集成安全策略和事件管理转让专利
申请号 : CN201710679976.X
文献号 : CN107563203B
文献日 : 2020-08-28
发明人 : D.P.皮尔斯 , J.A.海恩里奇 , J.J.加斯金斯 , C.A.菲利普斯
申请人 : 迈克菲有限责任公司
摘要 :
在计算系统中检测到多个安全事件,每个安全事件基于多个安全策略中的至少一个策略。在安全事件或安全策略中任一个或两者的图形用户界面(GUI)中呈现了相应的交互式图形表示。所述表示包含表示相应的安全事件或安全策略的交互式图形元素。经由交互式GUI的具体事件元素的用户选择使安全策略的子集被标识,子集中的每个安全策略充当由具体事件元素表示的至少一个具体安全事件的基础。经由交互式GUI的具体策略元素的用户选择使安全策略的子集被标识,子集中的每个安全事件至少部分地基于由具体策略元素表示的具体安全策略。
权利要求 :
1.一种用于呈现安全事件的表示的方法,包括:
访问安全数据,所述安全数据标识在计算系统中检测的多个安全事件,其中所述多个安全事件中的每个安全事件基于为计算系统定义的多个安全策略中的至少一个策略;
根据所述安全数据为所述多个安全事件中的每个确定事件的属性;
在交互式图形用户界面中呈现所述多个安全事件的表示,其中所述表示包括多个图形元素,每个图形元素表示与至少两个相应事件属性的交集对应的所述多个安全事件的相应子集,每个图形元素的大小被呈现以便指示对应子集内的多个安全事件的数量;以及检测通过所述交互式图形用户界面与所述多个图形元素中的一个图形元素的用户交互,其中所述一个图形元素对应于所述多个安全事件的子集,而且所述用户交互导致在所述交互式图形用户界面内呈现一个视图,其标识与所述多个安全事件的所述子集的检测对应的多个安全策略的相应子集。
2.如权利要求1所述的方法,其中每个图形元素被呈现以便指示所述多个安全事件的所述子集是否包括具体类型的至少一个事件。
3.如权利要求2所述的方法,其中所述具体类型包括关键安全事件。
4.如权利要求2所述的方法,其中所述图形元素的颜色指示所述多个安全事件的所述子集是否包括所述具体类型的至少一个事件。
5.如权利要求1所述的方法,其中每个图形元素包括可选元素,并且所述可选元素的选择使视图被呈现以便描述与所述元素对应的所述多个安全事件的所述子集中的安全事件的细节。
6.如权利要求1-5中的任一项所述的方法,其中所述表示还包括网格,所述网格的x轴线对应于第一类型的第一多个事件属性,所述网格的y轴线对应于第二类型的第二多个事件属性,以及所述至少两个相应事件属性包括所述第一类型的至少一个事件属性以及所述第二类型的至少一个事件属性。
7.如权利要求1所述的方法,还包括:
经由所述交互式图形用户界面标识在所述表示中呈现的具体事件元素的用户选择;以及标识所述多个安全策略的子集,所述多个安全策略的所述子集中的每个安全策略充当由所述具体事件元素所表示的所述多个安全事件的所述子集中的至少一个安全事件的基础。
8.如权利要求7所述的方法,还包括基于所述用户选择而在所述交互式图形用户界面中呈现基于所述具体事件元素的所述用户选择的所述多个安全策略的所述子集的列表。
9.如权利要求8所述的方法,其中所述多个安全策略的所述子集包含充当对应于所述具体事件的所述多个安全事件的所述子集中的任何一个的基础的所有安全策略。
10.如权利要求6所述的方法,还包括经由所述交互式图形用户界面而接收在所述多个安全策略的所述子集的列表中呈现的具体安全策略的用户选择。
11.如权利要求10所述的方法,其中在所述列表中呈现的所述具体安全策略的选择使窗口被显示,包含所述具体安全策略的属性的视图。
12.如权利要求11所述的方法,还包括:
经由所述窗口接收指示对于所述具体安全策略的修改的用户输入;以及按照所指示的修改来修改所述具体安全策略。
13.如权利要求1-5中的任一项所述的方法,其中所述多个安全事件通过适合于在计算系统中检测安全事件的至少一个安全工具来提供。
14.如权利要求1-5中的任一项所述的方法,其中所述事件属性的至少一个对应于所述安全事件的类型。
15.一种计算机可读存储媒介,在其上具有编码的指令,所述指令可运行以便使机器执行如权利要求1-14中的任一项所述的方法。
16.一种用于呈现安全事件的表示的系统,包括:
至少一个处理器装置;
至少一个存储器元素;
事件管理器,包括逻辑,其由所述至少一个处理器装置执行时用于:
-访问安全数据,所述安全数据标识在计算系统中检测的多个安全事件,其中所述多个安全事件中的每个安全事件基于为计算系统定义的多个安全策略中的至少一个策略;以及-根据所述安全数据为所述多个安全事件中的每个确定事件的属性;以及安全事件用户界面引擎,包括逻辑,其由所述至少一个处理器装置执行时用于:-在交互式图形用户界面中呈现所述多个安全事件的表示,其中所述表示包括多个图形元素,每个图形元素表示与至少两个相应事件属性的交集对应的所述多个安全事件的相应子集,每个图形元素的大小被呈现以便指示对应子集内的多个安全事件的数量;以及-检测通过所述交互式图形用户界面与所述多个图形元素中的一个图形元素的用户交互,其中所述一个图形元素对应于所述多个安全事件的子集,而且所述用户交互导致在所述交互式图形用户界面内呈现一个视图,其标识与所述多个安全事件的所述子集的检测对应的多个安全策略的相应子集。
17.如权利要求16所述的系统,还包括策略编辑器,其用来基于通过所述交互式图形用户界面接收的用户输入而修改所述安全策略的具体一个安全策略。
说明书 :
集成安全策略和事件管理
[0001] 本专利申请要求2011年10月18日提交的名称为“INTEGRATING SECURITY POLICY AND EVENT MANAGEMENT”的美国临时专利申请序列号61/548,456在35 U.S.C.§120下的优先权的权益,该临时申请通过参考全部明确地结合在本文中。
技术领域
[0002] 本公开一般涉及数据分析领域,并且更具体地说,涉及数据分析软件中的图形用户界面。
背景技术
[0003] 计算机安全工具已经被部署遍及全世界,以帮助保护计算系统、装置和资源免于各种威胁、漏洞和风险。恶意软件、病毒、蠕虫、系统漏洞、黑客和威胁的演进继续跟上计算的进步。因而,对于对抗此类威胁的鲁棒且完善的安全工具的需求也已经增加了。给定此类工具的不断增加的复杂性以及管理员可定制他们的安全工具以应对特定威胁(包含对具体装置、系统和应用唯一的威胁)的不断增加的程度,管理和理解一些安全工具的功能性对于几乎最富有经验的用户已经变得太复杂。管理起来已经变得出了名复杂的安全工具的一个此类示例是现代网络防火墙。防火墙可以是设计成允许或拒绝进出系统的数据传送(包含通过网络传送的传送)的装置或装置集合。防火墙的操作可基于规则或策略的集合,并且例如可用于保护网络和系统免于不法用户和程序的未授权访问,同时仍允许合法通信。在一些实例中,操作系统还可包含基于软件的防火墙以保护对应的系统或主机免于各种威胁,诸如通常经由因特网发现和传递的威胁。
附图说明
[0004] 本专利或申请文件含有用彩色执行的至少一个附图。具有彩色附图的此专利或专利申请公布的拷贝将由该局在请求和支付必要费用时提供。
[0005] 图1是根据一个实施例包含安全事件和安全策略管理功能性的示例计算系统的简化示意图;
[0006] 图2是根据一个实施例包含示例分析服务器的示例系统的简化框图;
[0007] 图3A-1和3A-2是根据至少一些实施例的示例用户界面的示例屏幕截图的视图;
[0008] 图3B-3C是根据至少一些实施例图示安全策略和安全事件的分析的示例用户界面的屏幕截图;
[0009] 图3D-1和3D-2是根据至少一些实施例的示例用户界面的示例屏幕截图的视图;
[0010] 图3E-3G是根据至少一些实施例图示安全策略和安全事件的分析的示例用户界面的屏幕截图;
[0011] 图3H-1和3H-2是根据至少一些实施例的示例用户界面的示例屏幕截图的视图;
[0012] 图3I-1、3I-2、3I-3和3I-4是根据至少一些实施例的示例用户界面的示例屏幕截图的视图;
[0013] 图4A-4B是图示与系统的至少一些实施例关联的示例操作的简化流程图。
[0014] 各个附图中的相似参考编号和名称指示相似元素。
具体实施方式
[0015] 概述
[0016] 一般而言,在此说明书中描述的主题的一方面可实施在包含标识计算系统中检测的多个安全事件的动作的方法中,所述多个安全事件中的每个安全事件基于为计算系统定义的多个安全策略中的至少一个策略。在交互式图形用户界面中可呈现多个安全事件的第一表示,第一表示包含多个可选事件元素,每个事件元素表示多个安全事件中的至少一个安全事件。可经由所述交互式图形用户界面接收在第一表示中呈现的具体事件元素的用户选择。可标识所述多个安全策略的子集,所述子集中的每个安全策略充当由所述具体事件元素表示的至少一个具体安全事件的基础。
[0017] 另外,在另一通用方面,在此说明书中描述的主题的一方面可实施在包含标识计算系统中检测的多个安全事件的动作的方法中,所述多个安全事件中的每个安全事件基于为计算系统定义的多个安全策略中的至少一个策略。在交互式图形用户界面中可呈现多个安全策略的至少一部分的第一表示,第一表示包含多个可选策略元素,每个策略元素表示多个安全策略中的至少一个安全策略。可经由所述交互式图形用户界面接收在第一表示中呈现的具体策略元素的用户选择。可标识所述多个安全事件的子集,所述子集中的每个安全事件至少部分基于由具体策略元素表示的至少一个具体安全策略。
[0018] 进一步说,在另一通用方面,可提供包含至少一个处理器装置、至少一个存储器元素和安全事件用户界面引擎的系统。安全事件用户界面引擎当由处理器执行时可以标识计算系统中检测的多个安全事件,所述多个安全事件中的每个安全事件基于为所述计算系统定义的多个安全策略中的至少一个策略,在交互式图形用户界面中呈现所述多个安全事件的至少一部分的第一表示,所述安全事件的所述部分的第一表示包含多个可选策略元素,每个策略元素表示所述多个安全策略中的至少一个安全策略。安全事件用户界面引擎可进一步适应于经由所述交互式图形用户界面接收在第一表示中呈现的具体策略元素的用户选择,并标识所述多个安全事件的子集,所述子集中的每个安全事件至少部分基于由所述具体策略元素表示的至少一个具体安全策略。进一步说,安全事件用户界面引擎可在交互式图形用户界面中呈现所述多个安全事件的第二表示,所述多个安全事件的第二表示包含多个可选事件元素,每个事件元素表示所述多个安全事件中的至少一个安全事件。安全事件用户界面引擎可进一步适应于经由所述交互式图形用户界面接收在第二表示中呈现的具体事件元素的用户选择,并标识所述多个安全策略的子集,所述子集中的每个安全策略充当由所述具体事件元素表示的至少一个具体安全事件的基础。
[0019] 这些以及其它实施例可各自可选地包含一个或多个如下特征。所述多个安全事件可由适应于检测计算系统中安全事件的至少一个安全工具提供。至少一个安全工具可包含防火墙。所述具体事件元素可表示至少两个具体安全事件,并且所述安全策略子集包含充当所述至少两个具体安全事件中的任何一个安全事件的基础的所有安全策略。安全策略子集可包含至少两个安全策略。可响应于安全策略子集中的至少一个安全策略的检测的违反来触发所述至少一个具体安全事件。选择所述具体事件元素可使窗口被显示,包含所述至少一个具体安全事件的属性视图。安全策略子集的列表可被呈现在与呈现安全事件相同的图形用户界面中(并且反之亦然)。安全策略子集的列表中呈现的具体安全策略可以被选择并且可使窗口被显示,包含所述具体安全策略的属性视图。可经由窗口接收用户输入,指示对具体安全策略的修改,并且可根据所指示的修改来修改具体安全策略。
[0020] 进一步说,实施例可包含一个或多个附加的下列特征。可接收编辑安全策略子集中的具体安全策略的请求,并且可根据经由交互式图形用户界面接收的用户输入修改所述具体安全策略。安全工具可应用所修改的具体安全策略来监控计算系统。应用所修改的具体安全策略来监控计算系统可包含在监控期间标识所修改的具体安全策略的违反、基于所述违反生成具体安全事件以及提供用于在交互式用户界面中表示所述具体安全事件的数据。至少所述具体安全事件或所述安全策略子集的属性可以定义在具体对应数据对象中,在计算系统的多个数据对象中。第一表示(事件或策略的)可包含表示至少一个具体安全事件的属性的具体数据对象中数据的图形表示。具体数据对象中的数据的图形表示可包含可选对象元素,并且具体数据对象的图形表示中的可选对象元素的选择可使对象视图窗口被呈现在呈现所述具体对象的视图的交互式用户界面中。可经由对象视图窗口接收用户输入,指示对具体数据对象的修改,并且可根据所指示的修改来修改具体数据对象;影响后续安全任务的修改由一个或多个安全工具使用具体数据对象执行。事件的表示可包含包括多个图形泡泡元素的泡泡表示,每个图形泡泡元素是可选事件元素,并且每个图形泡泡元素表示对于两个相应事件属性的对应交集检测的对应事件量。事件的表示可包含包括多个时序趋势线元素的事件趋势图表示,每个时序趋势线元素是可选事件元素,并且每个时序趋势线元素表示在对应时段内检测的多个安全事件中的安全事件。
[0021] 特征中的一些或全部可以是计算机实现的方法,或者进一步包含在用于执行此描述的功能性的相应系统或其它装置中。在附图和如下描述中阐述了本公开的这些以及其它特征、方面和实现的细节。本公开的其它特征、目的和优点根据说明书和附图以及权利要求书将显而易见。
[0022] 示例实施例
[0023] 图1是图示包含由一个或多个安全工具108监控的计算装置(例如105、125、130、135、140、145)的系统的计算系统100的示例实现的简化框图。这些安全工具108中的一些可驻留在系统服务器105和装置125、130、135、140、145上,而其它安全工具108例如可使用远离由工具监控的系统服务器105的计算装置和基础设施提供为服务。系统100可进一步包含分析服务器110、策略管理服务器115以及结合监控系统服务器105的一个或多个安全工具
108提供的安全事件检测服务器120。用户端点装置(例如125、130、135、140、145)也可被提供在系统100中。在一些实例中,一个或多个端点装置(例如125、130、135、140、145)可例如通过一个或多个网络150与由系统服务器105托管的服务和资源交互,并消费它们。事实上,在一些实例中,一个或多个端点装置(例如125,130,135,140,145)以及分析服务器110、策略管理服务器115和安全事件检测服务器120中的一个或多个可被视为包含在包括系统服务器105的计算装置的系统(诸如企业软件系统)内。进一步说,在系统中实现的一些安全工具可部署在或者以别的方式监控端点装置125、130、135、140、145以及实现分析服务器110、策略管理服务器115和安全事件检测服务器120中一个或多个的计算装置。
108提供的安全事件检测服务器120。用户端点装置(例如125、130、135、140、145)也可被提供在系统100中。在一些实例中,一个或多个端点装置(例如125、130、135、140、145)可例如通过一个或多个网络150与由系统服务器105托管的服务和资源交互,并消费它们。事实上,在一些实例中,一个或多个端点装置(例如125,130,135,140,145)以及分析服务器110、策略管理服务器115和安全事件检测服务器120中的一个或多个可被视为包含在包括系统服务器105的计算装置的系统(诸如企业软件系统)内。进一步说,在系统中实现的一些安全工具可部署在或者以别的方式监控端点装置125、130、135、140、145以及实现分析服务器110、策略管理服务器115和安全事件检测服务器120中一个或多个的计算装置。
[0024] 用于监控系统的安全工具108可收集与安全工具的操作和事件、事务处理以及由安全工具监控的系统装置和组件相关的各种数据。安全工具108可包含基于软件和/或基于硬件的工具,包含防火墙(FW)、web网关、邮件网关、基于客户端的用户风险评估引擎、主机入侵保护(HIP)工具、网络入侵保护(NIP)工具、防病毒和防恶意软件扫描仪和移除工具、基于主机和/或基于网络的数据丢失防止(DLP)工具、漏洞管理器、系统策略遵从管理器、资产关键性工具、安全信息管理(SIM)产品,除了其它安全工具之外。安全工具108可部署在一个或多个端点装置(例如125、130、135、140、145)、网络元素(例如网络150的)、系统服务器105或具体系统的其它组件中。部属的安全工具108中的一个或多个可根据规则或策略的对应集合操作并保护系统组件,这些规则或策略例如指示干预的条件、过滤、阻断、监控、事件或告警检测、业务成形或由安全工具108执行的其它安全任务。附加地,安全工具108可检测与系统安全以及相应安全工具108的操作相关的具体事件,诸如所检测的威胁、网络使用违反、所检测的漏洞、系统使用违反、系统错误、未授权的访问尝试以及其它事件,并且可收集、存储和报告结合事件的监控和检测所收集的数据。使用安全工具108所检测的事件本身可至少部分基于安全工具108以及所监控的系统的规则和策略。
[0025] 与所部属的安全工具108的动作和策略相关的安全数据以及与安全事件的监控和检测相关的数据可由具体安全工具收集和保存,基本上独立于由其它安全工具和系统组件所收集或保存的其它数据。安全数据可由一个或多个系统组件标识、归类和聚集,系统组件包含策略管理服务器115,所述策略管理服务器115例如适应于收集、接收或者以别的方式聚集与由一个或多个安全工具所采用的各种安全策略和规则相关的安全数据。附加地,安全事件检测服务器120在一些实现中可类似地收集和聚集描述事件属性以及在所监控系统和组件内由各种安全工具108所检测的条件的数据。
[0026] 可提供分析服务器110以帮助用户分析和处理诸如通过策略管理服务器115和安全事件检测服务器120从系统安全工具108收集的数据。分析服务器110可包含数据分析软件,数据分析软件允许用户查看、分类、过滤、组织、执行分析计算和操作,以及安全数据(包含由策略管理服务器115、安全事件检测服务器120或系统100中的其它工具组织的安全数据)上的其它任务。分析服务器110可结合图形用户界面(GUI)的生成使用,GUI包含安全数据的各种视图和表示,并允许装置(例如125、130、135、140、145)的用户执行由安全工具108所生成和收集的安全数据上的分析。
[0027] 一般而言,包含用于实现系统100(例如105、108、110、115、120、130、140)的计算装置的“服务器”、“客户端”和“计算装置”,可包含可操作以接收、传送、处理、存储或管理与软件系统100关联的数据和信息的电子计算装置。在此文档中所使用的术语“计算机”、“计算装置”、“处理器”或“处理装置”意图涵盖任何适合的处理装置。例如,系统100可使用与服务器不同的计算机(包含服务器工具)实现。进一步说,任何、所有或一些计算装置可适应于执行任何操作系统(包含Linux、UNIX、Windows服务器等)以及适应于虚拟化具体操作系统(包含定制和专有操作系统)的执行的虚拟机。
[0028] 进一步说,服务器、客户端和计算装置(例如105、108、110、115、120、130、140)可各包含一个或多个处理器、计算机可读存储器以及一个或多个接口,除了其它特征和硬件之外。服务器可包含任何适合的软件组件或模块,或者能够托管和/或服务于软件应用或服务(例如分析服务器110的服务)(包含分布式、企业或基于云的软件应用、数据和服务)的计算装置。例如,服务器可配置成托管、服务于或者以别的方式管理数据集合,或与其它服务对接、协调或依赖于其它服务或由其它服务使用的应用,包含聚焦安全的应用和软件工具。在一些实例中,服务器、系统、子系统或计算装置可实现为可托管在公共计算系统、服务器、服务器池或云计算环境上并共享计算资源(包含共享的存储器、处理器和接口)的装置的某种组合。
[0029] 端点计算装置125、130、135、140、145可包含膝上型计算机、平板计算机、智能电话、个人数字助理、手持视频游戏控制台、台式计算机、因特网使能的电视以及能够通过一个或多个网络150与其它计算装置(包含分析服务器110和/或系统服务器105)通信并结合其它计算装置操作的其它装置。端点计算装置125、130、135、140、145的属性从装置到装置可有很大不同,装置包含操作系统以及加载的、安装的、执行的、操作的或者以别的方式可接入装置的软件程序的集合。装置的程序集合可包含操作系统、应用、插件、小程序、虚拟机、机器镜像、驱动、可执行文件以及能够由相应装置(例如125、130、135、140、145)运行、执行或者以别的方式使用的其它基于软件的程序。其它装置属性也可包含连接到该装置或者以别的方式可接入该装置的外围装置,以及该装置适应于的网络技术的类型。
[0030] 每个端点计算装置可包含至少一个图形显示装置和用户界面,允许用户查看系统100中提供的应用和其它程序的图形用户界面,并且例如通过分析服务器110与其交互。一般而言,端点计算装置可包含可操作以接收、传送、处理和存储与图1的软件环境关联的任何适当数据的任何电子计算装置。将理解,可能存在与系统100关联的任何数量的端点装置以及系统100外部的任何数量的端点装置。进一步说,术语“客户端”、“端点装置”和“用户”视情况而定可互换使用,而没有脱离本公开的范围。而且,虽然每个端点装置可在由一个用户使用方面进行描述,但本公开考虑许多用户可使用一个计算机,或一个用户可使用多个计算机。
[0031] 虽然图1被描述为含有多个元素或与多个元素关联,但并不是在图1系统100内图示的所有元素都可用在本公开的每个备选实现中。附加地,本文描述的元素中的一个或多个可位于系统100的外部,然而在其它实例中,某些元素可作为或包含在其它描述的元素中的一个或多个的一部分以及在图示的实现中未描述的其它元素内。进一步说,在图1中图示的某些元素可与其它组件组合,以及用于除了本文描述的那些目的之外的备选或附加目的。
[0032] 尽管向计算系统和资源提供了关键保护,但现代安全工具可能难以管理和准确部署。对于大企业和系统,其中部署的防火墙、策略遵从、防恶意软件以及其它安全工具可由为企业的系统和安全工具的潜在无限性以及各种各样的问题和使用而精心制定的策略和规则的令人眩晕的阵列掌控。例如,企业中部署的防火墙可被派给阻止“坏”业务通过(即进入或退出)的任务,同时仍允许企业的好(并且重要)业务自由流动,除了其它功能之外。实现这个可涉及定义掌控允许或阻止什么业务、何时这么做、允许或拒绝谁(即哪些用户)以及在什么条件下的成千上万的粒性规则和策略。例如,防火墙规则可根据具体业务的源和目的地而改变(例如其中高级主管、HR人员、IT人员被给予了某些因特网访问特权,其它管理人员、工程师、会计或其它雇员被拒绝),除了其它示例之外。管理策略的这个web以及系统中安全工具的类似复杂性的web可能是一个挑战,特别是当系统安全中出现不一致时,诸如某些安全策略的过度施行或施行不够的标识的实例。传统安全解决方案虽然尝试通过安全管理给用户提供粒性控制,但经常能以它们自己的解决方案、GUI和安全管理工具的对应的复杂性压到几乎最富有经验的用户。用于管理包含安全事件和策略集成的系统内安全性的系统(诸如图1和图2中所概括的)可解决这些问题,除了别的以外。
[0033] 转到图2,示出了包含提供事件-策略集成引起205的示例分析服务器110的示例系统的简化框图200。分析服务器110可与之通信,并提供数据和服务用于开发和在由用户用于分析系统(例如包含端点装置210、215、220、网络150、服务器230、240中的一个或多个,除了其它装置或系统组件之外)的安全条件的端点装置210、215、220上再现GUI。此类GUI可包含由部署在系统上的一个或多个安全工具(例如225)收集的或与之相关的安全数据的交互式表、图形、信息图形以及其它图形表示。用户可与显示在端点装置(例如210、215、220)上的GUI交互,并执行分析任务,包含过滤、检查、比较、分类、分级、相关和分析安全数据,以其原始形式以及部分由分析服务器110并且部分由操作在相应端点装置(例如210、215、220)的软件生成的数据的组织和图形表示。
[0034] 在一个具体示例实现中,分析服务器110可包含一个或多个处理器装置250和一个或多个机器可读存储器元素255用于执行一个或多个软件程序,包含至少一部分事件-策略集成引擎205。事件-策略集成引擎205的示例实现可包含多个组件和功能性,诸如策略管理器260、事件管理器265、GUI管理器270以及策略编辑器275,除了其它潜在组件之外。在一些实现中,事件-策略集成引擎205的一个或多个组件可被分布并提供在基于客户端的分析应用上,诸如安装在端点装置210、215、220上的分析应用。
[0035] 策略管理器260可收集和提供与系统中一个或多个安全工具的操作相关的安全策略的数据和分析支持。策略管理器可拉、收集或者以别的方式访问在策略管理服务器115聚集的或者直接来自一个或多个对应安全工具225的数据。此数据中的一些可从为系统保存的数据对象295中得到。系统数据对象295可包含定义系统内的关系和属性的数据结构,诸如用户、用户群、办公室、部门、位置、计算装置、软件应用和应用类别,以及其它真实世界属性,人、位置、程序、商业实体、组织、装置以及与系统相关的其它东西。作为示例,系统数据对象可包含来自LDAP系统或与用户和用户群相关的活动目录以及系统内用户授权的对象,并且策略可适当地与此类用户的管理等相关。更一般地说,策略管理器260可管理一个或多个数据库和/或其它数据结构(例如285),包含标识策略和规则的数据,控制一个或多个安全工具部署225并描述策略和规则的属性。策略数据285可包含这样的信息:策略的名称、地址或其它标识符;它应用于的安全工具;由策略控制的安全工具动作的类型或类别;它属于的行政区域或地理区域;根据策略由安全工具控制、监控和/或保护的应用、组件和/或装置;由策略控制的装置或用户的分组;策略及其组成成分的重要性或关键性的指示;由策略违反触发的告警或事件的类型,除了其它策略属性之外。
[0036] 事件管理器265可收集和提供数据,并提供与在系统中(例如在安全工具225)检测的安全事件(包含作为具体策略违反所触发的事件)相关的分析支持。策略管理器可拉、收集或者以别的方式访问在安全事件检测服务器120聚集的或者直接来自一个或多个对应安全工具225的数据。事件管理器265可管理一个或多个数据库和/或其它数据结构(例如290),包含标识所检测安全事件的属性和特性的聚集的安全事件数据。此数据中的一些可从系统对象295中得到。此类安全事件数据可包含事件的标识符;涉及安全事件的装置或子系统(以及装置的位置、用户或管理器);所检测的事件数量;事件被检测的时间;触发事件的策略违反的标识;什么动作、程序或计算资源违反策略;与安全事件关联的逻辑系统分组(例如部门、商业单位、装置类型等);归属于事件的一个或多个特性的风险的计算的等级;
自从最近的类似安全事件发生的时间的标识,或描述现有安全事件检测的其它历史数据;
事件的关键性、严重性、后果或影响;是否事件已经被补救或指配给候选人员名单(ticket)、IT专业人员等用于解决,以及候选人员名单或相关候选人员名单的状况;除了其它示例之外。
自从最近的类似安全事件发生的时间的标识,或描述现有安全事件检测的其它历史数据;
事件的关键性、严重性、后果或影响;是否事件已经被补救或指配给候选人员名单(ticket)、IT专业人员等用于解决,以及候选人员名单或相关候选人员名单的状况;除了其它示例之外。
[0037] 除了分别管理策略数据和安全事件数据,策略管理器260和事件管理器265可各提供为在其上执行具体分析操作并基于对应的策略数据285和事件数据290结合GUI管理器270提供GUI呈现和图形表示而特制的附加功能性。进一步说,GUI管理器270可集成GUI元素,诸如窗口、窗格、图形表示、控制器以及不同上下文(包含以策略为中心的上下文和以事件为中心的上下文)的其它GUI元素。上下文可对应于通过其可例如在分析操作、GUI或其它分析应用特征中查看、组织或表示具体数据的逻辑类别、对象或主题。事实上,用户可与为第一上下文(即以策略为中心或以事件为中心的上下文)提供的一个或多个GUI交互,结合执行此第一上下文内的一个或多个分析操作,并且然后发起呈现在第二上下文(即以策略为中心或以事件为中心的上下文中的另一个)中的附加GUI元素的生成和/或呈现。在第二上下文中呈现的GUI元素可示出第一上下文中的交互如何与第二上下文相关。GUI管理器
270可提供这种集成。
270可提供这种集成。
[0038] 作为简化示例,用户可查看安全事件集合的列表、信息图形或其它图形表示(即在以事件为中心的上下文中)。用户可执行过滤、分级、分类、搜索、联结、计算以及其它分析操作,这些操作导致标识描述安全事件(诸如安全事件或基于安全事件数据的计算结果的集合的所选子集)的数据的不同集合。例如,用户可与以事件为中心的GUI元素交互以选择在最后一月内检测的涉及系统具体用户的所有事件。用户然后可与GUI元素交互以请求标识单独的以策略为中心的GUI元素,所述GUI元素标识所有安全策略,所述安全策略表示为对应于为用户检测或可检测的事件。此外,以策略为中心的GUI元素可包含以策略为中心的信息、图形表示、信息图形等,描述每一个标识的策略的属性以及以策略为中心的分析操作(例如对安全策略数据分析特定的过滤、分级、计算、组织等)。进一步说,在一些实例中,在以策略为中心的GUI元素或在以策略为中心的GUI元素中标识的它们的组成元素的任何一个中可提供GUI控制器,诸如按钮或其它控制器,给用户提供发起编辑安全策略中的一个或多个的能力。例如,可提供策略编辑器275,使能例如结合一个或多个安全工具的监控、质量控制、部署和维护来编辑安全策略参数。事实上,集成以策略为中心和以事件为中心的上下文的GUI可给用户提供以低计算和认知成本快速地标识、诊断和补救系统中与策略和事件相关的问题的工作流程。采用例如由策略编辑器275提供的功能性从此类GUI进行和发起的修改可影响并修改在系统中部署的安全工具225的可变操作。
[0039] 转到图3A-1到3I-4,示出了至少部分通过分析服务器的功能性和/或一个或多个安全分析程序提供的示例用户界面的屏幕截图300a-i。提供屏幕截图300a-i作为可能的GUI的示例,其允许集成以策略为中心和以事件为中心的上下文,以及能够结合示例事件-策略集成引擎和示例分析程序执行的潜在任务。例如,在图3A-1和3A-2中,示出了屏幕截图300a的视图,其图示了能够集成以策略为中心和以事件为中心的上下文中的视图的示例图形用户界面(GUI)301。在图3A-1的具体示例中,提供了标签302、304以允许用户选择在系统安全的分析中以其开始的初始上下文,诸如以事件为中心的上下文(即302)或以策略为中心的上下文(即304)。进一步说,可提供与具体安全工具的通用功能性的通用类别或在具体分析内寻址的安全工具的类型相关的附加标签(例如305a)。例如,在图3A-1到3I-4的示例中,已经结合系统中一个或多个网络防火墙的分析呈现了GUI 301。可结合其它类型安全工具(例如与网络防火墙不同)的分析提供其它GUI(例如具有不同类别的功能以及对应标签(例如305a))。
[0040] 在图3A-1和3A-2的具体示例GUI 301中,例如已经通过用户选择标签305a而选择了与防火墙的访问规则和活动相关的视图的类别。进一步说,已经呈现了一个或多个GUI窗口(例如306、308)(例如结合这些具体视图的用户选择、信息图形类型等)。在此示例中,呈现包含事件趋势图306和泡泡图308的信息图形。
[0041] 事件趋势图可呈现例如在时间跨度上水平分布的一系列的列,其中每个列按时序排序,并且图示在具体时间在具体系统中检测的安全事件的总数。在一些实例中,如在图3A-2中所示的,事件趋势图306可包含列作为按比例堆叠的列,其中每列用两种或更多种颜色图示,其中至少一种颜色加亮由该列表示的总量中由具体类型事件(例如“访问”、“防御”(例如与通过防火墙可用的防御测量相关)、“NAT”(例如与通过防火墙可用的网络地址转换服务相关)、“QoS”(例如与通过防火墙提供的服务质量功能相关)、“SSL”(例如与通过防火墙提供的安全套接字层通信服务相关),除了潜在的其它事件之外)贡献的部分。在图3A-1的示例中,标签305a已经由用户选择,导致事件趋势图306示出了涉及一个或多个防火墙的检测的访问相关事件的图形表示。
[0042] 事件趋势图306可用于过滤对于具体类别事件(例如访问相关的事件)标识的安全事件集合。在某种意义上,选择标签305a过滤对于防火墙检测的安全事件的总体,而事件趋势图GUI元素306可由用户用于进一步过滤并细化用户希望检查、分析和管理的安全事件集合。例如,如图3A-2的示例中所示的,用户可选择显示的事件趋势图306的区段(例如310)来指出用户对观看和分析与在对应于所选择区段310的具体时段内检测的事件相关的数据感兴趣。响应于与事件趋势图306交互,可生成与在通过所选区段310标识的时间范围内检测的访问相关事件的子集相关的附加GUI元素。例如,在一些示例中,可生成事件趋势图的放大视图并呈现给对应于包含在所选区段310中的事件趋势图306部分的用户。因而,用户可选择放大的趋势图的部分或元素(诸如具体的列或列的细分部分(即对应于对于防火墙检测的事件子类别))以进一步缩窄和分析安全事件集合。进一步说,当由用户分析或过滤的安全事件的子集缩窄时,数据以及安全事件的子集的数据表示可以以不断增加的细节和粒度呈现。
[0043] 在图3A-1和3A-2的示例中,已经生成了附加GUI元素308,特别是对应于事件趋势图306的所选择区段310内检测的安全事件的部分的安全事件的泡泡图形。在一些实例中,用户可从多个可用的数据表示类型中选择在GUI 301中表示的信息图形或数据的类型。对于数据可用的数据表示的类型可取决于由GUI或GUI窗口执行分析的上下文。例如,事件趋势图(例如306)和泡泡图(例如308)可被预先标识,并与以事件为中心的上下文关联,并且使得结合这个以事件为中心的上下文内的分析对于用户可用。
[0044] 比较的泡泡图(诸如图3A-1和3A-2的示例泡泡图308)可允许用户比较在使用泡泡图表示的安全事件子集中标识的安全事件属性的两个或更多集合。例如,可给用户呈现控制器316、318,允许用户选择与其比较安全事件子集的两个属性。在图3A-1和3A-2的示例中,用户已经选择分析使不同源用户群和应用类别交叉的安全事件。因而,在此示例中,可创建二维图,其中用户群占据y轴,而系统应用类别占据x轴。进一步说,在相应用户群和应用类别中每一个的交点处,可生成泡泡元素(例如312、314、315)并在GUI 301内再现,表示在与具体用户群和具体应用类别相关的子集内检测的安全事件量(并且在一些情况下是类型、关键性、所有权或另一属性)。为了说明,泡泡元素312可表示结合由“工程”用户群内的用户操作类别“软件/系统更新”的软件应用而检测的安全事件的子集内的事件数量。例如,此类安全事件可涉及尝试从远程源下载未授权的软件更新的企业的工程部门内的具体用户。在另一示例中,泡泡元素314可涉及结合由工程用户群中的用户操作类别“文件共享”的软件应用而检测的安全事件。
[0045] 比较的泡泡图可给用户提供定制定义和分析所标识的安全事件子集中的安全事件的各种不同视图的能力。泡泡元素(例如312、314、315)的直径可表示对于具体类别的比较或横截面检测的安全事件的相对数量。例如,泡泡元素315(具有相对较大的直径)可标识检测与关于“软件/系统更新”的“黑客”用户群相关的相对较大数量的安全事件。备选地,在一些实例中,其它横截面将含有具有窄直径的泡泡(或者根本没有泡泡),其指示如果有的话很少标识的安全事件子集包含这两个属性。例如,结合“即时消息传递”事件和“IT”用户群中的用户的横截面没有示出泡泡(例如,因为企业的IT部门的成员被准许了更自由地使用企业的网络进行即时消息传递的特权(即,如由防火墙实施的))。
[0046] 如上面所提到的,比较的泡泡图的一些实例可图示在交叉元素中标识的事件属性之外的事件子集的属性(例如各个用户群和应用类型)以及事件数量(即经由对应泡泡元素的直径所示出的)。例如,各种视觉效果可应用于泡泡元素以图示在相应泡泡元素中标识的事件的另外特性和属性。例如,可示出安全事件具体子集的所有权或责任(例如通过以高对比度示出一些泡泡元素(例如312、314),与以较低对比度示出其它泡泡元素(例如未指配的元素)形成对比,或者作为朦胧或半透明的泡泡(例如泡泡315))。进一步说,泡泡元素可进行颜色编码以标识由相应泡泡表示的事件的其它属性,诸如事件类型、事件关键性,除了其它属性之外。事实上,在图3A-1的示例中,采用第一颜色的泡泡元素(例如314、315)可标识包含由用户(例如通过选择GUI元素标签305a)所规定的感兴趣的具体类别(例如“访问”事件类别)或在其内的安全事件的分组,而采用第二颜色的泡泡元素(例如312)标识不包含感兴趣的所选类别的事件的安全事件的分组。
[0047] 应该理解,在图3A-1到3I-4的示例中示出的信息图形和图形表示(例如306、308)是仅仅提供来图示本文讨论的某些特征和方面的非限制示例。也可采用和使用各种其它类型的信息图形和图形数据表示,而不脱离本说明书的主题。例如,如上面所指出的,对于其它上下文,诸如以策略为中心的上下文,可利用不同类型的信息图形。附加地,对于以安全-事件为中心的分析,也可提供其它类型的数据图形表示。例如,可生成各种各样的地理地图信息图形来图示对于系统组件标识的安全事件的位置(即在地理地图上)连同各种对应的地理位置中安全事件的数量、类型、频率等。事实上,在一些示例中,可提供地理地图信息图形,其拥有泡泡型图形的一些性质,诸如通过对应于具体地图位置而显示的泡泡,每个泡泡(通过它们的相应直径)图示结合具体地理位置检测相对数量的安全事件,除了其它示例之外。
[0048] 不管具体GUI元素的类型、形式、组织和审美(诸如GUI图形数据表示306、308),GUI 301可向用户呈现包含用户可选择GUI元素的一个或多个GUI元素。图形数据表示在一些实例中可包含多个用户可选择GUI元素。选择用户可选择元素或GUI对象可使附加视图被选择、数据集合被进一步过滤、具体分析操作和计算被执行等。例如,在事件趋势图(例如306)中显示的各个列、列的分组以及时间范围可由用户选择(诸如上面结合所选区段310描述的)。进一步说,泡泡图308可包含多个不同可选GUI元素,诸如每个泡泡元素(例如312、314、
316)以及每个比较类别指示符(例如320、322)。
316)以及每个比较类别指示符(例如320、322)。
[0049] 为了图示,如图3B的示例中所示出的,用户已经选择了比较指示符安全320,以进一步将在用户的分析会话中考虑的安全事件子集缩窄到涉及“工程”用户群中一个或多个用户的子集中的那些安全事件。响应于用户与比较指示符按钮320的交互以及选择,可生成附加GUI数据表示(例如324、325)。事实上,在一些示例中,不同上下文(例如以策略为中心的上下文)的GUI数据表示(例如325)可自动生成并显示在同一GUI 301(或相关GUI窗口)中,其图示从其它上下文角度的比较指示符按钮320的用户选择的效果。在一些实例中,用户可选择或被呈现可用类型的GUI数据表示以填充GUI 301(诸如GUI元素324、325)的附加窗口或窗格。
[0050] 如图3B的具体示例中所示,可响应于由用户通过其它GUI数据表示(例如320)执行的交互和分析操作而提供附加GUI数据表示(例如324)。例如,可响应于用户与GUI 301的交互,缩窄、加宽或用新数据(诸如计算结果或新接收的数据)补充在分析会话中考虑的数据子集。进一步说,其它GUI数据表示,包含响应于用户早前与GUI 301的交互或者以别的方式在其之后在GUI 301中引入或生成的GUI数据表示,可使用和表示从之前用户与GUI 301的交互得到的缩窄(或加宽、补充等)的数据集合。作为示例,在图3B中,用户已经将所考虑的数据子集缩窄到与涉及工程用户群中系统用户的安全事件子集有关的数据。因而,在此具体示例中,新GUI数据表示324包含另一事件趋势图类型GUI图形数据表示326,其被放大以显示在所选区段310中包含的那些列。附加地,放大的事件趋势图326(而不是示出此类别事件以及所选时段内的所有安全事件)将事件趋势图约束到涉及关于工程用户群中系统用户的所标识的安全事件子集的安全事件。进一步说,用户可与事件趋势图326交互以执行附加分析任务,例如通过在事件趋势图326内选择各个列GUI对象。
[0051] 附加地,如上面所指出的,新GUI数据表示可另外包含以策略为中心的上下文的数据表示。例如,数据表示325可包含标识为被触发或者以别的方式驱动由用户通过选择其它GUI元素(例如305a、310和320)选择的安全事件子集中的一个或多个事件的对应安全工具(或多个系统安全工具)保存的策略库内的所有策略(例如328、329)的表。这可允许用户快速并且直观地标识和评估感兴趣的安全事件集合内的背景策略。包含在GUI 301的屏幕截图300b中的以策略为中心的数据表示可包含以策略为中心的字段、GUI控制器和元素以及对安全策略分析特制的分析功能性。在图3B的具体示例中,表数据表示325包含标识相关策略328、329子集的策略属性的字段,包含策略名称、策略应用于的地理区域、基于相应策略的最近事件数量(例如或者用户选择的事件子集中的事件数量)的汇总标识、策略应用于的一个或多个软件应用、策略应用于的应用或系统使用的“能力”或类型、策略的关键性、与策略关联的动作、受策略影响的用户群、结合策略在其内监控或协调的系统组件的类别的标识,除了其它示例之外。进一步说,可从以策略为中心的GUI数据表示325,例如通过GUI控制器330-333,发起各种策略特定的任务。例如,根据GUI 301(并且按照开始于分析与所显示的策略328、329相关的安全事件的工作流程),用户可修改一个或多个策略(例如通过控制器330),通过控制器332拷贝策略或规则(例如用于与另一安全工具一起使用或者用作新安全策略的基础),提示搜索其它相关策略(例如经由控制器332),或者查看显示的策略中的一个或多个策略的审查报告(例如经由控制器333),除了其它潜在操作和任务之外。
[0052] 转到图3C,用户可利用GUI数据表示(例如306、308、324、328)来迭代地改变用户在分析会话内与之一起工作的数据子集。例如,在标识将安全事件的子集缩窄到涉及工程用户群中系统用户的那些事件的影响之后,用户例如可选择其它GUI元素来检查事件子集内的安全事件的属性和趋势,或者标识和分析在各种子类别事件中涉及的安全策略。例如,在图3C的示例中,用户已经选择了泡泡GUI元素314来将安全事件的子集约束到涉及工程用户群中的系统用户和文件共享应用的那些安全事件。因而,GUI窗口324和328可被自动更新以反映由用户考虑的所改变的数据子集。例如,可基于涉及文件共享类别中应用的安全事件在窗口324内再现附加事件趋势图335。这可允许用户进一步考虑涉及系统内文件共享的事件趋势的更详细的突破的数据表示335(例如在具体时段期间并且涉及示例防火墙的网络访问服务)。进一步说,相关策略表325可被更新以示出在涉及工程用户群中的系统用户和文件共享应用的安全事件的较窄子集中仅涉及一个策略。
[0053] 转到图3D-1和3D-2,用户在诸如响应于将安全事件类别向下缩窄到涉及单个策略的事件而标识具体策略(或感兴趣的策略)时,如在图3C的示例中(通过与GUI 301中的数据表示306、308、324和328的交互),可期望进一步检查和执行涉及所标识策略的操作。例如,如图3D-1和3D-2所示,用户可与以策略为中心的GUI窗口325的GUI控制器(例如333)交互,以执行所表示的策略(例如策略328)集合上的一个或多个分析操作。例如,通过选择“视图审查”按钮333,可在GUI 301中呈现新GUI窗口336,提供所选策略(例如328)或涉及该策略的最近事件的属性的概览,除了其它示例之外。
[0054] 转到在图3E中示出的GUI 301的部分屏幕截图300e,在其它示例中,用户可选择GUI控制器330以使GUI窗口338填充GUI 301,给用户提供用于实际修改对应策略的属性和定义的界面。修改和定义策略的能力可表示开始于或者以别的方式涉及一个或多个相关安全事件评估的分析工作流程的顶点。例如,如在示例GUI窗口338中所示的,用户可添加、删除、选择并且以别的方式改变定义所选策略(诸如“阻止的服务”策略)的若干字段。例如,用户(诸如具有访问和改变系统中的策略的允许或授权的系统管理员(此类允许可通过GUI 301的附加GUI窗口和提示来管理))可以将这种策略属性改变为由安全工具(例如防火墙)执行的动作类型,这是根据策略(例如允许、阻止、隔离等)、策略的关键性、响应于基于该策略的安全事件生成的告警类型、策略将应用于的系统的部分和用户、策略将主动应用于的一天中的时段(例如工作时间、休息时间、午餐、全天、工作日、周末、业余时间等)、受策略影响的地址转换以及其它安全功能性(例如防火墙安全工具的地址转换服务)、策略应用于的应用和文件,除了在图3E中示出的具体示例中包含而未示出的其它属性和特征之外。
[0055] 进一步说,一旦用户已经使用GUI窗口338对策略定义进行了改变,用户就可保存这些改变(例如经由按钮340)以使策略被更新并且在系统内生效。例如,用户与GUI 301中的GUI窗口338的交互可改变一个或多个安全工具所基于的策略,由此立即影响安全工具操作内的改变。用这种方式,用户可分析系统内的事件和策略,以及从同一GUI 301执行维护并实现对安全系统本身的更新或纠正(例如通过重新定义策略、创建新策略(例如使用按钮331)除了其它示例之外、编辑策略属性等。)。
[0056] 虽然一些之前的示例涉及用户与具体泡泡型数据表示的交互以进一步进行后续分析任务,但其它GUI窗口和数据表示类型对用户可以是可用的。事实上,在一些实例中,用户可交换、替换或者以别的方式改变之前呈现的数据表示的类型,例如以从新的或者另外不同的角度分析数据。例如,如图3F的示例中所示的,用户可选择最小化最初呈现的泡泡型或者其它类型的数据表示(例如308),并请求或者使得生成备选数据表示,根据其继续进行并且分析安全事件(或策略)。例如,在图3F中,用户已经瓦解了泡泡图表示308,并用事件趋势图数据表示326、342、344、345的列表来替换它。例如,用户可选择显示事件属性类别中的每个属性值的突破事件趋势图,诸如事件趋势图(例如326、342、344、345)的集合,每个图对应于在安全事件子集内标识的单独系统用户群。事实上,用户可驱动附加分析,通过替代地与备选数据表示(例如326、342、344、345)的GUI元素交互或选择这些GUI元素而包含来自以策略为中心的上下文(例如通过窗口328)的分析,如图3F中所示的。
[0057] 在一些实例中,用户可期望从以策略为中心的上下文而不是以事件为中心的上下文开始或者最初聚焦它们的系统安全分析工作流程,诸如在图3A-1到3F的示例中。转到图3G,在GUI 301中例如结合策略标签304的用户选择示出了以策略为中心的GUI窗口346。在这个具体示例中,以表格形式示出了系统安全策略(例如347-354)子集的列表。例如,用户可选择与具体系统安全工具(诸如部属的网络防火墙)有关的系统安全策略的子集,并选择安全工具功能性的类别(诸如通过访问标签305b)来过滤系统安全策略集合用于呈现在GUI
301的以策略为中心的上下文中。示例GUI窗口346可呈现所选的策略(例如347-354)子集的细节和属性。在一些实例中,表346中包含的属性可与结合以事件为中心的上下文内的GUI表示和窗口中的安全事件的过滤而显示的策略表相同或类似(例如,如在图3B-3F的示例中所示出的数据表示325)。进一步说,以策略为中心的控制器(例如在行355)可被提供在GUI窗口346中。此类控制器355例如可用于触发创建新策略、编辑现有策略、删除现有策略、复制现有策略,除了其它示例之外,以及发起适用于帮助用户执行此类操作的GUI窗口和数据表示。
301的以策略为中心的上下文中。示例GUI窗口346可呈现所选的策略(例如347-354)子集的细节和属性。在一些实例中,表346中包含的属性可与结合以事件为中心的上下文内的GUI表示和窗口中的安全事件的过滤而显示的策略表相同或类似(例如,如在图3B-3F的示例中所示出的数据表示325)。进一步说,以策略为中心的控制器(例如在行355)可被提供在GUI窗口346中。此类控制器355例如可用于触发创建新策略、编辑现有策略、删除现有策略、复制现有策略,除了其它示例之外,以及发起适用于帮助用户执行此类操作的GUI窗口和数据表示。
[0058] 在一个示例中,如在图3H-1和3H-2中图示的,用户可选择在GUI窗口346中所显示的策略之一(例如349),并请求(例如经由控制器356)编辑对应策略。如与结合以事件为中心的分析(例如在图3E中所示和描述)的策略编辑一样,策略编辑GUI窗口338可结合用户与以策略为中心的上下文窗口346的交互而呈现给用户。进一步说,与在图3E的示例中一样,用户(开始于以策略为中心的GUI)可通过创建或编辑策略并将改变的策略应用于系统中安全工具的现场部署(例如通过控制器340)来结束分析工作流程。
[0059] 进一步说,与在图3A-1到3D-2和3F的以事件为中心的示例中一样,用户可使用GUI 301的以策略为中心的GUI窗口执行以策略为中心的分析。例如,用户可与GUI窗口346、348的GUI元素(例如358a、358b、360,除了别的以外)交互,以便过滤、缩窄、加宽、补充以及以别的方式修改作为包含在GUI 301中的GUI窗口的基础考虑和使用的策略记录的集合。例如,用户可选择包含在窗口346、348的GUI表或列表中的一个或多个单元(例如358a、35b、360)来使所显示的策略集合被过滤,例如以仅显示包含对应属性的那些策略。作为示例,用户可选择GUI元素360来请求安全策略的子集被过滤成仅包含应用于人力资源(HR)用户群的安全策略。进一步说,例如可通过选择与所显示的策略相关的事件(例如事件计数元素359、
361)的图形表示,从以策略为中心的GUI窗口(例如346)发起以事件为中心的GUI表示(例如
306、308、324)。
361)的图形表示,从以策略为中心的GUI窗口(例如346)发起以事件为中心的GUI表示(例如
306、308、324)。
[0060] 在一些实现中,在GUI 301中表示的策略和事件的属性可基于、链接到或者以别的方式关联或合并描述或定义相应属性的系统数据对象。例如,安全工具(例如在358a、358b)的能力或者策略应用于的用户群(例如360)(除了其它系统属性之外)可基于能力类的对应数据对象,每个数据对象标识属性、方法以及成为能力(并且由此策略本身)的上下文的基础并提供能力的上下文的其它特性。事实上,在某些实例中,策略定义(或事件和事件属性的定义)可涉及数据的继承或调用以及成为定义相应策略属性的数据对象(例如能力类的数据对象)的基础的方法。例如,用户群系统对象可包含对象类,包含HR对象、工程对象、质量保证(QA)群对象,除了别的之外,每个对象标识各个用户的身份、关联的机器、网络以及结合对应的用户群利用的子系统,除了其它信息之外。进一步说,在一些实例中,为了给用户管理员提供在策略定义和编辑上更粒性的控制,GUI 301可给用户提供用于编辑与一个或多个具体策略相关的底层系统对象的界面。
[0061] 转到图3I-1至3I-4,示出了GUI 301的屏幕截图300i的视图,其显示与设计安全策略定义(或者甚至标识为与一个或多个检测的安全事件关联)的系统数据对象的检查和/或编辑相关的附加窗口362、364、366。例如,在图3I-2中,用户已经选择了GUI元素中的一个(例如可选的表单元358a),对应于文件共享能力对象以发起与对应于GUI元素的一个或多个系统数据对象相关的一个或多个GUI窗口(例如362、364、366)(在图3I-1至3I-4中)。
[0062] 例如,在图3I-1至3I-4的具体示例中,可呈现对象查看器窗口362,其允许用户在GUI 301内检查具体对象(例如文件共享对象)的细节。用户在检查一个或多个安全事件或安全策略的细节之后可能已经检测到与具有对应数据对象的事件或策略的属性相关的问题。因而,用户可通过GUI窗口362结合安全系统的维护或管理来检查并编辑对应对象的细节。附加的对象相关的GUI窗口364提供附加对象属性中的视图以及其它对象和对象类别的列表,并提供用户执行其它对象相关任务(诸如创建新对象以与具体策略或事件关联、嵌入在另一对象内等)的能力。
[0063] 在图3I-1至3I-4的示例中,通过对象查看器窗口362,用户可将此类对象属性定义和重新定义为对象的名称、对象的类型或类、对象的关联的关键性、对象的描述、对象的属性(诸如使用特性、在应用类别内分组的应用、所关联的端口,除了应用类别(或能力)对象的其它属性之外),除了其它细节之外。对象的类或类型可控制哪些属性在对象中被定义(并且可编辑)。为了说明,在另一示例中,系统对象可包含用户对象(例如与安全事件关联使用的(即标识受所检测事件影响或与之关联的用户),或者用于其它对象中的参考,诸如用户群对象)。类中的每个用户对象可描述多个个体系统用户之一,并且包含此类属性(用于检查和编辑)作为用户的名称、办公室位置、联系信息、人口学信息、关联的计算装置和网络、系统许可、认证信息(例如个人系统密码数据),除了其它示例之外。不仅在GUI表示的生成中(例如在GUI 301内),而且在评估系统本身时,可使用和参考对象,诸如通过结合一个或多个安全工具来标识安全事件。例如,具体用户违反策略可包含调用所关联的用户对象、能力对象或其它对象以评估用户是否已经允许访问具体系统资源,除了其它示例之外。
[0064] 图4A-4B是图示用于集成安全事件和安全策略的管理的示例技术的简化流程图400a、400b。例如,在图4A中,多个安全事件可在系统内被标识405,诸如已经或者正在由部署在系统内的一个或多个安全工具检测的安全事件。可生成GUI呈现,诸如与安全工具管理和分析应用关联的GUI,以便包含所标识的安全事件和相关数据的图形表示。安全事件的图形表示可包含一个或多个信息图形、图形元素以及描述所标识的安全事件属性的其它数据表示。图形表示可来自以安全事件为中心的上下文。进一步说,图形表示中的某些元素可以是交互式的,从而允许用户选择图形表示的元素来发起对应视图、附加图形呈现和操作。例如,一个或多个安全事件可以由用户通过所检测的用户与图形表示的交互来标识或选择
415。进一步说,对于系统定义的多个安全策略内的安全策略子集可被标识420为与一个或多个所选安全事件关联。所标识的安全策略子集的所关联图形表示也可被生成425并包含在(或集成在)包含所标识安全策略的图形表示的GUI呈现中。
415。进一步说,对于系统定义的多个安全策略内的安全策略子集可被标识420为与一个或多个所选安全事件关联。所标识的安全策略子集的所关联图形表示也可被生成425并包含在(或集成在)包含所标识安全策略的图形表示的GUI呈现中。
[0065] 管理和可视化安全事件与策略之间的关系也可从以策略为中心的上下文驱动。例如,如图4B的示例中所示的,多个安全策略可被标识430并GUI呈现被生成435,其包含策略的以策略为中心的图形表示。(在一些实例中,所标识的安全策略和图形表示可对应于所标识(例如420)的安全策略子集和所生成(例如425)的图形表示,以及来自与以事件为中心的上下文的交互,如与在图4A的示例中一样)。例如,用户可与图形表示交互以标识(例如在440)在GUI呈现中表示的一个或多个策略的子集。这样的用户交互可服务于标识445对应于(例如通过违反其或结合其触发的)一个或多个策略的所检测安全事件的子集。进一步说,所标识的安全事件的图形表示可被生成450(并与所生成的GUI呈现集成)以反映和表示安全事件。进一步的用户交互可经由包含相关以事件为中心和以策略为中心的图形表示的GUI呈现来接收(例如导致类似于结合图4A或4B描述的工作流程)。事实上,策略定义的属性、事件以及关联的系统数据对象可经由通过GUI呈现而呈现的控制器和GUI工具进行编辑和修改。
[0066] 尽管本公开已经在某些实现以及一般关联的方法方面进行了描述,但这些实现和方法的改变和置换对于本领域技术人员将是显而易见的。例如,本文描述的动作可以按与所描述的不同的次序执行,并且仍实现期望的结果。作为一个示例,在附图中描绘的过程不一定要求所示出的具体次序或顺序次序来实现期望的结果。所图示的系统和工具可类似地采用备选架构、组件和模块来获得类似的结果和功能性。例如,在某些实现中,多任务处理、并行处理以及基于云的解决方案可能是有利的。附加地,可支持各种各样的用户界面布局和功能性。其它改变在所附权利要求书的范围内。
[0067] 在此说明书中描述的主题和操作的实施例可以实现在数字电子电路中或实现在计算机软件、固件或硬件(包含在此说明书中公开的结构以及它们的结构等效方案)中或实现在它们中一个或多个的组合中。在此说明书中描述的主题的实施例可实现为一个或多个计算机程序,即编码在计算机存储介质上用于由数据处理设备执行或控制数据处理设备的操作的计算机程序指令的一个或多个模块。备选地或此外,程序指令可编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,生成该信号以对信息进行编码以便传送到适合的接收器设备用于由数据处理设备执行。计算机存储介质可以是或包含在计算机可读存储装置、计算机可读存储基底、随机或串行存取存储器阵列或装置或者它们中的一个或多个的组合。而且,虽然计算机存储介质本质上不是传播信号,但计算机存储介质可以是编码在人工生成的传播信号中的计算机程序指令的源或目的地中。计算机存储介质还可以是或包含在一个或多个单独物理组件或介质(例如多个CD、盘或其它存储装置)中,包括分布式软件环境或云计算环境。
[0068] 网络,包含核心网络和接入网络(包含无线接入网),可包含一个或多个网络元素。网络元素可涵盖各种类型的路由器、交换机、网关、桥、负载均衡器、防火墙、服务器、内联服务节点、代理、处理器、模块或任何其它适合的装置、组件、元素或可操作以在网络环境中交换信息的对象。网络元素可包含适当的处理器、存储元素、硬件和/或软件以支持(或者以别的方式执行)与使用处理器用于屏幕管理功能性关联的活动,如本文所概括的。而且,网络元素可包含任何适合的组件、模块、接口或便于其操作的对象。这可包含允许数据或信息的有效交换的适当算法和通信协议。
[0069] 在此说明书中描述的操作可实现为由数据处理设备对存储在一个或多个计算机可读存储装置上或从其它源接收的数据执行的操作。术语“数据处理设备”、“处理器”、“处理装置”和“计算装置”可涵盖用于处理数据的所有种类的设备、装置和机器,作为示例包含可编程处理器、计算机、片上系统或上述内容中的多个或组合。设备可包含通用或专用逻辑电路,例如中央处理单元(CPU)、叶片(blade)、专用集成电路(ASIC)或现场可编程门阵列(FPGA),除了其它适合的选项之外。虽然一些处理器和计算装置已经被描述和/或图示为单个处理器,但根据所关联服务器的具体需要可使用多个处理器。对单个处理器的提及意于在适用的情况下包含多个处理器。一般而言,处理器执行指令并操纵数据以执行某些操作。除了硬件之外,设备还可包含创建讨论的计算机程序的执行环境的代码,例如构成处理器固件、协议栈、数据库管理系统、操作系统、交叉平台运行时间环境、虚拟机或它们中的一个或多个的组合的代码。设备和执行环境可实现各种不同的计算模型基础设施,诸如web服务、分布式计算和网格计算基础设施。
[0070] 计算机程序(也称为程序、软件、软件应用、脚本、模块、(软件)工具、(软件)引擎或代码)可用任何形式的编程语言编写,包含编译语言或解释语言、声明语言或过程语言,并且可以任何形式部署,包含作为独立程序或作为模块、组件、子例程、对象或适合于用在计算环境中的其它单元。例如,计算机软件可包含有形介质上的计算机可读指令、固件、有线或编程硬件或其任何组合,当其被执行时可操作以至少执行本文描述的过程和操作。计算机程序可以但不需要对应于文件系统中的文件。程序可存储在保存其它程序或数据的文件的一部分中(例如存储在标记语言文档中的一个或多个脚本),存储在专用于讨论的程序的单个文件中,或者存储在多个协调文件中(例如存储一个或多个模块、子程序或代码的部分的文件)。可部署计算机程序以在一个计算机上或在位于一个站点或跨多个站点分布并通过通信网络互连的多个计算机上执行。
[0071] 程序可被实现为通过各种对象、方法或其它过程实现各种特征和功能性的单独模块,或者替代地可包含多个子模块、第三方服务、组件、库等,视情况而定。反过来,各种组件的特征和功能性可组合到单个组件中,视情况而定。在某些情况下,程序和软件系统可实现为复合托管的应用。例如,复合应用的部分可实现为企业Java组件(EJB),或者设计时间组件可具有生成运行时间实现到不同平台中的能力,不同平台诸如J2EE(Java 2平台,企业版)、ABAP(高级商业应用编程)对象或Microsoft's .NET,除了别的以外。附加地,应用可表示经由网络(例如通过因特网)访问和执行的基于web的应用。进一步说,与具体托管的应用或服务关联的一个或多个过程可被存储、引用或远程执行。例如,具体托管应用或服务的一部分可以是与远程调用的应用关联的web服务,而托管应用的另一部分可以是为了在远程客户端进行处理而绑定的接口对象或代理。而且,任何或所有托管应用和软件服务可以是另一软件模块或企业应用(未图示)的子应用或子模块,而不脱离本公开的范围。更进一步说,托管应用的部分可由在托管应用的服务器处直接工作以及在客户端处远程工作的用户执行。
[0072] 一个或多个数据结构可由本文描述的软件应用和程序利用,包含数据块和数据对象。数据对象是包含可由软件功能、操作、应用、模块以及其它软件实体(诸如软件应用和服务)操作的一个或多个定义的或继承的属性和值的数据实体。在一些实例中,属性可实现为对象元数据。进一步说,每个对象属性可具有定义对应对象属性值的关联数据。
[0073] 在此说明书中描述的过程和逻辑流程可由一个或多个可编程处理器执行,可编程处理器执行一个或多个计算机程序以通过对输入数据进行操作并生成输出来执行动作。过程和逻辑流程也可由专用逻辑电路执行,并且设备也可实现为专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
[0074] 适合于执行计算机程序的处理器作为示例包括通用和专用微处理器以及任何种类的数字计算机的任何一个或多个处理器。一般而言,处理器将从只读存储器或随机存取存储器或二者接收指令和数据。计算机的必要元素是用于根据指令执行动作的处理器以及用于存储指令和数据的一个或多个存储器装置。一般而言,计算机还将包含或操作上耦合以从用于存储数据的一个或多个大容量存储装置例如磁盘、磁光盘或光盘接收数据或向其传输数据,或二者。然而,计算机不需要具有此类装置。而且,计算机可嵌入在另一装置中,例如移动电话、个人数字助理(PDA)、平板计算机、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器或便携式存储装置(例如通用串行总线(USB)闪存驱动器),仅举几个示例。适合于存储计算机程序指令和数据的装置包含所有形式的非易失性存储器、介质和存储器装置,作为示例包含半导体存储器装置,例如EPROM、EEPROM和闪速存储器装置;磁盘,例如内部硬盘或可移动盘;磁光盘;以及CD-ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或合并在专用逻辑电路中。
[0075] 为了提供与用户的交互,在此说明书中描述的主题的实施例可实现在计算机上,计算机具有显示装置例如CRT(阴极射线管)或LCD(液晶显示器)监控器用于向用户显示信息,以及键盘和点击装置例如鼠标或跟踪球,通过它们用户可向计算机提供输入。也可使用其它种类的装置提供与用户的交互;例如,向用户提供的反馈可以是任何形式的感觉反馈,例如视觉反馈、听觉反馈或触觉反馈;以及可以用任何形式接收来自用户的输入,包含声音、语音或触觉输入。此外,计算机可通过向装置发送文档以及从装置接收文档而与用户交互,装置包含由用户使用的远程装置。
[0076] 在此说明书中描述的主题的实施例可实现在计算系统中,计算系统包含后端组件(例如作为数据服务器),或者包含中间件组件(例如应用服务器),或者包含前端组件(例如具有图形用户界面或通过其用户可与此说明书中描述的主题的实现交互的Web浏览器的客户端计算机),或者一个或多个此类后端、中间件或前端组件的任何组合。系统组件可以通过任何形式或介质的数字数据通信(例如通信网络)互连。通信网络的示例包含可操作以便于系统中各种计算组件之间的通信的任何内部或外部网络、多个网络、子网络或其组合。网络例如可传递因特网协议(IP)分组、帧中继帧、异步传输模式(ATM)单元、语音、视频、数据以及网络地址之间的其它适合的信息。网络也可包含一个或多个局域网(LAN)、无线电接入网(RAN)、城域网(MAN)、广域网(WAN)、所有或部分因特网、对等网(例如ad hoc对等网)和/或在一个或多个位置的任何其它通信系统。
[0077] 计算系统可包含客户端和服务器。客户端和服务器一般彼此远离,并且通常通过通信网络交互。客户端和服务器的关系依靠运行在相应计算机上并具有彼此的客户端-服务器关系的计算机程序产生。在一些实施例中,服务器向客户端装置传送数据(例如HTML网页)(例如为了向与客户端装置交互的用户显示数据并从用户接收用户输入)。可在服务器从客户端装置接收在客户端装置生成的数据(例如用户交互的结果)。
[0078] 虽然此说明书含有许多特定实现细节,但这些不应该被视为对任何发明的范围或可要求权利的范围的限制,而是作为对具体发明的具体实施例特定的特征的描述。也可在单个实施例中组合实现在此说明书中在单独实施例的上下文中描述的某些特征。反过来,也可单独或以任何适合的子组合在多个实施例中实现在单个实施例的上下文中描述的各种特征。而且,尽管特征在上面可描述为以某种组合起作用,并且甚至最初这样要求权利,但来自所要求权利的组合的一个或多个特征在一些情况下可从组合中删除,并且所要求权利的组合可指向子组合或子组合的变型。
[0079] 类似地,虽然操作在附图中按具体次序描绘,但这不应该被理解为要求此类操作要按所示的具体次序或按顺序次序执行,或者所有图示的操作都要执行以实现期望的结果。在某些情况下,多任务处理和并行处理可能是有利的。而且,上面描述的实施例中的各种系统组件的分离不应该被理解为在所有实施例中都需要这样的分离,并且应该理解,所描述的程序组件和系统一般可一起集成在单个软件产品中或封装在多个软件产品中。
[0080] 因而,已经描述了主题的具体实施例。其它实施例在如下权利要求书的范围内。在一些情况下,在权利要求中阐述的动作可按不同次序执行,并且仍实现期望的结果。此外,在附图中描绘的过程不一定需要所示出的具体次序或顺序次序来实现期望的结果。