[发明专利]在计算环境中监视特权用户和检测异常活动的方法、系统、介质

权利要求书

1.一种计算机实现的方法，包括：在安全性管理系统的计算机系统处：

从服务提供商系统获得活动数据，其中所述活动数据描述在使用云服务期间执行的动作，其中所述动作由与租户相关联的一个或多个用户执行，其中所述服务提供商系统向所述租户提供租户账户，并且其中所述租户账户使所述一个或多个用户能够访问所述云服务；

在所述活动数据中识别相对于所述云服务具有特权的一个或多个动作，作为一个或多个特权动作；

使用所述活动数据来识别执行了所述一个或多个动作的用户集，其中所述用户集是从与所述租户相关联的所述一个或多个用户中确定的；

将所述用户集识别为特权用户；

使用所述活动数据，确定所述一个或多个用户的一个或多个风险得分；

确定所述用户集中的用户的风险得分大于阈值；

确定用于所述服务提供商系统的安全性控制，其中所述安全性控制被所述服务提供商系统用于配置对所述云服务的访问；

确定要发送到所述服务提供商系统的一个或多个指令；以及

向所述服务提供商系统发送所述一个或多个指令，其中所述一个或多个指令使用于所述用户的所述安全性控制改变，其中所述用户对所述云服务的访问由于所述安全性控制的所述改变而被修改，使得由所述用户造成的安全性风险被监视、减轻和/或停止。

2.如权利要求1所述的计算机实现的方法，其中所述一个或多个动作是使用与所述云服务相关联的动作的列表来识别的，其中所述动作的列表中的动作被识别为针对所述云服务具有特权的特权动作。

3.如权利要求1所述的计算机实现的方法，其中，所述一个或多个动作是使用管理性动作的列表来识别的。

4.如权利要求1所述的计算机实现的方法，还包括：

使用所述一个或多个动作以及过去的活动数据来生成模型，所述模型描述相对于所述云服务具有特权的所述云服务的使用模式；以及

使用所述模型来识别所述用户集。

5.如权利要求1所述的计算机实现的方法，还包括：

对在所述云服务的使用期间执行的所述动作进行分组；以及

识别包括具有特权的动作的一组动作，其中所述用户集是使用所述一组动作来识别的。

6.如权利要求1所述的计算机实现的方法，其中风险得分指示用户在使用所述云服务时所执行的动作对所述租户的安全性风险的程度。

7.如权利要求1所述的计算机实现的方法，其中将风险得分计算为风险指标的加权和。

8.如权利要求1所述的计算机实现的方法，其中，与非特权用户的风险得分相比，以更大的权重计算被识别为特权用户的用户的风险得分。

9.如权利要求1所述的计算机实现的方法，其中特权动作是在由第一用户执行时能够以影响其他用户对所述云服务的使用的方式来修改所述云服务的动作。

10.如权利要求1所述的计算机实现的方法，其中特权动作是当由第一用户执行时能够影响所述云服务的其他用户的用户账户的动作。