Processing

Please wait...

Settings

Settings

Goto Application

1. WO2009005925 - AUTOMATED COLLECTION OF FORENSIC EVIDENCE ASSOCIATED WITH A NETWORK SECURITY INCIDENT

Publication Number WO/2009/005925
Publication Date 08.01.2009
International Application No. PCT/US2008/065499
International Filing Date 02.06.2008
IPC
G06F 21/00 2006.01
GPHYSICS
06COMPUTING; CALCULATING OR COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
CPC
H04L 63/1425
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1408by monitoring network traffic
1425Traffic logging, e.g. anomaly detection
H04L 63/308
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
30for supporting lawful interception, monitoring or retaining of communications or communication related information
308retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Applicants
  • MICROSOFT CORPORATION [US]/[US] (AllExceptUS)
Inventors
  • NEYSTADT, John
  • HUDIS, Efim
  • HELMAN, Yair
  • FAYNBURD, Alexandra
Priority Data
11/824,73230.06.2007US
60/909,70602.04.2007US
Publication Language English (EN)
Filing Language English (EN)
Designated States
Title
(EN) AUTOMATED COLLECTION OF FORENSIC EVIDENCE ASSOCIATED WITH A NETWORK SECURITY INCIDENT
(FR) COLLECTE AUTOMATISÉE DE PREUVE LÉGALE ASSOCIÉE À UN INCIDENT DE SÉCURITÉ DE RÉSEAU
Abstract
(EN)
An automated collection of forensic evidence associated with a security incident is provided by an arrangement in which different security products called endpoints in an enterprise network are enabled for sharing security-related information over a common communication channel using an abstraction called a security assessment. A security assessment is generally configured to indicate an endpoint's understanding of a detected security incident that pertains to an object in the environment which may include users, computers, IP addresses, and website URIs (Universal Resource Identifiers). The security assessment is published by the endpoint into the channel and received by subscribing endpoints. The security assessment triggers the receiving endpoints to go into a more comprehensive or detailed mode of evidence collection. In addition, any forensic evidence having relevance to the security incident that may have already been collected prior to the detection will be marked for retention so that it is not otherwise deleted.
(FR)
La collecte automatisée de preuve légale associée à un incident de sécurité est réalisée par un agencement dans lequel différents produits de sécurité appelés points d'extrémité dans un réseau d'entreprise sont autorisés à partager des informations liées à la sécurité sur un canal de communication commun en utilisant une abstraction appelée évaluation de sécurité. Une évaluation de sécurité est généralement configurée pour indiquer la compréhension d'un point d'extrémité d'un incident de sécurité détecté qui se rapporte à un objet dans l'environnement qui peut comprendre des utilisateurs, des ordinateurs, des adresses IP et des URI (Universal Resource Identifiers) de site Web. L'évaluation de sécurité est publiée par le point d'extrémité dans le canal et reçue par les points d'extrémité abonnés. L'évaluation de sécurité amène les points d'extrémité de réception à entrer dans un mode plus complet ou détaillé de collecte de preuve. De plus, toute preuve légale en rapport avec l'incident de sécurité qui peut déjà avoir été collectée avant la détection sera marquée pour être conservée de sorte qu'elle ne soit pas autrement supprimée.
Latest bibliographic data on file with the International Bureau