DETECTING ANOMALOUS POST-AUTHENTICATION BEHAVIOR FOR A WORKLOAD IDENTITY

DETECTING ANOMALOUS POST-AUTHENTICATION BEHAVIOR FOR A WORKLOAD IDENTITY

Methods, systems, apparatuses, and computer-readable storage mediums described herein are configured to detect anomalous post-authentication behavior/state change(s) with respect to a workload identity. For example, audit logs that specify actions performed with respect to the workload identity of a...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: CALVO, Maria Puertas, CAMBRIC, Shinesa Elaine, ZAMBRANO, Sergio Romero, BASSERI, Etan Micah, SAKOWICZ, Jeffrey Thomas, XU, Ye
Format: Patent
Sprache:eng ; fre
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC COMMUNICATION TECHNIQUE
ELECTRIC DIGITAL DATA PROCESSING
ELECTRICITY
PHYSICS
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION
WIRELESS COMMUNICATIONS NETWORKS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:Methods, systems, apparatuses, and computer-readable storage mediums described herein are configured to detect anomalous post-authentication behavior/state change(s) with respect to a workload identity. For example, audit logs that specify actions performed with respect to the workload identity of a platform-based identity service, a causing state change(s), while another identity is authenticated with the platform-based identity service, are analyzed. The audit log(s) are analyzed via a model for anomaly prediction based on actions. The model generates an anomaly score indicating a probability whether a particular sequence of the actions is indicative of anomalous behavior/state change(s). A determination is made that an anomalous behavior has occurred based on the anomaly score, and when anomalous behavior has occurred, a mitigation action may be performed that mitigates the anomalous behavior. La présente invention concerne des procédés, des systèmes, des appareils et des supports de stockage lisibles par ordinateur qui configurés pour détecter un ou plusieurs changements de comportement/d'état post-authentification anormaux en ce qui concerne une identité de charge de travail. Par exemple, des journaux d'audit qui spécifient des actions effectuées en ce qui concerne l'identité de charge de travail d'un service d'identité basé sur plateforme, provoquant un ou plusieurs changements d'état, tandis qu'une autre identité est authentifiée auprès du service d'identité basé sur plateforme, sont analysés. Le ou les journaux d'audit sont analysés par l'intermédiaire d'un modèle de prédiction d'anomalie sur la base d'actions. Le modèle génère un score d'anomalie indiquant une probabilité qu'une séquence particulière des actions indique un ou plusieurs changements de comportement/d'état anormaux. Il est déterminé qu'un comportement anormal s'est produit sur la base du score d'anomalie, et lorsqu'un comportement anormal s'est produit, une action d'atténuation peut être effectuée qui atténue le comportement anormal.