CN110543762A - 特权账号威胁分析系统 - Google Patents
特权账号威胁分析系统 Download PDFInfo
- Publication number
- CN110543762A CN110543762A CN201910741103.6A CN201910741103A CN110543762A CN 110543762 A CN110543762 A CN 110543762A CN 201910741103 A CN201910741103 A CN 201910741103A CN 110543762 A CN110543762 A CN 110543762A
- Authority
- CN
- China
- Prior art keywords
- account
- threat
- module
- privileged
- auditing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种特权账号威胁分析系统,包括相互连接的智能威胁审计单元、实时威胁监测单元和统筹配置管理单元,智能威胁审计单元用于账号威胁异常行为审计监控,管理员从不同安全维度进行审计分析,进行可视化展示。本发明能兼容各类操作系统、应用、数据库、网络设备、安全设备等结构化以及非结构化数据,解决传统系统或工具特权威胁分析存在的数据孤岛问题,有效地针对特权账号外部以及内部威胁行为审计进行统一集中管理,实现对特权账号行为的实时全方位的监控和关联分析,并且可以主动把检测到的疑似特权账号威胁行为给相关人员发出实时告警、提高实时防护能力、能最大限度降低企业内部因特权账户威胁行为造成的进一步损失。
Description
技术领域
本发明涉及特权账号威胁分析领域,特别涉及一种特权账号威胁分析系统。
背景技术
在当今社会的安全防护中,相比于防御黑客等外部攻击,企业对内部攻击的重视程度和采取的技术实践要少很多,而且一旦发生内部威胁,其导致的损害通常要比来自外部的攻击大得多,外部攻击者或心怀不轨的内部用户手中拥有特权账号,他们能够控制企业的IT架构,关闭安全防护功能,盗取重要信息、甚至中断企业业务,造成巨大损失与影响,现有的数据泄露事件几乎是特权凭证被盗、滥用或误用造成的。
现阶段对于特权账号威胁分析产品,更多是账号管理系统中包含的简单外部威胁分析,局限性较大;企业特权帐号涉及范围太广泛、种类多、数量多且会变动,容易形成数据孤岛,使得传统工具或者系统对特权账户威胁行为的审计监控变得非常复杂以及难以同时兼容;再加上传统工具或系统来自内部的特权账号威胁无严格的审计分析模型或者逻辑,威胁事件也不能及时发送消息通知,事后对威胁事件信息无法关联详细展现,以致于当发生特权账号威胁行为时,无法及时发现威胁行为、及时减少威胁行为对企业造成进一步的损失。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种能兼容各类操作系统、应用、数据库、网络设备、安全设备等结构化以及非结构化数据,解决传统系统或工具特权威胁分析存在的数据孤岛问题,有效地针对特权账号外部以及内部威胁行为审计进行统一集中管理,实现对特权账号行为的实时全方位的监控和关联分析,并且可以主动把检测到的疑似特权账号威胁行为给相关人员发出实时告警、提高实时防护能力、能最大限度降低企业内部因特权账户威胁行为造成的进一步损失的特权账号威胁分析系统。
本发明解决其技术问题所采用的技术方案是:构造一种特权账号威胁分析系统,包括:
智能威胁审计单元:用于账号威胁异常行为审计监控,管理员能从各种不同安全维度进行审计分析,并通过各类视图结合仪表板进行快速可视化展示,使得管理人员把控企业特权账号威胁的整体情况;
实时威胁监测单元:用于实时监测的账号威胁行为的异常活动,通过参考资深安全从业人员的实际经验以及企业安全规范,预设内置的多种常见账号威胁行为检测规则,在账号威胁行为触发后自动响应与发出预警记录;
统筹配置管理单元:用于配置账号威胁分析系统的告警方式、接收人员、告警频率、访问权限控制以及第三方系统集成;
所述智能威胁审计单元、实时威胁监测单元和统筹配置管理单元相互连接。
在本发明所述的特权账号威胁分析系统中,所述智能威胁审计单元进一步包括:
PTA模块:用于与特权帐号管理产品配合,审计特权帐号管理系统账号的操作活动,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
Windows模块:用于与特权帐号管理产品配合,审计特权帐号管理系统账号的操作活动,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
*Nixs模块:用于与特权帐号管理产品配合,审计特权帐号管理系统账号的操作活动,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
Oracle模块:用于结合特权账户管理产品,审计Oracle数据库账号威胁行为、账户策略变更和账户权限表更,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
MySQL模块:用于结合特权账户管理产品,审计MySQL数据库账号威胁行为、账户策略变更和账户权限表更,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
SQLServer模块:用于结合特权账户管理产品,审计SQLServer数据库账号威胁行为、账户策略变更和账户权限表更,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
自定义插件模块:用于管理自定义插件,通过自定义插件方式完善数据处理过程;
自定义查询&分析模块:用于对各类特权账号威胁行为进行自定义查询条件处理;
所述PTA模块、Windows模块、*Nixs模块、Oracle模块、MySQL模块、SQLServer模块、自定义插件模块和自定义查询&分析模块相互连接。
在本发明所述的特权账号威胁分析系统中,所述实时威胁监测单元进一步包括:
实时威胁总览模块:用于基于预设的场景特权威胁行为检测规则,以系统层级为监控维度,让管理员了解各个系统存在的特权账号威胁整体风险系数,并让管理员进一步以鼠标点击查询方式,点击之后以跳转方式呈现具体系统存在的详细特权账号威胁行为的详细信息;
新增威胁监测模块:用于通过灵活的条件编辑模块页面,用于快速新增自定义特权账号威胁行为条件并进行检测;
威胁监测模板模块:用于存放预设的威胁监测模板,通过所述威胁监测模板进行威胁监测,也能变更预设的威胁监测模块;
所述实时威胁总览模块、新增威胁监测模块和威胁监测模板模块相互连接。
在本发明所述的特权账号威胁分析系统中,所述统筹配置管理单元进一步包括:
威胁评分管理模块:用于对账号威胁事件自动分析后,对威胁事件进行评分管理,通过自定义评分规则给威胁事件评分定级;
通知配置管理模块:用于配置当设置的威胁条件满足时,将满足规则条件的账号威胁事件通过消息通知,发送账号威胁告警;
集成关联管理模块:用于对分散数据通过数据关联处理,实现数据集中管理;
数据接入管理模块:用于对接入的数据进行集中管理,以对接入的数据进行处理;
索引配置管理模块:用于管理索引配置,使索引正确处理接入的数据,以进行后续的数据处理;
用户授权管理模块:用于管理账号分析系统中用户,配置用户角色及分配用户角色权限;
监控状态总览模块:用于监控系统自身运行状况,将系统运行状态直观地展示,以对系统运行状况进行监测;
所述威胁评分管理模块、通知配置管理模块、集成关联管理模块、数据接入管理模块、索引配置管理模块、用户授权管理模块和监控状态总览模块相互连接。
在本发明所述的特权账号威胁分析系统中,所述PTA模块中的审计特权帐号管理系统账号的操作活动至少包括账号登陆成功、登陆失败、过多密码更正故障、来自不规则IP特权访问、非正常时间登陆和账号敏感操作。
在本发明所述的特权账号威胁分析系统中,所述Windows模块中的审计特权帐号管理系统账号的操作活动至少包括创建组、删除组、账号启用、账号禁用、账号创建、账号删除、账号锁定、账号解锁和账号变更。
在本发明所述的特权账号威胁分析系统中,所述*Nixs模块中的审计特权帐号管理系统账号的操作活动至少包括sudo命令执行审计和文件/文件夹权限变更审计。
在本发明所述的特权账号威胁分析系统中,所述Oracle模块中的审计Oracle数据库账号威胁行为至少包括号角色变更审计和账号重命名审计。
在本发明所述的特权账号威胁分析系统中,所述MySQL模块中的审计MySQL数据库账号威胁行为至少包括多账号从单个客户端登录审计以及账号创建与删除审计。
在本发明所述的特权账号威胁分析系统中,SQLServer模块中的审计SQLServer数据库账号威胁行为至少包括凭证变更审计、应用角色变更审计和数据库角色变更审计。
实施本发明的特权账号威胁分析系统,具有以下有益效果:由于设有相互连接的智能威胁审计单元、实时威胁监测单元和统筹配置管理单元,本发明能兼容各类操作系统、应用、数据库、网络设备、安全设备等结构化以及非结构化数据,解决传统系统或工具特权威胁分析存在的数据孤岛问题,有效地针对特权账号外部以及内部威胁行为审计进行统一集中管理,实现对特权账号行为的实时全方位的监控和关联分析,并且可以主动把检测到的疑似特权账号威胁行为给相关人员发出实时告警、提高实时防护能力、能最大限度降低企业内部因特权账户威胁行为造成的进一步损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明特权账号威胁分析系统一个实施例中的结构示意图;
图2为所述实施例中智能威胁审计单元的结构示意图;
图3为所述实施例中实时威胁监测单元的结构示意图;
图4为所述实施例中统筹配置管理单元的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明特权账号威胁分析系统实施例中,该特权账号威胁分析系统的结构示意图如图1所示。图1中,该特权账号威胁分析系统包括相互连接的智能威胁审计单元1、实时威胁监测单元2和统筹配置管理单元3;其中,智能威胁审计单元1用于账号威胁异常行为审计监控,管理员能从各种不同安全维度进行审计分析,并通过各类视图结合仪表板进行快速可视化展示,使得管理人员直观把控企业特权账号威胁的整体情况;例如:审计用户账号的活动与操作、审计账号非正常时间访问、账号登录服务器数量、来自不规则IP账号使用、账号权限更改、账号敏感操作等功能。
实时威胁监测单元2用于实时监测的账号威胁行为的异常活动,通过参考大量资深安全从业人员的实际经验以及众多企业安全规范,预设内置的多种常见账号威胁行为检测规则,可以在账号威胁行为触发后自动响应与发出预警记录。例如:检测疑是账号暴力破解、过多账号登录故障、执行敏感命令等功能。
统筹配置管理单元3用于配置账号威胁分析系统的重要告警方式、接收人员、告警频率、访问权限控制等配置以及第三方系统集成等管理,使系统能够更加灵活、安全、高效地运行。例如:配置账号分析系统的用户管理、配置系统配合其他系统的数据接入、配置账号分析系统触发账号威胁规则时发送告警消息通知方式等功能。
本发明要解决的技术问题在于,通过多年积累的特权账号威胁行为分析经验结合特权帐号管理产品以及大数据分析产品,可以无缝接入特权账号管理产品以及各个操作系统、应用、终端、数据库等各类审计日志数据,从根本上解决传统技术中对特权行为涉及范围太广,无法统一兼容监控的数据孤岛问题。技术上针对特权账号外部以及内部威胁行为进行统一集中管理,最终实现对特权账号行为的实时全方位的监控关联分析。
本发明会主动把检测到的疑似特权账号威胁行为给相关人员发出实时告警,解决特权账号威胁无法及时发现特权账号威胁行为并实时告知相关人员问题。特权账号威胁的详细事件信息也可以通过面板、报表等形式直观地显示事件及威胁严重级别,以便帮助安全团队立即对检测到的可疑活动事件做出响应与处理。更重要的是,区别传统工具或系统只是简单监控方式,本发明创新性地支持对检测到的威胁行为活动实现自动响应,比如主动切断疑似特权威胁行为会话等,从而简化事件处理流程,提高实时防护能力。
本发明可以提供特权账号事前威胁隐患检测预警、事中监测告警并截断威胁行为活动、事后行为审计与合规分析,最大限度降低企业内部因特权账户威胁行为造成的损失。
图2为本实施例中智能威胁审计单元的结构示意图,图2中,该智能威胁审计单元1进一步包括相互连接的PTA模块11、Windows模块12、*Nixs模块13、Oracle模块14、MySQL模块15、SQLServer模块16、自定义插件模块17和自定义查询&分析模块18。
其中,PTA模块11用于与特权帐号管理产品配合,审计特权帐号管理系统账号的操作活动,通过丰富的视图结合仪表板的方式将账号威胁行为审计进行直观地展现,例如:过多账号密码更正故障审计、账号敏感操作审计、用户账号行为操作审计等,通过丰富的视图结合仪表板的方式将审计的账号信息处理分析后进行直观地展现。PTA模块11中的审计特权帐号管理系统账号的操作活动至少包括账号登陆成功、登陆失败、过多密码更正故障、来自不规则IP特权访问、非正常时间登陆和账号敏感操作等审计。
Windows模块12用于与特权帐号管理产品配合,审计特权帐号管理系统账号的操作活动,通过丰富的视图结合仪表板的方式将账号威胁行为审计进行直观地展现,例如:域账号权限变更审计、域账号禁用等策略审计等,通过丰富的视图结合仪表板的方式将分析处理后账号审计信息进行直观地展现。Windows模块12中的审计特权帐号管理系统账号的操作活动至少包括创建组、删除组、账号启用、账号禁用、账号创建、账号删除、账号锁定、账号解锁和账号变更等审计。
*Nixs模块13用于与特权帐号管理产品配合,审计特权帐号管理系统账号的操作活动,通过丰富的视图结合仪表板的方式将账号威胁行为审计进行直观地展现,*Nixs模块13中的审计特权帐号管理系统账号的操作活动至少包括sudo命令执行审计和文件/文件夹权限变更审计。例如:sudo命令执行审计、文件/文件夹权限变更审计等,通过丰富的视图结合仪表板的方式将分析处理后的审计信息进行直观地展现。
Oracle模块14用于结合特权账户管理产品,审计Oracle数据库账号威胁行为、账户策略变更和账户权限表更,通过丰富的视图结合仪表板的方式将账号威胁行为审计进行直观地展现,Oracle模块14中的审计Oracle数据库账号威胁行为至少包括号角色变更审计和账号重命名审计。例如:账号角色变更审计、账号重命名审计等,通过丰富的视图结合仪表板的方式将分析处理后的审计信息进行直观地展现。
MySQL模块15用于结合特权账户管理产品,审计MySQL数据库账号威胁行为、账户策略变更和账户权限表更,通过丰富的视图结合仪表板的方式将账号威胁行为审计进行直观地展现,MySQL模块15中的审计MySQL数据库账号威胁行为至少包括多账号从单个客户端登录审计以及账号创建与删除审计。例如:多账号从单个客户端登录审计、账号创建与删除审计等,通过丰富的视图结合仪表板的方式将分析处理后的审计信息进行直观地展现。
SQLServer模块16用于结合特权账户管理产品,审计SQLServer数据库账号威胁行为、账户策略变更和账户权限表更,通过丰富的视图结合仪表板的方式将账号威胁行为审计进行直观地展现,SQLServer模块16中的审计SQLServer数据库账号威胁行为至少包括凭证变更审计、应用角色变更审计和数据库角色变更审计。例如:凭证变更审计、应用角色变更审计、数据库角色变更审计等,通过丰富的视图结合仪表板的方式将分析处理后的审计信息进行直观地展现。
自定义插件模块17用于用于管理自定义插件,通过自定义插件方式完善数据处理过程;自定义查询&分析模块18用于对各类特权账号威胁行为进行自定义查询条件处理,以满足不同需求,以便对不同的需求数据进行查询分析。对于智能威胁审计,特权账号威胁分析系统使用者将账号日志信息数据接入特权账号威胁分析系统,特权账号威胁分析系统在正确接收数据后,通过预设的各模块仪表板,审计分析账号信息通过丰富的视图相结合的方式将审计数据展示给用户,方便用户对各账户信息进行审计与监测。
图3为本实施例中实时威胁监测单元的结构示意图,图3中,该实时威胁监测单元2进一步包括相互连接的实时威胁总览模块21、新增威胁监测模块22和威胁监测模板模块23;其中,实时威胁总览模块21用于基于预设的场景特权威胁行为检测规则,以系统层级为监控维度,让管理员了解各个系统存在的特权账号威胁整体风险系数,并让管理员进一步以鼠标点击查询方式,点击之后以跳转方式呈现具体系统存在的详细特权账号威胁行为的详细信息,协助管理员快速处理威胁,减少风险;新增威胁监测模块22用于通过灵活的条件编辑模块页面,用于快速新增自定义特权账号威胁行为条件并进行检测;威胁监测模板模块23用于存放预设的威胁监测模板,通过威胁监测模板进行威胁监测,也可以变更预设的威胁监测模块这样就能够很方便地通过实时威胁监测单元2进行有关威胁方面的监测。
图4为本实施例中统筹配置管理单元的结构示意图,图4中,该统筹配置管理单元3进一步包括相互连接的威胁评分管理模块31、通知配置管理模块32、集成关联管理模块33、数据接入管理模块34、索引配置管理模块35、用户授权管理模块36和监控状态总览模块37。
威胁评分管理模块31用于对账号威胁事件自动分析后,对威胁事件进行评分管理,通过自定义评分规则给威胁事件评分定级。通知配置管理模块32用于配置当设置的威胁条件满足时,将满足规则条件的账号威胁事件通过消息通知,发送账号威胁告警;集成关联管理模块33用于对分散数据通过数据关联处理,实现数据的集中管理;数据接入管理模块34用于对接入的数据进行集中管理,以方便对接入的数据进行处理;索引配置管理模块35用于管理索引配置,使索引正确处理接入的数据,以便于进行后续的数据处理;用户授权管理模块36用于管理账号分析系统中用户,配置用户角色及分配用户角色权限;监控状态总览模块37用于监控系统自身运行状况,将系统运行状态直观地展示,以对系统运行状况进行监测。这样就可以很方便地通过统筹配置管理单元3进行账号分析系统配置方面的管理。
总之,本实施例中,由于设有智能威胁审计单元1、实时威胁监测单元2和统筹配置管理单元3,维护人员可以通过特权账号威胁分析系统进行各种账号活动审计与监测,这样就能提供特权账号威胁事前检测隐患、事中监测威胁活动、事后行为审计与合规分析,使安全人员方便对特权账号管理、监测和行为分析。本发明能兼容各类操作系统、应用、数据库、网络设备、安全设备等结构化以及非结构化数据,解决传统系统或工具特权威胁分析存在的数据孤岛问题,有效地针对特权账号外部以及内部威胁行为审计进行统一集中管理,实现对特权账号行为的实时全方位的监控和关联分析,并且可以主动把检测到的疑似特权账号威胁行为给相关人员发出实时告警、提高实时防护能力、能最大限度降低企业内部因特权账户威胁行为造成的进一步损失。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种特权账号威胁分析系统,其特征在于,包括:
智能威胁审计单元:用于账号威胁异常行为审计监控,管理员能从各种不同安全维度进行审计分析,并通过各类视图结合仪表板进行可视化展示,使得管理人员把控企业特权账号威胁的整体情况;
实时威胁监测单元:用于实时监测的账号威胁行为的异常活动,通过参考资深安全从业人员的实际经验以及企业安全规范,预设内置的多种常见账号威胁行为检测规则,在账号威胁行为触发后自动响应与发出预警记录;
统筹配置管理单元:用于配置账号威胁分析系统的告警方式、接收人员、告警频率、访问权限控制以及第三方系统集成;
所述智能威胁审计单元、实时威胁监测单元和统筹配置管理单元相互连接。
2.根据权利要求1所述的特权账号威胁分析系统,其特征在于,所述智能威胁审计单元进一步包括:
PTA模块:用于与特权帐号管理产品配合,审计特权帐号管理系统账号的操作活动,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
Windows模块:用于与特权帐号管理产品配合,审计特权帐号管理系统账号的操作活动,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
*Nixs模块:用于与特权帐号管理产品配合,审计特权帐号管理系统账号的操作活动,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
Oracle模块:用于结合特权账户管理产品,审计Oracle数据库账号威胁行为、账户策略变更和账户权限表更,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
MySQL模块:用于结合特权账户管理产品,审计MySQL数据库账号威胁行为、账户策略变更和账户权限表更,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
SQLServer模块:用于结合特权账户管理产品,审计SQLServer数据库账号威胁行为、账户策略变更和账户权限表更,通过视图结合仪表板的方式将账号威胁行为审计进行展现;
自定义插件模块:用于管理自定义插件,通过自定义插件方式完善数据处理过程;
自定义查询&分析模块:用于对各类特权账号威胁行为进行自定义查询条件处理;
所述PTA模块、Windows模块、*Nixs模块、Oracle模块、MySQL模块、SQLServer模块、自定义插件模块和自定义查询&分析模块相互连接。
3.根据权利要求1所述的特权账号威胁分析系统,其特征在于,所述实时威胁监测单元进一步包括:
实时威胁总览模块:用于基于预设的场景特权威胁行为检测规则,以系统层级为监控维度,让管理员了解各个系统存在的特权账号威胁整体风险系数,并让管理员进一步以鼠标点击查询方式,点击之后以跳转方式呈现具体系统存在的详细特权账号威胁行为的详细信息;
新增威胁监测模块:用于通过条件编辑模块页面,用于快速新增自定义特权账号威胁行为条件并进行检测;
威胁监测模板模块:用于存放预设的威胁监测模板,通过所述威胁监测模板进行威胁监测,也能变更预设的威胁监测模块;
所述实时威胁总览模块、新增威胁监测模块和威胁监测模板模块相互连接。
4.根据权利要求1所述的特权账号威胁分析系统,其特征在于,所述统筹配置管理单元进一步包括:
威胁评分管理模块:用于对账号威胁事件自动分析后,对威胁事件进行评分管理,通过自定义评分规则给威胁事件评分定级;
通知配置管理模块:用于配置当设置的威胁条件满足时,将满足规则条件的账号威胁事件通过消息通知,发送账号威胁告警;
集成关联管理模块:用于对分散数据通过数据关联处理,实现数据集中管理;
数据接入管理模块:用于对接入的数据进行集中管理,以对接入的数据进行处理;
索引配置管理模块:用于管理索引配置,使索引正确处理接入的数据,以进行后续的数据处理;
用户授权管理模块:用于管理账号分析系统中用户,配置用户角色及分配用户角色权限;
监控状态总览模块:用于监控系统自身运行状况,将系统运行状态直观地展示,以对系统运行状况进行监测;
所述威胁评分管理模块、通知配置管理模块、集成关联管理模块、数据接入管理模块、索引配置管理模块、用户授权管理模块和监控状态总览模块相互连接。
5.根据权利要求2所述的特权账号威胁分析系统,其特征在于,所述PTA模块中的审计特权帐号管理系统账号的操作活动至少包括账号登陆成功、登陆失败、过多密码更正故障、来自不规则IP特权访问、非正常时间登陆和账号敏感操作。
6.根据权利要求2所述的特权账号威胁分析系统,其特征在于,所述Windows模块中的审计特权帐号管理系统账号的操作活动至少包括创建组、删除组、账号启用、账号禁用、账号创建、账号删除、账号锁定、账号解锁和账号变更。
7.根据权利要求2所述的特权账号威胁分析系统,其特征在于,所述*Nixs模块中的审计特权帐号管理系统账号的操作活动至少包括sudo命令执行审计和文件/文件夹权限变更审计。
8.根据权利要求2所述的特权账号威胁分析系统,其特征在于,所述Oracle模块中的审计Oracle数据库账号威胁行为至少包括号角色变更审计和账号重命名审计。
9.根据权利要求2所述的特权账号威胁分析系统,其特征在于,所述MySQL模块中的审计MySQL数据库账号威胁行为至少包括多账号从单个客户端登录审计以及账号创建与删除审计。
10.根据权利要求2所述的特权账号威胁分析系统,其特征在于,SQLServer模块中的审计SQLServer数据库账号威胁行为至少包括凭证变更审计、应用角色变更审计和数据库角色变更审计。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910741103.6A CN110543762A (zh) | 2019-08-12 | 2019-08-12 | 特权账号威胁分析系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910741103.6A CN110543762A (zh) | 2019-08-12 | 2019-08-12 | 特权账号威胁分析系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110543762A true CN110543762A (zh) | 2019-12-06 |
Family
ID=68710693
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910741103.6A Pending CN110543762A (zh) | 2019-08-12 | 2019-08-12 | 特权账号威胁分析系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110543762A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113783828A (zh) * | 2020-11-25 | 2021-12-10 | 北京沃东天骏信息技术有限公司 | 一种业务系统监控方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130054431A1 (en) * | 2011-08-25 | 2013-02-28 | Government Transaction Services, Inc. | System and Method for Integrated Use of Shared Hardware, Software and Storage Resources Communicating Through a Network to Standardize and Simplify Transactions Between an Organization and Entities That Do Business With The Organization |
| CN104111998A (zh) * | 2014-07-09 | 2014-10-22 | 江西理工大学 | 一种企业异构数据分类编码集成交换与管理的方法及装置 |
| CN108055281A (zh) * | 2017-12-27 | 2018-05-18 | 百度在线网络技术(北京)有限公司 | 账户异常检测方法、装置、服务器及存储介质 |
| CN109885554A (zh) * | 2018-12-20 | 2019-06-14 | 顺丰科技有限公司 | 数据库安全审计方法、系统及计算机可读存储介质 |
-
2019
- 2019-08-12 CN CN201910741103.6A patent/CN110543762A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130054431A1 (en) * | 2011-08-25 | 2013-02-28 | Government Transaction Services, Inc. | System and Method for Integrated Use of Shared Hardware, Software and Storage Resources Communicating Through a Network to Standardize and Simplify Transactions Between an Organization and Entities That Do Business With The Organization |
| CN104111998A (zh) * | 2014-07-09 | 2014-10-22 | 江西理工大学 | 一种企业异构数据分类编码集成交换与管理的方法及装置 |
| CN108055281A (zh) * | 2017-12-27 | 2018-05-18 | 百度在线网络技术(北京)有限公司 | 账户异常检测方法、装置、服务器及存储介质 |
| CN109885554A (zh) * | 2018-12-20 | 2019-06-14 | 顺丰科技有限公司 | 数据库安全审计方法、系统及计算机可读存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113783828A (zh) * | 2020-11-25 | 2021-12-10 | 北京沃东天骏信息技术有限公司 | 一种业务系统监控方法和装置 |
| CN113783828B (zh) * | 2020-11-25 | 2023-09-05 | 北京沃东天骏信息技术有限公司 | 一种业务系统监控方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7870598B2 (en) | Policy specification framework for insider intrusions | |
| US8880893B2 (en) | Enterprise information asset protection through insider attack specification, monitoring and mitigation | |
| US9712548B2 (en) | Privileged analytics system | |
| US7673147B2 (en) | Real-time mitigation of data access insider intrusions | |
| CN103413088B (zh) | 一种计算机文档操作安全审计系统 | |
| US20050203881A1 (en) | Database user behavior monitor system and method | |
| CN113032710A (zh) | 一种综合审计监管系统 | |
| CN102333090A (zh) | 一种内控堡垒主机及安全访问内网资源的方法 | |
| US20110035781A1 (en) | Distributed data search, audit and analytics | |
| CN106982231A (zh) | 一种基于Agent的内部威胁实时检测方法 | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| CN110119629A (zh) | 隐私数据管理与数据安全一体化平台 | |
| CN110543762A (zh) | 特权账号威胁分析系统 | |
| Jin et al. | Architecture for data collection in database intrusion detection systems | |
| Sun et al. | Research on the development trend and auditing mode of high security enterprise intranet security audit | |
| Murthy et al. | Database Forensics and Security Measures to Defend from Cyber Threats | |
| CN202111721U (zh) | 一种网络信息安全保障系统 | |
| CN113709140B (zh) | 一种基于综合审计的云大数据智能安全管控系统 | |
| Vardeva | Generalized net model of an automated system for monitoring, analysing and managing events related to information security | |
| CN118138293A (zh) | 水利关键信息基础设施网络安全态势感知平台 | |
| Wang et al. | Study on enterprise information security in the ERP conditions | |
| Li et al. | A Study of the Security Management System for University Privileged Accounts Linked with Fortification Machines: Practical Research | |
| CN114679368A (zh) | 一种多态类型域控终端管理方法、系统 | |
| CN114785547A (zh) | 一种适用于工业环境的分布式审计系统 | |
| CN113949533A (zh) | 一种调度数据网络离线审计平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191206 |
|
| RJ01 | Rejection of invention patent application after publication |