本文使用的章节标题仅用于组织目的,不应被解释为以任何方式限制本申请中描述的主题。相关申请章节本申请是2018年12月24日提交的、标题为“systemandmethodforcloud-basedcontrol-planeeventmonitor”的共同未决的美国临时专利申请序列号62/784,643的非临时申请。美国专利申请序列号62/784,643的全部内容通过引用并入本文。
背景技术:
::数据和软件应用向云的移动从根本上改变了计算机系统向用户提供软件应用和服务的方式。例如,传统企业网络的网络边缘已经被虚拟边界所取代,从而改变了计算机处理信息的方式和计算机访问数据的方式。因此,传统上部署硬件安全设备和网络可见性设备的入口和出口点已被消除。不仅云中的基础处理体系架构不同,云中的处理、应用和服务的规模和增长模型也不同。例如,基于云的计算机系统资源可以在非常快速的时间尺度上增长和收缩。而且,基于云的计算机系统可以高度分布式,因此跟踪和正确排序事件更具挑战性。此外,与固定基础设施企业网络相比,基于云的计算机系统中的安全和漏洞威胁模型也必然不同。因此,在云上监视和保护联网信息和系统的传统方法和系统不再足够。附图说明根据优选和示例性实施例连同其进一步的优点,的本教导在结合附图的以下详细描述中更具体地描述。本领域技术人员将理解,以下描述的附图仅用于说明目的。附图不一定按比例绘制,而是通常将重点放在说明教导的原理上。附图无意以任何方式限制申请人的教导范围。图1图示了根据本教导的监视控制平面事件数据的方法的实施例的步骤。图2图示了根据本教导的监视控制平面事件数据的系统的实施例的框图。图3图示了根据本教导的包括多个云堆栈的控制平面事件监视系统的实施例。图4图示了根据本教导的包括云堆栈的控制平面事件监视系统的实施例,该云堆栈包括多个基于云的工具和服务。图5图示了运行基础设施的安全的基于云的环境,该基础设施包括来自两个不同云服务提供者的云资源。图6a图示了对包括两个基于云的环境的云基础设施的攻击中的点,其使用根据本教导的控制平面事件监视处理器的实施例来检测。图6b图示了对包括两个基于云的环境的云基础设施的攻击中的第二点,其使用结合图6a描述的控制平面事件监视处理器的实施例来检测。图6c图示了对包括两个基于云的环境的云基础设施的攻击中的第三点,其使用结合图6a描述的控制平面事件监视处理器的实施例来检测。图6d图示了对包括两个基于云的环境的云基础设施的攻击中的第四点,其使用结合图6a描述的控制平面事件监视处理器的实施例来检测。图6e图示了对包括两个基于云的环境的云基础设施的攻击中的第五点,其使用结合图6a描述的控制平面事件监视处理器的实施例来检测。具体实施方式现在将参考如附图中所示的本教导的示例性实施例更详细地描述本教导。虽然结合各种实施例和示例描述了本教导,但本教导并不旨在限于这些实施例。相反,如本领域技术人员将认识到的,本教导包含各种替代、修改和等同物。能够访问本文中的教导的本领域普通技术人员将认识到在本文所述的本公开的范围内的附加实施方式、修改和实施例以及其它使用领域。说明书中对“一个实施例”或“实施例”的引用是指结合实施例描述的特定特征、结构或特点包括在教导的至少一个实施例中。说明书中各处出现的短语“在一个实施例中”不一定都指同一个实施例。应当理解的是,本教导的方法的各个步骤可以以任何次序和/或同时执行,只要教导保持可操作即可。此外,应当理解的是,本教导的装置和方法可以包括任何数量或所有所描述的实施例,只要教导保持可操作即可。对云基础设施的日益依赖意味着许多组织利用来自多个云提供者的云资源来组成他们的基于云的基础设施。因此,即使在基础设施包括多个服务提供者的情况下,也必须确保在基于云的基础设施上运行的计算系统和服务的完整性。此外,仅在敏感数据所在的地方分配计算机安全资源并且使基础设施的其它部分不安全或受到监视是不够的。这种方法忽略了可以被不良行为者利用的敏感数据的不太明显的途径。监视整个基础设施增加了及早检测攻击的机会并减少了调查时间,尤其是在系统边缘处的检测侦察变得越来越困难的情况下。因为攻击者并不总是在寻找大量数据,而是经常寻找少量非常具体的数据,因此这些威胁可能未被检测到。不良行为者可以通过复制和粘贴、甚至截取屏幕截图来提取数据。因此,添加多层监视和后续威胁检测是重要的,包括监视对文件内数据的访问,而不仅仅是对文件本身的改变。因此,云需要专门为基于云的信息系统构建的新的监视和安全系统和方法。许多使用云的应用,包括信用卡处理、金融交易、公司治理、内容交付、医疗保健和企业网络安全,都需要监视和保护数字数据,并保证处理这些数据的完整性。遵守法规、报告和标准(诸如支付卡行业数据安全标准(pcidss)、健康保险流通与责任法案(hipaa)、服务组织控制(soc)、国际标准化组织信息安全管理标准(iso27001)、数字版权管理(drm)和sarbanes-oxley(sox))都要求对数据进行仔细且可追溯的问责制以及方便的数据处理和数据访问。根据本教导的基于云的控制平面事件监视系统和方法的一些实施例被用于监视云、多云、混合和容器化基础设施的入侵、异常、漏洞、趋势、错误配置和其它跨主机和基础设施控制平面的项目。一个关键特征是,该系统可以监视在作为受监视的基于云的基础设施一部分的两个不同云环境上运行或持续存在的常见威胁。在已知的监视系统上不可能检测到这种多云操作,因为一方面,不同基础设施报告各种事件的事件和方法并不统一。因此,不可能直接相关、处理、比较和/或分类从不同云环境接收的事件以生成决定性的策略违反或警报触发器。本教导的方法和系统从多于一个云环境收集、摄取和归一化接收到的控制平面事件,从而可以生成策略违反和/或警报。本教导的方法和系统还可以产生动作,包括基于策略违反和/或警报的对处理的改变和基础设施的重新配置。因此,对于基于云的系统,非常期望能够监视跨多个域扩展的基于云的基础设施(包括例如跨多个服务提供者的基础设施和/或包括单个服务提供者内的不同平台的基础设施)的监视方法和系统。如本文所使用的域是共享共同控制平面的基于云的元素的集合。监视系统可以提供多种功能,包括例如跟踪事件的时间顺序、跟踪用户以及基于角色和/或个人用户跟踪对文件系统的访问。监视系统还可以在特定应用、系统或进程跨云中的虚拟资源迁移时提供对它们的实例的跟踪。如本文所使用的术语“基于云的元素”可以指在云中使用的硬件、软件以及硬件和软件的组合。例如,基于云的元素可以指在基于云的硬件上运行的软件。基于云的元素也可以指位于云中的硬件设备。基于云的元素也可以指虚拟机或其它虚拟计算操作。基于云的元素也可以指软件和在其上运行软件的基于硬件的计算设备。如本文使用的软件是指提供处理、应用和/或服务的可执行代码的集合。此外,如本文使用的基于云的元素可以是在云上运行的各种服务和/或平台。本教导的一个方面是可以在任何计算平台(包括例如虚拟机、服务器、台式机、膝上型计算机和手持设备)上运行的云原生监视应用套件。执行本教导的系统和方法的计算平台可以是专用的或共享的。本教导的基于云的控制平面事件监视系统的另一方面是它可以将来自几个公共云供应商的控制平面事件变换成共同格式,从而使得能够根据预定义的规则集对事件进行评估。为了支持这种评估,本教导的基于云的控制平面事件监视系统将来自特定云内或跨多个公共云提供者的多个服务的控制平面事件变换成共同格式,从而使得能够根据预定义的规则集对事件进行评估。本教导的基于云的控制平面事件监视系统的另一方面是可以对来自具有不同控制平面的基于云的基础设施的控制平面事件进行变换。这些基于云的基础设施可以包括例如公共云、私有云和混合(公共和私有)云基础设施。来自不同云环境的控制平面事件的变换允许识别与基础设施相关的各种重要状况,包括例如,漏洞和威胁、安全事件、错误配置、未经授权的访问、策略违反以及在多个受监视的云环境内和跨多个受监视的云环境发生的其它状况。计算机行业最近观察到不良行为者在公共云上使用越来越复杂的恶意技术。由这些不良行为者产生的威胁充分利用云服务和部署模型的独特特点来启动或隐藏其缺口。例如,在简单的攻击中,不良行为者窃取访问密钥并寻找敏感数据或有价值资源的直接路径,诸如开放的s3存储桶或启动新ec2以挖掘加密货币的能力。在更复杂的攻击中,不良行为者提出的威胁结合多个步骤,并且可以遍历目标的基础设施。这些威胁可以从云基础设施控制平面到主机来回移动。威胁还可以从由一个云提供者(第一云环境)管理的目标使用的基础设施迁移到由第二云提供者(第二云环境)管理的目标使用的基础设施。在一些情况下,可以涉及许多不同的云环境。不同云环境的示例包括amazonaws云、microsoftazure云、google云等。私有和公共/私有云也可以是作为攻击的一部分的云环境。应当理解的是,独特的云环境是其中使用独特的控制平面来管理和控制云环境内的基于云的元素的环境。因此,两个不同的云环境可以包括驻留在两个不同服务提供者和/或两个不同的云环境中的基于云的资源的两个集合,其包括各自驻留在由同一服务提供者拥有的不同服务域中的基于云的资源的两个集合。许多服务提供者提供包括计算、存储、数据库、联网和云迁移服务的阵列的基于云的元素。此外,各种基于云的元素是可用的,诸如工具和应用,如搜索、负载平衡和软件开发工具。amazonwebservices(aws)提供多种服务,包括弹性计算云(ec2)、关系数据库服务(rds)、简单存储服务(s3)。amazon还提供服务,诸如身份和访问管理(iam)。同样,google提供云服务,有时也称为google云。这些和其它服务提供者提供各种云存储服务,包括管理数据库、对象、块和文件存储。许多这些服务或这些服务的集合包括控制平面,该控制平面生成与在特定服务上或在特定服务内采取的动作相关的事件,即使它们由相同的服务提供者运行。在其它情况下,控制平面围绕一组资源和服务。因此,特定的云环境是其中单独的控制平面用于服务的环境,即使服务是由共同服务提供者提供的。在不同服务提供者(诸如amazon、google、microsoft等)上运行的服务使用不同的控制平面,因此也被视为不同的云环境。使用控制平面事件作为监视基础设施的系统和方法的一部分的优势在于,控制平面事件通常包括数据平面事件和管理事件。因此,控制平面事件提供关于基于云的环境以及基于云的环境的硬件、软件和服务如何以及为何随时间改变的大量信息。监视多个云环境的复杂性在于,每个云提供者使用不同的和变化的数据格式、信息内容和控制平面事件的属性。每个云提供者还可以对控制平面事件使用不同的导出方法。这些差异使得难以以统一的方式统一和比较不同云提供者之间基础设施的改变。同样,特定云提供者内的不同平台可以使用不同的控制平面进行操作和/或可以包括以不同数据格式和导出方法封装的事件。因此,这些不同的云环境要求由其控制平面提供的事件被摄取和归一化,以便呈现基础设施上正在发生的事情的统一画面。本教导的控制平面事件监视系统和方法允许组织从单个视点监视跨多个云提供者和平台扩展的基于云的基础设施的基础设施活动并对其采取行动。在一些实施例中,每个云提供者和/或平台以专有方式监视和维护其用户的基础设施。而且,每个云提供者和/或平台允许用户以各种方式接收和/或查看基础设施和相关联的事件。例如,用户可以查看各种控制台、web访问和/或api。当最终用户维护包含来自多个云提供者的云元素和/或来自多个平台的云元素的基于云的基础设施时,基础设施的查看涉及使用几个不同的工具来跨提供者并且在一些情况下跨平台基础设施查看和监视。本教导的控制平面事件监视系统和方法可以消除对多个视图的需要。本教导的控制平面事件监视系统和方法的一个特征是,它将已知系统的不同监视统一为能够提供对用户有用的输出的共同视图,包括生成警报输出和确定政策违反作为输出。即,本教导的控制平面事件监视系统和方法的各种实施例统一了来自与不同云服务提供者和/或云平台相关联的不同控制平面的基于云的事件收集,使得它们可以被处理以生成跨这些服务提供者和/或平台的基于事件的警报和策略违反。图1图示了根据本教导的监视控制平面事件数据的方法100的实施例的步骤。在第一步骤102中,收集云提供者和/或平台事件数据。这个收集步骤102可以涉及被动接收、和接收和/或检索控制平面事件数据的各种其它方法。这个收集步骤102可以涉及例如从网站、数据库或其它储存库检索事件数据。在该方法的各种实施例的收集步骤102中可以收集多种事件数据。控制平面事件数据包括例如关于基础设施的改变、添加/移除实例、审计配置、许可改变、用户改变、策略改变和/或访问改变的信息。例如,事件数据还可以包括关于云资源的度量,诸如cpu使用率、盘i/o、存储器、网络流量、应用错误、应用状态、工作负载状态、实例状态以及与云资源、云服务和云应用的操作相关联的其它事件。控制平面事件数据可以包括由大型公共云提供者(诸如amazoncloudtrail、各种googlecloudapi、microsoftazure等)提供的信息。可以以多种方式收集控制平面事件数据。例如,可以从文件中读取控制平面事件数据。控制平面数据也可以从网络接收。控制平面事件数据也可以由执行方法的收集步骤102的处理器从云提供者请求和/或控制平面数据可以由云提供者发送到执行方法100的收集步骤102的处理器。可以在特定时间提供或检索控制平面事件数据和/或可以近实时地提供或检索控制平面事件数据。在一些实施例中,收集步骤从软件代理接收信息。而且,在一些实施例中,收集步骤从操作系统接收信息。在第二步骤104中,所收集的数据被摄取以形成多源数据集。摄取的数据是被带入执行该方法的各个步骤100的平台以形成可以在后续步骤中被进一步处理的多源数据集的数据。例如,文件可以在收集步骤102中由收集器接收,然后在摄取步骤104中,文件在摄取步骤104中被读入处理器并与其它收集的数据组合以产生多源数据集。在第三步骤106中,针对规则和策略的集合评估多源数据集。这个评估包括例如比较不同的特性、将相似的特性归类为单个特性和/或归一化事件数据。事件数据的归一化基于由每个云源的不同控制平面生成的事件数据的已知属性。评估步骤106导致将多源数据集中收集的事件数据统一为与下游事件处理兼容的共用事件数据格式。这个评估处理使用针对每个特定控制平面的控制平面事件的关键已知属性(格式、内容等),以便有可能找到例如共用事件类型和补充事件类型,从而允许将来自多源的控制平面事件转换转为共用事件。评估步骤106的一些实施例通过从具有相似特性的两个源获取事件并将它们组合到共同特性中来统一收集的事件数据中的事件。由第三步骤106生成并在后续处理中使用的这种数据被称为共用事件数据。例如,来自两个不同服务提供者云的实例的描述可以以两种不同的格式和/或包括不同的字段和/或不同的数据被包含在来自每个提供者的“描述实例”事件中。对于来自这两个源的“描述实例”事件的摄取步骤104产生的多源数据将包含“描述实例”事件,如它们被接收到的那样。在评估步骤106中,处理多源数据,使得这两个“描述实例”事件被呈现为具有相同字段的共同结构中的两个事件,并且数据从原始控制平面事件变换成这个共用事件结构。这允许使用共用事件结构进一步处理两个云的实例描述。在第四步骤108中,在执行多个任务的下游事件处理中处理共用事件数据。例如,第四步骤108可以生成警报、识别策略违反、发布报告、补救威胁和/或将不合规的基础设施修改为合规的配置。共用事件数据的步骤四108中的处理导致使用户能够做出决定或采取行动的警报和/或策略违反。共用事件数据的步骤四108中的处理还可以导致处理和/或配置的自动改变或基于云的元素的重新配置以补救与警报或策略违反相关联的各种问题。第四步骤的结果生成使得能够为最终用户进行警报、报告和分析的计算机处理。例如,结果可以产生合规性保证、漏洞和威胁的建立、基础设施配置的改变。处理步骤四108可以包括一系列处理步骤,每个处理步骤产生从共用事件数据导出的特定的经处理的数据和合成的信息。这可以被称为流水线处理器体系架构,其优点是可以以任何次序应用处理,因为为下一级馈送的每个流水线级的输出是共用事件数据。流水线处理器例如可以是2017年12月17日提交的标题为“systemandmethodforcloud-basedoperatingsystemeventanddataaccessmonitoring”的美国专利申请no.15/846,780中公开的流水线处理器,该申请被转让给当前的被转让人。每个级还可以产生精炼的共用事件数据。处理步骤四108的各个级可以产生例如基于满足可定制规则集的事件的原始事件日志、警报和通知、漏洞和利用分析、安全威胁和漏洞的识别,以及按时间顺序排列的原始事件日志的档案。图2图示了根据本教导的监视控制平面事件数据的系统200的实施例的框图。多个云环境,云1202、云2204和云3206,连接到收集系统208、210。云1202和云2204连接到收集系统1208。云3连接到收集系统2210。收集系统208、210从云环境202、204、206接收控制平面事件。在各种实施例中,云环境和收集系统的数量变化。收集系统208、210连接到处理器212。处理器可以采用多种处理器系统的形式。例如,处理器212可以是单个处理器或多个处理器。处理器212可以是基于硬件的或者处理器可以是虚拟机处理器。处理器212也可以是基于云的处理器。例如,处理器212可以是可以在云基础设施上运行的服务。在一些实施例中,处理器212连接到数据库214。数据库214可以是单个数据库或者数据库可以包括多个数据库。(一个或多个)数据库214可以包括客户数据、基础设施数据、策略数据和/或漏洞数据。(一个或多个)数据库214可以是私有或公共数据库。在一些实施例中,数据库214是国家漏洞数据库。处理器212连接到一个或多个用户输入/输出设备216。(一个或多个)用户输入/输出设备212可以包括例如网站、计算机、应用、管理系统,或用于管理和/或监视和/或修改和/或运营云基础设施的各种已知设备中的任一个。为简单起见,图2仅图示了本教导的监视系统的可能元素的子集。监视系统200的一些实施例包括具有许多其它云环境、收集器数据库、处理器和用户i/o的大规模系统。参考图1和2两者,处理器212执行方法100的一些或所有步骤。云环境202、204、206生成由收集器208、210在步骤一102中接收和/或检索的控制平面事件数据。在各种实施例中,处理器212执行摄取步骤二104和/或评估步骤三106的全部或部分。处理器212还可以在共用事件数据处理的下游执行步骤四108并生成警报和其它输出。处理器212还可以使用从数据库214检索到和/或从摄取步骤二104、评估步骤三106和警报步骤108的任何结果中检索到的信息。处理器212将共用事件数据的下游处理结果发送给用户i/o216。在一些实施例中,用户i/o执行处理步骤四108中的一些或全部。在一些实施例中,收集器208、210中的一个或多个是作为处理器212的一部分的收集处理器。在一些实施例中,处理器212包括执行摄取步骤二104的摄取处理器、执行评估步骤三106的评估处理器以及执行步骤四108中的至少一些处理的处理器。这些不同的处理器可以是相同或不同的物理和/或虚拟处理器。图3图示了根据本教导的包括多个云堆栈的控制平面事件监视系统300的实施例。控制平面事件监视器处理器302连接到多个云堆栈304、306、308。云堆栈是基于云的元素的集合,包括用户正在使用和/或控制的计算机资源、服务、应用和/或功能。因此,云堆栈表示对于本教导的监视方法和系统的云环境。在一些实施例中,云堆栈的用户是企业的it组织,但是各种用户(包括人和基于机器的用户)是可能的。控制平面事件监视系统300的各种实施例将控制平面事件监视器302连接到各种数量的云堆栈304、306、308。本教导的系统和方法的一个特征是,它提供用户的基于云的基础设施的统一画面,即使该基础设施的基于云的元素驻留在不同的云环境中。因此,在一些实施例中,特定应用或功能,或应用和/或功能的套件,由用户消费并且利用所有云堆栈304、306、308中的基于云的元素。在各种实施例中,特定应用或功能,或应用和/或功能的套件,被监视和/或保护。而且,在各种实施例中,检查特定应用或功能或应用和/或功能的套件的合规性。而且,在各种实施例中,端系统310管理特定应用或功能或应用和/或功能的套件。控制平面事件监视器处理器302的输出连接到端系统310。在一些实施例中,端系统310属于正在使用云堆栈304、306、308中的基于云的元素的客户。作为示例,云堆栈304包括控制平面302,其对由云堆栈304中的基于云的元素提供的服务执行管理和控制。控制平面312执行例如访问应用的用户的授权和认证的管理和安全服务。控制平面312还可以控制运行时组件并管理它们的生命周期。控制平面312还可以执行硬件和软件负载平衡并将服务请求路由到适当的基于云的元素。控制平面312还可以管理调度的任务和作业。此外,控制平面312可以存储与服务相关联的系统文件。本文描述的控制平面312的一个特征是,它涉及使用云堆栈304的多个级别执行的给定操作的许多方面。因此,由控制平面312产生的控制平面事件提供了关于云堆栈304中正在进行的活动的丰富信息源。但是,由一个云堆栈304产生的控制平面事件不同于由不同云堆栈中的控制平面产生的控制平面事件。例如,在访问方法、格式、内容、捕获的事件、排序、遥测、日志记录、警报、存储、错误处理和各种控制平面提供的其它事件特征方面会出现差异。作为示例,云堆栈304包括主机314。主机314是物理计算机服务器和/或运行服务和应用的一个或多个相关联的操作系统。即,主机314可以是虚拟机和/或物理机。容器316是定义的软件单元,其包含运行应用所需的一切。多个容器316常常在主机314上运行。应用可以在多个容器316上运行。容器编排器318用于组织多个容器。当使用处于堆栈的任何级别的任何元素312、314、316、318时,云堆栈304的控制平面312生成控制平面事件。元素312、314、316、318表示云堆栈304的一个示例。应当理解的是,本教导的控制平面事件监视器系统和方法可以与包括各种其它不同元素的各种其它已知云堆栈一起操作。例如,一个云堆栈的元素可以不同于其它云堆栈的元素。端系统310使用控制平面事件监视器处理器302的输出来执行多个云资源可见性和管理功能中的一个或多个。例如,端系统310可以包括编排应用320,其安排和/或协调从云环境的元素可用的各种自动化任务。端系统310还可以包括外部管理系统322,其是帮助组织管理其基于云的基础设施的第三方可信检测和响应伙伴的一部分。端系统310还可以包括直接管理和控制基于云的基础设施的内部管理系统324。图4图示了根据本教导的包括云堆栈的控制平面事件监视系统400的实施例,该云堆栈包括多个基于云的工具和服务。云堆栈402向控制平面事件监视处理器404提供输入,该处理器向最终用户系统406提供共用事件数据。云堆栈402只是可以连接到控制平面事件监视处理器404的多个可能的云堆栈之一。参考图3和4,在一些实施例中,云堆栈402可以与云堆栈306相同,并且最终用户系统406可以与结合图3描述的端系统310相同。堆栈402中的控制平面408将来自账户管理服务410、治理服务412、网络配置服务414、数据存储服务416、计算供应服务418和托管开发人员工具420的事件信息提供给控制平面事件监视处理器404。控制平面事件监视处理器404然后生成共用事件数据,并将该事件数据提供给最终用户系统406。共用事件数据还可以由控制平面事件监视处理器404或者另一个处理器进一步处理,以生成警报和/或确定违反策略。这些警报和/或确定的策略违反被提供给最终用户系统406。在一些实施例中,处理器404生成共用事件数据并且端系统406生成警报并确定策略违反或其它结果。参考图3和4,可以通过处理由云堆栈304生成的一个或多个控制平面事件和由云堆栈402生成的一个或多个控制平面事件来导出生成的警报和/或确定的策略违反或其它经处理的结果。因此,基于来自两个不同云的信息生成警报或违反。如本文所述,控制平面事件的归一化产生来自多个不同控制平面的共用事件数据。共用事件数据通常包括各种属性,诸如事件id、事件馈送、事件类型和事件源。在一些实施例中,共用事件数据包括诸如与事件相关联的区域、边缘位置和/或可用区之类的属性。共用事件数据可以包括诸如ip地址和其它联网参数之类的信息。而且,共用事件数据可以包括账号、组织标识符、用户和用户角色。而且,共用事件数据可以包括事件时间和与事件关联的时间戳相关的其它属性。共用事件数据的附加属性与特定类型的事件相关联。在本教导的方法的一些实施例中,来自由特定控制平面提供的表示相同种类活动的两个不同事件的控制平面事件数据被转换成共用事件数据中的单个事件。在一些情况下,来自特定控制平面的单个事件被转换成共用事件数据中的多于一个事件。在一些方法中,共用事件表示来自多于一个控制平面事件的信息。例如,参考图4,处理器404可以从控制平面408接收以下控制平面事件:1)eventname,“describeinstances”;2)eventname,“generatedatakey”;3)eventname,“getstackpolicy”;4)eventname,“describeinstancehealth”;5)eventname,“assumerole”;6)eventname,“describelifecyclehooks”;7)eventname,“describevolumes”;8)eventname,“describesnapshots”;9)eventname,“listresourcerecordsets”;以及10)eventname,“describeautoscalinggroup”。对于这些命名的事件中的每一个,处理器404将由控制平面408提供的事件转换成作为共用事件数据的一部分的相关联的归一化事件。这些事件在awscloudtrail的上下文中描述,但扩展到其它控制平面是明确的。图5图示了运行基础设施的安全的基于云的环境500,该基础设施包括来自两个不同云服务提供者502、504的云资源。用于第一云服务提供者502的云资源包括计算处理器506、存储装置508、数据库510和联网512。类似地,用于第二云服务提供者504的云资源包括计算处理器514、存储装置516、数据库518和联网520。用于第一云服务提供者502的基础设施包括可用区522、区域524和边缘位置526。类似地,用于第二云服务提供者504的基础设施包括可用区528、区域530和边缘位置532。安全环境500包括在主机操作系统536上运行的容器534、配置管理538和事件监视540。为了提供安全环境500,跟踪多个功能。这包括例如用户活动544、文件活动546和网络处理连接548。nist国家漏洞数据库(nvd)漏洞542也被跟踪。配置管理538和控制平面事件监视器540处理被用于提供安全环境500。控制平面事件监视器540处理来自两个不同云服务提供者502、504的控制平面事件并生成共同控制平面事件。控制平面事件监视器540还处理共同控制平面事件以生成用户活动544的跟踪、文件活动546的跟踪和/或网络处理连接548的跟踪。控制平面事件监视器540使用nist国家漏洞数据库(nvd)漏洞542进一步处理共同控制平面事件以确定影响安全环境500的已知漏洞。控制平面事件监视器540基于经处理的共同控制平面事件生成警报并确定漏洞,包括由两个不同云服务提供者502、504两者中的事件导致的警报和漏洞。这个信息可以被发送到配置管理538以基于由控制平面事件监视器540提供的信息重新配置资源。本教导的系统和方法的一个特征是,它能够发现对另一个云环境中的威胁和/或活动有影响的一个云环境中的威胁和/或活动。此外,在一个环境中被监视的动作可以在那个环境内被评估为良性,但在另一个环境中仍会产生重要后果,如果这两个环境是共同云基础设施的一部分的话。已知系统仅监视一个云环境,并对仅与那个环境相关的事件执行处理。此类已知系统错过了跨越环境的活动。例如,在一个环境中的任何地方改变访问级别可能会在另一个环境中打开漏洞。此外,可以检测到同时在两个云提供者中发生的缺口。此类缺口甚至可能无法通过单独监视每个域来检测,而可以通过监视和处理来自两个环境的共用事件数据来更快地检测和修复。图6a图示了对包括两个基于云的环境602、604的云基础设施的攻击600中的点,其使用根据本教导的控制平面事件监视处理器606的实施例来检测。第一公共云602和第二公共云604中的每一个中的控制平面(未示出)连接到控制平面事件监视处理器606。控制平面从它们各自的云环境602、604向处理器606提供事件数据。图6b图示了对包括两个基于云的环境622、624的云基础设施的攻击620中的第二点,其使用结合图6a描述的控制平面事件监视处理器626的实施例来检测。在这个第二点620处,第一云环境622中的处理已经由于可以是攻击者和/或员工的不良行为者通过找到也提供对另一个基于云的环境624的有限访问的凭证来危害基于云的环境622而演变。第一云环境622中的控制平面将生成与该危害相关联的事件,这些事件被提供给要更新的控制平面事件监视处理器626。在一些实施例中,此类事件可以是例如与第一云环境622中的访问控制过程相关联的事件。图6c图示了对包括两个基于云的环境642、644的云基础设施的攻击640中的第三点,其使用结合图6a描述的控制平面事件监视处理器628的实施例来检测。在这个第三点640处,第一云环境642中的处理已经由于不良行为者现在禁用对基于云的环境642的监视而演变。这个禁用活动限制了对第一云环境642的可见性,使得已知的事件监视方案(仅监视一个环境的数据平面方案或者控制平面方案)是无效的。现在,只有由控制平面事件监视处理器648接收到的来自第二云环境644的控制平面事件将生成与攻击相关联的事件。图6d图示了对包括两个基于云的环境662、664的云基础设施的攻击660中的第四点,其使用结合图6a描述的控制平面事件监视处理器666的实施例来检测。在这个第四点660处,第一和第二云环境662、664中的处理已经由于不良行为者现在尝试使用在结合图6b描述的附接点二620中获得的来自第一基于云的环境662的凭证来从第二基于云的环境664泄漏数据而演变。由于在结合图6c描述的第三连接点630处发生的禁用,源自第一基于云的环境662的控制平面事件将无法发现这种泄漏活动。图6e图示了对包括两个基于云的环境682、684的云基础设施的攻击680中的第五点,其使用结合图6a描述的控制平面事件监视处理686的实施例来检测。在这个第五点680处,控制平面事件监视处理器686检测不良行为者使用在结合图6b描述的攻击620中的第二点处从第一云环境682获得的凭证的访问。控制平面事件监视处理器686的检测基于来自第二基于云的环境684的与第二云环境684中的数据泄漏相关联的控制平面事件的接收、以及攻击序列中更早的来自第一基于云的环境682的控制平面事件的接收。来自两个不同环境的控制平面事件被归一化为共用事件格式,使得它们可以被一起处理,以便将第一云中的凭证访问与第二云中的数据泄漏相关或在它们之间建立连接。已知的系统只会检测一个或另一个活动,因此无法提醒管理者注意复杂的跨基于云的环境的攻击。因此,本教导的控制平面事件监视系统和方法能够检测涉及跨处于两个不同服务提供者域中的主机的横向移动的攻击。可以由本教导的基于云的控制平面事件监视系统和方法的一些实施例识别的另一个示例攻击是不良行为者经由访问密钥和持久许可获得访问。举例来说,在amazon云服务的上下文中描述了这种攻击的一些方面,但是本领域技术人员将认识到的是,将所述系统和方法应用到其它云环境是明确的。在这种性质的攻击中,从初级到复杂,不良行为者的第一步是使用窃取的api密钥获得访问。攻击者使用的常见方法包括例如经由恶意软件从员工笔记本电脑进行窃取,或从员工不小心上传其访问密钥的诸如github之类的开源代码网站获得。一旦不良行为者确认访问密钥有效,不良行为者通常就想要确保他们可以重新获得访问,即使安全或操作人员终止了他们窃取的访问密钥。为此,他们创建新密钥、承担角色或使用另一种方法来创建重新获得访问的方式。通过如本文所述的收集和摄取控制平面事件数据以及后续处理,系统能够基于与访问密钥管理(诸如例如创建、禁用、删除或列出访问密钥、检索上次使用的访问密钥、创建用户或列出角色)相关联的特定api调用发出警报。一旦不良行为者经由基础设施api成功进入环境,不良行为者通常就会查看他们是否可以直接访问他们需要的资源(诸如rds数据库或s3存储桶)。当他们发现他们不能这样做时,他们会转向替代路线。在这种情况下,行为者在环境内启动ec2实例,这些实例与其网络上的任何其它合法主机一样受信任。这种场景是假设通过防火墙进入的或子网上的任何网络连接值得信任是危险的原因之一。不良行为者现在已经在环境的网络中建立了滩头阵地,从而允许他们执行侦察和扫描他们已经破坏的局域网。在这些情况下,本教导的基于云的控制平面事件监视系统和方法可以在包括describekeypairs、describenetworkacls、describeroutetables和runinstances的api调用上发送警报。如果不良行为者想要停止控制平面日志记录或删除当前事件日志,那么他们将使用诸如deletetrail、stoplogging或updatetrail之类的api调用,所有这些都会被监视方案检测到。而且,一旦攻击者启动ec2实例,他们就可以通过curl/wget调用访问与实例关联的元数据,这将触发发送警报。不良行为者然后可以继续从初始流氓ec2实例横向移动,在他们危害网络中的其它主机时进行扫描和利用。ec2实例在它们被启动时被授予iam许可,使它们能够合法访问如s3或rds的被管理服务。因此,在网络上的每个新主机被危害之后,不良行为者将检查其许可。这种活动将触发威胁堆栈主机级别警报,诸如意外的处理执行、网络活动、可疑命令、缺少/tmp的软件执行、正在安装的内核模块等。不良行为者还可以登陆具有足够许可的主机并从rds提取数据。这在具有所需iam许可的主机上一次完成。然后,不良行为者可以执行必要的rdsapi调用以访问具有目标数据的数据库。如果不良行为者仅窃取少量数据,那么这些数据可以或者直接通过终端或者通过其受感染主机链被泄漏,从而可能避开任何数据丢失防护工具。攻击者并不总是坚持深入主机。这种攻击中的横向移动的类型常常难以检测的一个原因是,大多数已知的主机级别安全监视技术假设不良行为者将想要坚持深入主机并提升其特权。因此,这些已知的监视系统基于数十年的linux/unix经验为这些类型的行为创建强大的控制。但是,相反,不良行为者正试图离开主机层并回到基础设施控制平面,这是大多数蓝队(blueteams)不寻找、也不需要他们成为根用户(root)的活动。因此,本教导的控制平面事件监视系统和方法是能够检测涉及云基础设施中的“横向移动”和活动的这些攻击的重要工具,该云基础设施包括至少两个不同的云环境,这些云环境应当与成功和/或高效检测攻击相关。本教导的一个特征是,评估步骤能够基于对共用事件数据集中的事件的处理来生成威胁评估。威胁是基于各种度量进行评估的。因为共用事件数据集包括来自多个云环境的事件,所以威胁评估跨越多个云环境。度量包括例如许可改变的频率、硬件配置类型改变的频率以及用户改变的频率。基于超过阈值的度量或度量的组合来确定威胁。本教导的一个特征是,可以识别包括多于一个云环境的基于云的基础设施的漏洞。可以通过使用来自各种已发布漏洞数据库的数据处理共用事件数据集中的事件来识别漏洞。例如,可以使用国家漏洞数据库。此外,可以使用共用事件数据集中的事件来评估入侵检测、篡改和软件合规性。本教导的另一个特征是,因为它处理来自多个云环境中的多个控制平面的事件,所以它可以减少所得的共用事件数据集中的噪声。与使用来自现有技术的单云事件监视器的事件数据的可能结果相比,这产生更好的结果,包括更高的完整性和/或漏洞和威胁的更高效识别。本教导的另一个特征是,它适用于利用容器的应用。容器和容器编排的使用的爆炸式增长,以及抽象基础设施(如被管理容器和无服务器基础设施)的日益普及,反映了更灵活和高效的环境。但是,由于许多组织使用容器,所以他们失去了控制和可见性,并且因此安全和威胁检测受到影响。用于基于云的信息系统的工作负载管理的一个最新趋势是将软件应用封装到容器中。容器被设计为仅包含执行特定处理或应用所必需的基本软件。容器虚拟化对资源(诸如cpu、存储装置或存储器)的访问。容器与传统虚拟化技术的不同之处在于,它们专注于提供易于管理的完全封装的环境,以执行特定软件、处理或应用。容器的使用有时是期望的,因为它们通过允许将许多应用部署在单个虚拟服务器上来增加计算密度。但是,容器的这一特征也增加了攻击面。攻击者常常会危害单个容器并横向移动。即,一个受感染的容器会导致一连串事件,尤其是如果其它容器配置不当的话。通常,用户依赖于包括不同级别可见性和复杂性的异构云基础设施。在一些情况下,用户尽早将安全性集成到例如软件开发和it运营(devops)处理中,并避免以可能难以追溯解决的方式危害系统。控制平面事件的监视提供了对容器方面(诸如容器的开始和停止)的可见性,这可以用在监视依赖于容器的基于云的基础设施的整体系统中。这种控制平面事件监视可以补充其它监视系统,例如,提供关于容器内部的各方面的信息(诸如cpu、存储装置和存储器使用情况)的基于代理的监视器。控制平面事件在支持容器的基于云的数据中心基础设施中添加与物理硬件相关的有价值的信息,例如重新布线、新系统的启动、存储器的添加、新盘、用户的添加等。本教导的用于控制平面事件监视的系统和方法的另一个特征是,它提供了监视应用的云原生的(即,专门为云设计的)、平台独立的综合集合。本教导的监视方法的结果和监视系统的输出可以向用户提供与其基于云的基础设施上正在进行的事件相关的合成的和情境化的数据。在一个示例中,来自系统和方法的结果和输出有助于在广泛的活动范围上修复网络威胁,因为它可以支持已知安全应用的综合集合。本教导的系统的又一个特征是,它以具有成本效益的方式利用分布在基于云的计算体系架构中的处理资产。因此,随着受监视的信息系统的增长,系统以具有成本效益的模块化方式进行扩展。这至少部分地是因为系统依赖于基于云的处理资源,这些资源可以随着信息系统需求的扩大而扩展,并在信息系统需求减弱时减少。该系统还通过支持可配置的基于软件应用的监视方法轻松地适应添加新的计算机基础设施管理、合规性、安全威胁和新的监视应用。这与已知系统形成对比,在已知系统中,用于安全和监视的个体点解决方案需要专门的、昂贵的硬件并提供较小的安全和监视应用套件。等同物虽然结合各种实施例描述了申请人的教导,但并不意在申请人的教导限于这些实施例。相反,如本领域技术人员将认识到的,申请人的教导涵盖各种替代、修改和等同物,这些可以在其中在不脱离教导的精神和范围的情况下做出。当前第1页12当前第1页12