KR20210074383A - 이력 보안 데이터의 저장 및 구조화된 검색 - Google Patents

이력 보안 데이터의 저장 및 구조화된 검색 Download PDF

Info

Publication number
KR20210074383A
KR20210074383A KR1020217015245A KR20217015245A KR20210074383A KR 20210074383 A KR20210074383 A KR 20210074383A KR 1020217015245 A KR1020217015245 A KR 1020217015245A KR 20217015245 A KR20217015245 A KR 20217015245A KR 20210074383 A KR20210074383 A KR 20210074383A
Authority
KR
South Korea
Prior art keywords
data
event
attributes
request
specified
Prior art date
Application number
KR1020217015245A
Other languages
English (en)
Inventor
콜린 램버트
이노켄티 바스모브
에탄 다니엘 개벨
앤드류 리앙 핑 창
율리아 이온
Original Assignee
구글 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 구글 엘엘씨 filed Critical 구글 엘엘씨
Publication of KR20210074383A publication Critical patent/KR20210074383A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2477Temporal data queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • G06F16/1834Distributed file systems implemented based on peer-to-peer networks, e.g. gnutella
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Fuzzy Systems (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Linguistics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

방법(500)은 이질적인 컴퓨팅 자원들에 의해 획득된 복수의 이벤트들에 대한 이벤트 데이터(162)를 네트워크(120)를 통해 수집하는 단계를 포함한다. 각각의 이벤트는 개개의 타임스탬프(164) 및 하나 이상의 수집-속성들(166)과 연관된다. 방법은 대응하는 이벤트가 사용자에 의해 정의된 임의의 커스텀 인덱싱-속성들(168)과 연관되는지 여부를 식별하는 단계를 포함한다. 방법은 또한, 개개의 타임스탬프, 하나 이상의 수집-속성들, 및 임의의 식별된 커스텀 인덱싱-속성들에 기초하여 대응하는 이벤트를 구조화된 데이터(162b)로서 데이터 저장소(150)에 인덱싱하는 단계를 포함한다. 방법은 또한, 축출 시간 기간 임계치(322)를 충족시키는 시간 기간 동안 데이터 저장소 내의 이벤트 데이터의 이벤트들 중 임의의 이벤트를 축출하는 단계를 포함한다. 방법은 또한, 시간 범위, 수집-속성들 또는 하나의 커스텀 인덱싱-속성들과 연관된 데이터를 데이터 저장소로부터 리트리브하는 단계를 포함한다.

Description

이력 보안 데이터의 저장 및 구조화된 검색
[0001] 본 개시내용은 이력 보안 데이터의 저장 및 구조화된 검색을 위한 시스템에 관한 것이다.
[0002] 아이덴티티, 액세스, 데이터 및 자원 보안 사고들이 계속해서 빠르게 증가하고 있다. 유사하게, 수집 및 분석되는 데 이용가능한 원시 보안 신호들의 양이 또한 기하급수적으로 증가하고 있다. 이러한 보안 신호들은 기업들이 보안 위반들 및 다운타임으로부터 자신들을 보호하는 데 필요한 중요한 자원이다. 이러한 필요성은 인간 분석가들 및 보안 엔지니어들이 이러한 자원을 다룰 때 효율성 및 우선순위화를 증가시키도록 유도하고 있다.
[0003] 본 개시내용의 일 양상은, 데이터 프로세싱 하드웨어에 의해, 데이터 프로세싱 하드웨어와 통신하는 복수의 이질적인 컴퓨팅 자원들에 의해 획득된 복수의 이벤트들에 대한 이벤트 데이터를 네트워크를 통해 수집하는 단계를 포함하는 방법을 제공한다. 이벤트 데이터는 이벤트가 복수의 이질적인 컴퓨팅 자원들 중 하나에 의해 획득된 시점을 표시하는, 이벤트 데이터의 각각의 이벤트에 대한 개개의 타임스탬프를 포함한다. 이벤트 데이터는 또한 이벤트 데이터의 각각의 이벤트와 연관된 적어도 하나의 수집-속성을 포함하고, 적어도 하나의 수집-속성은 연관된 이벤트의 수집을 허용하도록 요구되는 수집 기준들을 충족시킨다. 이벤트 데이터의 복수의 이벤트들 각각에 대해, 방법은, 데이터 프로세싱 하드웨어에 의해, 대응하는 이벤트가 이벤트들을 인덱싱하기 위해 사용자에 의해 정의된 임의의 커스텀 인덱싱-속성들과 연관되는지 여부를 식별하는 단계를 포함한다. 방법은 또한 데이터 프로세싱 하드웨어에 의해, 대응하는 이벤트에 대한 개개의 타임스탬프, 대응하는 이벤트와 연관된 적어도 하나의 수집-속성, 및 대응하는 이벤트와 연관된 임의의 식별된 커스텀 인덱싱-속성들에 기초하여, 대응하는 이벤트를 구조화된 데이터로서 데이터 저장소에 인덱싱하는 단계를 포함한다. 방법은 또한 데이터 프로세싱 하드웨어에 의해, 축출 시간 기간 임계치를 충족시키는 시간 기간 동안 구조화된 데이터로서 데이터 저장소에 인덱싱된 이벤트 데이터의 이벤트들 중 임의의 이벤트를 축출하는 단계를 포함한다. 방법은 또한 데이터 프로세싱 하드웨어에서, 데이터 저장소 내에 저장된 구조화된 데이터에 대한 리트리벌 요청을 수신하는 단계를 포함하고, 리트리벌 요청은 리트리벌 요청에 의해 특정된 시간 범위, 리트리벌 요청에 의해 특정된 하나 이상의 수집-속성들 또는 리트리벌 요청에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들 중 적어도 하나와 연관된 구조화된 데이터를 요청한다. 방법은 또한 데이터 프로세싱 하드웨어에 의해, 리트리벌 요청에 의해 특정된 시간 범위, 리트리벌 요청에 의해 특정된 하나 이상의 수집-속성들 또는 리트리벌 요청에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들 중 적어도 하나와 연관된 구조화된 데이터를 데이터 저장소로부터 리트리브하는 단계를 포함한다.
[0004] 본 개시의 구현들은 다음의 선택적 특징들 중 하나 이상을 포함할 수 있다. 일부 예들에서, 이벤트들을 인덱싱하기 위해 사용자에 의해 정의된 커스텀 인덱싱-속성들 각각은 복수의 이질적인 컴퓨팅 자원들의 고객에 의해 정의된 개개의 키-값 쌍을 포함한다. 일부 예들에서, 방법은, 이벤트 데이터의 복수의 이벤트들 각각에 대해, 데이터 프로세싱 하드웨어에 의해, 대응하는 이벤트가 유효한지 여부를 결정하기 위해 유효성 규칙들의 세트를 적용하는 단계를 포함한다. 대응하는 이벤트가 적용된 유효성 규칙들의 세트에 기초하여 유효일 때, 방법은 대응하는 이벤트를 구조화된 데이터로서 데이터 저장소에 인덱싱하는 것을 포함한다. 대응하는 이벤트가 적용된 유효성 규칙들의 세트에 기초하여 무효일 때, 방법은 데이터 프로세싱 하드웨어에 의해, 데이터 저장소로의 인덱싱을 위한 대응하는 이벤트를 거부하는 단계를 포함한다. 유효성 규칙들의 세트는 대응하는 이벤트의 우선순위를 결정하기 위한 우선순위 규칙들의 세트를 포함할 수 있다. 일부 구현들에서, 리트리벌 요청을 수신할 때, 방법은, 구조화된 데이터 리트리벌 오프셋을 수신하는 단계를 포함하고, 구조화된 데이터 리트리벌 오프셋은 리트리브될 구조화된 데이터의 리스트 내의 위치를 표시하고, 구조화된 데이터의 리스트 내의 위치 이후의 구조화된 데이터만이 리트리브된다. 방법은, 데이터 프로세싱 하드웨어에 의해, 리트리브된 구조화된 데이터 및 페이지 토큰의 일부분을 전송하는 단계를 더 포함할 수 있고, 페이지 토큰은 리트리브된 구조화된 데이터의 리스트에서의 위치를 표시한다. 리트리브된 구조화된 데이터의 일부분은 리스트 내의 페이지 토큰보다 더 앞선 위치들로부터의 데이터만을 포함한다. 일부 예들에서, 데이터 저장소는 분산형 저장 시스템을 포함한다. 다른 예들에서, 데이터 저장소는 관계형 데이터베이스를 포함한다. 이벤트 데이터의 복수의 이벤트들 중 적어도 하나는 복수의 이질적인 컴퓨팅 자원들 중 대응하는 것의 측정된 특성을 표시할 수 있다. 측정된 특성의 우선순위는 우선순위 규칙들의 세트에 기초하여 결정될 수 있다. 선택적으로, 구조화된 데이터를 요청하는 리트리벌 요청은 제1 시간 범위 및 제2 시간 범위와 연관되고, 제2 시간 범위는 제1 시간 범위와는 상이하다. 일부 구현들에서, 이벤트 데이터를 수집하는 것은 애플리케이션 프로그래밍 인터페이스를 통해 복수의 이질적인 컴퓨팅 자원들로부터 네트워크를 통해 이벤트 데이터를 획득하는 것을 포함한다. 방법은, 데이터 프로세싱 하드웨어에서, 데이터를 축출하기 위한 축출 요청을 수신하는 단계를 더 포함할 수 있고, 데이터를 축출하기 위한 축출 요청은 축출 요청에 의해 특정된 시간 범위, 축출 요청에 의해 특정된 하나 이상의 수집-속성들 또는 축출 요청에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들 중 적어도 하나와 연관될 수 있다. 방법은 또한 데이터 프로세싱 하드웨어에 의해, 축출 요청에 의해 특정된 시간 범위, 축출 요청에 의해 특정된 하나 이상의 수집-속성들 또는 축출 요청에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들 중 적어도 하나와 연관된 구조화된 데이터를 데이터 저장소로부터 축출하는 단계를 포함할 수 있다. 일부 구현들에서, 이벤트 데이터를 수집하는 것은, 수집 요청을 수신하는 것; 타임 스케줄로부터의 표시; 또는 이벤트로부터의 표시 중 적어도 하나에 대해 응답한다. 구조화된 데이터를 리트리브하는 것은 리트리벌 요청과 연관된 구조화된 데이터의 허가들을 검증하는 것을 포함할 수 있다.
[0005] 본 개시내용의 다른 양상은 데이터 프로세싱 하드웨어 및 데이터 프로세싱 하드웨어와 통신하는 메모리 하드웨어를 포함하는 시스템을 제공한다. 메모리 하드웨어는, 데이터 프로세싱 하드웨어 상에서 실행될 때 데이터 프로세싱 하드웨어로 하여금 동작들을 수행하게 하는 명령을 저장한다. 동작들은 데이터 프로세싱 하드웨어와 통신하는 복수의 이질적인 컴퓨팅 자원들에 의해 획득된 복수의 이벤트들에 대한 이벤트 데이터를 네트워크를 통해 수집하는 것을 포함한다. 이벤트 데이터는 이벤트가 복수의 이질적인 컴퓨팅 자원들 중 하나에 의해 획득된 시점을 표시하는, 이벤트 데이터의 각각의 이벤트에 대한 개개의 타임스탬프를 포함한다. 이벤트 데이터는 또한 이벤트 데이터의 각각의 이벤트와 연관된 적어도 하나의 수집-속성을 포함하고, 적어도 하나의 수집-속성은 연관된 이벤트의 수집을 허용하도록 요구되는 수집 기준들을 충족시킨다. 이벤트 데이터의 복수의 이벤트들 각각에 대해, 동작들은, 대응하는 이벤트가 이벤트들을 인덱싱하기 위해 사용자에 의해 정의된 임의의 커스텀 인덱싱-속성들과 연관되는지 여부를 식별하는 것을 포함한다. 동작들은 또한 대응하는 이벤트에 대한 개개의 타임스탬프에 기초하여 구조화된 데이터로서 데이터 저장소에 대응하는 이벤트를 인덱싱하는 것을 포함한다. 적어도 하나의 수집-속성은 대응하는 이벤트와 연관되고, 임의의 식별된 커스텀 인덱싱-속성들은 또한 대응하는 이벤트와 연관된다. 동작들은 또한 축출 시간 기간 임계치를 충족시키는 시간 기간 동안 구조화된 데이터로서 데이터 저장소에 인덱싱된 이벤트 데이터의 이벤트들 중 임의의 이벤트를 축출하는 것을 포함한다. 동작들은 또한 데이터 저장소에 저장된 구조화된 데이터에 대한 리트리벌 요청을 수신하는 것을 포함한다. 리트리벌 요청은 리트리벌 요청에 의해 특정된 시간 범위, 리트리벌 요청에 의해 특정된 하나 이상의 수집-속성들 또는 리트리벌 요청에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들 중 적어도 하나와 연관된 구조화된 데이터를 요청한다. 동작들은 또한 리트리벌 요청에 의해 특정된 시간 범위, 리트리벌 요청에 의해 특정된 하나 이상의 수집-속성들 또는 리트리벌 요청에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들 중 적어도 하나와 연관된 구조화된 데이터를 데이터 저장소로부터 리트리브하는 단계를 포함한다.
[0006] 본 개시의 구현들은 다음의 선택적 특징들 중 하나 이상을 포함할 수 있다. 일부 예들에서, 이벤트들을 인덱싱하기 위해 사용자에 의해 정의된 커스텀 인덱싱-속성들 각각은 복수의 이질적인 컴퓨팅 자원들의 고객에 의해 정의된 개개의 키-값 쌍을 포함한다. 동작들은 이벤트 데이터의 복수의 이벤트들 각각에 대해, 대응하는 이벤트가 유효한지 여부를 결정하기 위해 유효성 규칙들의 세트를 적용하는 것을 더 포함할 수 있다. 동작들은 또한 대응하는 이벤트가 적용된 유효성 규칙들의 세트에 기초하여 유효일 때, 대응하는 이벤트를 구조화된 데이터로서 데이터 저장소에 인덱싱하는 것을 포함할 수 있다. 유효성 규칙들의 세트는 대응하는 이벤트의 우선순위를 결정하기 위한 우선순위 규칙들의 세트를 포함할 수 있다. 일부 구현들에서, 동작들은, 대응하는 이벤트가 적용된 유효성 규칙들의 세트에 기초하여 무효일 때, 데이터 저장소로의 인덱싱을 위한 대응하는 이벤트를 거부하는 것을 더 포함한다. 리트리벌 요청은 구조화된 데이터 리트리벌 오프셋을 수신하는 것을 포함할 수 있고, 구조화된 데이터 리트리벌 오프셋은 리트리브될 구조화된 데이터의 리스트 내의 위치를 표시할 수 있다. 구조화된 데이터의 리스트 내의 위치 이후의 구조화된 데이터만이 리트리브될 수 있다. 동작들은, 일부 예들에서, 리트리브된 구조화된 데이터의 일부를 전송하는 것을 더 포함한다. 그 다음, 동작들은 페이지 토큰을 전송하는 것을 포함하고, 페이지 토큰은 리트리브된 구조화된 데이터의 리스트 내의 위치를 표시한다. 동작들은 또한 리트리브된 구조화된 데이터의 일부분은 리스트 내의 페이지 토큰보다 더 앞선 위치들로부터의 데이터만을 포함할 수 있다. 일부 예들에서, 데이터 저장소는 분산형 저장 시스템을 포함한다. 다른 예들에서, 데이터 저장소는 관계형 데이터베이스를 포함한다. 이벤트 데이터의 복수의 이벤트들 중 적어도 하나는 복수의 이질적인 컴퓨팅 자원들 중 대응하는 것의 측정된 특성을 표시할 수 있다. 동작들은 우선순위 규칙들의 세트에 기초하여 측정된 특성의 우선순위를 결정하는 것을 포함할 수 있다. 구조화된 데이터를 요청하는 리트리벌 요청은 일부 구현들에서, 제1 시간 범위 및 제2 시간 범위와 연관되고, 제2 시간 범위는 제1 시간 범위와는 상이하다. 이벤트 데이터를 수집하는 것은 애플리케이션 프로그래밍 인터페이스를 통해 복수의 이질적인 컴퓨팅 자원들로부터 네트워크를 통해 이벤트 데이터를 획득하는 것을 포함할 수 있다. 일부 구현들에서, 동작들은, 데이터를 축출하기 위한 축출 요청을 수신하는 것을 더 포함할 수 있고, 데이터를 축출하기 위한 축출 요청은 축출 요청에 의해 특정된 시간 범위, 축출 요청에 의해 특정된 하나 이상의 수집-속성들 또는 축출 요청에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들 중 적어도 하나와 연관된다. 그 다음, 동작들은 축출 요청에 의해 특정된 시간 범위, 축출 요청에 의해 특정된 하나 이상의 수집-속성들 또는 축출 요청에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들 중 적어도 하나와 연관된 구조화된 데이터를 데이터 저장소로부터 축출하는 것을 포함한다. 일부 구현들에서, 이벤트 데이터를 수집하는 것은, 수집 요청을 수신하는 것; 타임 스케줄로부터의 표시; 또는 이벤트로부터의 표시 중 적어도 하나에 대해 응답한다. 구조화된 데이터를 리트리브하는 것은 리트리벌 요청과 연관된 구조화된 데이터의 허가들을 검증하는 것을 포함할 수 있다.
[0007] 본 개시의 하나 이상의 구현들의 세부사항들은 첨부된 도면들 및 이하의 설명에서 기술된다. 다른 양상들, 특징들 및 이점들은 설명 및 도면들로부터 및 청구항들로부터 자명할 것이다.
[0008] 도 1a 및 도 1b는 구조화된 이벤트 데이터를 저장 및 검색하기 위한 예시적인 시스템의 개략도들이다.
[0009] 도 2는 도 1a 및 도 1b의 시스템의 수집 인터페이스의 예시적인 컴포넌트들의 개략도이다.
[0010] 도 3은 도 1a 및 도 1b의 시스템의 지속성 서브시스템의 예시적인 컴포넌트들의 개략도이다.
[0011] 도 4는 도 1a 및 도 1b의 시스템들의 리트리벌 인터페이스의 예시적인 컴포넌트들의 개략도이다.
[0012] 도 5는 이벤트 데이터를 저장 및 구조화하는 방법에 대한 동작들의 예시적인 어레인지먼트의 흐름도이다.
[0013] 도 6은 본원에 설명된 시스템들 및 방법들을 구현하기 위해 사용될 수 있는 예시적인 컴퓨팅 디바이스의 개략도이다.
[0014] 다양한 도면들에서 유사한 참조 부호들은 유사한 요소들을 표시한다.
[0015] 수집 및 분석되어야 하는 이용가능한 원시 보안 신호들의 양이 기하급수적으로 증가함에 따라(예컨대, 방대한 분산형 컴퓨팅 시스템에 걸친 자원들에 대한 보안 발견들 또는 이벤트들), 기업들은 클라우드 환경에서 보안 문제들을 검출하고 그에 대응하는 데 있어서 효율성을 증가시킬 방법들을 모색하고 있다.
[0016] 본원의 구현들은, 통찰력들을 전달하고 인간의 이해 및 우선순위화된 응답 액션들을 유도하도록 프로그래밍 방식의 및 인간의 분석 및 이들의 데이터의 우선순위화 둘 모두를 가속화하기 위해, 이전의 이질적인 소스들에 걸쳐 규모에 따라 현재 및 과거 원시 보안 데이터의 인덱싱 및 가입을 가능하게 하기 위한 시스템들 및 방법들에 관한 것이다. 또한, 본원의 구현들은 사용자들이 사용자의 자산들, 작업 부하들 및 관련 위협들의 추상화들에 기초하여 조직화, 관리, 조사하고, 판단들을 통지받고, 동작하며, 사용자의 인지 및 노력 부하를 더 감소시키는 것을 가능하게 한다. 이러한 기여들은 클라우드 자원들 및 클라우드 자원들과 연관된 보안 정보에 관한 구조화된 타임-스탬핑된 정보의 효율적인 수집 및 리트리벌을 제공함으로써, 문제들을 검출 및 수정하기 위한 시간을 감소시키고, 위험들 및 사고들의 폭발 반경을 최소화한다.
[0017] 도 1a 및 도 1b를 참조하면, 일부 구현들에서, 예시적인 시스템(100)은 원격 시스템(112)을 포함한다. 원격 시스템(112)은 단일 컴퓨터, 다수의 컴퓨터들, 또는 스케일러블/탄력적 컴퓨팅 자원들(114)(예컨대, 데이터 프로세싱 하드웨어(610)(도 6)) 및/또는 저장 자원들(116)(예컨대, 메모리 하드웨어(620)(도 6))을 갖는 분산형 시스템(예컨대, 클라우드 환경)일 수 있다. 원격 시스템(112)은 네트워크(120)를 통해 복수의 이질적인 컴퓨팅 자원들 또는 클라이언트들(118, 118a-n)에 연결된다. 클라이언트 또는 컴퓨팅 자원들(118) 중 하나 이상에 의한 저장 자원들(116)의 스케일러블 사용을 허용하기 위해, 저장 추상화(150)(예컨대, 분산형 저장 시스템 또는 데이터 저장소)가 저장 자원들(116) 상에 오버레이된다. 원격 시스템(112)은 구조화된 데이터 검색 시스템(160)을 실행한다. 검색 시스템(160)은 컴퓨팅 자원들(118)로부터 이벤트 데이터(162)를 획득하고 수집한다. 이벤트 데이터(162)는 클라우드 자원들과 연관된 이벤트들을 표현한다. 일부 구현들에서, 이벤트 데이터(162) 또는 연관된 이벤트는 복수의 이질적인 컴퓨팅 자원들(118) 중 대응하는 것의 측정된 특성을 표시한다. 예를 들어, 이벤트 데이터(162)는 클라우드 자원들, 보안 및 프라이버시 취약성들, 및 호출자 제공 주석 데이터와 연관된 특성들을 포함한다. 일부 구현들에서, 이벤트 데이터(162)는 부모-자식 관계를 갖는 계층 구조(예컨대, 클라우드 자원들의 계층 구조)를 형성한다. 시스템(160)은 우선순위 규칙들의 세트에 기초하여 측정된 특성의 우선순위를 결정할 수 있다. 이벤트 데이터(162)는 또한 엘리먼트들 사이의 일-대-다 또는 다-대-다 관계들을 갖는 그래프를 형성할 수 있다. 예를 들어, 이벤트 데이터(162)는 클라우드 자원 및 클라우드 자원과 연관된 모든 보안 문제들을 표현할 수 있다.
[0018] 검색 시스템(160)에 의해 수신된 이벤트 데이터(162)는 타임스탬프(164), 적어도 하나의 수집-속성(166) 및 커스텀 인덱싱-속성들(168)을 더 포함한다. 커스텀 인덱싱-속성들(168)은 이벤트 데이터(162)에 포함될 수 있거나 또는 포함되지 않을 수 있다. 일부 예들에서, 검색 시스템(160)은 수집 인터페이스(200), 지속성 서브시스템(300) 및 리트리벌 인터페이스(400)를 포함한다. 수집 인터페이스(200)는 이벤트 데이터(162)를 수신하고, 데이터(162)를 프로세싱하고, 수집된 데이터(162)를 지속성 서브시스템(300)에 전달한다. 지속성 서브시스템(300)은 이벤트 데이터(162)를 구조화된 데이터로서 저장 추상화(150)에 저장한다. 저장 추상화(150)는 컴퓨팅 자원들(118)로부터의 이벤트 데이터(162)를 저장하도록 구성된다. 분산형 저장 시스템(150)은 복구 목적들을 위해 저장된 이벤트 데이터(162)를 백업하도록 구성된 아카이브(190)(예컨대, 테이프 아카이브)를 구현할 수 있다. 아카이브(190)는 긴 보유 기간(예컨대, 3년)을 포함할 수 있다. 리트리벌 인터페이스(400)는, 데이터 요청자(119)로부터의 리트리벌 요청(410)에 대한 응답으로, 리트리벌 데이터(420)를 데이터 요청자(119)에 전달한다. 데이터 요청자(119)는 이벤트 데이터(162) 및 대응하는 리트리벌 데이터(420)를 소유하는 사용자/고객 또는 엔티티와 연관될 수 있고, 따라서, 리트리벌 데이터(420)에 포함할 콘텐츠들을 특정하는 리트리벌 요청(410)을 송신함으로써 콘텐츠를 검사하기 위해 리트리벌 데이터(420)에 액세스할 수 있다.
[0019] 도 1b를 참조하면, 일부 구현들에서, 분산형 시스템(140)은 느슨하게 커플링된 메모리 호스트들(114, 114a-n)(즉, 데이터 프로세싱 하드웨어)을 포함하며, 각각은 데이터를 캐시하기 위해 사용될 수 있는 저장 자원들(116)(예컨대, 메모리 하드웨어, 플래시 메모리, DRAM(dynamic random access memory), PCM(phase change memory), 및/또는 디스크들)과 통신하는 컴퓨팅 자원(122)(예컨대, 하나 이상의 프로세서들 또는 CPU(central processing unit)들)을 갖는다. 저장 자원들(116) 상에 오버레이된 저장 추상화(150)는 하나 이상의 클라이언트들(118, 119)에 의한 저장 자원들(116)의 스케일러블 사용을 가능하게 한다. 클라이언트들(118, 119)은 네트워크(120)를 통해(예컨대, RPC(remote procedure calls)를 통해) 메모리 호스트들(114)과 통신할 수 있다. 일부 구현들에서, 원격 분산형 시스템(112)은 "단면형"이다. "단면형"은 메모리 호스트들(114)에 대한 대부분의 요청 프로세싱이 메모리 호스트들(114)의 CPU들(122) 상에서 실행되는 소프트웨어에 의해 수행되기보다는 하드웨어에서 수행될 수 있게 하는 방법을 지칭한다.
[0020] 분산형 시스템(112)은 클라이언트들(118, 119)로부터 획득된 이벤트 데이터(162)를 원격 메모리 호스트들(114)의 저장 자원들(116)(예컨대, 저장 추상화(150))에 저장하고, NIC(network interface controllers)(126)를 통해 원격 메모리 호스트들(114)로부터 리트리벌 데이터(420)를 획득할 수 있다. 네트워크 인터페이스 제어기(126)(네트워크 인터페이스 카드, 네트워크 어댑터, 또는 LAN 어댑터로 또한 알려짐)는 컴퓨팅 디바이스/자원(122)을 네트워크(120)에 연결하는 컴퓨터 하드웨어 컴포넌트일 수 있다. 메모리 호스트들(114a-n) 및 클라이언트들(118, 119) 둘 모두는 각각 네트워크 통신들을 위한 네트워크 인터페이스 제어기(126)를 가질 수 있다. 각각의 메모리 위치(124)는 이벤트 데이터(162)를 저장하도록 구성된다. 본원에서 사용되는 바와 같이, 클라이언트들(118, 119)은 구조화된 데이터 시스템(160) 및 구조화된 데이터 시스템(160)에 의해 수집된 이벤트 데이터(162)와 연관된 고객들/사용자들과 연관된 데이터 요청자들(119)에 의해 수집된 이벤트 데이터(162) 및 리트리벌 요청들(410)을 전송하는 것에 대한 응답으로 구조화된 데이터 시스템(160)으로부터 리트리브된 대응하는 리트리벌 데이터(410)를 수집/획득/측정하는 이질적인 컴퓨팅 자원들(118)을 포함할 수 있다.
[0021] 이제 도 2를 참조하면, 수집 인터페이스(200)는 이벤트 데이터(162)를 수집한다. 수집 인터페이스(200)는 이질적인 컴퓨팅 자원들(118)로부터 이벤트 데이터(162)를 수신함으로써 그리고/또는 이질적인 컴퓨팅 자원들로부터 네트워크(120)를 통해(예컨대, API(application programming interface)를 통해) 이벤트 데이터(162)를 능동적으로 페칭함으로써 이벤트 데이터(162)를 수집할 수 있다. 선택적으로, 이벤트 데이터(162)는 API를 통해 기록되거나 업데이트될 수 있다. 즉, 클라이언트들(118, 119)은 API를 통해 이벤트 데이터(162)를 수집 인터페이스(200)에 푸시할 수 있다. 수집 인터페이스(200)는 임의의 수의 자극들에 대한 응답으로 데이터를 수집할 수 있다. 예컨대, 이벤트 데이터를 수집하는 것은 수집 요청을 수신하는 것에 대한 응답일 수 있다. 즉, 사용자 또는 클라이언트는 데이터를 수집하도록 수집 인터페이스(200)에 요청한다. 수집 인터페이스(200)는 또한, 시간 스케줄로부터의 표시에 대한 응답으로 데이터를 수집할 수 있다. 예컨대, 수집 인터페이스에 대한 시간 스케줄은 이벤트 데이터가 수집되어야 하는 특정 시간들 또는 시간들의 범위들을 특정할 수 있다. 선택적으로, 수집 인터페이스(200)는 이벤트로부터의 표시에 대한 응답으로 데이터를 수집할 수 있다. 즉, 특정 이벤트 데이터를 수집하는 것은 동일한 또는 상이한 클라이언트(118)로부터의 추가적인 이벤트 데이터(162)의 수집을 트리거링할 수 있다.
[0022] 이전에 논의된 바와 같이, 이벤트 데이터(162)는 타임스탬프(164)를 포함한다. 타임스탬프(164)는 각각의 컴퓨팅 자원(118)이 각각의 이벤트를 획득한 시점을 표시한다. 일부 예들에서, 이벤트는 클라우드 자원과 연관되고, 클라우드 자원의 동작과 연관된 특성 또는 일부 다른 측정가능한 파라미터를 포함할 수 있다. 예를 들어, 이벤트 데이터(162)는 원격 컴퓨팅 자원(118)를 스캔한 보안 스캐너로부터의 결과들을 포함할 수 있다. 다른 예에서, 이벤트 데이터(162)는 원격 데이터베이스와 연관된 컴퓨팅 자원(118) 상에 패스워드가 설정되었다는 통지를 포함한다. 타임스탬프(164)는 이벤트가 발생한 시간을 표시할 수 있다. 즉, 스캐너 예를 다시 참조하면, 타임스탬프(164)는 보안 스캐너가 스캔을 완료했거나 또는 원격 컴퓨팅 자원(118)이 스캐너로부터 스캐닝 결과들을 수신한 때를 표시할 수 있다. 일부 구현들에서, 타임스탬프(164)는 이벤트 데이터(162)가 구조화된 데이터 검색 시스템(160)에 의해 수집된 시간을 표시할 수 있다. 다른 구현들에서, 수집 인터페이스(200)는 타임스탬프(164)가 없는 이벤트 데이터(162)를 수집할 때 (예컨대, 현재 시간의) 타임스탬프(164)를 제공한다.
[0023] 이벤트 데이터(162)는 또한 하나 이상의 수집-속성들(166)을 포함한다. 이러한 속성들(166)은 데이터(162)의 수집을 허용하기 위해 수집 인터페이스(200)에 요구된다. 예를 들어, 이벤트 데이터(162)는 수집 규칙들(210)(즉, 유효성 규칙들 또는 수집 기준들)과 비교될 수 있다. 규칙들(210)이 충족되지 않으면(예컨대, 수집-속성(166)이 누락됨), 데이터(162)는 무효로 결정될 수 있고, 데이터(162)는 폐기되거나(212)(즉, 무시되거나 또는 거부됨) 그렇지 않으면 수집되지 않을 수 있다. 규칙들(210)이 충족되면(예컨대, 모든 수집-속성들(166)이 적절한 포맷으로 존재하고), 수집 인터페이스(200)는 데이터(162)가 유효하다고 결정하고, 데이터(162)를 수집하고, 수집된 데이터(162)를 인덱싱을 위해 지속성 서브시스템(300)에 전송하는 것을 진행할 수 있다. 일부 구현들에서, 수집 규칙들(210)은 단지 수집-속성들(166)의 존재 이상을 검증한다. 예를 들어, 수집 규칙들(210)은 시간 및/또는 대역폭 제약들(예를 들어, 데이터(162)의 양 또는 데이터(162)가 획득되는 레이트)을 강제할 수 있다. 다른 예에서, 수집 규칙들(210)은 데이터(162) 및/또는 시스템(100)에 대한 액세스 제어(즉, 허가들)를 강제한다(즉, 데이터(162)가 시스템(100)에 대한 액세스 또는 허가를 갖는 것 그리고/또는 시스템(100)이 데이터(162)에 대한 액세스 또는 허가를 갖는 것을 검증한다). 또 다른 예에서, 수집 규칙들(210)은 순서화를 강제하고, 비순차적 업데이트들을 거부할 수 있다. 수집 규칙은 대응하는 이벤트의 우선순위를 결정하는 우선순위 규칙들의 세트를 포함할 수 있다. 데이터는 결정된 우선순위에 부분적으로 기초하여 수집 또는 인덱싱될 수 있다. 수집-속성들(166)은 강력하게 타이핑될 수 있다(즉, 속성들의 타입 및 포맷이 엄격하게 강제될 수 있음). 수집-속성들(166)은 쌍들(예컨대, 키, 값)로서 표현될 수 있다.
[0024] 도 2를 계속 참조하면, 이벤트 데이터(162)는 일부 구현들에서, 커스텀 인덱싱-속성들(168)을 포함한다. 커스텀 인덱싱-속성들(168)은 수집 인터페이스(200)가 데이터(162)를 수집하는 데 필수적인 것이 아니라, 대신에, 이벤트 데이터(162)를 인덱싱 및 리트리브할 때 클라이언트들(예컨대, 데이터 요청자들(119))의 추가적인 유연성 및 맞춤화를 허용한다. 즉, 이벤트 데이터(162)는 커스텀 인덱싱-속성들(168)의 존재와 무관하게 수집될 수 있다. 예컨대, 클라이언트에 의해 정의된 디스크립션 속성은 선택적일 수 있고, 수집 인터페이스(200)는 디스크립션이 없는 이벤트 데이터(162)를 여전히 수집할 수 있다. 수집-속성들(166)과 같이, 커스텀 인덱싱-속성들(168)은 고객 또는 클라이언트가 정의하는 (키, 값) 쌍들로서 표현될 수 있다. 일부 구현들에서, 커스텀 인덱싱-속성들(168)은 추가적인 호출자 제공 튜플들(예컨대, 키, 값, 유효성 기간)로 이벤트 데이터(162)를 증강시킨다.
[0025] 이제 도 3을 참조하면, 수집된 데이터(162)(여전히 타임스탬프(164), 적어도 하나의 수집-속성(166) 및 임의의 커스텀 인덱싱-속성들(168)을 포함함)는 사전-인덱싱된 데이터(162a)로서 지속성 서브시스템(300)에 의해 수신된다. 일부 구현들에서, 지속성 서브시스템은 데이터 인덱서(310)를 포함한다. 데이터 인덱서(310)는 사전-인덱싱된 데이터(162a)를 수락하고, 사전-인덱싱된 데이터(162a)가 클라이언트(119)(또는 클라이언트의 사용자)에 의해 정의된 임의의 커스텀-인덱싱-속성들(168)과 연관되는지 여부를 식별한다. 그 다음, 데이터 인덱서(310)는, 개개의 타임스탬프(164), 수집-속성들(166) 및 임의의 커스텀 인덱싱-속성들(168)에 기초하여, 수집된 데이터(162)를 구조화된 데이터(162b)로서 데이터 저장소(예컨대, 저장 추상화)(150)에 인덱싱(즉, 구조화)한다. 즉, 데이터 인덱서(310)는 영구 저장소에서 효율적인 업데이트 및 리트리벌을 위해 데이터(162)를 순서화하고 조직화한다. 일부 구현들에서, 데이터 저장소(150)는 관계형 데이터베이스와 연관되고, 데이터 인덱서(310)는 데이터(162)를 관계형 데이터베이스에 인덱싱한다. 추가적으로 또는 대안적으로, 데이터 저장소(150)는 분산형 데이터베이스와 연관될 수 있고, 데이터 인덱서(310)는 데이터(162b)를 분산형 데이터베이스에 인덱싱한다.
[0026] 일부 구현들에서, 데이터 인덱서(310)는, 데이터(162)(예컨대, 사전-인덱싱된 데이터(162a))를 구조화할 때, 커스텀 인덱싱-속성들(168)을 추가한다. 예를 들어, 데이터 인덱서(310)는 특정된 시간 기간에 걸쳐 개개의 데이터(162)의 속성들, 특성들, 증강들 및 관계 구조(예컨대, 부모-자식 관계) 등의 모든 변경들을 포함하는 타임라인 속성을 추가할 수 있다.
[0027] 일부 예들에서, 지속성 서브시스템(300)은 데이터 축출기(320)를 포함한다. 데이터 축출기(320)는 보유 임계치들(322)을 포함할 수 있다. 지속성 서브시스템(300)은 데이터 축출기(320)를 통해, 구조화된 데이터(162b)가 데이터 저장소(150)에 저장되는 시간의 양을 제한할 수 있다. 즉, 구조화된 데이터(162b)는 개개의 보유 임계치 또는 축출 시간 기간 임계치들(322)(예컨대, 3개월)을 가질 수 있고, 데이터(162b)가 데이터 저장소(150)에 저장된 시간의 양이 이러한 임계치(322)를 충족할 때, 데이터(162b)는 데이터 저장소(150)로부터 축출(즉, 삭제)될 수 있다. 데이터(162)의 상이한 엘리먼트들은 상이한 보유 임계치들(322)을 가질 수 있다. 구조화된 데이터(162b)의 엘리먼트에 적용되는 임계치는 개개의 타임스탬프(164), 수집-속성들(166), 및 임의의 커스텀 인덱싱-속성들(168) 중 하나 이상에 의존할 수 있다. 예를 들어, 수집-속성(166)은 구조화된 데이터(162b)의 소유자(즉, 구조화된 데이터(162b)의 이벤트와 연관된 클라우드 자원의 소유자)를 포함할 수 있다. 보유 임계치(322)는 소유자 수집-속성(166)의 상황에 기초하여 구조화된 데이터(162b)에 할당될 수 있다.
[0028] 일부 구현들에서, 구조화된 데이터(162b)는 하나 초과의 개개의 보유 임계치(322)를 갖는다. 예를 들어, 구조화된 데이터(162b)는 마지막으로 수정된 보유 임계치(324) 및 총 보유 임계치(326)와 연관될 수 있다. 구조화된 데이터(162b)는 때때로 이전에 수신된 수집된 데이터(162)에 대한 업데이트일 수 있다. 예를 들어, 구조화된 데이터(162b)는 클라우드 자원의 상태(예컨대, 이용가능성)를 업데이트할 수 있다. 서브시스템(300)은 총 보유 임계치(326)보다 더 적은 시간(즉, "최신" 버전보다 더 적은 시간) 동안 구조화된 데이터(162b)의 더 오래된 "버전들"을 저장할 수 있다. 예를 들어, 마지막으로 수정된 보유 임계치(324)는 3개월일 수 있는 한편, 총 보유 임계치(326)는 13개월일 수 있다. 구조화된 데이터(162b)가 업데이트될 때, 데이터(162)의 이전 버전(즉, 데이터가 업데이트되기 전의 데이터)은 마지막으로 수정된 보유 임계치(324)(3개월) 동안 유지될 수 있는 한편, 최신 업데이트(162b)는 나중에 다시 업데이트되지 않는 한 총 보유 임계치(326)(13개월) 동안 유지될 수 있다.
[0029] 도 3을 계속 참조하면, 일부 구현들에서, 지속성 서브시스템(300)은 구조화된 데이터 검색 시스템(160)의 사용자 또는 클라이언트로부터 축출 요청(328)을 수신한다. 예를 들어, 축출 요청(328)을 전송하는 사용자 또는 클라이언트는 데이터 요청자(119)와 연관된 동일한 사용자 또는 클라이언트일 수 있다. 축출 요청(328)은 축출 요청(328)에 의해 특정된 시간 범위(165), 축출 요청(328)에 의해 특정된 하나 이상의 수집-속성들(166) 또는 축출 요청(328)에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들(168) 중 적어도 하나와 연관된 구조화된 데이터(162b)를 데이터 저장소(150)로부터 축출하도록 요청한다. 데이터 축출기(320)는 축출 요청(328)에 기초하여 임의의 양의 구조화된 데이터(162b)를 축출할 수 있다. 예를 들어, 사용자 또는 클라이언트(119)는 대응하는 수집-속성(166)에 의해 특정된 바와 같이 개개의 클라이언트(119)와 연관된 모든 데이터의 축출을 요청할 수 있다. 다른 예에서, 클라이언트(119)는 축출 요청(328)에 의해 특정된 시간 범위(165) 내에 속하는 타임스탬프들(164)을 갖는 모든 데이터의 축출을 요청할 수 있다. 데이터 축출기(320)는 요청자(119)가 요청된 데이터(162)를 축출하도록 인가되었다는 검증(예컨대, 사용자 이름 및 비밀번호)을 요구할 수 있다.
[0030] 이제 도 4를 참조하면, 리트리벌 인터페이스(400)(즉, 질의 인터페이스)는 데이터 저장소(150)에 저장된 구조화된 데이터(162b)에 대한 리트리벌 요청(410)을 수신한다. 리트리벌 요청(410)은 리트리벌 요청(410)이 데이터 저장소(150)로부터의 리트리벌 데이터(420)로서 구조화된 데이터(162b)의 리트리벌을 요청하고 있다는 점을 제외하고는, 도 3의 축출 요청(328)과 실질적으로 유사할 수 있다. 따라서, 리트리벌 요청(410)은 리트리벌 요청(410)에 의해 특정된 시간 범위(165), 리트리벌 요청(410)에 의해 특정된 하나 이상의 수집-속성들(166) 또는 리트리벌 요청(410)에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들(168) 중 적어도 하나와 연관된 구조화된 데이터(162b)를 데이터 저장소(150)로부터 요청할 수 있다. 리트리벌 요청(410)에 의해 특정된 커스텀 인덱싱-속성들(168)은 데이터 인덱서(310)에 의해 생성된 속성들(예컨대, 타임라인 속성)을 포함할 수 있다. 일부 예들에서, 리트리벌 요청(410)은 특정 시점으로부터 데이터를 리트리브하거나 또는 제1 시간 범위와 제2 시간 범위 사이("diff"로 또한 알려짐)의
데이터(162b)를 비교하기 위한 요청을 포함하며, 여기서 각각의 시간 범위는 상이하다. diff는 2개 초과의 시간 범위들 사이에 있을 수 있다. 비교는 추가적인 속성들을 생성할 수 있다. 예를 들어, 비교는 데이터(162b)가 시점에 또는 시점들 둘 모두에 존재했는지 여부 또는 데이터(162b)의 속성들, 특성들 또는 증강들 중 임의의 것이 2개의 시점들 사이에서 변경되었는지 여부를 표시하는 속성을 생성할 수 있다. 다른 예에서, 리트리벌 요청(410)은 특정 클라우드 자원(118)과 연관된 모든 데이터(162b)를 요청할 수 있다. 리트리벌 인터페이스(400)는 데이터 저장소(150)로부터 요청된 구조화된 데이터(162b)를 페치하고 데이터(162b)를 리트리벌 데이터(420)로서 요청자(119)에 리턴할 것이다. 일부 구현들에서, 리트리벌 인터페이스(400)는 속성들(166, 168) 및/또는 타임스탬프들(164)에 기초하여 리트리벌 데이터(420)를 정렬 및/또는 그룹화한다.
[0031] 리트리벌 인터페이스(400)는 또한 데이터(420)의 임의의 엘리먼트들, 이를 테면, 증강들 및 관계 구조(예컨대, 부모-자식 관계)에 대해 리트리벌 데이터(420)를 필터링, 정렬 또는 그룹화할 수 있다. 필터링은 표준화된 또는 독점적인 질의 언어로 특정될 수 있다. 리트리벌 인터페이스는 어그리게이션 함수를 이용하여 리트리벌 데이터(420)를 추가로 그룹화할 수 있다. 예를 들어, 어그리게이션 함수는 카운트, 합산 및/또는 평균을 포함할 수 있다. 일부 구현들에서, 리트리벌 요청들(410)은 개개의 타임스탬프들(164), 속성들(166, 168) 또는 임의의 다른 이벤트들과 연관된 구조화된 이벤트 데이터(162b) 사이의 클러스터링, 상관 및 인과 관계를 노출시키기 위해 함께 "체인화"되거나 또는 다른 방식으로 시퀀싱될 수 있다.
[0032] 일부 구현들에서, 리트리벌 요청(410)을 수신하는 것은 구조화된 데이터 리트리벌 오프셋(412)을 수신하는 것을 포함한다. 구조화된 데이터 리트리벌 오프셋(412)은 리트리브될 구조화된 데이터(162b)의 리스트 내의 위치를 표시한다. 그 다음, 구조화된 데이터(162b)의 리스트 내의 위치 이후의 구조화된 데이터(162b)만이 리트리브된다. 예컨대, 리트리벌 요청(410)이 50의 구조화된 데이터 리트리벌 오프셋(412)을 포함하고, 리트리벌 인터페이스(400)가 리트리벌 요청(410)에 대응하는 구조화된 데이터(162b)의 100개의 엘리먼트들의 리스트를 페치하면, 리트리벌 인터페이스(400)는 모든 데이터 엘리먼트들 대신에 50 내지 100을 리턴한다. 다른 구현들에서, 구조화된 데이터 리트리벌 오프셋(412)은 한번에 리턴할 구조화된 데이터(162b)의 엘리먼트들의 양을 표시한다. 예컨대, 리트리벌 요청(410)은 리트리벌 인터페이스(400)가 한번에 10개의 결과들만을 리턴하도록 요청할 수 있다. 선택적으로, 리트리벌 인터페이스(400)에 의해 리턴된 리트리벌 데이터(420)는 페이지 토큰(422)을 포함할 수 있다. 리트리벌 인터페이스(400)가 리트리벌 요청(410)에 대응하는 리트리벌 데이터(420)의 일부만을 리턴할 때, 페이지 토큰(422)은 리턴된 데이터(420)에 대응하는 리스트 내의 위치를 표시할 수 있다. 즉, 리트리벌 인터페이스(400)가 리턴할 리스트에서 리트리벌 데이터(420)의 100개의 엘리먼트들을 갖고, 10개의 엘리먼트들만을 리턴하면, 페이지 토큰(422)은 리트리벌 인터페이스(400)가 리턴할 리트리벌 데이터(420)의 다음 엘리먼트가 제11 엘리먼트라고 표시할 수 있다. 그 다음, 후속 리트리벌 요청(410)은, 요청자가 다음 "배치" 또는 데이터 그룹(420)에 대해 준비되었음을 리트리벌 인터페이스(400)에 표시하기 위한 페이지 토큰(422)을 포함할 수 있다.
[0033] 따라서, 시스템(100)은 고객들 및 클라이언트들이 높은 레벨의 추상화에서 자신들을 보호할 수 있게 한다. 즉, 자산들, 취약성들, 위협 및 위험 평가들 및 검출들은, 개개의 고객 또는 클라이언트가 배치한 관련 클래스의 비즈니스 및 맥락화된 애플리케이션들(또는 작업 부하들, 서비스들 등)에 따라 규모에 따라 우선순위화되고 개인화된다. 개별 자원들을 전술적으로 보안하는 대신에, 시스템(100)은 클라이언트의 환경을 전체적으로 보안한다. 구체적으로, 시스템(100)은 규모에 따라 작업 부하 및 이의 기본 서비스들 및 자원들에 대한 선언되고 추론된 관계들의 자동 및 보조 발견 둘 모두를 가능하게 한다. 시스템(100)은 규모에 따라 특정 작업 부하(또는 작업 부하 클래스)에 수직인 관계 변화들 및 정적 및 동적 거동의 자동 및 보조 이해 및 기준선 설정 둘 모두를 가능하게 한다. 시스템(100)은 또한, 특정 애플리케이션들, 작업 부하들 및 작업 부하 클래스들의 맥락에서 존재하는 타겟 데이터의 타입들 및/또는 값들의 이해 및 규모에 따른 정적 및 동적 이상들의 자동 및 보조 검출 둘 모두를 가능하게 한다. 시스템(100)은, 특정 클라이언트 또는 고객에 대해 개인화된 공통 위협 행위자들 방법들 및 취약성들, 클라이언트의 특정 비즈니스 콘텍스트, 애플리케이션들, 작업 부하들 및 작업 부하 클래스들에 맵핑된 자동 또는 보조 타겟팅 및 발견들 우선순위화를 허용한다.
[0034] 도 5는 이벤트 데이터를 저장 및 구조화하기 위한 예시적인 방법(500)의 흐름도이다. 흐름도는 데이터 프로세싱 하드웨어(114)에 의해, 데이터 프로세싱 하드웨어(114)와 통신하는 복수의 이질적인 컴퓨팅 자원들(118)에 의해 획득된 복수의 이벤트들에 대한 이벤트 데이터(162)를 네트워크(120)를 통해 수집함으로써 동작(502)에서 시작한다. 일부 구현들에서, 이벤트 데이터를 수집하는 것은, 수집 요청을 수신하는 것; 타임 스케줄로부터의 표시; 또는 이벤트로부터의 표시 중 적어도 하나에 대해 응답한다. 이벤트 데이터(162)는 이벤트가 복수의 이질적인 컴퓨팅 자원들(118) 중 하나에 의해 획득된 시점을 표시하는, 이벤트 데이터(162)의 각각의 이벤트에 대한 개개의 타임스탬프(164)를 포함한다. 이벤트 데이터(162)는 또한 이벤트 데이터(162)의 각각의 이벤트와 연관된 적어도 하나의 수집-속성(166)을 포함한다. 적어도 하나의 수집-속성(166)은 연관된 이벤트의 수집을 허용하는 데 요구되는 수집 기준들(210)을 충족시킨다. 일부 구현들에서, 이벤트 데이터(162)를 수집하는 것은 애플리케이션 프로그래밍 인터페이스를 통해 복수의 이질적인 컴퓨팅 자원들(118)로부터 네트워크(120)를 통해 이벤트 데이터(162)를 페치하는 것을 포함한다.
[0035] 이벤트 데이터(162)의 복수의 이벤트들 각각에 대해, 방법(500)은, 단계(504)에서, 데이터 프로세싱 하드웨어(114)에 의해, 대응하는 이벤트가 이벤트들을 인덱싱하기 위해 사용자에 의해 정의된 임의의 커스텀 인덱싱-속성들(168)과 연관되는지 여부를 식별하는 단계를 포함한다. 일부 예들에서, 커스텀 인덱싱-속성들(168)은 복수의 이질적인 컴퓨팅 자원들(118)의 고객에 의해 정의된 개개의 키-값 쌍을 각각 포함하는 이벤트들을 인덱싱하기 위해 사용자에 의해 정의된다. 단계(506)에서, 방법(500)은 또한 이벤트 데이터(162)의 복수의 이벤트들 각각에 대해, 데이터 프로세싱 하드웨어(114)에 의해, 대응하는 이벤트에 대한 개개의 타임스탬프(164), 대응하는 이벤트와 연관된 적어도 하나의 수집-속성(166), 및 대응하는 이벤트와 연관된 임의의 식별된 커스텀 인덱싱-속성들(168)에 기초하여, 대응하는 이벤트를 구조화된 데이터(162b)로서 데이터 저장소(150)에 인덱싱하는 단계를 포함한다. 일부 예들에서, 데이터 저장소(150)는 분산형 저장 시스템을 포함한다. 다른 예들에서, 데이터 저장소(150)는 관계형 데이터베이스를 포함한다.
[0036] 단계(508)에서, 방법(500)은 데이터 프로세싱 하드웨어(114)에 의해, 축출 시간 기간 임계치(322)를 충족시키는 시간 기간 동안 구조화된 데이터(162b)로서 데이터 저장소(150)에 인덱싱된 이벤트 데이터(162)의 이벤트들 중 임의의 이벤트를 축출하는 단계를 포함한다. 방법(500)은 단계(510)에서, 데이터 프로세싱 하드웨어(114)에서, 데이터 저장소(150) 내에 저장된 구조화된 데이터(162b)에 대한 리트리벌 요청(410)을 수신하는 단계를 포함하고, 리트리벌 요청(410)은 리트리벌 요청(410)에 의해 특정된 시간 범위(165), 리트리벌 요청(410)에 의해 특정된 하나 이상의 수집-속성들(166) 또는 리트리벌 요청(410)에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들(168) 중 적어도 하나와 연관된 구조화된 데이터(162b)를 요청한다. 구조화된 데이터(162b)를 요청하는 리트리벌 요청(410)은 제1 시간 범위 및 제2 시간 범위와 연관될 수 있다. 제2 시간 범위는 제1 시간 범위와는 상이하다.
[0037] 단계(512)에서, 방법(500)은 데이터 프로세싱 하드웨어(114)에 의해, 리트리벌 요청(410)에 의해 특정된 시간 범위(165), 리트리벌 요청(410)에 의해 특정된 하나 이상의 수집-속성들(166) 또는 리트리벌 요청(410)에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들(168) 중 적어도 하나와 연관된 구조화된 데이터(162b)를 데이터 저장소(150)로부터 리트리브하는 단계를 포함한다. 예컨대, 구조화된 데이터(162b)가 특정된 시간 범위(165) 내에 속하는 대응하는 타임스탬프(164)를 포함할 때, 구조화된 데이터(162b)는 리트리벌 요청(410)에 의해 특정된 시간 범위(165)와 연관될 수 있다. 일부 구현들에서, 리트리벌 요청(410)을 수신하는 것은, 구조화된 데이터 리트리벌 오프셋(412)을 수신하는 것을 포함하고, 구조화된 데이터 리트리벌 오프셋(412)은 리트리브될 구조화된 데이터(162b)의 리스트 내의 위치를 표시하고, 구조화된 데이터(162b)의 리스트 내의 위치 이후의 구조화된 데이터(162b)만이 리트리브된다. 구조화된 데이터(162b)를 리트리브하는 것은 리트리벌 요청(410)과 연관된 구조화된 데이터의 허가들을 검증하는 것을 포함할 수 있다.
[0038] 선택적으로, 방법(500)은, 이벤트 데이터(162)의 복수의 이벤트들 각각에 대해, 데이터 프로세싱 하드웨어(114)에 의해, 대응하는 이벤트가 유효한지 여부를 결정하기 위해 유효성 규칙들의 세트(210)를 적용하는 단계를 포함한다. 방법(500)은 또한 대응하는 이벤트가 적용된 유효성 규칙들의 세트(210)에 기초하여 유효일 때, 대응하는 이벤트를 구조화된 데이터(162b)로서 데이터 저장소(150)에 인덱싱하는 단계를 포함할 수 있다. 유효성 규칙들의 세트(210)는 대응하는 이벤트의 우선순위를 결정하기 위한 우선순위 규칙들의 세트를 포함할 수 있다. 대응하는 이벤트가 적용된 유효성 규칙들의 세트에 기초하여 무효일 때, 방법(500)은 데이터 프로세싱 하드웨어(114)에 의해, 데이터 저장소(150)로의 인덱싱을 위한 대응하는 이벤트를 거부하는 단계를 포함할 수 있다. 일부 예들에서, 방법(500)은 데이터 프로세싱 하드웨어(114)에 의해, 리트리브된 구조화된 데이터(162b) 및 페이지 토큰(422)의 일부분을 전송하는 단계를 포함한다. 페이지 토큰(422)은 리트리브된 구조화된 데이터(162b)의 리스트 내의 위치를 표시하고, 리트리브된 구조화된 데이터(162b)의 일부분은 리스트 내의 페이지 토큰(422)보다 더 앞선 위치들로부터의 데이터(162b)만을 포함한다. 이벤트 데이터(162)의 복수의 이벤트들 중 적어도 하나는 복수의 이질적인 컴퓨팅 자원들(118) 중 대응하는 것의 측정된 특성을 표시할 수 있다. 선택적으로, 방법(500)은 우선순위 규칙들의 세트에 기초하여 측정된 특성의 우선순위를 결정하는 단계를 포함한다.
[0039] 소프트웨어 애플리케이션(즉, 소프트웨어 자원)은 컴퓨팅 디바이스로 하여금 작업을 수행하게 하는 컴퓨터 소프트웨어를 지칭할 수 있다. 일부 예들에서, 소프트웨어 애플리케이션은 "애플리케이션", "앱" 또는 "프로그램"으로 지칭될 수 있다. 예시적인 애플리케이션들은 시스템 진단 애플리케이션들, 시스템 관리 애플리케이션들, 시스템 유지 보수 애플리케이션들, 워드 프로세싱 애플리케이션들, 스프레드 시트 애플리케이션들, 메시징 애플리케이션들, 미디어 스트리밍 애플리케이션들, 소셜 네트워킹 애플리케이션들, 및 게이밍 애플리케이션들을 포함한다(그러나 이에 제한되지 않음).
[0040] 도 6은 본 문헌에 설명된 시스템들 및 방법들을 구현하기 위해 사용될 수 있는 예시적인 컴퓨팅 디바이스(600)의 개략도이다. 컴퓨팅 디바이스(600)는 랩톱들, 데스크톱들, 워크스테이션들, 개인 휴대 정보 단말들, 서버들, 블레이드 서버들, 메인프레임들 및 다른 적절한 컴퓨터들과 같은 다양한 형태들의 디지털 컴퓨터들을 표현하도록 의도된다. 여기에 도시된 컴포넌트들, 이들의 연결들 및 관계들, 및 기능들은 오직 예시일 뿐이며, 본 문헌에서 설명 및/또는 청구된 발명들의 구현들을 제한하려는 의도가 아니다.
[0041] 컴퓨팅 디바이스(600)는 프로세서(610), 메모리(620), 저장 디바이스(630), 메모리(620) 및 고속 확장 포트들(650)에 연결되는 고속 인터페이스/제어기(640), 및 저속 버스(670) 및 저장 디바이스(630)에 연결되는 저속 인터페이스/제어기(660)를 포함한다. 컴포넌트들(610, 620, 630, 640, 650, 660) 각각은 다양한 버스들을 사용하여 상호연결되며, 공통 마더보드 상에 또는 적절한 다른 방식들로 장착될 수 있다. 프로세서(610)는, 고속 인터페이스(640)에 커플링된 디스플레이(680)와 같은 외부 입력/출력 디바이스 상의 GUI(graphical user interface)에 대한 그래픽 정보를 디스플레이하기 위해 메모리(620)에 또는 저장 디바이스(630) 상에 저장된 명령들을 포함하는, 컴퓨팅 디바이스(600) 내에서의 실행을 위한 명령들을 프로세싱할 수 있다. 다른 구현들에서, 다수의 프로세서들 및/또는 다수의 버스들이 다수의 메모리들 및 메모리의 타입들과 함께 적절하게 사용될 수 있다. 또한, 다수의 컴퓨팅 디바이스들(600)은 (예를 들어, 서버 뱅크, 블레이드 서버들의 그룹, 또는 다중 프로세서 시스템으로서) 필요한 동작들의 부분들을 제공하는 각각의 디바이스와 연결될 수 있다.
[0042] 메모리(620)는 컴퓨팅 디바이스(600) 내에 비일시적으로 정보를 저장한다. 메모리(620)는 컴퓨터 판독가능 매체, 휘발성 메모리 유닛(들) 또는 비휘발성 메모리 유닛(들)일 수 있다. 비일시적 메모리(620)는 컴퓨팅 디바이스(600)에 의한 사용을 위해 일시적 또는 영구적으로 프로그램들(예를 들어, 명령들의 시퀀스들) 또는 데이터(예를 들어, 프로그램 상태 정보)를 저장하기 위해 사용되는 물리적 디바이스들일 수 있다. 비휘발성 메모리의 예들은 플래시 메모리 및 ROM(read-only memory) / PROM(programmable read-only memory) / EPROM(erasable programmable read-only memory) / EEPROM(electronically erasable programmable read-only memory)(예를 들어, 통상적으로 부트 프로그램들과 같은 펌웨어에 사용됨)을 포함한다(그러나, 이에 제한되지 않음). 휘발성 메모리의 예들은 RAM(Random Access Memory), DRAM(Dynamic Random Access Memory), SRAM(Static Random Access Memory), PCM(Phase Change Memory)뿐만 아니라 디스크들 또는 테이프들을 포함한다(그러나, 이에 제한되지 않음).
[0043] 저장 디바이스(630)는 컴퓨팅 디바이스(600)에 대한 대용량 저장을 제공할 수 있다. 일부 구현들에서, 저장 디바이스(630)는 컴퓨터 실행가능 매체이다. 다양한 다른 구현들에서, 저장 디바이스(630)는 플로피 디스크 디바이스, 하드 디스크 디바이스, 광 디스크 디바이스 또는 테이프 디바이스, 플래시 메모리 또는 다른 유사한 솔리드 스테이트 메모리 디바이스, 또는 저장 영역 네트워크 또는 다른 구성들의 디바이스들을 포함하는 디바이스들의 어레이일 수 있다. 추가적인 구현들에서, 컴퓨터 프로그램 제품은 정보 캐리어에서 유형적으로 구현된다. 컴퓨터 프로그램 제품은 전술된 것들과 같이, 실행될 때, 하나 이상의 방법들을 수행하는 명령들을 포함한다. 정보 캐리어는 메모리(620), 저장 디바이스(630) 또는 프로세서(610) 상의 메모리와 같은 컴퓨터 또는 머신 판독가능 매체이다.
[0044] 고속 제어기(640)는 컴퓨팅 디바이스(600)에 대한 대역폭 집약적인 동작들을 관리하는 반면, 저속 제어기(660)는 더 낮은 대역폭 집약적 동작들을 관리한다. 이러한 업무 할당은 단지 예시적이다. 일부 구현들에서, 고속 제어기(640)는 (예를 들어, 그래픽 프로세서 또는 가속기를 통해) 메모리(620), 디스플레이(680)에 그리고 다양한 확장 카드들(미도시)를 수용할 수 있는 고속 확장 포트들(650)에 커플링된다. 일부 구현들에서, 저속 제어기(660)는 저장 디바이스(630) 및 저속 확장 포트(690)에 커플링된다. 다양한 통신 포트들(예를 들어, USB, 블루투스, 이더넷, 무선 이더넷)을 포함할 수 있는 저속 확장 포트(690)는 키보드, 포인팅 디바이스, 스캐너와 같은 하나 이상의 입력/출력 디바이스들, 또는 예를 들어, 네트워크 어댑터를 통해 스위치 또는 라우터와 같은 네트워킹 디바이스에 커플링될 수 있다.
[0045] 컴퓨팅 디바이스(600)는 도면에 도시된 바와 같이 다수의 상이한 형태들로 구현될 수 있다. 예를 들어, 이는, 표준 서버(600a)로서 또는 그러한 서버들(600a)의 그룹에서 여러번, 랩톱 컴퓨터(600b)로서 또는 랙 서버 시스템(600c)의 일부로서 구현될 수 있다.
[0046] 본원에 설명된 시스템들 및 기술들의 다양한 구현들은 디지털 전자 및/또는 광학 회로부, 집적 회로부, 특별히 설계된 ASIC들(application specific integrated circuits), 컴퓨터 하드웨어, 펌웨어, 소프트웨어 및/또는 이들의 조합들로 실현될 수 있다. 이러한 다양한 구현들은, 저장 시스템, 적어도 하나의 입력 디바이스 및 적어도 하나의 출력 디바이스로부터 데이터 및 명령들을 수신하고 그에 데이터 및 명령들을 송신하도록 커플링된, 특수 목적 또는 범용일 수 있는 적어도 하나의 프로그래밍가능 프로세서를 포함하는 프로그래밍가능 시스템 상에서 실행가능한 및/또는 해석가능한 하나 이상의 컴퓨터 프로그램들로 구현을 포함할 수 있다.
[0047] 이러한 컴퓨터 프로그램들(또한 프로그램들, 소프트웨어, 소프트웨어 애플리케이션들 또는 코드로 공지됨)은 프로그래밍가능한 프로세서에 대한 머신 명령들을 포함하고, 하이 레벨 절차 및/또는 객체 지향 프로그래밍 언어 및/또는 어셈블리/기계 언어로 구현될 수 있다. 본원에 사용되는 바와 같이, "머신 판독가능 매체" 및 "컴퓨터 판독가능 매체"라는 용어들은 머신 판독가능 신호로서 머신 명령들을 수신하는 머신 판독가능 매체를 포함하는, 머신 명령들 및/또는 데이터를 프로그래밍가능 프로세서에 제공하기 위해 사용되는 임의의 컴퓨터 프로그램 제품, 비일시적 컴퓨터 판독가능 매체, 장치 및/또는 디바이스(예를 들어, 자기 디스크들, 광 디스크들, 메모리, PLD(Programmable Logic Device)들)를 지칭한다. "머신 판독가능 신호"라는 용어는 머신 명령들 및/또는 데이터를 프로그래밍가능 프로세서에 제공하기 위해 사용되는 임의의 신호를 지칭한다.
[0048] 본 명세서에서 설명된 프로세스들 및 로직 흐름들은 입력 데이터에 대해 동작하고 출력을 생성함으로써 기능들을 수행하기 위해 하나 이상의 컴퓨터 프로그램들을 실행하는, 데이터 프로세싱 하드웨어로 또한 지칭되는 하나 이상의 프로그래밍가능 프로세서들에 의해 수행될 수 있다. 예를 들어, FPGA(field programmable gate array) 또는 ASIC(application specific integrated circuit)와 같은 특수 목적 로직 회로부에 의해 프로세스들 및 로직 흐름들이 또한 수행될 수 있다. 컴퓨터 프로그램의 실행에 적합한 프로세서들은 예시의 방식으로, 범용 및 특수 목적 마이크로프로세서들 둘 모두, 및 임의의 종류의 디지털 컴퓨터의 임의의 하나 이상의 프로세서들을 포함한다. 일반적으로, 프로세서는 판독 전용 메모리 또는 랜덤 액세스 메모리 또는 둘 모두로부터 명령어들 및 데이터를 수신할 것이다. 컴퓨터의 필수 엘리먼트들은 명령들을 수행하기 위한 프로세서 및 명령들 및 데이터를 저장하기 위한 하나 이상의 메모리 디바이스들이다. 일반적으로, 컴퓨터는 또한 데이터를 저장하기 위한 하나 이상의 대용량 저장 디바이스들, 예를 들어, 자기, 자기 광학 디스크들 또는 광학 디스크들을 포함하거나, 또는 이들로부터 데이터를 수신하거나 이들에 데이터를 전송하거나 또는 둘 모두를 위해 동작가능하게 커플링될 것이다. 그러나, 컴퓨터는 이러한 디바이스들을 가질 필요가 없다. 컴퓨터 프로그램 명령들 및 데이터를 저장하기에 적합한 컴퓨터 판독가능 매체들은, 예를 들어, 반도체 메모리 디바이스들, 예를 들어, EPROM, EEPROM 및 플래시 메모리 디바이스들; 자기 디스크들, 예를 들어, 내부 하드 디스크들 또는 착탈식 디스크들; 자기-광학 디스크들; 및 CD-ROM 및 DVD-ROM 디스크들을 포함하는 모든 형태들의 비휘발성 메모리, 매체들 및 메모리 디바이스들을 포함한다. 프로세서 및 메모리는 특수 목적 로직 회로에 의해 보완되거나 그에 통합될 수 있다.
[0049] 사용자와의 상호작용을 제공하기 위해, 본 개시의 하나 이상의 양상들은 디스플레이 디바이스, 예를 들어, 사용자에게 정보를 디스플레이하기 위한 CRT(cathode ray tube), LCD(liquid crystal display) 모니터 또는 터치 스크린, 및 선택적으로 키보드 및 포인팅 디바이스, 예를 들어, 사용자가 컴퓨터에 입력을 제공할 수 있도록 하는 마우스 또는 트랙볼을 갖는 컴퓨터 상에서 구현될 수 있다. 다른 종류들의 디바이스들이 또한 사용자와의 상호작용을 제공하기 위해 사용될 수 있는데: 예를 들어, 사용자에게 제공된 피드백은 임의의 형태의 센서 피드백, 예를 들어, 시각적 피드백, 청각적 피드백 또는 촉각적 피드백일 수 있고; 사용자로부터의 입력은 음향, 스피치 또는 촉각적 입력을 포함하는 임의의 형태로 수신될 수 있다. 또한, 컴퓨터는 예를 들어, 웹 브라우저로부터 수신된 요청들에 응답하여 사용자의 클라이언트 디바이스 상의 웹 브라우저에 웹 페이지들을 전송함으로써, 사용자에 의해 사용되는 디바이스에 문서들을 전송하고 그로부터 문서들을 수신함으로써 사용자와 상호작용할 수 있다.
[0050] 다수의 구현들이 설명되었다. 그럼에도 불구하고, 본 개시의 사상 및 범위를 벗어나지 않고 다양한 수정들이 행해질 수 있음이 이해될 것이다. 따라서, 다른 구현들은 다음의 청구항들의 범위 내에 존재한다.

Claims (32)

  1. 방법(500)으로서,
    데이터 프로세싱 하드웨어(114)에 의해, 상기 데이터 프로세싱 하드웨어(114)와 통신하는 복수의 이질적인 컴퓨팅 자원들(118)에 의해 획득된 복수의 이벤트들에 대한 이벤트 데이터(162)를 네트워크(120)를 통해 수집하는 단계 ― 상기 이벤트 데이터(162)는,
    상기 이벤트가 상기 복수의 이질적인 컴퓨팅 자원들(118) 중 하나에 의해 획득된 시점을 표시하는, 상기 이벤트 데이터(162)의 각각의 이벤트에 대한 개개의 타임스탬프(164); 및
    상기 이벤트 데이터(162)의 각각의 이벤트와 연관된 적어도 하나의 수집-속성(166)을 포함하고, 상기 적어도 하나의 수집-속성(166)은 상기 연관된 이벤트의 수집을 허용하도록 요구되는 수집 기준들(210)을 충족시킴 ―;
    상기 이벤트 데이터(162)의 상기 복수의 이벤트들 각각에 대해,
    상기 데이터 프로세싱 하드웨어(114)에 의해, 대응하는 이벤트가 이벤트들을 인덱싱하기 위해 사용자에 의해 정의된 임의의 커스텀 인덱싱-속성들(168)과 연관되는지 여부를 식별하는 단계; 및
    상기 데이터 프로세싱 하드웨어(114)에 의해, 상기 대응하는 이벤트에 대한 상기 개개의 타임스탬프(164), 상기 대응하는 이벤트와 연관된 상기 적어도 하나의 수집-속성(166), 및 상기 대응하는 이벤트와 연관된 임의의 식별된 커스텀 인덱싱-속성들(168)에 기초하여, 상기 대응하는 이벤트를 구조화된 데이터(162b)로서 데이터 저장소(150)에 인덱싱하는 단계;
    상기 데이터 프로세싱 하드웨어(114)에 의해, 축출 시간 기간 임계치(322)를 충족시키는 시간 기간 동안 구조화된 데이터(162b)로서 상기 데이터 저장소(150)에 인덱싱된 상기 이벤트 데이터(162)의 이벤트들 중 임의의 이벤트를 축출하는 단계;
    상기 데이터 프로세싱 하드웨어(114)에서, 상기 데이터 저장소(150) 내에 저장된(150) 구조화된 데이터(162b)에 대한 리트리벌 요청(410)을 수신하는 단계 ― 상기 리트리벌 요청(410)은 상기 리트리벌 요청(410)에 의해 특정된 시간 범위(165), 상기 리트리벌 요청(410)에 의해 특정된 하나 이상의 수집-속성들(166) 또는 상기 리트리벌 요청(410)에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들(168) 중 적어도 하나와 연관된 구조화된 데이터(162b)를 요청함 ―; 및
    상기 데이터 프로세싱 하드웨어(114)에 의해, 상기 리트리벌 요청(410)에 의해 특정된 시간 범위(165), 상기 리트리벌 요청(410)에 의해 특정된 상기 하나 이상의 수집-속성들(166) 또는 상기 리트리벌 요청(410)에 의해 특정된 상기 하나 이상의 커스텀 인덱싱-속성들(168) 중 상기 적어도 하나와 연관된 상기 구조화된 데이터(162b)를 상기 데이터 저장소(150)로부터 리트리브하는 단계를 포함하는, 방법(500).
  2. 제1 항에 있어서,
    상기 이벤트들을 인덱싱하기 위해 상기 사용자에 의해 정의된 상기 커스텀 인덱싱-속성들(168) 각각은 상기 복수의 이질적인 컴퓨팅 자원들(118)의 고객에 의해 정의된 개개의 키-값 쌍을 포함하는, 방법(500).
  3. 제1 항 또는 제2 항에 있어서,
    상기 이벤트 데이터(162)의 복수의 이벤트들 각각에 대해,
    상기 데이터 프로세싱 하드웨어(114)에 의해, 상기 대응하는 이벤트가 유효한지 여부를 결정하기 위해 유효성 규칙들의 세트(210)를 적용하는 단계; 및
    상기 대응하는 이벤트가 상기 적용된 유효성 규칙들의 세트(210)에 기초하여 유효일 때, 상기 대응하는 이벤트를 구조화된 데이터(162b)로서 상기 데이터 저장소(150)에 인덱싱하는 단계를 더 포함하는, 방법(500).
  4. 제3 항에 있어서,
    상기 유효성 규칙들의 세트(210)는 상기 대응하는 이벤트의 우선순위를 결정하기 위한 우선순위 규칙들의 세트(210)를 포함하는, 방법(500).
  5. 제3 항 또는 제4 항에 있어서,
    상기 대응하는 이벤트가 상기 적용된 유효성 규칙들의 세트(210)에 기초하여 무효일 때, 상기 데이터 프로세싱 하드웨어(114)에 의해, 상기 데이터 저장소(150)로의 인덱싱을 위한 상기 대응하는 이벤트를 거부하는 단계를 더 포함하는, 방법(500).
  6. 제1 항 내지 제5 항 중 어느 한 항에 있어서,
    상기 리트리벌 요청(410)을 수신하는 단계는, 구조화된 데이터(162b) 리트리벌 오프셋을 수신하는 단계를 포함하고, 상기 구조화된 데이터(162b) 리트리벌 오프셋은 리트리브될 구조화된 데이터(162b)의 리스트 내의 위치를 표시하고, 상기 구조화된 데이터(162b)의 리스트 내의 위치 이후의 구조화된 데이터(162b)만이 리트리브되는, 방법(500).
  7. 제1 항 내지 제6 항 중 어느 한 항에 있어서,
    상기 데이터 프로세싱 하드웨어(114)에 의해,
    상기 리트리브된 구조화된 데이터(162b)의 일부분; 및
    페이지 토큰(422)을 전송하는 단계를 더 포함하고, 상기 페이지 토큰(422)은 상기 리트리브된 구조화된 데이터(162b)의 리스트 내의 위치를 표시하고,
    상기 리트리브된 구조화된 데이터(162b)의 일부분은 상기 리스트 내의 페이지 토큰(422)보다 더 앞선 위치들로부터의 데이터만을 포함하는, 방법(500).
  8. 제1 항 내지 제7 항 중 어느 한 항에 있어서,
    상기 데이터 저장소(150)는 분산형 저장 시스템을 포함하는, 방법(500).
  9. 제1 항 내지 제8 항 중 어느 한 항에 있어서,
    상기 데이터 저장소(150)는 관계형 데이터베이스를 포함하는, 방법(500).
  10. 제1 항 내지 제9 항 중 어느 한 항에 있어서,
    상기 이벤트 데이터(162)의 복수의 이벤트들 중 적어도 하나는 상기 복수의 이질적인 컴퓨팅 자원들(118) 중 대응하는 것의 측정된 특성을 표시하는, 방법(500).
  11. 제10 항에 있어서,
    상기 데이터 프로세싱 하드웨어(114)에 의해, 우선순위 규칙들의 세트(210)에 기초하여 상기 측정된 특성의 우선순위를 결정하는 단계를 더 포함하는, 방법(500).
  12. 제1 항 내지 제11 항 중 어느 한 항에 있어서,
    상기 구조화된 데이터(162b)를 요청하는 상기 리트리벌 요청(410)은 제1 시간 범위(165) 및 제2 시간 범위(165)와 연관되고, 상기 제2 시간 범위는(165)는 상기 제1 시간 범위(165)와는 상이한, 방법(500).
  13. 제1 항 내지 제12 항 중 어느 한 항에 있어서,
    상기 이벤트 데이터(162)를 수집하는 단계는, 애플리케이션 프로그래밍 인터페이스를 통해 상기 복수의 이질적인 컴퓨팅 자원들(118)로부터 상기 네트워크(120)를 통해 상기 이벤트 데이터(162)를 획득하는 단계를 포함하는, 방법(500).
  14. 제1 항 내지 제13 항 중 어느 한 항에 있어서,
    상기 데이터 프로세싱 하드웨어(114)에서, 데이터를 축출하기 위한 축출 요청(328)을 수신하는 단계 ― 상기 축출 요청(328)은 상기 축출 요청(328)에 의해 특정된 시간 범위(165), 상기 축출 요청(328)에 의해 특정된 하나 이상의 수집-속성들(166) 또는 상기 축출 요청(328)에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들(168) 중 적어도 하나와 연관된 데이터를 축출하기 위한 것임 ―; 및
    상기 데이터 프로세싱 하드웨어(114)에 의해, 상기 축출 요청(328)에 의해 특정된 시간 범위(165), 상기 축출 요청(328)에 의해 특정된 하나 이상의 수집-속성들(166) 또는 상기 축출 요청(328)에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들(168) 중 상기 적어도 하나와 연관된 상기 구조화된 데이터(162b)를 상기 데이터 저장소(150)로부터 축출하는 단계를 더 포함하는, 방법(500).
  15. 제1 항 내지 제14 항 중 어느 한 항에 있어서,
    상기 이벤트 데이터(162)를 수집하는 단계는, 수집 요청을 수신하는 것; 타임 스케줄로부터의 표시; 또는 이벤트로부터의 표시 중 적어도 하나에 대해 응답하는, 방법(500).
  16. 제1 항 내지 제15 항 중 어느 한 항에 있어서,
    상기 구조화된 데이터(162b)를 리트리브하는 단계는 상기 리트리벌 요청(410)과 연관된 상기 구조화된 데이터(162b)의 허가들을 검증하는 단계를 포함하는, 방법(500).
  17. 시스템(100)으로서,
    데이터 프로세싱 하드웨어(114); 및
    상기 데이터 프로세싱 하드웨어(114)와 통신하는 메모리 하드웨어(116)를 포함하고, 상기 메모리 하드웨어(116)는, 상기 데이터 프로세싱 하드웨어(114) 상에서 실행될 때 상기 데이터 프로세싱 하드웨어(114)로 하여금 동작들을 수행하게 하는 명령들을 저장하고, 상기 동작들은,
    상기 데이터 프로세싱 하드웨어(114)와 통신하는 복수의 이질적인 컴퓨팅 자원들(118)에 의해 획득된 복수의 이벤트들에 대한 이벤트 데이터(162)를 네트워크(120)를 통해 수집하는 것 ― 상기 이벤트 데이터(162)는,
    상기 이벤트가 상기 복수의 이질적인 컴퓨팅 자원들(118) 중 하나에 의해 획득된 시점을 표시하는, 상기 이벤트 데이터(162)의 각각의 이벤트에 대한 개개의 타임스탬프(164); 및
    상기 이벤트 데이터(162)의 각각의 이벤트와 연관된 적어도 하나의 수집-속성(166)을 포함하고, 상기 적어도 하나의 수집-속성(166)은 상기 연관된 이벤트의 수집을 허용하도록 요구되는 수집 기준들(210)을 충족시킴 ―;
    상기 이벤트 데이터(162)의 상기 복수의 이벤트들 각각에 대해,
    대응하는 이벤트가 이벤트들을 인덱싱하기 위해 사용자에 의해 정의된 임의의 커스텀 인덱싱-속성들(168)과 연관되는지 여부를 식별하는 것; 및
    상기 대응하는 이벤트에 대한 상기 개개의 타임스탬프(164), 상기 대응하는 이벤트와 연관된 상기 적어도 하나의 수집-속성(166), 및 상기 대응하는 이벤트와 연관된 임의의 식별된 커스텀 인덱싱-속성들(168)에 기초하여, 상기 대응하는 이벤트를 구조화된 데이터(162b)로서 데이터 저장소(150)에 인덱싱하는 것;
    축출 시간 기간 임계치(322)를 충족시키는 시간 기간 동안 구조화된 데이터(162b)로서 상기 데이터 저장소(150)에 인덱싱된 상기 이벤트 데이터(162)의 이벤트들 중 임의의 이벤트를 축출하는 것;
    상기 데이터 저장소(150) 내에 저장된(150) 구조화된 데이터(162b)에 대한 리트리벌 요청(410)을 수신하는 것 ― 상기 리트리벌 요청(410)은 상기 리트리벌 요청(410)에 의해 특정된 시간 범위(165), 상기 리트리벌 요청(410)에 의해 특정된 하나 이상의 수집-속성들(166) 또는 상기 리트리벌 요청(410)에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들(168) 중 적어도 하나와 연관된 구조화된 데이터(162b)를 요청함 ―; 및
    상기 리트리벌 요청(410)에 의해 특정된 시간 범위(165), 상기 리트리벌 요청(410)에 의해 특정된 상기 하나 이상의 수집-속성들(166) 또는 상기 리트리벌 요청(410)에 의해 특정된 상기 하나 이상의 커스텀 인덱싱-속성들(168) 중 상기 적어도 하나와 연관된 상기 구조화된 데이터(162b)를 상기 데이터 저장소(150)로부터 리트리브하는 것을 포함하는, 시스템(100).
  18. 제17 항에 있어서,
    상기 이벤트들을 인덱싱하기 위해 상기 사용자에 의해 정의된 상기 커스텀 인덱싱-속성들(168) 각각은 상기 복수의 이질적인 컴퓨팅 자원들(118)의 고객에 의해 정의된 개개의 키-값 쌍을 포함하는, 시스템(100).
  19. 제17 항 또는 제18 항에 있어서,
    상기 동작들은, 상기 이벤트 데이터(162)의 복수의 이벤트들 각각에 대해,
    상기 대응하는 이벤트가 유효한지 여부를 결정하기 위해 유효성 규칙들의 세트(210)를 적용하는 것; 및
    상기 대응하는 이벤트가 상기 적용된 유효성 규칙들의 세트(210)에 기초하여 유효일 때, 상기 대응하는 이벤트를 구조화된 데이터(162b)로서 상기 데이터 저장소(150)에 인덱싱하는 것을 더 포함하는, 시스템(100).
  20. 제19 항에 있어서,
    상기 유효성 규칙들의 세트(210)는 우선순위 규칙들의 세트(210)를 포함하고, 상기 우선순위 규칙들의 세트(210)는 상기 대응하는 이벤트의 우선순위를 결정하기 위한 것인, 시스템(100).
  21. 제19 항 또는 제20 항에 있어서,
    상기 동작들은, 상기 대응하는 이벤트가 상기 적용된 유효성 규칙들의 세트(210)에 기초하여 무효일 때, 상기 데이터 저장소(150)로의 인덱싱을 위한 상기 대응하는 이벤트를 거부하는 것을 더 포함하는, 시스템(100).
  22. 제17 항 내지 제21 항 중 어느 한 항에 있어서,
    상기 리트리벌 요청(410)을 수신하는 것은, 구조화된 데이터(162b) 리트리벌 오프셋을 수신하는 것을 포함하고, 상기 구조화된 데이터(162b) 리트리벌 오프셋은 리트리브될 구조화된 데이터(162b)의 리스트 내의 위치를 표시하고, 상기 구조화된 데이터(162b)의 리스트 내의 위치 이후의 구조화된 데이터(162b)만이 리트리브되는, 시스템(100).
  23. 제17 항 내지 제22 항 중 어느 한 항에 있어서,
    상기 동작들은,
    상기 리트리브된 구조화된 데이터(162b)의 일부분; 및
    페이지 토큰(422)을 전송하는 것을 더 포함하고, 상기 페이지 토큰(422)은 상기 리트리브된 구조화된 데이터(162b)의 리스트 내의 위치를 표시하고,
    상기 리트리브된 구조화된 데이터(162b)의 일부분은 상기 리스트 내의 페이지 토큰(422)보다 더 앞선 위치들로부터의 데이터만을 포함하는, 시스템(100).
  24. 제17 항 내지 제23 항 중 어느 한 항에 있어서,
    상기 데이터 저장소(150)는 분산형 저장 시스템을 포함하는, 시스템(100).
  25. 제17 항 내지 제24 항 중 어느 한 항에 있어서,
    상기 데이터 저장소(150)는 관계형 데이터베이스를 포함하는, 시스템(100).
  26. 제17 항 내지 제25 항 중 어느 한 항에 있어서,
    상기 이벤트 데이터(162)의 복수의 이벤트들 중 적어도 하나는 상기 복수의 이질적인 컴퓨팅 자원들(118) 중 대응하는 것의 측정된 특성을 표시하는, 시스템(100).
  27. 제26 항에 있어서,
    상기 동작들은 우선순위 규칙들의 세트(210)에 기초하여 상기 측정된 특성의 우선순위를 결정하는 것을 더 포함하는, 시스템(100).
  28. 제17 항 내지 제27 항 중 어느 한 항에 있어서,
    상기 구조화된 데이터(162b)를 요청하는 상기 리트리벌 요청(410)은 제1 시간 범위(165) 및 제2 시간 범위(165)와 연관되고, 상기 제2 시간 범위는(165)는 상기 제1 시간 범위(165)와는 상이한, 시스템(100).
  29. 제17 항 내지 제28 항 중 어느 한 항에 있어서,
    상기 이벤트 데이터(162)를 수집하는 것은, 애플리케이션 프로그래밍 인터페이스를 통해 상기 복수의 이질적인 컴퓨팅 자원들(118)로부터 상기 네트워크(120)를 통해 상기 이벤트 데이터(162)를 획득하는 것을 포함하는, 시스템(100).
  30. 제17 항 내지 제29 항 중 어느 한 항에 있어서,
    상기 동작들은,
    데이터를 축출하기 위한 축출 요청(328)을 수신하는 것 ― 상기 축출 요청(328)은 상기 축출 요청(328)에 의해 특정된 시간 범위(165), 상기 축출 요청(328)에 의해 특정된 하나 이상의 수집-속성들(166) 또는 상기 축출 요청(328)에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들(168) 중 적어도 하나와 연관된 데이터를 축출하기 위한 것임 ―; 및
    상기 축출 요청(328)에 의해 특정된 시간 범위(165), 상기 축출 요청(328)에 의해 특정된 하나 이상의 수집-속성들(166) 또는 상기 축출 요청(328)에 의해 특정된 하나 이상의 커스텀 인덱싱-속성들(168) 중 상기 적어도 하나와 연관된 상기 구조화된 데이터(162b)를 상기 데이터 저장소(150)로부터 축출하는 것을 더 포함하는, 시스템(100).
  31. 제17 항 내지 제30 항 중 어느 한 항에 있어서,
    상기 이벤트 데이터(162)를 수집하는 것은, 수집 요청을 수신하는 것; 타임 스케줄로부터의 표시; 또는 이벤트로부터의 표시 중 적어도 하나에 대해 응답하는, 시스템(100).
  32. 제17 항 내지 제31 항 중 어느 한 항에 있어서,
    상기 구조화된 데이터(162b)를 리트리브하는 것은 상기 리트리벌 요청(410)과 연관된 상기 구조화된 데이터(162b)의 허가들을 검증하는 것을 포함하는, 시스템(100).
KR1020217015245A 2018-11-21 2019-09-26 이력 보안 데이터의 저장 및 구조화된 검색 KR20210074383A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/198,344 2018-11-21
US16/198,344 US11163737B2 (en) 2018-11-21 2018-11-21 Storage and structured search of historical security data
PCT/US2019/053073 WO2020106363A1 (en) 2018-11-21 2019-09-26 Storage and structured search of historical security data

Publications (1)

Publication Number Publication Date
KR20210074383A true KR20210074383A (ko) 2021-06-21

Family

ID=68211193

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217015245A KR20210074383A (ko) 2018-11-21 2019-09-26 이력 보안 데이터의 저장 및 구조화된 검색

Country Status (6)

Country Link
US (2) US11163737B2 (ko)
EP (1) EP3884398A1 (ko)
JP (2) JP7133714B2 (ko)
KR (1) KR20210074383A (ko)
CN (1) CN113168411A (ko)
WO (1) WO2020106363A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230237032A1 (en) * 2022-01-27 2023-07-27 Salesforce.Com, Inc. On-demand ingestion of records from a staging storage into a primary database

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6138121A (en) 1998-05-29 2000-10-24 Hewlett-Packard Company Network management event storage and manipulation using relational database technology in a data warehouse
JP4102502B2 (ja) 1999-01-28 2008-06-18 エヌ・ティ・ティ・コムウェア株式会社 通信制御装置および通信制御装置の制御方法
US20060265746A1 (en) * 2001-04-27 2006-11-23 Internet Security Systems, Inc. Method and system for managing computer security information
US20030200192A1 (en) * 2002-04-18 2003-10-23 Bell Brian L. Method of organizing information into topical, temporal, and location associations for organizing, selecting, and distributing information
US20060075007A1 (en) * 2004-09-17 2006-04-06 International Business Machines Corporation System and method for optimizing a storage system to support full utilization of storage space
US20080208820A1 (en) * 2007-02-28 2008-08-28 Psydex Corporation Systems and methods for performing semantic analysis of information over time and space
US8489578B2 (en) * 2008-10-20 2013-07-16 International Business Machines Corporation System and method for administering data ingesters using taxonomy based filtering rules
US8898267B2 (en) * 2009-01-19 2014-11-25 Netapp, Inc. Modifying information lifecycle management rules in a distributed system
US8239529B2 (en) * 2010-11-30 2012-08-07 Google Inc. Event management for hosted applications
US8752178B2 (en) * 2013-07-31 2014-06-10 Splunk Inc. Blacklisting and whitelisting of security-related events
US20150046251A1 (en) * 2013-08-08 2015-02-12 Monica C. Smith Methods and systems for analyzing key performance metrics
EP3053298B1 (en) * 2013-10-03 2023-03-29 FireEye Security Holdings US LLC Dynamic adaptive defense for cyber-security threats
US9858322B2 (en) 2013-11-11 2018-01-02 Amazon Technologies, Inc. Data stream ingestion and persistence techniques
CA2930026C (en) 2013-11-11 2020-06-16 Amazon Technologies, Inc. Data stream ingestion and persistence techniques
US9984427B2 (en) * 2013-12-02 2018-05-29 Qbase, LLC Data ingestion module for event detection and increased situational awareness
JP2015172862A (ja) * 2014-03-12 2015-10-01 日本電気株式会社 データライフサイクルを制御する情報処理装置、データライフサイクル制御方法、及びそのためのプログラム
US10419457B2 (en) * 2014-04-30 2019-09-17 Hewlett Packard Enterprise Development Lp Selecting from computing nodes for correlating events
US10097619B2 (en) 2014-06-24 2018-10-09 Google Llc Cross-device notifications
WO2016036940A1 (en) * 2014-09-03 2016-03-10 The Dun & Bradstreet Corporation System and process for analyzing, qualifying and ingesting sources of unstructured data via empirical attribution
WO2016118964A1 (en) * 2015-01-25 2016-07-28 Iguazio Systems Ltd. Application-centric object storage
US10572863B2 (en) * 2015-01-30 2020-02-25 Splunk Inc. Systems and methods for managing allocation of machine data storage
US10650014B2 (en) * 2015-04-09 2020-05-12 International Business Machines Corporation Data ingestion process
US10817544B2 (en) * 2015-04-20 2020-10-27 Splunk Inc. Scaling available storage based on counting generated events
US10241960B2 (en) 2015-05-14 2019-03-26 Deephaven Data Labs Llc Historical data replay utilizing a computer system
US20180005274A1 (en) * 2015-05-29 2018-01-04 Nanigans, Inc. Management system for high volume data analytics and data ingestion
JP2018523862A (ja) 2015-08-18 2018-08-23 グーグル エルエルシー 時系列エクスプローラ
US20170134243A1 (en) * 2015-11-05 2017-05-11 CENX, Inc. Data augmentation pipeline for augmenting events and/or data associated with events
US10395331B2 (en) 2015-12-04 2019-08-27 International Business Machines Corporation Selective retention of forensic information
US10409817B1 (en) * 2016-03-25 2019-09-10 Emc Corporation Database system and methods for domain-tailored detection of outliers, patterns, and events in data streams
US11055303B2 (en) * 2016-06-29 2021-07-06 EMC IP Holding Company LLC Ingestion manager for analytics platform
JP6181247B1 (ja) * 2016-07-01 2017-08-16 株式会社東芝 データベース管理装置、データベース管理方法、およびデータベース管理プログラム
US20180068004A1 (en) * 2016-09-08 2018-03-08 BigStream Solutions, Inc. Systems and methods for automatic transferring of at least one stage of big data operations from centralized systems to at least one of event producers and edge devices
US10606857B2 (en) 2016-09-26 2020-03-31 Splunk Inc. In-memory metrics catalog
US10776355B1 (en) * 2016-09-26 2020-09-15 Splunk Inc. Managing, storing, and caching query results and partial query results for combination with additional query results
US10791134B2 (en) * 2016-12-21 2020-09-29 Threat Stack, Inc. System and method for cloud-based operating system event and data access monitoring
US10331507B2 (en) * 2016-12-21 2019-06-25 Mastercard International Incorporated Systems and methods for real time computer fault evaluation
US12019612B2 (en) * 2017-02-27 2024-06-25 International Business Machines Corporation Data maturity management
US11036690B2 (en) * 2017-07-11 2021-06-15 International Business Machines Corporation Global namespace in a heterogeneous storage system environment
US10997244B2 (en) * 2017-07-14 2021-05-04 Phylot Inc. Method and system for identifying and discovering relationships between disparate datasets from multiple sources
US20190073615A1 (en) * 2017-09-05 2019-03-07 PagerDuty, Inc. Operations health management
US20190095478A1 (en) * 2017-09-23 2019-03-28 Splunk Inc. Information technology networked entity monitoring with automatic reliability scoring
US10643002B1 (en) * 2017-09-28 2020-05-05 Amazon Technologies, Inc. Provision and execution of customized security assessments of resources in a virtual computing environment
US11461290B2 (en) * 2018-04-12 2022-10-04 Vmware, Inc. System and method for run-time adaptable policy engine for heterogeneous managed entities

Also Published As

Publication number Publication date
EP3884398A1 (en) 2021-09-29
JP7133714B2 (ja) 2022-09-08
US20200159842A1 (en) 2020-05-21
JP2022507846A (ja) 2022-01-18
US11163737B2 (en) 2021-11-02
CN113168411A (zh) 2021-07-23
WO2020106363A1 (en) 2020-05-28
US20220035783A1 (en) 2022-02-03
JP7402943B2 (ja) 2023-12-21
WO2020106363A8 (en) 2021-06-03
JP2022162162A (ja) 2022-10-21

Similar Documents

Publication Publication Date Title
US10891371B2 (en) Detecting malicious user activity
US10614132B2 (en) GUI-triggered processing of performance data and log data from an information technology environment
US11734233B2 (en) Method for classifying an unmanaged dataset
US10262032B2 (en) Cache based efficient access scheduling for super scaled stream processing systems
US10997191B2 (en) Query-triggered processing of performance data and log data from an information technology environment
US8527458B2 (en) Logging framework for a data stream processing server
US20170257258A1 (en) Processing of Log Data and Performance Data Obtained via an Application Programming Interface (API)
US9922113B2 (en) Systems and methods for indexing and aggregating data records
US10778707B1 (en) Outlier detection for streaming data using locality sensitive hashing
EP3532949A1 (en) Change monitoring spanning graph queries
WO2022174759A1 (zh) 告警处理方法、装置、电子设备、计算机程序产品及计算机可读存储介质
RU2702269C1 (ru) Система интеллектуального управления киберугрозами
US11012289B2 (en) Reinforced machine learning tool for anomaly detection
US11275667B2 (en) Handling of workload surges in a software application
US20220342866A1 (en) File analytics systems and methods including receiving and processing file system event data in order
EP3373139A1 (en) Lock mode determination service
US10152510B2 (en) Query hint learning in a database management system
US20130232582A1 (en) Need-to-know information access using quantified risk
US20230289443A1 (en) Malicious activity detection, validation, and remediation in virtualized file servers
JP7402943B2 (ja) 履歴セキュリティデータの記憶および構造化検索
US20220318204A1 (en) File analytics systems and methods
Elayni et al. Using MongoDB databases for training and combining intrusion detection datasets
CN113010494A (zh) 一种数据库审计方法、装置及数据库代理服务器
KR102358874B1 (ko) 빅데이터 기반의 도서관 의사결정 지원 시스템
US20220318203A1 (en) File analytics systems including examples providing metrics adjusted for application operation

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application