其它實例中,資產(chǎn)分組可對應于具體計算系統(tǒng)中資產(chǎn)的IP地址范圍���。圖形表示可以是交互式呈現(xiàn)���,并且用戶與第一圖形元素和第二圖形元素中的一個或多個圖形元素交互作用可使具體安全事件的細節(jié)的視圖被呈現(xiàn)。用戶交互作用可包含像鼠標移過第一圖形元素和第二圖形元素中的一個或多個圖形元素�、選擇第一圖形元素和第二圖形元素中的一個或多個圖形元素這樣的動作,以及其它動作����。具體安全事件的圖形表示可進一步傳達具體安全事件的類型。比如�,圖形表示可根據(jù)具體安全事件的類型對第一圖形元素和第二圖形元素中的每個圖形元素進行顏色編碼����,所述具體安全事件的類型是多個安全事件類型之一����,多個安全事件類型中的每個安全事件類型被編碼成相應顏色�。
[0011]其中一些或所有特征可以是計算機實現(xiàn)的方法,或者進一步包含在用于執(zhí)行這個所描述功能性的相應系統(tǒng)或其它裝置中����。在附圖和如下描述中闡述了本公開的這些以及其它特征、方面和實現(xiàn)的細節(jié)��。本公開的其它特征��、目的和優(yōu)點根據(jù)說明書和附圖以及權(quán)利要求書將顯而易見��。
[0012]示例實施例
圖1是闡明包含由一個或多個安全工具108監(jiān)視的計算裝置(例如105�、125、130�、135)的系統(tǒng)的計算系統(tǒng)100的示例實現(xiàn)的簡化框圖。這些安全工具108中的一些可駐留在系統(tǒng)服務器105�、網(wǎng)絡、網(wǎng)絡接口和裝置125�����、130、135上����,而其它安全工具108比如可使用遠離由工具監(jiān)視的系統(tǒng)服務器105的計算裝置和基礎(chǔ)設施提供為服務。系統(tǒng)100可進一步包含分析服務器110�、策略管理服務器115以及結(jié)合監(jiān)視系統(tǒng)服務器105的一個或多個安全工具108提供的安全事件檢測服務器120。用戶端點裝置(例如125�����、130���、135)也可提供在系統(tǒng)100中���。在一些實例中,一個或多個端點裝置(例如125�、130、135)可與之交互作用�,并消耗由系統(tǒng)服務器105以及其它服務器和裝置(例如萬維網(wǎng)服務器140)通過一個或多個網(wǎng)絡150托管的服務和資源。在一些實例中�����,一個或多個端點裝置(例如125、130�����、135)以及分析服務器110��、策略管理服務器115和安全事件檢測服務器120中的一個或多個可被視為包含在包含系統(tǒng)服務器105的計算裝置系統(tǒng)(諸如企業(yè)軟件系統(tǒng))內(nèi)�。進一步說,在系統(tǒng)中實現(xiàn)的一些安全工具可部署在端點裝置125����、130�、135以及實現(xiàn)分析服務器110、策略管理服務器115和安全事件檢測服務器120中一個或多個的計算裝置上���,或者以其它方式監(jiān)視它們�。
[0013]用于監(jiān)視系統(tǒng)以及系統(tǒng)與系統(tǒng)和裝置外部(例如萬維網(wǎng)服務器140)的交互作用的安全工具108可收集與安全工具的操作和事件���、事務處理以及由安全工具監(jiān)視的系統(tǒng)裝置和組件相關(guān)的各種數(shù)據(jù)�。安全工具108可包含基于軟件和/或基于硬件的工具�����,包括防火墻(FW)、萬維網(wǎng)網(wǎng)關(guān)��、郵件網(wǎng)關(guān)���、基于客戶端的用戶風險評估引擎����、主機入侵保護(HIP)工具�����、網(wǎng)絡入侵保護(NIP)工具����、防病毒和防惡意軟件掃描儀和移除工具、基于主機和/或基于網(wǎng)絡的數(shù)據(jù)丟失防止(DLP)工具���、漏洞管理器�����、系統(tǒng)策略依從管理器�、資產(chǎn)關(guān)鍵性工具、安全信息管理(SM)產(chǎn)品����,除此之外還有其它安全工具。安全工具108可部署在一個或多個端點裝置(例如125��、130����、135)、網(wǎng)絡元素(例如網(wǎng)絡150的)���、系統(tǒng)服務器105或具體系統(tǒng)的其它組件上���。其中一個或多個所部署的安全工具108可根據(jù)規(guī)則或策略的對應集合操作并保護系統(tǒng)組件��,這些規(guī)則或策略比如指示干預���、過濾��、阻斷��、監(jiān)視��、事件或告警檢測�、業(yè)務整形或由安全工具108執(zhí)行的其它安全任務的條件。此外�����,安全工具108可檢測與系統(tǒng)安全和相應安全工具108的操作相關(guān)的具體事件��,諸如所檢測的威脅����、網(wǎng)絡使用違反、所檢測的漏洞�����、系統(tǒng)使用違反���、系統(tǒng)錯誤����、未授權(quán)的訪問嘗試以及其它事件����,并且可收集���、存儲和報告結(jié)合事件的監(jiān)視和檢測所收集的數(shù)據(jù)。使用安全工具108檢測的事件本身可至少部分基于安全工具108和所監(jiān)視的系統(tǒng)的規(guī)則和策略���。
[0014]與所部署的安全工具108的動作和策略相關(guān)的安全數(shù)據(jù)以及與安全事件的監(jiān)視和檢測相關(guān)的數(shù)據(jù)可由具體安全工具收集和保存����,基本上獨立于由其它安全工具和系統(tǒng)組件收集或保存的其它數(shù)據(jù)���。安全數(shù)據(jù)可由一個或多個系統(tǒng)組件標識����、歸類和聚集��,系統(tǒng)組件包含比如適用于收集����、接收或者以其它方式聚集與由一個或多個安全工具采用的各種安全策略和規(guī)則相關(guān)的安全數(shù)據(jù)的策略管理服務器115�。此外,在一些實現(xiàn)中�,安全事件檢測服務器120可類似地收集和聚集描述在所監(jiān)控的系統(tǒng)和組件內(nèi)由各種安全工具108所檢測的條件以及事件屬性的數(shù)據(jù)。
[0015]可提供分析服務器110以幫助用戶分析和處理諸如通過策略管理服務器115和安全事件檢測服務器120從系統(tǒng)安全工具108收集的數(shù)據(jù)��。分析服務器110可包含數(shù)據(jù)分析軟件,數(shù)據(jù)分析軟件允許用戶查看����、分類、過濾�����、組織�、執(zhí)行分析計算和操作,以及安全數(shù)據(jù)(包含由策略管理服務器115��、安全事件檢測服務器120或者系統(tǒng)100中的其它工具組織的安全數(shù)據(jù))上的其它任務���。在一些實現(xiàn)中��,分析服務器110或另一裝置或子系統(tǒng)可進一步提供用于基于與事件關(guān)聯(lián)的地理位置分析所檢測的安全事件的功能性��。由安全工具108收集的數(shù)據(jù)可標識或用于(例如由分析服務器110)標識在安全事件中涉及的具體計算裝置(例如通過IP地址或MAC地址或某一其它標識符)�����。安全事件可包含事件的“源”或其活動已經(jīng)被確定為安全事件的可能原因的裝置(或與裝置關(guān)聯(lián)的用戶)����。安全事件也可包含事件的“目標”,或以事件為目標或受事件影響或者在事件檢測中涉及的裝置�����、網(wǎng)絡或子系統(tǒng)�����。源或目標可以是所監(jiān)視系統(tǒng)內(nèi)的裝置�、網(wǎng)絡或子系統(tǒng)(例如裝置105、125��、130�、135),或者可以是遠離所監(jiān)視系統(tǒng)或在所監(jiān)視系統(tǒng)外部的裝置��、網(wǎng)絡或系統(tǒng)(例如萬維網(wǎng)服務器140�、一個或多個最終用戶裝置(例如125、130���、135))�。在一些實例中����,比如通過在系統(tǒng)100上采用的對策可檢測和中斷具體裝置上的攻擊或其它安全事件,并且雖然作為目標的裝置可能實際上受安全事件的影響�,但盡管如此,作為目標的裝置仍可被確定為“目標”����。其它所檢測的攻擊或安全事件的影響可能尚未成功阻止,其中受影響的裝置仍被視為目標�。
[0016]除了標識在具體檢測的安全事件中涉及的具體源和目標裝置,分析服務器110或另一裝置或子系統(tǒng)可確定裝置的地理位置(例如根據(jù)IP地址的地理位置數(shù)據(jù)庫�、第三方地理位置服務或使用其它地理位置技術(shù),包含已知和未來的地理位置技術(shù))����。此外,具體系統(tǒng)或網(wǎng)絡(例如對應企業(yè)軟件系統(tǒng))內(nèi)的裝置可被標識為屬于一個或多個預先定義的分組�����、IP地址范圍或其它分組或子系統(tǒng)�。進一步說,分析服務器110可結(jié)合圖形用戶界面(⑶I)的生成使用�,⑶I包含安全數(shù)據(jù)的各種視圖和表示,并允許裝置(例如125���、130�����、135)的用戶執(zhí)行由安全工具108生成和收集的安全數(shù)據(jù)上的分析�。此類⑶I和分析呈現(xiàn)可包含生成在系統(tǒng)中檢測的安全事件的交互式地理映射,諸如在下面的幾個示例中描述和示出的�����。
[0017]一般而言���,“服務器”��、“客戶端”和“計算裝置”��,包括用于實現(xiàn)或者以其它方式包含在系統(tǒng)100 (例如105����、108����、110、115���、120���、130、135����、140等)中的計算裝置,可包含可操作以接收���、傳送���、處理、存儲或管理與軟件系統(tǒng)100關(guān)聯(lián)的數(shù)據(jù)和信息的電子計算裝置���。在此文檔中所使用的術(shù)語“計算機”�、“計算裝置”�����、“處理器”或“處理裝置”意圖涵蓋任何適合的處理裝置��。例如����,系統(tǒng)100可使用不同于服務器的計算機(包含服務器工具)實現(xiàn)����。進一步說����,任何、所有或一些計算裝置可適用于執(zhí)行任何操作系統(tǒng)(包含Linux��、UNIX���、Windows服務器等)以及適用于虛擬化具體操作系統(tǒng)(包含定制和專有操作系統(tǒng))的執(zhí)行的虛擬機�。
[0018]進一步說�,服務器、客戶端和計算裝置(例如105����、108、110����、115、120����、125��、130����、135���、140等)可各包含一個或多個處理器、計算機可讀存儲器以及一個或多個接口��,除此之外還有其它特征和硬件�。服務器可包含任何適合的軟件組件或模塊,或者能夠托管和/或服務于軟件應用或服務(例如分析服務器110的服務)(包含分布式企業(yè)或者基于云的軟件應用��、數(shù)據(jù)和服務)的計算裝置�����。比如�,服務器可配置成托管、服務于或者以其它方式管理數(shù)據(jù)集����、或與其它服務對接、協(xié)調(diào)或依賴于其它服務或由其它服務使用的應用,包含聚焦安全的應用和軟件工具�����。在一些實例中����,服務器、系統(tǒng)�����、子系統(tǒng)或計算裝置可實現(xiàn)為可在公共計算系統(tǒng)�����、服務器�����、服務器池或云計算環(huán)境上托管并共享計算資源(包含共享的存儲器�、處理器和接口)的裝置的某種組合。
[0019]端點計算裝置(例如125�����、130、135)可包含膝上型計算機��、平板計算機�����、智能電話�、個人數(shù)字助理、手持視頻游戲控制臺����、臺式計算機���、因特網(wǎng)使能的電視以及能夠通過一個或多個網(wǎng)絡150與其它計算裝置(包含分析服務器110和/或系統(tǒng)服務器105�、萬維網(wǎng)服務器140或其它遠程裝置和子系統(tǒng))通信并結(jié)合其它計算裝置操作的其它裝置�。端點計算裝置125、130�、135的屬性從裝置到裝置可有很大不同,包含操作系統(tǒng)以及加載的����、安裝的、執(zhí)行的�、操作的或者以其它方式由裝置可訪問的軟件程序的集合����。裝置的程序集可包含操作系統(tǒng)���、應用�����、插件��、小程序��、虛擬機��、機鏡像�、驅(qū)動程序����、可執(zhí)行文件以及能夠由相應裝置(例如125、130����、135)運行、執(zhí)行或者以其它方式使用的其它基于軟件的程序���。其它裝置屬性也可包含連接到裝置或者以其它方式由該裝置可訪問的外圍裝置�,以及該裝置適用于的網(wǎng)絡技術(shù)類型。
[0020]每個端點計算裝置可包含至少一個圖形顯示裝置和用戶界面��,允許用戶比如通過分析服務器110查看在系統(tǒng)100中提供的應用和其它程序的圖形用戶界面���,并與之交互作用���。一般而言,端點計算裝置可包含可操作以接收�����、傳送���、處理和存儲與圖1的軟件環(huán)境關(guān)聯(lián)的任何適當數(shù)據(jù)的任何電子計算裝置。將理解�����,可能存在與系統(tǒng)100關(guān)聯(lián)的任何數(shù)量的端點裝置以及系統(tǒng)100外部的任何數(shù)量的端點裝置��。進一步說�,術(shù)語“客戶端”��、“端點裝置”和“用戶”視情況而定可互換使用���,沒有脫離此公開的范圍。而且��,雖然每個端點裝置可在由一個用戶使用的方面描述���,但此公開考慮了許多用戶可使用一個計算機或者一個用戶可使用多個計算機���。
[0021]雖然圖1被描述為含有多個元素或與多個元素關(guān)聯(lián),但并不是在圖1的系統(tǒng)100內(nèi)闡明的所有元素都可用在本公開的每個備選實現(xiàn)中�����。此外���,本文描述的一個或多個元素可位于系統(tǒng)100外部��,不過在其它實例中�����,某些元素可被包含在一個或多個其它所描述元素的一部分以及在所闡明的實現(xiàn)中未描述的其它元素內(nèi)����,或作為一個或多個其它所描述元素的一部分以及在所闡明的實現(xiàn)中未描述的其它元素。進一步說�����,在圖1中闡明的某些元素可與其它組件組合���,以及用于除本文描述的那些目的之外的備選或附加目的�����。
[0022]盡管向計算系統(tǒng)和資源提供了關(guān)鍵保護����,但現(xiàn)代安全工具可能難以管理和準確地部署�����。對于大企業(yè)和系統(tǒng)�����,本文中部署的防火墻���、策略依從��、防惡意軟件和其它安全工具可由為企業(yè)的系統(tǒng)和安全工具的潛在無限性和各種各樣的問題和使用而潛心制定的策略和規(guī)則的高速(dizzying)陣列掌控�。全球企業(yè)可能遭受在多個且多樣地理區(qū)域中監(jiān)視裝置和子系統(tǒng)的附加復雜性�。一些安全威脅和問題對于一些地理位置比其它地理位置可能更突出。
[0023]評估安全事件����、開發(fā)響應性安全和企業(yè)策略并實現(xiàn)安全工具和對策以防護系統(tǒng)免于此類威脅和漏洞可能是困難的任務。為了闡明一個示例�����,在企業(yè)中部署的防火墻可被派給阻斷“壞”業(yè)務通過(即進入或退出)同時仍允許企業(yè)的好(并且重要)業(yè)務自由流動的任務����,除此之外還有其它功能。獲得這個可涉及定義掌控什么業(yè)務被允許或阻斷�����、何時這么做�、誰(即哪些用戶)允許或拒絕、在什么條件下允許或阻斷業(yè)務的成千上萬的粒度規(guī)則和策略,除此之外還有其它考慮因素����。例如,防火墻規(guī)則可根據(jù)具體業(yè)務的源或目的地而改變(例如����,服務器或客戶端的位置是否影響與業(yè)務關(guān)聯(lián)的風險,具體用戶(例如高級行政主管����、HR人員、IT人員)的角色是否可允許其它用戶未持有的某種信任或特權(quán)等)�����,除此之外還有其它示例�。
[0024]進一步說,在一些現(xiàn)代企業(yè)網(wǎng)絡中����,在網(wǎng)絡內(nèi)尋址主機裝置已經(jīng)被不一致地執(zhí)行了,其中將IP地址任意指配為主機的一些企業(yè)被添加到網(wǎng)絡上�。其它不一致性也存在,添加組織破壞程度以管理現(xiàn)代企業(yè)系統(tǒng)����。一般而言,標識并弄懂系統(tǒng)內(nèi)某些檢測的安全事件的重要性可能是困難的���,特別是當管理員缺乏標識在事件中影響或涉及系統(tǒng)什么部分(例如具體辦公室��、裝置類型等)的便利方式時���。管理員設想和理解影響系統(tǒng)的事件的能力可阻礙有效地診斷和解決由事件利用的原因和漏洞,快速隔離受影響的資產(chǎn)和子網(wǎng)���,并發(fā)起適當?shù)膶Σ邅斫鉀Q所檢測的事件�,除此之外還有其它示例��。
[0025]管理策略���、事件和資產(chǎn)的這個萬維網(wǎng)以及系統(tǒng)中安全工具的類似復雜的萬維網(wǎng)可能是個挑戰(zhàn)�����,特別是當系統(tǒng)安全中出現(xiàn)不一致時����。傳統(tǒng)安全解決方案雖然嘗試通過安全管理給用戶提供粒度控制,但經(jīng)常能它們自己的解決方案�����、GUI和安全管理工具的對應復雜性壓倒幾乎最富有經(jīng)驗的用戶�����。用于管理系統(tǒng)內(nèi)安全性(包含安全事件和策略的整合����,諸如圖1和圖2中所概括的)的系統(tǒng)可解決這些問題,除此之外還有其它問題���。
[0026]轉(zhuǎn)到圖2�,示出了包含提供地理映射引擎205和事件管理引擎210的示例分析服務器Iio的示例系統(tǒng)的簡化框圖200����。分析服務器110可提供數(shù)據(jù)和服務并與之通信以用于開發(fā)⑶I并將⑶I再現(xiàn)在由用戶用于分析系統(tǒng)(例如包含端點裝置212、215���、220��、網(wǎng)絡150���、服務器230�����、240中的一個或多個,除此之外還有其它裝置或系統(tǒng)組件)的安全條件的端點裝置212���、215����、220上��。此類⑶I可包含所檢測安全事件的地理映射��,類似于在下面示出和討論的(例如結(jié)合圖4A-4D)����。由分析服務器110生成和提供的CTI可進一步包含由部署在系統(tǒng)上的一個或多個安全工具(例如225)收集的或與之相關(guān)的安全數(shù)據(jù)的交互式表格、圖形����、信息圖形以及其它圖形表示。用戶可與顯示在端點裝置(例如212�、215��、220)上的⑶I交互作用����,并執(zhí)行分析任務��,包含以其原始形式以及部分由分析服務器110并且部分由操作在相應端點裝置(例如212�����、215���、220)的軟件生成的數(shù)據(jù)的組織和圖形表示過濾���、檢查、比較�����、分類�����、分級和分析安全數(shù)據(jù)���。
[0027]在一個具體示例實現(xiàn)中�����,分析服務器110可包含一個或多個處理器裝置250和一個或多個機器可讀存儲器元件255用于執(zhí)行一個或多個軟件程序���,至少包含地理映射引擎205和事件管理引擎210的一部分�����。地理映射引擎205的示例實現(xiàn)可與由事件管理引擎205生成或以其它方式提供的數(shù)據(jù)對接,并利用這些數(shù)據(jù)�。在一些實現(xiàn)中,事件管理引擎205可包含多個組件和功能性�,諸如策略管理器260、事件管理器265��、⑶I管理器270和策略編輯器275�,除此之外還有其它潛在組件。在一些實現(xiàn)中�,地理映射引擎205和/或事件管理引擎210的一個或多個組件可被分布在并提供在基于客戶端的分析應用上,諸如安裝在端點裝置210����、215���、220上的分析應用。
[0028]策略管理器260可收集和提供與在系統(tǒng)中一個或多個安全工具的操作相關(guān)的安全策略的數(shù)據(jù)和分析支持���。策略管理器可拖拉(pull)����、收集或者以其它方式訪問在策略管理服務器115聚集的或者直接來自一個或多個對應安全工具225的數(shù)據(jù)��。此數(shù)據(jù)中的一些可從為系統(tǒng)保存的數(shù)據(jù)對象295中導出����。系統(tǒng)數(shù)據(jù)對象295可包含定義系統(tǒng)內(nèi)關(guān)系和屬性的數(shù)據(jù)結(jié)構(gòu),諸如用戶����、用戶分組、辦公室��、部門�����、位置���、計算裝置��、軟件應用和應用歸類����、系統(tǒng)分組以及其它真實世界屬性,人��、位置��、程序�、商業(yè)實體、組織���、裝置以及與系統(tǒng)相關(guān)的其它東西。策略管理器260可管理一個或多個數(shù)據(jù)庫和/或其它數(shù)據(jù)結(jié)構(gòu)(例如285)�����,包含標識策略和規(guī)則的數(shù)據(jù)�,其控制一個或多個安全工具部署225并描述策略和規(guī)則的屬性。策略數(shù)據(jù)285可包含這樣的信息:策略的名稱����、地址或其它標識符����;具體策略適用于的地理位置或者策略如何不同地適用于不同地理位置�����;它適用于的安全工具�����;由策略控制的安全工具動作的類型或類別��;根據(jù)策略受安全工具控制���、監(jiān)視和/或保護的應用��、組件和/或裝置��;受策略控制的裝置或用戶的分組��;策略的重要性或關(guān)鍵性的指示���;由策略違反觸發(fā)的告警或事件的類型,除此之外還有其它策略屬性。
[0029]事件管理器265可收集和提供數(shù)據(jù)�����,并提供與在系統(tǒng)中(例如在安全工具225)檢測的安全事件(包含作為具體策略違反所觸發(fā)的事件)相關(guān)的分析支持����。策略管理器可拖拉、收集或者以其它方式訪問在安全事件檢測服務器120聚集的或者直接來自一個或多個對應安全工具225的數(shù)據(jù)�。事件管理器265可管理一個或多個數(shù)據(jù)庫和/或其它數(shù)據(jù)結(jié)構(gòu)(例如290),包含標識所檢測安全事件的屬性和特性的所聚集安全事件數(shù)據(jù)�。此數(shù)據(jù)中的一些可從系統(tǒng)對象295中導出。此類安全事件數(shù)據(jù)可包含事件的標識符���;在安全事件中涉及的裝置或子系統(tǒng)(以及裝置的位置���、用戶或管理器);所檢測的事件數(shù)量�;檢測事件的時間�;觸發(fā)事件的策略違反的標識;什么動作��、程序或計算資源違反策略���;與安全事件關(guān)聯(lián)的邏輯系統(tǒng)分組(例如部門����、商業(yè)單位、裝置類型等)���;安全事件發(fā)生的最后時間的標識����,或描述先前安全事件檢測的其它歷史數(shù)據(jù)�;事件的關(guān)鍵性或嚴重性;事件是否已經(jīng)被補救或指配給票據(jù)�、IT專業(yè)人員等以便解決;除此之外還有其它示例����。
[0030]除了分別管理策略數(shù)據(jù)和安全事件數(shù)據(jù),策略管理器260和事件管理器265可各提供為在其上執(zhí)行具體分析操作并基于對應的策略數(shù)據(jù)285和事件數(shù)據(jù)290結(jié)合GUI管理器270提供⑶I呈現(xiàn)和圖形表示而特制的附加功能性�����。進一步說��,⑶I管理器270可整合GUI元素���,諸如窗口��、窗格�����、圖形表示��、控制以及不同上下文(包含以策略為中心的上下文和以事件為中心的上下文)的其它⑶I元素����。進一步說,Gn管理器270可結(jié)合映射標識的安全事件和相關(guān)事件屬性(例如對應的策略�、由系統(tǒng)對象295定義的屬性等)到比如交互式地圖⑶I上的地理位置的⑶I的生成與地理映射引擎205對接,提供用于地理映射引擎205的功能性�,或者與地理映射引擎205協(xié)同操作。使用⑶I管理器270生成的⑶I可包含多個不同上下文��,比如組合了聚焦地理的上下文與一個或多個其它上下文��,諸如基于時間的事件上下文����、以策略為中心的上下文等���。一般而言��,上下文可對應于通過其比如可在分析操作���、GUI或其它分析應用特征中查看���、組織或表示具體數(shù)據(jù)的邏輯類別、對象或主題��。事實上���,用戶可與為第一上下文(即以地理為中心的上下文)提供的一個或多個⑶I交互作用�����,結(jié)合執(zhí)行此第一上下文內(nèi)的一個或多個分析操作�,并且然后發(fā)起呈現(xiàn)在第二上下文(即以策略為中心或基于時間的上下文�、以事件為中心的上下文)中的附加GUI元素的生成和/或呈現(xiàn)。在所呈現(xiàn)的⑶I中呈現(xiàn)的⑶I元素可進一步示出在一個上下文中的交互作用如何與另一上下文相關(guān)��。在一些實施例中�,⑶I管理器270可提供這種整合。
[0031]作為簡化的示例�,用戶可查看安全事件集合的列表��、信息圖形或其它圖形表示(即在以事件為中心的上下文中)��。用戶可執(zhí)行過濾�����、分級���、分類、搜索��、聯(lián)結(jié)����、計算以及其它分析操作,這些操作導致標識描述安全事件的數(shù)據(jù)的不同集合��,諸如安全事件集合的所選子集�����,或基于安全事件數(shù)據(jù)的計算結(jié)果�����。在一些實例中,以事件為中心的列表的生成本身可響應于用戶與另一⑶I窗口的交互作用生成�,諸如事件到地圖的地理映射�。與地圖窗口中的GUI元素交互作用可使包含在列表中的事件的列表根據(jù)交互作用進行過濾。
[0032]在其它實例中�����,以策略為中心的⑶I窗口和元素可被呈現(xiàn)并且包含以策略為中心的信息��、圖形表示�����、信息圖形等���,描述每一個所標識策略的屬性以及以策略為中心的分析操作(例如對安全策略數(shù)據(jù)分析特定的過濾�、分級��、計算�、組織等)。進一步說��,對具體上下文��,可特制提供在具體上下文中的GUI控制。比如����,在以策略為中心的GUI元素中提供的給用戶提供發(fā)起編輯在以策略為中心的GUI元素中標識的其中一個或多個安全策略的能力的交互式⑶I工具的一個集合(諸如按鈕或其它控制)在另一上下文中可能不可用。比如����,可提供策略編輯器275,使能夠例如結(jié)合一個或多個安全工具的監(jiān)視��、質(zhì)量控制�、部署和維護來編輯安全策略參數(shù)。事實上��,整合以策略為中心的上下文和以事件為中心的上下文的GUI可給用戶提供用于標識�、診斷和補救系統(tǒng)中與策略和事件相關(guān)的問題的工作流程。采用比如由策略編輯器275提供的功能性從此類CTI進行和發(fā)起的修改可影響并修改在系統(tǒng)中部署的安全工具225的變化操作�����。
[0033]轉(zhuǎn)到圖3A-3D�����,示出了闡明所監(jiān)視計算系統(tǒng)內(nèi)潛在安全相關(guān)事件的簡化框圖。比如����,在圖3A中,示出了計算裝置(例如305���、310、315��、320���、340�����、345����、350���、355等)的系統(tǒng)����。其中一些計算裝置(例如305�、310����、315��、320)可被包含在具體監(jiān)視的計算系統(tǒng)(諸如企業(yè)系統(tǒng))中�����,并且進一步使用企業(yè)網(wǎng)325與其它裝置(例如305�、310、315�����、320�����、340���、345���、350、355等)對接和通信??商峁┍O(jiān)視具體系統(tǒng)內(nèi)的事件和活動(包含在裝置305、310���、315�、320以及企業(yè)網(wǎng)325的活動)的安全工具(未示出)�。安全工具在它們監(jiān)視具體系統(tǒng)的過程中可確定或檢測具體安全相關(guān)事件,包含基于為具體系統(tǒng)定義的具體安全策略的事件���。
[0034]具體系統(tǒng)內(nèi)的計算裝置(例如305、310����、315、320)可具有由系統(tǒng)使用的對應標識符����,包含IP地址、MAC地址����、用戶ID、序列號��、跟蹤號等。在一些實例中���,檢測具體系統(tǒng)內(nèi)的事件可包含將在檢測的事件中受影響或以其它方式涉及的那些裝置與事件關(guān)聯(lián)���。進一步說,系統(tǒng)內(nèi)的裝置可與在所監(jiān)視系統(tǒng)內(nèi)定義的裝置和子系統(tǒng)的具體分組關(guān)聯(lián)����。此類分組可被創(chuàng)建為系統(tǒng)的功能(例如通過IP地址范圍或某種其它自動或任意選擇的屬性對裝置分組),而其它分組可能是更具邏輯性的����,諸如通過所定義的用戶分組、辦公室���、型號���、裝置類型等分組的裝置。邏輯分組可反映組織的內(nèi)部商業(yè)邏輯�����、所分組的裝置之間的功能關(guān)系或某種其它第二階邏輯�。邏輯分組可包含用戶定義的分組�,并且可獨立于機器特定標識符�����,諸如裝置的IP地址或MAC地址����,除此之外還有其它示例。因此���,具體系統(tǒng)內(nèi)的計算裝置(以及它們的具體地址信息)可通過IP地址范圍或某種其它定義的屬性而映射到一個或多個裝置分組�。
[0035]在圖3A的示例中�,具體系統(tǒng)中的裝置可根據(jù)每個裝置的相應IP地址落入的IP地址范圍進行分組。比如���,裝置305和310可被分組在第一 IP地址范圍(例如落在開始于"10.1〃到"10.15〃的IP地址之間的地址),同時標識包含裝置315�����、320的第二 IP地址范圍(例如“10.16”以及更高)�。
[0036]應該進一步指出,如圖3A-3D中的每個圖中所示的�,系統(tǒng)外部的裝置比如可通過每個裝置(例如340���、345、350����、355)的相應IP地址的地理位置分析或另一地理位置技術(shù)各個標識為位于具體地理位置或者以其它方式與之關(guān)聯(lián)。例如���,可以標識�����,一些外部裝置或系統(tǒng)340���、350 (例如未包含在諸如企業(yè)系統(tǒng)的所監(jiān)視系統(tǒng)中的裝置)比如位于中國,而其它裝置和系統(tǒng)被標識為位于美國或其它地區(qū)和區(qū)域或者與之關(guān)聯(lián)����。進一步說,在一些實例中�,所監(jiān)視系統(tǒng)以及所監(jiān)視網(wǎng)絡(325)內(nèi)的裝置305、310���、315��、320可以不位于同一位置����,并且可分散在多個辦公室、國家���、州和省等���。因而,在一些實現(xiàn)中����,還可確定所監(jiān)視系統(tǒng)內(nèi)的各種裝置305、310��、315�����、320的相應地理位置��,以及所監(jiān)視系統(tǒng)內(nèi)的裝置305����、310、315��、320的任何其它邏輯分組或任意分組�����。
[0037]繼續(xù)圖3A的示例���,可標識具體系統(tǒng)安全相關(guān)事件(例如360)��。在一些實例中����,如圖3A的示例中所示���,事件可以是系統(tǒng)間事件����,因為它涉及系統(tǒng)內(nèi)包含的源裝置(例如310)和目標裝置(例如320)�����。作為示例����,安全事件360可涉及具體最終用戶源裝置310通過企業(yè)網(wǎng)325 (例如基于指示使用裝置310和320之一或二者以及企業(yè)網(wǎng)325的一個或多個策略)嘗試贏得對目標系統(tǒng)服務器裝置320的未授權(quán)訪問或在目標系統(tǒng)服務器裝置320上執(zhí)行未授權(quán)的有風險或否則不適當?shù)幕顒?。還可檢測其它系統(tǒng)間事件���,包含涉及系統(tǒng)裝置305���、310、315��、320和/或企業(yè)網(wǎng)325的任何組合的系統(tǒng)間事件��。
[0038]轉(zhuǎn)到圖3B���,闡明了涉及所監(jiān)視系統(tǒng)(例如包含305��、310�����、315�、320��、325)的不同安全相關(guān)事件365�。在圖3B的具體示例中,在所標識的安全事件365中可涉及一個或多個裝置(例如340���、345�����、350��、355)或網(wǎng)絡(例如公用網(wǎng)335�,諸如因特網(wǎng))�。當事件(例如365)涉及所監(jiān)視系統(tǒng)的裝置(例如系統(tǒng)服務器320)和所監(jiān)視系統(tǒng)外部的至少一個裝置或用戶(例如最終用戶裝置355)時,事件可被視為系統(tǒng)內(nèi)事件�。
[0039]在圖3B的具體示例中,外部裝置(例如355)可嘗試黑客行為����、贏得未授權(quán)訪問、安裝惡意軟件或執(zhí)行針對���、影響����、損害、威脅或作用(統(tǒng)稱為“針對”)所監(jiān)視的系統(tǒng)服務器320的另一動作(例如365)�����,其被認為是根據(jù)一個或多個安全策略的安全事件���。在此具體示例中���,外部裝置355是事件的源,而所監(jiān)視的系統(tǒng)裝置320是目標����。在其它示例(諸如圖3C的示例)中,系統(tǒng)內(nèi)安全事件還可涉及檢測事件370�����,其涉及由具體監(jiān)視的系統(tǒng)內(nèi)的源裝置(例如310)針對外部裝置(例如服務器340)的未授權(quán)活動���。
[0040]在圖3A-3C的示例中�����,可檢測涉及源裝置和目標裝置的安全事件�����。進一步說���,可以確定所監(jiān)視系統(tǒng)外部的目標裝置和源裝置的相應地理位置,以及與包含在所監(jiān)視系統(tǒng)中的裝置關(guān)聯(lián)的相應系統(tǒng)分組���。例如���,結(jié)合圖3B的具體示例,可以確定已經(jīng)檢測到涉及由標識為位于中國(作為示例)的另一裝置或系統(tǒng)(例如355)對包含在“IP地址范圍2”中的系統(tǒng)裝置(例如320)的攻擊的安全事件���。進一步說���,在圖3C的具體示例中,可檢測到事件源(例如裝置310)駐留在“IP地址范圍I”內(nèi)��,該事件影響或針對標識為位于美國的外部裝置��。在一些實例中�����,比如可在所生成的⑶I中收集和利用這個信息以呈現(xiàn)有關(guān)事件(例如360、365��、370)的信息�����,包含事件到交互式地圖⑶I上的地理映射���。
[0041]如上面所指出的���,可以代替或附加于根據(jù)裝置的相應標識符諸如通過IP地址(與圖3A-3C中的示例一樣)使用各種技術(shù)對所監(jiān)視系統(tǒng)內(nèi)的裝置305、310����、315、320進行分組�。為了闡明,在圖3D中所示的一個示例中��,可以代替或附加于通過IP地址范圍引用在所檢測安全事件中涉及的系統(tǒng)裝置根據(jù)一個或多個備選分組(例如“分組1”���、“分組2”�、“分組3”)來進一步對系統(tǒng)裝置進行歸類或引用���。比如�,在一些實現(xiàn)中,可根據(jù)用戶定義的分組����,諸如根據(jù)裝置類型、位置����、操作系統(tǒng)���、裝置擁有者��、裝置管理者等對裝置進行歸類��。如圖3D中所示的����,事件365的目標裝置320 (圖3D的示例)可被標識為不僅包含在具體IP地址范圍(例如IP地址范圍2)中�,而且(或者替代之)可被標識為包含在一個或多個備選分組(例如分組3)中。
[0042]轉(zhuǎn)到圖4A-4D��,示出了至少部分通過地理映射引擎的功能性比如結(jié)合分析服務器和/或一個或多個安全分析程序的功能性而提供的示例用戶界面的屏幕截圖400a_d�����。屏幕截圖400a-d被提供為可能GUI的示例,提供具體檢測的事件(例如在圖3A-3D的示例中示出和描述的事件類型)的地理上下文的視圖��,以及在一些實例中提供與所檢測事件相關(guān)的那些策略��。轉(zhuǎn)到圖4A�����,示出了闡明示例⑶I窗口 405的屏幕截圖400a�,⑶I窗口 405呈現(xiàn)了與表示所監(jiān)視系統(tǒng)內(nèi)計算裝置分組的圖形元素(例如410a-c)以及表示涉及所監(jiān)視系統(tǒng)的所檢測安全事件的附加圖形元素(例如420、422�����、424�����、426����、428、430����、432�����、440�����、442�����、444、446�����、448�、450、452)疊加的交互式地圖�。交互式地圖⑶I 405的圖形表示可進一步包含交互式⑶I工具,諸如工具415���,其適用于允許用戶對顯示在⑶I 405中的地圖的具體視圖進行放大或縮小��。在一些實現(xiàn)中���,在將特征呈現(xiàn)在觸摸屏裝置上的情況下���,可隱式提供此控制。地圖⑶I 405的其它功能性可包含如下能力:搜索具體地理位置并在所顯示的地圖上標識對應位置����,拖曳所顯示的地圖視圖以平移到備選地圖視圖,以及以其它方式查看和控制在地圖⑶I 405中呈現(xiàn)的(或能夠呈現(xiàn)的)可用地圖視圖的變化部分(或其所有)的視圖�。
[0043]表示所檢測安全事件的多個圖形元素(420、422����、424、426�����、428��、430�����、432、440�、442、444�����、446���、448��、450���、452)可呈現(xiàn)與在相應安全事件中受影響或以其它方式涉及的裝置和系統(tǒng)相關(guān)的信息。比如�����,元素420可對應于檢測為影響或針對所監(jiān)視系統(tǒng)中一個或多個裝置的安全事件的所標識源的位置�。在圖4A-4D的具體示例中�����,提供了兩種不同的圖形元素類型�,一種表示安全事件的所標識“源”(例如空心圓元素��,諸如元素420����、422��、424���、426����、428���、432)����,而第二種表示安全事件的對應“目標”(例如實心圓元素�,諸如元素440、442���、444����、446、448��、450�����、452)�。進一步說,一個或多個事件的源元素(例如用空心圓示出的)可憑借將源元素(例如分別是424�、432)連接到對應目標元素(例如分別是444、430)的連接體(例如453����、454)用圖形表不為與一個或多個對應目標關(guān)聯(lián)。
[0044]進一步說�����,比如��,單次可在單個地圖⑶I視圖(例如405)中呈現(xiàn)多個元素(例如420����、422、424�����、426���、428��、430�����、432�����、440���、442、444��、446���、448��、450����、452、453�����、454)以表示在具體時段上在所監(jiān)視系統(tǒng)內(nèi)檢測的安全事件的總數(shù)的總子集或過濾的子集�。比如,可基于(例如由在給定視圖中呈現(xiàn)的地圖⑶I的一部分表示的)具體地理區(qū)域的標識����,根據(jù)安全事件基于的某些安全策略的子集、安全事件類型的子集���,由用戶來過濾在地圖GUI視圖405中呈現(xiàn)的安全事件(例如過濾所檢測事件的集合以示出具體用戶管理員負責監(jiān)視和解決的事件)(除此之外還有其它示例)����。
[0045]表示計算裝置分組的圖形元素410a_c可基于計算裝置的一個或多個具體分組的自動或用戶選擇而再現(xiàn)在地圖⑶I 405上���。比如����,用戶可選擇執(zhí)行具體不可路由IP地址范圍����、系統(tǒng)內(nèi)計算裝置的類型(例如所有膝上型、所有基于Windows?的機器等)�����、與具體用戶(例如裝置擁有者���、裝置的注冊用戶或任務是監(jiān)管裝置安全的管理員等)關(guān)聯(lián)的裝置以及其它分組的分析�。對應的資產(chǎn)分組(以及構(gòu)成裝置)可被標識(例如通過IP地址�����、MAC地址或到資產(chǎn)分組的其它映射)��,并且再現(xiàn)和呈現(xiàn)的圖形元素(例如410a-c)疊加在地圖⑶I視圖405上����。在一些實例中,圖形元素410a-c的相對大小可被再現(xiàn)以反映分組的相對大小(例如分組內(nèi)的裝置數(shù)量)���,或者以其它方式優(yōu)化用于表示資產(chǎn)分組和事件�。比如,圖形元素410a-c的跨度可基于在對應資產(chǎn)分組內(nèi)檢測的事件數(shù)量進行優(yōu)化����,其中提供了更大跨度(或圖形元素面積)以容納呈現(xiàn)在圖形元素410a-c上的若干事件元素(例如432、440��、442�、444、446����、448、450����、452)。進一步說�����,雖然在圖4A����、4B和4D的示例中示出了單行圖形元素410a_c,但在其它實例中�,可提供多行圖形元素(例如410a_c)以結(jié)合地圖⑶I視圖405表示所分析的資產(chǎn)分組���。在一些實例中,具體裝置或裝置群集可屬于由資產(chǎn)分組元素410a-c表示的多個分組���,并且對應資產(chǎn)分組元素(和/或事件元素)可被再現(xiàn)以表示資產(chǎn)分組的這些交互作用或疊加。
[0046]雖然地圖⑶I視圖405上的事件圖形元素(例如420����、422、424��、426�、428、430)的放置的位置可對應于所表示事件的具體地理位置�����,但在一些實現(xiàn)中��,呈現(xiàn)在圖形元素410a_c上的事件元素(例如432����、440、442��、444、446�����、448��、450��、452)的放置可表示比在具體分組的對應事件的涉及多����。比如,圖形元素410b內(nèi)的圖形元素432���、448���、450的放置可表示在所表示事件中涉及的裝置的相對IP地址(例如其中表示裝置或裝置群集的元素448與由元素432和450表示的裝置相比在IP地址范圍“10.16”中具有更低的IP地址),不過在其它示例中����,圖形元素410b內(nèi)的圖形元素432、448���、450的放置可表示所檢測事件的相對年代(例如其中由元素448表示的事件比由元素432�、450表示的事件開始(或檢測)得早)。也可采用其它約定和技術(shù)來指示圖形元素410a-c上的事件元素的放置����。例如,可根據(jù)事件的所確定的嚴重程度來呈現(xiàn)事件元素(例如432�、440、442�����、444���、446、448�、450、452)��。在其它實例中�����,事件元素(例如432��、440�����、442、444�����、446�����、448����、450、452)可以標識為直觀地使大多數(shù)用戶高興的方式呈現(xiàn)在資產(chǎn)分組元素410a-c上��。進一步說����,在一些示例中,用戶可選擇采用該約定用于排序��、分類或者以其它方式呈現(xiàn)資產(chǎn)分組元素410a-c���,以及在資產(chǎn)分組元素4IOa-C上排序或呈現(xiàn)事件元素(例如432�、440、442����、444、446����、448、450�、452)。例如�����,用戶可選擇(或者切換選擇)通過相對IP地址���、年代次序、嚴重性等將事件元素(例如432����、440、442�����、444、446���、448�、450�����、452)呈現(xiàn)在資產(chǎn)分組元素410a_c上����。在一些實現(xiàn)中,用戶可與所呈現(xiàn)的事件元素(例如432��、440����、442、444���、446�、448�����、450、452)交互作用�,并將事件元素拖放在對應資產(chǎn)分組元素410a-c內(nèi)的任何位置,以根據(jù)用戶的偏好排序或組織所呈現(xiàn)的事件元素�����,除此之外還有其它示例��。
[0047]為了闡明����,在圖4A的示例中,系統(tǒng)內(nèi)安全事件可被標識為引起���、發(fā)起或以其它方式關(guān)聯(lián)位于阿根廷的源裝置���。疊加在對應于阿根廷的⑶I地圖部分上的對應圖形元素426可表示阿根廷內(nèi)的源裝置的位置���,并且進一步指出���,安全事件針對或者以其它方式影響所監(jiān)視系統(tǒng)中的目標裝置(例如基于位于分組元素410a中的對應圖形元素446的放置)。目標裝置根據(jù)IP地址范圍可被標識為包含在裝置分組中。在此具體示例中�,目標裝置可包含在IP地址分組“10.1”中(例如對于IPv4,IP地址開始于“10.1.X.X”)��。目標裝置屬于的分組可由目標圖形元素446表示��,并且圖形元素410a附近或其上的圖形元素446放置表示IP地址分組“10.1”��。圖形元素425和446可進一步用圖形表示為連接的����,以示出源裝置被標識為對應于源自阿根廷(由元素426表示)并且針對具體IP地址分組“10.1” (由元素446表示)中的一個或多個裝置的具體類型安全事件。
[0048]在一些實例中���,單個圖形元素(420���、422、424��、426��、428���、430�、432、440����、442、444����、446、448���、450��、452)可指的是涉及具體源或目標或者在具體地理位置或系統(tǒng)分組內(nèi)的源或目標的所檢測的多個安全事件�����。比如���,圖形元素424和444(包含鏈接這兩個元素的圖形連接體)可表示具體時間跨度內(nèi)具體安全事件或安全事件類型的多個實例或檢測,每一個事件實例或檢測涉及在葡萄牙建立的源和在所監(jiān)視系統(tǒng)內(nèi)的IP地址范圍“10.1”分組中包含的目標��。對應于元素424�、444����、453的組合的每一個事件可以是涉及全都檢測為位于葡萄牙內(nèi)的同一源裝置或多個源裝置(例如由元素424單獨或共同表示)的事件��。類似地�����,對應于元素424�、444����、453的組合的事件可以是各個影響或針對IP地址(例如“10.1”)的具體資產(chǎn)分組內(nèi)的單個裝置或多個裝置的事件。
[0049]在一些實例中��,單個源元素可被映射到多個目標元素����。進一步說,多個目標元素可被映射到多個源元素(例如表示多源攻擊�,或涉及多個地理區(qū)域中的多個源的某種其它安全事件)。作為示例�,安全事件從源元素422(表示美國東海岸的源)映射到由元素440、442��、452表示的多個系統(tǒng)目標�。諸如在此示例中�����,將事件映射到多個目標可表示各種事件屬性��,包含受事件影響的多個截然不同的裝置��、所檢測事件的具體群集(諸如�,在具體系統(tǒng)分組子集內(nèi)標識的事件群集(如同包含在同一分組“10.1”中的兩個元素440����、442)或在具體時幀內(nèi)檢測的事件的具體群集(例如元素440表示在第一時段內(nèi)檢測的事件,元素442表示在第二時段內(nèi)在分組“10.1”中檢測的事件)等)和/或同一類型事件的多個實例(例如兩個不同病毒或惡意軟件事件源自于東海岸但涉及截然不同類型的惡意軟件等���,影響(例如由元素440�����、442所表示的)同一分組中的裝置)���,除此之外還有其它示例。
[0050]如上面所指出的����,多個不同源或目標可由單個圖形元素表示����。在一些實例中�,受影響裝置的數(shù)量(或者備選地����,具體安全事件或安全事件類型的所檢測實例的數(shù)量)可在源(或目標)圖形元素的特征中表示。比如�,如圖4A的示例中所示,一些元素(例如442)的直徑大于其它元素(例如444)的直徑。在一些實現(xiàn)中�,疊加在分組元素410a-c或地圖⑶I405中的具體圖形元素的直徑可表示裝置(源或目標)的數(shù)量和/或具體安全事件或安全事件類型的所檢測實例的數(shù)量。tWn�,基于元素442和444的相應直徑,可以標識���,已經(jīng)檢測到影響分組“10.1”中資產(chǎn)的更高數(shù)量的安全事件源自于美國東海岸���,那個事件源自于葡萄牙。
[0051]附加信息可由地圖⑶I 405及其構(gòu)成元素(例如420���、422�����、424���、426��、428���、430、432�、440、442����、444、446��、448����、450、452)傳達��。比如�,安全事件可根據(jù)各種標準(諸如通過事件類型、事件管理員、系統(tǒng)間和系統(tǒng)內(nèi)事件�����,除此之外還有其它示例)進行歸類���。在一個示例實現(xiàn)中,安全事件可通過類型(例如防病毒事件��、惡意網(wǎng)站事件���、入侵檢測事件�����、惡意可執(zhí)行事件���、混淆通信事件等)進行歸類,并且每種類型安全事件可進行顏色編碼(即指配具體代表性顏色)����。進一步說,共同表示具體類型安全事件實例的源����、目標和連接體可各用那個對應顏色呈現(xiàn)�。比如��,由元素422���、424����、440��、442���、444�����、452等(以及它們的相應連接體)表示的事件可以是第一類型事件���,并在地圖⑶I 405內(nèi)呈現(xiàn)為焦橙色。進一步說����,由元素430��、432�、450表示的事件可屬于第二類型��,并用金色呈現(xiàn)����,而第三類型事件(例如由元素426、428�����、446�����、448表示的)用藍色呈現(xiàn)���,除此之外還有其它示例。通過使用各種形式的元素(例如源元素和目標元素)���,調(diào)整相應元素的大小(例如基于所檢測的事件實例的數(shù)量)��,并改變元素的相應顏色(例如基于事件類型)�,所檢測安全事件的各種各樣(并且可能巨大的)集合的若干信息特性可被方便地傳遞給用戶,比如幫助用戶有效且高效地管理系統(tǒng)或其子系統(tǒng)內(nèi)的安全�。
[0052]如上面所指出的,在一些實現(xiàn)中�,地圖⑶I 405可以是交互式的,允許用戶放大或縮小��、平移和滾動以及以其它方式控制呈現(xiàn)在地圖⑶I 405中的地圖視圖�����。進一步說�,包含在和/或疊加在地圖GUI 405上的圖形元素(例如420,����、422、424����、426、428���、430��、432�����、440���、442�、444�、446、448�、450、452)也可以是交互式的�。比如,用戶選擇具體源元素(例如428)或者鼠標滑過該元素可提示再現(xiàn)或呈現(xiàn)視圖(諸如彈出窗口或其它窗口或CTI元素)���,傳遞有關(guān)源元素的附加細節(jié),諸如對應事件的類型或性質(zhì)����、所檢測事件的數(shù)量、最后檢測的事件的日期��、事件的更精確位置(例如事件的城市或州)��、指配給事件的管理員���、與受事件影響的裝置關(guān)聯(lián)的用戶�,除此之外還有其它細節(jié)?��?身憫谟脩襞c對應目標圖形元素(例如448)的交互作用��,提供與具體目標或目標分組相關(guān)的類似細節(jié)��。也可與連接體元素相互作用以提供描述相關(guān)事件實例的屬性的詳細視圖��。進一步說��,在一些實例中����,選擇具體事件相關(guān)元素(例如424����、444、453)或與之交互作用可使在⑶I窗口或事件分析中考慮的安全事件集合被過濾�����。比如����,選擇具體交互式圖形元素可提示根據(jù)事件類型�、與事件關(guān)聯(lián)的地理位置��、與事件關(guān)聯(lián)的系統(tǒng)分組(例如"10.1〃�、〃10.16〃等)(除此之外還有其它示例)過濾事件集
口 ο
[0053]與分組元素(例如410a_c)的交互作用也可使事件集合被過濾。例如�����,選擇分組元素410c可過濾結(jié)果集合以僅示出�、考慮或提供涉及開始于“172.68”的地址范圍內(nèi)的計算資產(chǎn)分組的事件的附加細節(jié)。進一步說�����,在一些實現(xiàn)中�,提示所考慮安全事件的集合的對應過濾的與地圖⑶I 405的圖形元素交互作用可進一步導致地圖⑶I 405的呈現(xiàn)被改變。例如����,選擇對應于具體國家的圖形元素可使得僅顯示涉及那個國家的事件���。選擇對應于具體類型事件的圖形元素可使得在地圖GUI 405中僅顯示屬于所選類型的事件�����。在另一示例中����,選擇具體分組元素(例如410a-c)可使未選擇的分組(以及對應的圖形元素)比如由所選分組內(nèi)的子分組取代(例如選擇分組"172.68〃可導致分組元素410a-c由對應于〃172.68〃IP地址范圍的子分組(例如〃172.68.1〃、"172.68.8〃等)的新分組元素取代)����,除此之外還有其它示例。
[0054]進一步說����,在一些實例中,用戶可能期望僅查看對應于系統(tǒng)具體子集的安全事件��。如在圖4A的示例中一樣�,IP范圍"10.1"、"10.16〃和〃172.68〃可僅表示所監(jiān)視系統(tǒng)內(nèi)的資產(chǎn)(以及對應指配的IP地址)的小子集�����。在一些實例中��,用戶可在系統(tǒng)內(nèi)預先選擇多個資產(chǎn)分組的子集,多個資產(chǎn)分組表示系統(tǒng)中的資產(chǎn)總體�����。比如��,在圖4A的示例中�,地圖GUI405比如可基于用戶事先選擇的資產(chǎn)分組"10.1"、"10.16〃和〃172.68〃而生成�����。類似地�,可使用其它標準生成或細化具體地圖⑶I的呈現(xiàn),包含事件類型集合�、地理位置以及用戶選擇的其它事件特征(包含根據(jù)與地圖⑶I 405本身交互作用而進行的選擇)。
[0055]除了響應于用戶與地圖⑶I 405及其構(gòu)成圖形元素的交互作用而改變之外���,當檢測到附加安全事件并收集到安全事件數(shù)據(jù)時�,地圖GUI 405也可動態(tài)且自動改變��。例如�����,在圖4B中�����,可在地圖⑶I 405中檢測和呈現(xiàn)由圖形元素455��、458�、459表示的附加事件實例。圖4B進一步闡明了系統(tǒng)間事件的示例��,諸如涉及威脅或執(zhí)行涉及由也與系統(tǒng)一起定位的元素450�����、455����、458表示的目標裝置的具體活動的一個或多個源(由元素432表示)的事件。進一步說�����,在一些實例中�����,具體事件可以是系統(tǒng)間事件和系統(tǒng)內(nèi)事件,涉及包含在所監(jiān)視系統(tǒng)的內(nèi)部(例如在450)和外部(例如在430)的目標�����,和/或涉及包含在所監(jiān)視系統(tǒng)的內(nèi)部(例如在432)和外部(例如在422)的源�����。
[0056]轉(zhuǎn)到圖4C���,可生成附加⑶I窗口(例如460)���,反映或概括所檢測安全事件的地理關(guān)系。進一步說�,此類地理位置⑶I可結(jié)合或基于基于地圖的地理位置⑶I (諸如圖4A-4B的地圖⑶I 405)呈現(xiàn)。事實上��,在一個示例中�����,地理位置概括⑶I 460可結(jié)合地圖⑶I (例如405)呈現(xiàn)�,以概括并提供基于地理學的事件GUI上下文的備選視圖。
[0057]在圖4C的示例中����,示出了地理位置概括⑶I 460的屏幕截圖400c��,包含安全事件的概括、它們的相應源和目標以及對于所標識源和目標所標識的地理位置和系統(tǒng)分組����。地理位置概括⑶I 460的備選視圖比如可提供影響具體系統(tǒng)分組并且涉及具體地理位置的安全事件類型的聚集視圖。事實上����,在圖4C的具體示例中,在圖4A中的地圖GUI 405的屏幕截圖400a中映射的事件部分被呈現(xiàn)在地理位置概括⑶I 460內(nèi)�����。比如���,源元素426’ (映射位于阿根廷的地圖⑶I 405的源元素426)被顯示在地理位置概括⑶I 460中并與“阿根廷”關(guān)聯(lián)���。目標元素446’同樣對應于⑶I 405的目標元素446,表示受安全事件影響并包含在系統(tǒng)分組“10.1”中的所監(jiān)視系統(tǒng)中的裝置和資產(chǎn)��。進一步說���,概括⑶I 460中的表示可使有關(guān)事件的源與目標(或目的地)之間區(qū)別的其它圖形再現(xiàn)(例如地圖GUI 405)中的隱式表示變顯式���,同時保持在其它呈現(xiàn)中使用的約定(例如空心圓元素表示源��,而實心圓元素表示事件目標)�。進一步說����,安全事件(由元素426’、446’表示)的顏色編碼可與在對應地圖GUI 405中采用的顏色編碼一致���,例如表示特定類型事件���、或多個相關(guān)事件當中的最關(guān)鍵類型或某種其它容易接近和預測的表示。類似地���,在地圖GUI 405中表示的其它事件可被映射到地理位置概括⑶I 460,如在圖4C的示例中所示出的���。
[0058]如同圖4A和4B的⑶I,在地理位置概括⑶I 460的一些實現(xiàn)中�,構(gòu)成的圖形元素(例如426’、446’ ,470)可以是可選的或者否則用戶交互式的����,并且提示與安全事件管理關(guān)聯(lián)的某些過濾��、⑶I控制和選擇任務�。比如����,可選擇對應于基于阿根廷的事件(在⑶I 405中由元素426��、446表示)的行元素470,比如以顯示呈現(xiàn)由圖形元素(例如426’����、446’ >470)表示的事件的附加細節(jié)和屬性的窗口,除此之外還有其它示例�,包含要呈現(xiàn)在地理位置概括⑶I 460和/或地圖⑶I 405中的安全事件的分類、過濾和選擇��。
[0059]如上面所指出的��,安全事件的地理位置及相關(guān)⑶I可以只是用于呈現(xiàn)和評估在所監(jiān)視系統(tǒng)內(nèi)檢測的安全事件的幾個可用上下文之一��。如圖4D的示例中所示的����,在單個GUI內(nèi)可顯示多個⑶I上下文����,包含地理位置⑶I 480 (例如包含地圖⑶I 405和地理位置概括GUI 460)���、以事件為中心的趨勢線GUI呈現(xiàn)485 (例如示出在具體累進時段內(nèi)檢測的安全事件的不同類型量)�����、細節(jié)視圖GUI 490 (例如比如基于用戶與其它GUI窗口(例如480�����、485)內(nèi)的此類事件或策略的對應圖形表示的交互作用來呈現(xiàn)具體安全事件�����、安全事件類別����、相關(guān)安全策略等細節(jié))��,除此之外還包含其它潛在⑶I上下文�����,包含以策略為中心的⑶I窗口和其它窗口。
[0060]如上面所指出的�����,用戶與一個⑶I窗口的交互作用可影響對其它同時呈現(xiàn)的⑶I窗口的改變����。例如,用戶選擇或與趨勢線GUI 485中的GUI元素(例如492)的其它交互作用可改變或突出另一同時呈現(xiàn)的⑶I的呈現(xiàn)��,包含呈現(xiàn)地圖⑶I 405及其構(gòu)成元素���。比如,選擇表示在“IDS簽名匹配”類別中在8am與9am之間檢測的事件的⑶I元素492可提示加亮地理位置概括⑶I 460中的行元素(例如所標記的阿根廷)����,以示出在地理位置概括⑶I460行中表示的事件被包含在由CTI元素492表示的安全事件中或者以其它方式與之相關(guān)。t匕如�����,耦合地理位置⑶I (405)與趨勢線⑶I 485(然而被簡化了)可加強分析正在發(fā)生的時中貞的優(yōu)先(overriding)的上下文��,除此之外還有其它益處�����。類似地,與地理位置概括⑶I460或地圖⑶I 405的交互作用可提示其它⑶I窗口和⑶I (包含同時呈現(xiàn)的⑶I窗口)根據(jù)用戶與地圖⑶I 405或地理位置概括⑶I 460的交互作用進行修改。比如�,選擇在地理位置概括⑶I 460中標記為“阿根廷”的行元素,或選擇呈現(xiàn)在地圖⑶I 405中表示涉及阿根廷的入侵檢測(即“IDS”)安全事件的元素(例如426)�,可進一步提示加亮趨勢線⑶I 485內(nèi)(或在地理位置概括⑶I 460或地圖⑶I 405中的另一個中)的行或元素(例如492),除此之外還有其它示例���。進一步說����,對應安全事件或安全事件子集的細節(jié)可基于選擇表示安全事件的具體⑶I元素來呈現(xiàn)(例如在⑶I窗口 490中)����。用這些各種⑶I上下文,用戶可通過與一個上下文交互作用并觀察交互作用對其它顯示的上下文的影響來控制和評估各種呈現(xiàn)的上下文之間的關(guān)系���。進一步說����,用戶可基于與⑶I窗口中另一⑶I窗口的交互作用來控制(例如過濾�、分類等)⑶I上下文和⑶I窗口顯示(例如405、460、485����、490等)。
[0061]可呈現(xiàn)其它工具(例如495)以便用于改變和控制具有屏幕截圖400d的呈現(xiàn)����。例如,可提供過濾控制495以人工過濾并指定具體安全事件子集���、策略�、地理位置以及控制所檢測安全事件的什么子集被呈現(xiàn)在⑶I 405����、460、485����、490等內(nèi)的其它標準���。比如��,用戶可指定在用戶期望使用⑶I 405���、460���、485、490等評估的安全事件集合中涉及的資產(chǎn)分組集合�、地理、安全事件類型���、管理管理員用戶以及其它屬性����。進一步說�����,在一些示例中��,用戶可選擇在安全事件評估中要呈現(xiàn)和使用的GUI類型以及兩個或更多GUI同時呈現(xiàn)的GUI布局�����。更進一步說����,可提供用于尋址在⑶I 405�、460���、485���、490等中表示的具體安全事件的工具,包含適用于創(chuàng)建服務票據(jù)�、系統(tǒng)告警等、聯(lián)系關(guān)聯(lián)的系統(tǒng)管理員�����、編輯具體安全事件基于的策略和規(guī)則的工具�����,除此之外還有其它示例��。
[0062]圖5A和5B是闡明用于在⑶I內(nèi)圖形表示所檢測安全事件集合的地理位置屬性的示例技術(shù)的簡化流程圖500a-b���。比如��,在圖5A的示例中,可標識505在具體計算系統(tǒng)內(nèi)檢測的多個安全事件�����。在多個安全事件當中,可標識具體安全事件�����?��?蓸俗R(例如510)安全事件所針對(例如受安全事件威脅����、損害�����、針對)的第一裝置��,連同包含第一裝置的系統(tǒng)資產(chǎn)的具體分組�����。進一步說�,另一裝置也可被標識515為至少部分負責并附屬于具體安全事件的起始或源。其它標識的裝置可被視為具體安全事件的源裝置����。進一步說�,比如���,可基于數(shù)據(jù)的地理位置分析或?qū)谠囱b置的標識符(諸如源裝置的IP地址)��,標識地理位置并將其與具體安全事件關(guān)聯(lián)520�����?����?缮?25具體安全事件的圖形表示��,包含與所標識圖形位置關(guān)聯(lián)的源以及與所標識資產(chǎn)分組關(guān)聯(lián)的目標的表示����。
[0063]進一步說�����,在圖5B的示例中���,多個所標識(例如在505)安全事件內(nèi)的安全事件的源可被檢測為在所監(jiān)視系統(tǒng)內(nèi)��,并針對所監(jiān)視系統(tǒng)內(nèi)的或外部的其它裝置�。比如�,可標識530具體資產(chǎn)分組,其包含具體安全事件的源裝置�。還可標識535安全事件的一個或多個目標。一些所標識的目標可被確定為在所監(jiān)視系統(tǒng)的外部����。地理位置可與外部目標關(guān)聯(lián)540,同時對于確定為在系統(tǒng)內(nèi)的目標可標識資產(chǎn)分組之一(如在圖5A的不例中一樣)�。進一步說,可生成545具體安全事件的圖形表示���,包含與所標識資產(chǎn)分組關(guān)聯(lián)的源以及與所標識圖形位置關(guān)聯(lián)的目標的表示�����。
[0064]在圖5A和/或圖5B的任一示例的一些實例中���,可生成⑶I并使其呈現(xiàn)在最終用戶裝置上。比如�,可生成適用于由最終用戶裝置處理以將圖形表示再現(xiàn)在最終用戶裝置上的數(shù)據(jù)�����。進一步說��,所生成的CTI可呈現(xiàn)所檢測安全事件的多個圖形表示���。進一步說,所檢測安全事件的所生成圖形表示可包含所檢測事件的數(shù)量����、事件類型、事件嚴重性的圖形表示��,除此之外還有其它信息���。在⑶I和圖形安全事件表示中可包含和采納其它特征�,諸如在上面比如結(jié)合圖4A-4D闡明和描述的特征����。進一步說,應該認識到����,對于一些安全事件��,對于安全事件的目標可標識地理位置�,而對于安全事件的源可標識資產(chǎn)分組���。此外,標識源裝置或目標裝置屬于的資產(chǎn)分組可通過標識源裝置或目標裝置是所監(jiān)視系統(tǒng)內(nèi)的裝置來觸發(fā)�。進一步說,標識對應于源裝置或目標裝置的地理位置可通過標識源裝置或目標裝置是所監(jiān)視系統(tǒng)外部的裝置(例如第三方裝置�、所監(jiān)視網(wǎng)絡外部的裝置、遠離所監(jiān)視系統(tǒng)的裝置和子系統(tǒng)的裝置等)來觸發(fā)�。
[0065]盡管此公開已經(jīng)在某些實現(xiàn)以及一般關(guān)聯(lián)的方法方面進行了描述,但這些實現(xiàn)和方法的改變和置換對本領(lǐng)域技術(shù)人員將是顯而易見的�����。例如����,本文描述的動作可以與所描述的次序不同的次序執(zhí)行,并且仍獲得符合需要的結(jié)果���。作為一個示例���,在附圖中描繪的過程不一定要求所示出的具體次序或順序次序來獲得期望的結(jié)果��。所闡明的系統(tǒng)和工具可類似地采納備選架構(gòu)��、組件和模塊來獲得類似的結(jié)果和功能性���。比如,在某些實現(xiàn)中�,多任務處理、并行處理和基于云的解決方案可能是有利的����。此外,可支持各種各樣的用戶界面布局和功能性���。其它改變在如下權(quán)利要求書的范圍內(nèi)�。
[0066]在此說明書中描述的主題和操作的實施例可用數(shù)字電子電路或計算機軟件����、固件或硬件(包含在此說明書中公開的結(jié)構(gòu)以及它們的結(jié)構(gòu)等效方案)或它們中的一個或多個的組合來實現(xiàn)。在此說明書中描述的主題的實施例可被實現(xiàn)為一個或多個計算機程序�����,即編碼在計算機存儲介質(zhì)上以便由數(shù)據(jù)處理設備執(zhí)行或控制數(shù)據(jù)處理設備的操作的計算機程序指令的一個或多個模塊。備選地或除此之外��,程序指令可被編碼在人為生成的傳播信號上����,例如機器生成的電學、光學或電磁信號�,生成所述信號以對信息進行編碼以便傳送到適合的接收器設備以便由數(shù)據(jù)處理設備執(zhí)行。計算機存儲介質(zhì)可以是計算機可讀存儲裝置�、計算機可讀存儲襯底���、隨機或串行存取存儲器陣列或裝置或者它們中的一個或多個的組合���,或者包含在其中。而且�,雖然計算機存儲介質(zhì)本質(zhì)上不是傳播信號,但計算機存儲介質(zhì)可以是編碼在人為生成的傳播信號中的計算機程序指令的源或目的地����。計算機存儲介質(zhì)還可以是一個或多個單獨的物理組件或介質(zhì)(例如多個CD、盤或其它存儲裝置)(包含分布式軟件環(huán)境或云計算環(huán)境)����,或者包含在其中。
[0067]網(wǎng)絡,包括核心網(wǎng)絡和接入網(wǎng)(包含無線接入網(wǎng))���,可包含一個或多個網(wǎng)絡元素�����。網(wǎng)絡元素可涵蓋各種類型的路由器���、交換機、網(wǎng)關(guān)�����、橋���、載荷均衡器�、防火墻��、服務器�����、在線服務節(jié)點�、代理�、處理器���、模塊或任何其它適合的裝置�、組件�����、元素或可操作以在網(wǎng)絡環(huán)境中交換信息的對象�����。網(wǎng)絡元素可包含適當?shù)奶幚砥?����、存儲器元件����、硬件?或軟件以支持(或者否則執(zhí)行)與使用處理器進行屏幕管理功能性關(guān)聯(lián)的活動���,如本文所概述的�。而且���,網(wǎng)絡元素可包含任何適合的組件�、模塊、接口或便于其操作的對象�����。這可包含允許數(shù)據(jù)或信息有效交換的適當算法和通信協(xié)議�����。
[0068]在此說明書中描述的操作可實現(xiàn)為由數(shù)據(jù)處理設備對存儲在一個或多個計算機可讀存儲裝置上或從其它源接收的數(shù)據(jù)執(zhí)行的操作�����。術(shù)語“數(shù)據(jù)處理設備”�����、“處理器”���、“處理裝置”和“計算裝置”可涵蓋用于處理數(shù)據(jù)的所有種類的設備��、裝置和機器�,作為示例包含可編程處理器���、計算機�����、片上系統(tǒng)或以上項中的多個或組合�。設備可包含通用或?qū)S眠壿嬰娐罚缰醒胩幚韱卧?CPU)���、刀片(blade)���、專用集成電路(ASIC)或現(xiàn)場可編程門陣列(FPGA),除此之外還有其它適合的選項��。雖然一些處理器和計算裝置已經(jīng)被描述和/或闡明為單個處理器��,但根據(jù)所關(guān)聯(lián)服務器的具體需要可使用多個處理器�。對單個處理器的提及意圖包含多個處理器����,視情況而定。一般而言�����,處理器執(zhí)行指令并操縱數(shù)據(jù)以執(zhí)行某些操作。設備除了包含硬件之外還可包含創(chuàng)建正談論的計算機程序的執(zhí)行環(huán)境的代碼�,例如,構(gòu)成處理器固件����、協(xié)議棧、數(shù)據(jù)庫管理系統(tǒng)���、操作系統(tǒng)�����、交叉平臺運行時間環(huán)境��、虛擬機或它們中一個或多個的組合的代碼��。設備以及執(zhí)行環(huán)境可實現(xiàn)各種不同的計算模型基礎(chǔ)設施���,諸如萬維網(wǎng)服務、分布式計算以及網(wǎng)格計算基礎(chǔ)設施���。
[0069]計算機程序(也稱為程序�、軟件�����、軟件應用、腳本�、模塊、(軟件)工具���、(軟件)引擎或代碼)可用任何形式的編程語言編寫�����,包含編譯語言或解釋語言����、申述式語言或過程語言��,并且它可以任何形式部署�����,包含作為獨立程序或作為模塊���、組件、子例程����、對象或適合于用在計算環(huán)境中的其它單元��。例如�,計算機程序可在有形介質(zhì)上包含計算機可讀指令�����、固件�、連線或編程硬件或者它們的任何組合,可操作以當被執(zhí)行時至少執(zhí)行本文所描述的過程和操作����。計算機程序可以,但不必�,對應于文件系統(tǒng)中的文件。程序可被存儲在持有其它程序或數(shù)據(jù)的文件部分(例如在標記語言文檔中存儲的一個或多個腳本)中���,存儲在專用于正談論的程序的單個文件中�,或者存儲在多個協(xié)調(diào)文件(例如存儲一個或多個模塊�����、子程序或代碼部分的文件)中。計算機程序可被部署成在一個計算機上或位于一個站點或分布在多個站點并通過通信網(wǎng)絡互連的多個計算機上執(zhí)行����。
[0070]程序可被實現(xiàn)為通過各種對象、方法或其它過程實現(xiàn)各種特征和功能性的各個模塊�,或者改為可包含若干子模塊、第三方服務����、組件、庫等����,視情況而定。相反����,各種組件的特征和功能性可組合到單個組件中,視情況而定����。在某些情況下,程序和軟件系統(tǒng)可被實現(xiàn)為復合托管應用�。例如,復合應用部分可被實現(xiàn)為企業(yè)Java Beans (EJB)���,或者設計時間組件可具有在不同平臺中生成運行時間實現(xiàn)的能力����,不同平臺諸如J2EE (Java2平臺���,企業(yè)版)���、ABAP (高級商業(yè)應用編程)對象或Microsoft’s.NET,除此之外還有其它平臺���。此外�,應用可表示經(jīng)由網(wǎng)絡(例如通過因特網(wǎng))訪問和執(zhí)行的基于萬維網(wǎng)的應用��。進一步說����,與具體托管應用或服務關(guān)聯(lián)的一個或多個過程可被遠程存儲、引用或執(zhí)行����。例如,具體托管應用或服務的一部分可以是與遠程調(diào)用的應用關(guān)聯(lián)的萬維網(wǎng)服務����,而托管應用的另一部分可以是為了在遠程客戶端處理而綁定的接口對象或代理�����。而且�,任何或所有托管應用和軟件服務可以是另一軟件模塊或企業(yè)應用(未闡明)的子應用或子模塊�����,不脫離本公開的范圍�����。更進一步說����,托管應用的部分可由在托管應用的服務器處直接工作以及在客戶端處遠程工作的用戶執(zhí)行。
[0071]本文描述的軟件應用和程序可利用一個或多個數(shù)據(jù)結(jié)構(gòu)����,包含數(shù)據(jù)庫和數(shù)據(jù)對象。數(shù)據(jù)對象是包含可由軟件函數(shù)�、操作、應用�、模塊以及其它軟件實體(諸如軟件應用和服務)操作的一個或多個定義的或繼承的屬性和值的數(shù)據(jù)實體�。在一些實例中����,屬性可被實現(xiàn)為對象元數(shù)據(jù)。進一步說�����,每個對象屬性可具有定義對應對象屬性值的關(guān)聯(lián)數(shù)據(jù)��。
[0072]在此說明書中描述的過程和邏輯流程可由一個或多個可編程處理器執(zhí)行�����,可編程處理器執(zhí)行一個或多個計算機程序以通過對輸入數(shù)據(jù)進行操作并生成輸出來執(zhí)行動作�。過程和邏輯流程也可由專用邏輯電路例如FPGA(現(xiàn)場可編程門陣列)或ASIC(專用集成電路)執(zhí)行����,并且設備也可實現(xiàn)為專用邏輯電路。[0073]適合于執(zhí)行計算機程序的處理器作為示例包含通用和專用微處理器以及任何種類數(shù)字計算機的任何一個或多個處理器�。一般而言,處理器將從只讀存儲器或隨機存取存儲器或二者接收指令和數(shù)據(jù)��。計算機的必要元件是用于根據(jù)指令執(zhí)行動作的處理器以及用于存儲指令和數(shù)據(jù)的一個或多個存儲器器件���。一般而言����,計算機還將包含用于存儲數(shù)據(jù)的一個或多個大容量存儲裝置(例如磁盤、磁光盤或光盤)�,或操作上耦合以從其接收數(shù)據(jù)或向其傳輸數(shù)據(jù),或二者�。然而,計算機不是必須具有此類裝置�。而且,計算機可被嵌入在另一裝置中�����,例如移動電話�����、個人數(shù)字助理(PDA)���、平板計算機����、移動音頻或視頻播放器���、游戲控制臺�、全球定位系統(tǒng)(GPS)接收器或便攜式存儲裝置(例如通用串行總線(USB)閃存驅(qū)動器),這里只提到幾個���。適合于存儲計算機程序指令和數(shù)據(jù)的裝置包含所有形式非易失性存儲器����、介質(zhì)和存儲器器件��,作為示例包含半導體存儲器器件�,例如EPROM�����、EEPROM和閃存器件����;磁盤,例如內(nèi)部硬盤或可拆卸盤���;磁光盤�;以及⑶-ROM和DVD-ROM盤���。處理器和存儲器可由專用邏輯電路補充或合并在專用邏輯電路中��。
[0074]為了提供與用戶的交互作用��,在此說明書中描述的主題的實施例可實現(xiàn)在計算機上�����,計算機具有用于向用戶顯示信息的顯示裝置例如CRT(陰極射線管)或LCD(液晶顯示器)監(jiān)視器以及鍵盤和指點裝置(例如鼠標或軌跡球)��,通過它們用戶可向計算機提供輸入��。也可使用其它種類的裝置來提供與用戶的交互作用��;例如��,提供給用戶的反饋可以是任何形式的感覺反饋�����,例如視覺反饋�����、聽覺反饋或觸覺反饋��;以及來自用戶的輸入可以任何形式接收,包含聲音輸入�、語音輸入或觸覺輸入。此外��,計算機可通過向裝置發(fā)送文檔和從裝置接收文檔而與用戶交互作用�,裝置包含用戶使用的遠程裝置。
[0075]在此說明書中描述的主題的實施例可實現(xiàn)在計算系統(tǒng)中�����,計算系統(tǒng)包含后端組件(例如作為數(shù)據(jù)服務器)�,或者包含中間件組件(例如應用服務器),或者包含前端組件(例如具有通過其用戶可與在此說明書中描述的主題的實現(xiàn)交互作用的圖形用戶界面或萬維網(wǎng)瀏覽器的客戶端計算機)��,或者一個或多個此類后端�、中間件或前端組件的任何組合�����。系統(tǒng)組件可通過任何形式或介質(zhì)的數(shù)字數(shù)據(jù)通信(例如通信網(wǎng)絡)互連��。通信網(wǎng)絡的示例包含可操作以便于系統(tǒng)中各種計算組件之間通信的任何內(nèi)部或外部網(wǎng)絡�����、多個網(wǎng)絡、子網(wǎng)絡或它們的組合��。網(wǎng)絡例如可傳遞因特網(wǎng)協(xié)議(IP)分組�、幀中繼幀、異步傳輸模式(ATM)單元�、語音、視頻���、數(shù)據(jù)以及網(wǎng)絡地址之間的其它適合信息�。網(wǎng)絡還可包含一個或多個局域網(wǎng)(LAN)����、無線電接入網(wǎng)(RAN)、城域網(wǎng)(MAN)���、廣域網(wǎng)(WAN)�、全部或部分因特網(wǎng)���、對等網(wǎng)(例如自組對等網(wǎng))和/或在一個或多個位置的任何其它通信系統(tǒng)或多個系統(tǒng)�����。
[0076]計算系統(tǒng)可包含客戶端和服務器��?����?蛻舳撕头掌饕话惚舜诉h離��,并且通常通過通信網(wǎng)絡交互作用����。客戶端和服務器的關(guān)系憑借運行在相應計算機上并彼此具有客戶端-服務器關(guān)系的計算機程序產(chǎn)生�。在一些實施例中,服務器向客戶端裝置傳送數(shù)據(jù)(例如HTML網(wǎng)頁)(例如以便向與客戶端裝置交互作用的用戶顯示數(shù)據(jù)并接收來自用戶的用戶輸入)�����?�?稍诜掌鲝目蛻舳搜b置接收在客戶端裝置生成的數(shù)據(jù)(例如用戶交互作用的結(jié)果)�。
[0077]雖然此說明書含有許多特定實現(xiàn)細節(jié)���,但這些不應該被視為對任何發(fā)明的或可要求權(quán)利的范圍的限制����,而是作為對具體發(fā)明的具體實施例特定的特征的描述。也可在單個實施例中組合實現(xiàn)在此說明書中在單獨實施例的上下文中描述的某些特征��。相反��,也可在多個實施例中單獨或以任何適合的子組合來實現(xiàn)在單個實施例的上下文中描述的各種特征�����。而且�,盡管特征在上面可描述為以某種組合起作用,并且甚至最初像這樣要求權(quán)利����,但來自所要求權(quán)利的組合的一個或多個特征在一些情況下可從組合中刪去,并且所要求權(quán)利的組合可被指向子組合或子組合的變形����。
[0078]類似地,雖然操作在附圖中按具體次序進行描繪��,但這不應被理解為要求此類操作要按所示出的具體次序或按順序次序執(zhí)行���,或者所有闡明的操作都要執(zhí)行��,以獲得符合需要的結(jié)果����。在某些環(huán)境下,多任務處理和并行處理可能是有利的����。而且,上面描述的實施例中的各種系統(tǒng)組件的分離不應該被理解為在所有實施例中都需要此類分離�,并且應該理解,所描述的程序組件和系統(tǒng)一般可一起集成在單個軟件產(chǎn)品中或包裝在多個軟件產(chǎn)品中���。
[0079]從而��,已經(jīng)描述了主題的具體實施例�。其它實施例在如下權(quán)利要求書的范圍內(nèi)����。在一些情況下,在權(quán)利要求書中闡述的動作可按不同的次序執(zhí)行�����,并且仍獲得符合需要的結(jié)果���。此外��,在附圖中描繪的過程不一定要求所示出的具體次序或順序次序來獲得符合需要的結(jié)果�����。
【權(quán)利要求】
1.一種方法���,包括: 標識在具體計算系統(tǒng)中檢測的具體安全事件,所述具體安全事件檢測為針對包含在所述具體計算系統(tǒng)中的具體計算裝置�����; 將為所述具體計算系統(tǒng)內(nèi)的裝置定義的多個資產(chǎn)分組中的具體資產(chǎn)分組標識為包含所述具體計算裝置����; 標識所述具體安全事件的源,其中所述源與至少一個第二計算裝置關(guān)聯(lián)��; 將所述源與地理位置和包含在所述多個資產(chǎn)分組中的資產(chǎn)分組中的至少一項關(guān)聯(lián)����;以及 生成適用于使所述具體安全事件的圖形表示呈現(xiàn)在顯示裝置上的數(shù)據(jù),所述圖形表示包含:表示在所述具體資產(chǎn)分組中所包含的所述具體計算裝置的第一圖形元素和表示與地理位置和包含在所述多個資產(chǎn)分組中的資產(chǎn)分組中的至少一項關(guān)聯(lián)的所述源的第二圖形元素����。
2.如權(quán)利要求1所述的方法���,其中所述圖形表示包含地理地圖的視圖,并且所述第一圖形元素和第二圖形元素中的至少一個被疊加在所述地理地圖的所述視圖上��。
3.如權(quán)利要求2所述的方法�,其中所述源與包含在所述地理地圖的所述視圖中的具體地理位置關(guān)聯(lián),并且所述具體地理位置根據(jù)與所述源關(guān)聯(lián)的裝置標識符標識����。
4.如權(quán)利要求2所述的方法,其中所述圖形表示進一步包含所述多個資產(chǎn)分組中的兩個或更多資產(chǎn)分組的表示���,所述兩個或更多資產(chǎn)分組包含所述具體分組�����。
5.如權(quán)利要求4所述的方法��,其中所述第一圖形元素位于與所述具體分組的所述表示對應的所述圖形表示中��,并且所述第二圖形元素位于與所述地理地圖的所述視圖上的所述具體地理位置對應的所述圖形表示中��。
6.如權(quán)利要求1所述的方法��,所述圖形表示進一步包含圖形連接體���,所述圖形連接體將所述第一圖形元素與所述第二圖形元素關(guān)聯(lián),并表示所述具體計算裝置和所述源與所述具體安全事件關(guān)聯(lián)����。
7.如權(quán)利要求1所述的方法,其中所述第一圖形元素是氣泡元素�����,以及所述氣泡元素的直徑對應于包含所述具體安全事件的檢測的安全事件的量�。
8.如權(quán)利要求1所述的方法,其中所述源被標識為包含在所述具體計算系統(tǒng)中����,并且所述源與所述多個資產(chǎn)分組中的第一分組關(guān)聯(lián)。
9.如權(quán)利要求8所述的方法��,其中所述具體分組是所述第一分組���。
10.如權(quán)利要求8所述的方法��,其中所述具體分組是不同于所述第一分組的分組��。
11.如權(quán)利要求1所述的方法����,其中所述圖形表示進一步包含所述多個安全事件中的每個事件的表示。
12.如權(quán)利要求1所述的方法��,其中所述多個資產(chǎn)分組中的每個資產(chǎn)分組是截然不同的用戶定義的資產(chǎn)分組��。
13.如權(quán)利要求1所述的方法�����,其中所述多個資產(chǎn)分組中的每個資產(chǎn)分組對應于所述具體計算系統(tǒng)中資產(chǎn)的IP地址范圍��。
14.如權(quán)利要求1所述的方法��,其中所述圖形表示是交互式呈現(xiàn)���,并且用戶與所述第一圖形元素和第二圖形元素中的一個或多個圖形元素交互作用使所述具體安全事件的細節(jié)的視圖被呈現(xiàn)����。
15.如權(quán)利要求14所述的方法���,其中所述用戶交互作用包含鼠標移過所述第一圖形元素和第二圖形元素中的一個或多個圖形元素����。
16.如權(quán)利要求14所述的方法,其中所述用戶交互作用包含選擇所述第一圖形元素和第二圖形元素中的一個或多個圖形元素����。
17.如權(quán)利要求1所述的方法,其中所述具體安全事件的所述圖形表示傳達了所述具體安全事件的類型�����。
18.如權(quán)利要求17所述的方法���,其中所述具體安全事件的所述圖形表示根據(jù)所述具體安全事件的類型對所述第一圖形元素和第二圖形元素中的每個圖形元素進行顏色編碼,其中所述具體安全事件的類型是多個安全事件類型之一���,并且所述多個安全事件類型中的每個安全事件類型被編碼成相應顏色��。
19.如權(quán)利要求1所述的方法��,其中所述第一圖形元素是表示安全事件目標的第一類型圖形元素���,而所述第二圖形元素是表示安全事件源的第二不同類型安全事件。
20.在非短暫性介質(zhì)中編碼的邏輯����,所述非短暫性介質(zhì)包含用于執(zhí)行的代碼��,并且所述代碼當由處理器執(zhí)行時可操作以執(zhí)行包括如下步驟的操作: 標識在具體計算系統(tǒng)中檢測的具體安全事件���,所述具體安全事件檢測為針對包含在所述具體計算系統(tǒng)中的具體計算裝置; 將為所述具體計算系統(tǒng)內(nèi)的裝置定義的多個資產(chǎn)分組中的具體資產(chǎn)分組標識為包含所述具體計算裝置�����; 標識所述具體安全事件的源�����,其中所述源與至少一個第二計算裝置關(guān)聯(lián)���; 將所述源與地理位置和包含在所述多個資產(chǎn)分組中的資產(chǎn)分組中的至少一項關(guān)聯(lián)�;以及 生成適用于使所述具體安全事件的圖形表示呈現(xiàn)在顯示裝置上的數(shù)據(jù)�,所述圖形表示包含表示在所述具體資產(chǎn)分組中所包含的所述具體計算裝置的第一圖形元素和表示與地理位置和包含在所述多個資產(chǎn)分組中的資產(chǎn)分組中的至少一項關(guān)聯(lián)的所述源的第二圖形元素。
21.—種系統(tǒng),包括: 至少一個處理器裝置��; 至少一個存儲器元件��;以及 地理映射引擎,當由所述至少一個處理器裝置執(zhí)行時適用于: 標識在具體計算系統(tǒng)中檢測的具體安全事件�����,所述具體安全事件檢測為針對包含在所述具體計算系統(tǒng)中的具體計算裝置����; 將為所述具體計算系統(tǒng)內(nèi)的裝置定義的多個資產(chǎn)分組中的具體資產(chǎn)分組標識為包含所述具體計算裝置; 標識所述具體安全事件的源�����,其中所述源與至少一個第二計算裝置關(guān)聯(lián)�; 將所述源與地理位置和包含在所述多個資產(chǎn)分組中的資產(chǎn)分組中的至少一項關(guān)聯(lián)�;以及 生成適用于使所述具體安全事件的圖形表示呈現(xiàn)在顯示裝置上的數(shù)據(jù),所述圖形表示包含表示在所述具體資產(chǎn)分組中所包含的所述具體計算裝置的第一圖形元素和表示與地理位置和包含在所述多個資產(chǎn)分組中的資產(chǎn)分組中的至少一項關(guān)聯(lián)的所述源的第二圖形元素�����。
22.—種方法,包括: 標識在具體計算系統(tǒng)中檢測的具體安全事件�����,所述具體安全事件檢測為涉及包含在所述具體計算系統(tǒng)中的具體計算裝置��,并且針對在所述計算系統(tǒng)外部的至少一個第二計算裝置; 將為所述具體計算系統(tǒng)內(nèi)的裝置定義的多個資產(chǎn)分組中的具體資產(chǎn)分組標識為包含所述具體計算裝置��; 將第二計算裝置與地理位置關(guān)聯(lián)����;以及 生成適用于使所述具體安全事件的圖形表示呈現(xiàn)在顯示裝置上的數(shù)據(jù),所述圖形表示包含:表示作為所述具體安全事件源并且包含在所述具體資產(chǎn)分組中的所述具體計算裝置的第一圖形元素和表示與所述地理位置關(guān)聯(lián)的第二計算裝置并疊加在對應于所述地理位置的地理地圖的部分表 示上的第二圖形元素���。
【文檔編號】G06F21/56GK103999091SQ201280064886
【公開日】2014年8月20日 申請日期:2012年11月26日 優(yōu)先權(quán)日:2011年12月29日
【發(fā)明者】D.P.皮爾西, J.A.海因里希, J.J.加斯金斯 申請人:邁可菲公司