公开(公告)号：CN117501658A

公开(公告)日：2024-02-02

申请号：CN202280043192.7

申请日：2022-05-19

Applicant: 微软技术许可有限责任公司

Inventor： H·H·纽沃思 ,  I·韦特海默 ,  E·阿布拉莫维奇 ,  Y·D·弗鲁赫特曼 ,  A·克伦

IPC: H04L9/40

Abstract: 本公开所述的原则涉及模型的训练和实现，该模型被设计用于估计新安全事件为真实事件的概率。这发生在SIEM等服务监视计算系统和其他资源的网络并检测到可能是安全威胁的各种事件的环境中。这些事件被报告给SOC来调查，并且SOC将采取适当的动作来减轻真实安全漏洞的潜在威胁。作为调查过程的一部分，SOC可以标记安全事件是真实的、虚假的还是良性的。在标记足够的安全事件后，一个模型可以被生成以估计新安全事件为真实事件的概率。这将有助于SOC更有效地过滤安全事件，以便更快地响应最有可能的安全漏洞。

公开(公告)号：CN110476400B

公开(公告)日：2021-12-07

申请号：CN201880022548.2

申请日：2018-03-29

Applicant: 微软技术许可有限责任公司

Inventor： J·加兹特 ,  M·伊斯雷尔 ,  H·H·纽沃思

IPC: H04L29/06 ,  G06F21/55

Abstract: 提供了一种用于检测第二机器上由第一机器的引导定向攻击的系统。该系统包括应用，该应用包括用于以下各项的指令：根据第一参数，对针对攻击机器的警告进行分组；每组警告对应于由攻击机器中的相应机器执行的攻击；并且警告中的每个警告指示由攻击机器中的一个执行的可能的攻击；根据第二参数，对与实现云应用的受攻击机器相对应的元数据进行分组；基于与第二机器相对应的元数据组和一个或多个辅因子，评估相对于以下项的、与在第二机器上由第一机器执行的攻击相对应的一个或多个警告：与在其他机器上由第一机器执行的攻击或由攻击机器执行的攻击相关联的警告；向第二机器警告定向攻击。

公开(公告)号：CN110476400A

公开(公告)日：2019-11-19

申请号：CN201880022548.2

申请日：2018-03-29

Applicant: 微软技术许可有限责任公司

Inventor： J·加兹特 ,  M·伊斯雷尔 ,  H·H·纽沃思

IPC: H04L29/06 ,  G06F21/55

Abstract: 提供了一种用于检测第二机器上由第一机器的引导定向攻击的系统。该系统包括应用，该应用包括用于以下各项的指令：根据第一参数，对针对攻击机器的警告进行分组；每组警告对应于由攻击机器中的相应机器执行的攻击；并且警告中的每个警告指示由攻击机器中的一个执行的可能的攻击；根据第二参数，对与实现云应用的受攻击机器相对应的元数据进行分组；基于与第二机器相对应的元数据组和一个或多个辅因子，评估相对于以下项的、与在第二机器上由第一机器执行的攻击相对应的一个或多个警告：与在其他机器上由第一机器执行的攻击或由攻击机器执行的攻击相关联的警告；向第二机器警告定向攻击。

公开(公告)号：CN109716343B

公开(公告)日：2023-04-04

申请号：CN201780057427.7

申请日：2017-09-14

Applicant: 微软技术许可有限责任公司

Inventor： E·胡迪斯 ,  M·布拉沃曼-布卢门斯特克 ,  D·阿隆 ,  H·H·纽沃思 ,  R·罗南 ,  Y·古瑞维奇

IPC: G06F21/57 ,  H04L9/40

Abstract: 提供了用于分析企业内的安全警报的系统和方法。企业图形基于诸如关于企业的操作智能的信息而被生成。企业图形标识企业的实体之间的关系，并且多个安全警报由企业的多个安全组件产生。基于企业图形中所标识的关系的强度，标识多个安全警报中的两个或更多个安全警报之间的一个或多个重要关系。重要关系被用来标识安全警报中的两个或更多个安全警报之间的潜在安全事故。

公开(公告)号：CN109716343A

公开(公告)日：2019-05-03

申请号：CN201780057427.7

申请日：2017-09-14

Applicant: 微软技术许可有限责任公司

Inventor： E·胡迪斯 ,  M·布拉沃曼-布卢门斯特克 ,  D·阿隆 ,  H·H·纽沃思 ,  R·罗南 ,  Y·古瑞维奇

IPC: G06F21/57 ,  H04L29/06

Abstract: 提供了用于分析企业内的安全警报的系统和方法。企业图形基于诸如关于企业的操作智能的信息而被生成。企业图形标识企业的实体之间的关系，并且多个安全警报由企业的多个安全组件产生。基于企业图形中所标识的关系的强度，标识多个安全警报中的两个或更多个安全警报之间的一个或多个重要关系。重要关系被用来标识安全警报中的两个或更多个安全警报之间的潜在安全事故。

公开(公告)号：CN110583003B

公开(公告)日：2022-04-01

申请号：CN201880029697.1

申请日：2018-04-10

Applicant: 微软技术许可有限责任公司

Inventor： R·罗南 ,  H·H·纽沃思 ,  T·科伦 ,  O·卡琳

IPC: H04L9/40 ,  G06N20/20 ,  G06N20/00 ,  H04L67/10

Abstract: 提供了用于检测由第一机器对第二机器的非目标攻击的系统。系统包括应用，应用包括指令，指令被配置为：提取与第一机器和第二机器之间的业务流对应的网络数据，其中第二机器在基于云的网络中被实现；基于网络数据来标识第一可疑外部IP地址；计算针对第一可疑外部IP地址的特征，其中特征包括探索类型特征和开发类型特征；基于预定示例和特征来训练分类器，以生成并更新模型；基于模型和特征中的至少一些特征，对第一可疑外部IP地址分类；以及如果从对第一可疑外部IP地址分类被提供的分类指示第一可疑外部IP地址与对第二机器的恶意攻击相关联，则执行应对措施。

公开(公告)号：CN110583003A

公开(公告)日：2019-12-17

申请号：CN201880029697.1

申请日：2018-04-10

Applicant: 微软技术许可有限责任公司

Inventor： R·罗南 ,  H·H·纽沃思 ,  T·科伦 ,  O·卡琳

IPC: H04L29/06

Abstract: 提供了用于检测由第一机器对第二机器的非目标攻击的系统。系统包括应用，应用包括指令，指令被配置为：提取与第一机器和第二机器之间的业务流对应的网络数据，其中第二机器在基于云的网络中被实现；基于网络数据来标识第一可疑外部IP地址；计算针对第一可疑外部IP地址的特征，其中特征包括探索类型特征和开发类型特征；基于预定示例和特征来训练分类器，以生成并更新模型；基于模型和特征中的至少一些特征，对第一可疑外部IP地址分类；以及如果从对第一可疑外部IP地址分类被提供的分类指示第一可疑外部IP地址与对第二机器的恶意攻击相关联，则执行应对措施。