公开(公告)号：CN115004651B

公开(公告)日：2025-02-25

申请号：CN202080092799.5

申请日：2020-11-20

Applicant: 微软技术许可有限责任公司

Inventor： M·Z·巴格利 ,  M·伊斯雷尔

IPC: H04L41/12 ,  H04L9/40 ,  H04L67/10 ,  G06F21/55

Abstract: 公开了一种用于网络设备的基于相关性的网络安全。基于来自多个网络设备的遥测数据来映射多个网络设备之间的相关性，以确定相关设备。基于从相关设备接收到的遥测数据来监控相关设备的行为，以确定多个设备中的异常设备。根据针对异常设备接收到的安全警报来生成针对多个网络设备的优先警报。

公开(公告)号：CN110100423B

公开(公告)日：2021-09-21

申请号：CN201780078317.9

申请日：2017-12-13

Applicant: 微软技术许可有限责任公司

Inventor： M·伊斯雷尔 ,  R·亚里 ,  B·克利格尔 ,  Y·达甘 ,  G·伊尔亚沙 ,  M·沙拉拉 ,  E·汉萨弗

IPC: H04L29/06 ,  H04W12/08 ,  H04L29/08 ,  G06F21/10 ,  G06F21/55

Abstract: 提供了一种用于为机器生成应用的许可列表的计算系统。系统针对每个机器标识由该机器执行的执行应用的集合。然后，系统基于执行应用的集合之间的相似性来对机器进行聚类，使得具有相似集合的机器位于同一集群中。然后，系统针对每个机器集群为集群创建应用的许可列表，应用的许可列表包括集群的机器的执行应用的集合中的应用。集群的许可列表指示只有许可列表中的应用被允许由集群中的机器执行。然后，系统将集群的许可列表分发给该集群的机器，使得机器仅执行其集群的许可列表中的应用。

公开(公告)号：CN113366809A

公开(公告)日：2021-09-07

申请号：CN201980090573.9

申请日：2019-12-19

Applicant: 微软技术许可有限责任公司

Inventor： S·伊扎吉 ,  M·伊斯雷尔

IPC: H04L29/06 ,  G06F21/31 ,  G06F21/46 ,  H04L9/32

Abstract: 根据示例，装置可以包括处理器和其上存储机器可读指令的非暂态计算机可读介质，机器可读指令可以使处理器访问与用户或设备相关联的哈希凭证，访问多个常用凭证的哈希版本，确定哈希凭证是否与多个常用凭证中的常用凭证的哈希版本匹配，以及基于确定哈希凭证与常用凭证的哈希版本匹配，执行报告操作或阻止操作中的至少一项操作。

公开(公告)号：CN112544054B

公开(公告)日：2023-05-30

申请号：CN201980052500.0

申请日：2019-06-28

Applicant: 微软技术许可有限责任公司

Inventor： B·克利格尔 ,  M·伊斯雷尔 ,  D·帕特里奇 ,  M·Z·巴格利

IPC: H04L9/40

公开(公告)号：CN113366809B

公开(公告)日：2023-05-19

申请号：CN201980090573.9

申请日：2019-12-19

Applicant: 微软技术许可有限责任公司

Inventor： S·伊扎吉 ,  M·伊斯雷尔

IPC: H04L9/40 ,  G06F21/31 ,  G06F21/46 ,  H04L9/06 ,  H04W12/06

Abstract: 根据示例，装置可以包括处理器和其上存储机器可读指令的非暂态计算机可读介质，机器可读指令可以使处理器访问与用户或设备相关联的哈希凭证，访问多个常用凭证的哈希版本，确定哈希凭证是否与多个常用凭证中的常用凭证的哈希版本匹配，以及基于确定哈希凭证与常用凭证的哈希版本匹配，执行报告操作或阻止操作中的至少一项操作。

公开(公告)号：CN115427954A

公开(公告)日：2022-12-02

申请号：CN202180028861.9

申请日：2021-02-23

Applicant: 微软技术许可有限责任公司

Inventor： M·伊斯雷尔 ,  Y·加里亚尼 ,  R·莱文

IPC: G06F21/55

Abstract: 技术使用有关早期分组的数据自动将安全警报分组到事件中。使用关于过去警报事件分组操作的选定数据训练机器学习模型。训练良好的模型通过快速准确地将警报与事件分组来确定新警报的优先级并帮助警报调查。这些分组直接被提供给分析方或馈送安全信息和事件管理工具。训练数据可以包括实体标识符、警报标识符、事件标识符、动作指示器、动作时间和可选的事件分类。提供给分析方但未执行的调查选项可用作训练数据。训练模型生成的事件更新可向事件添加警报、去除警报、合并两个事件、划分事件或创建事件。个性化事件更新可基于特定分析方的历史手动调查动作。分组警报可以是标准的，也可以基于自定义警报触发规则。

公开(公告)号：CN112567367A

公开(公告)日：2021-03-26

申请号：CN201980053436.8

申请日：2019-06-28

Applicant: 微软技术许可有限责任公司

Inventor： Y·利弗尼 ,  R·莱文 ,  R·H·普利斯金 ,  B·克利格尔 ,  M·A·M·舍曼 ,  M·伊斯雷尔 ,  M·Z·巴格利

IPC: G06F21/55 ,  H04L29/06 ,  G06N20/00 ,  G06N5/00 ,  G05B23/02 ,  G06F11/22 ,  G06K9/62

Abstract: 提供了用于在计算环境中对事故进行聚类的系统、方法、和装置。与计算环境中的事件(例如可能的网络威胁或任何其他警报)相关的事故通知被接收，并且特征集可以基于事故通知来生成。特征集可以作为输入被提供给机器学习引擎，以在计算环境中标识相似事故通知。相似事故通知可以包括已解析事故通知或未解析事故通知。解析事故通知的动作可以被接收，从而接收到的动作可以被执行。在一些实现中，除了解析接收到的事故通知之外，动作可以被执行以解析由机器学习引擎标识的相似的未解析事故通知。

公开(公告)号：CN112544054A

公开(公告)日：2021-03-23

申请号：CN201980052500.0

申请日：2019-06-28

Applicant: 微软技术许可有限责任公司

Inventor： B·克利格尔 ,  M·伊斯雷尔 ,  D·帕特里奇 ,  M·Z·巴格利

IPC: H04L12/24

Abstract: 计算系统利用众包来为经历警报情况的系统生成修复文件。在修复文件的生成期间，计算系统标识与多个不同客户端系统相关联的多个不同类型的警报。计算系统还基于过程临近度和时间与警报状况的相关性，为每种类型的警报生成多个不同客户端修复过程集，并且基于相关性矢量中的值确定多个过程中的哪些过程与所标识的警报有关。然后，基于多个不同客户端修复过程集之间存在的相关性，创建客户端修复过程集，以包括被确定为与所标识的警报有关并且被聚类在一起的过程，以为每种类型的警报标识要包括在所生成的复合修复文件中的过程。

公开(公告)号：CN112334894A

公开(公告)日：2021-02-05

申请号：CN201980040291.8

申请日：2019-06-14

Applicant: 微软技术许可有限责任公司

Inventor： M·伊斯雷尔 ,  B·克利格尔 ,  R·罗南

IPC: G06F21/31 ,  G06F21/55 ,  H04L29/06

Abstract: 示出了用于降低用户账户对攻击的脆弱性的方法、系统和介质，方法、系统和介质涉及：针对用户账户创建规则，该规则包括与用户账户活动性属性对应的许可参数；监测用户账户的账户活动性。如果确定账户活动性属性与许可参数不一致，则用户账户被禁用。许可参数的示例是许可时间段，诸如开始时间、结束时间、重复定义、星期几定义、开始日期、结束日期和发生次数定义。其他示例是物理参数(诸如许可地理位置、许可设备或者许可网络)或者许可使用参数(诸如许可应用、许可数据访问或者许可域)。

公开(公告)号：CN109791587B

公开(公告)日：2023-05-05

申请号：CN201780061819.0

申请日：2017-09-18

Applicant: 微软技术许可有限责任公司

Inventor： M·伊斯雷尔 ,  R·罗南 ,  D·阿隆 ,  T·特勒 ,  H·施泰恩加特

IPC: G06F21/56 ,  G06F21/55 ,  H04L9/40

Abstract: 控制设备安全包括获得指示设备上的当前设备活动的设备活动数据集和指示设备的一个或多个合法用户的当前活动状态的用户活动数据集。确定用户的所指示的当前活动状态是指示合法用户在设备上处于活动状态，还是没有合法用户在设备上处于活动状态。通过与经由监督学习生成的模型中的至少一个模型的比较，确定设备上的所指示的当前设备活动与一个或多个合法用户的所指示的当前活动状态的统计拟合。可以基于指示设备的受危害状态的统计拟合的确定的结果，启动安全警报动作。