[发明专利]在计算环境中监视特权用户和检测异常活动的方法、系统、介质

说明书

在各种实施方式中，用于监视和管理云服务的安全性的安全性管理和控制系统能够包括用于识别给定云服务的特权用户的自动化技术。在各种示例中，安全性管理和控制系统能够从云服务获得活动日志，其中活动日志记录由组织的用户在使用云服务时执行的动作。在各种示例中，安全性管理和控制系统能够识别活动日志中相对于云服务具有特权的动作。在这些和其它示例中，安全性管理和控制系统能够使用活动日志中的这些动作来识别特权用户。一旦识别出特权用户，安全性管理和控制系统就能够以更高的审查程度监视特权用户。

相关申请的交叉引用

本申请要求于2017年6月22日提交的美国临时申请No.62/523,668和2018年6月18日提交的美国申请No.16/011,538的优先权，其全部内容通过引用整体并入本文。

背景技术

云服务提供商在“云”中提供各种服务，即，通过诸如公用互联网之类的网络，并且任何网络连接的客户端设备均可远程访问。由云服务提供商(本文中也称为“云提供商”或“提供商”)使用的服务模型的示例包括基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)和网络即服务(NaaS)。IaaS提供商为客户提供基础设施资源，诸如客户能够用来运行软件的处理、存储、网络和其它计算资源。客户不管理基础设施，但尤其可以控制操作系统、存储装置和已部署的应用，并且可以能够控制一些网络部件(诸如防火墙)。PaaS提供商为客户提供了客户可以在其上开发、运行和管理应用的平台，而无需维护底层的计算基础设施。SaaS是软件许可和交付模型，其中软件是按订阅方式向客户许可的，并且由云提供商集中托管。在这种模型下，可以例如使用web浏览器访问应用。NaaS提供商通过例如在另一方运营的网络基础设施上供应(provision)虚拟网络来向客户提供网络服务。在这些服务模型中的每一种中，云服务提供商都维护并管理提供服务的硬件和/或软件，而很少有(如果有的话)软件在用户的设备上执行。

云服务提供商的客户(可以被称为用户或租户)可以向服务提供商订阅以获得对由服务提供商提供的特定服务的访问。服务提供商可以为用户或租户维护账户，用户和/或租户可以通过该账户来访问提供商的服务。服务提供商还可以为各个用户维护与租户相关联的用户账户。服务提供商的示例包括Box、Dropbox、Microsoft、Docusign、Google、Salesforce、Oracle、Amazon等。诸如这些之类的服务提供商可以提供多种不同的服务，但是不同的服务提供商不需要彼此具有任何从属关系，包括不共享基础设施或安全边界。服务提供商系统常常也受到高度保护并且对非租户是关闭的。

组织对计算环境的依赖已经导致云服务被广泛地用于诸如协作、销售和客户服务、基础设施等之类的操作。通过云环境提供的应用可以使组织能够更快地推出服务，而无需在数据中心、硬件、软件和部署项目上进行大量前期投资。由于可从许多地点(例如，在工作地点、家中、在宾馆和其它地点)使用支持云的服务，因此应用的可访问性可以提高员工的生产率。

因为组织和/或组织的用户可以订阅许多不同的云服务提供商的服务，所以组织可能需要确保组织自己的系统不会因使用云服务而受到损害的方式。使用云服务会导致在组织在组织自身内部托管和管理服务时不存在的安全性风险。

发明内容

在各种实施方式中，提供了用于云安全性系统的系统和方法，其可以识别相对于由云服务提供商提供的应用或服务具有特权能力的用户。具有特权功能的用户(可以被称为管理性用户或特权用户)可以具有访问或修改云服务的能力，这可以改变云服务操作的方式和/或其他用户使用云服务的方式。因为特权用户相对于普通用户在云服务方面具有更多的能力，所以可能期望以更高的审查程度监视特权用户，并快速确定特权用户账户是否已受到损害。

但是，对于云服务，知道哪些用户是特权用户和哪些用户是普通用户可能并不容易。对于什么使用户具有特权，不同的云服务可以具有不同的参数。此外，云服务可能无法为客户提供确定哪些用户账户具有特权的方式。