(EN) PG446383WO Page 127of 127 LABELING COMPUTING OBJECTS FOR IMPROVED THREAT DETECTION ABSTRACT Threat detection instrumentation is simplified by providing and updating labels for computing objects in a context-sensitive manner. This may include simple labeling schemes to distinguish between objects, e.g., trusted/untrusted processes or corporate/private data. This may also include more granular labeling schemes such as a three-tiered scheme that identifies a category (e.g., financial, e-mail, game), static threat detection attributes (e.g., signatures, hashes, API calls), and explicit identification (e.g., what a file or process calls itself). By tracking such data for various computing objects and correlating these labels to malware occurrences, rules can be written for distribution to endpoints to facilitate threat detection based on, e.g., interactions of labeled objects, changes to object labels, and soforth. In this manner, threat detection based on complex interactions of computing objects can be characterized in a platform independent manner and pre-processed on endpoints without requiring significant communications overhead with a remote threat management facility.
(FR) L'invention concerne un outil de détection de menace qui est simplifié par la fourniture et la mise à jour d'étiquettes pour des objets informatiques dans un mode sensible au contexte. Ceci peut comprendre des schémas de marquage simples permettant de faire la distinction entre des objets, par exemple, des processus fiables/non fiables ou des données privées/d'entreprise. Ceci peut également comprendre des schémas de marquage plus granulaires tels qu'un schéma à trois niveaux qui identifie une catégorie (par exemple, financière, de courrier électronique, de jeux), des attributs statiques de détection de menace (par exemple, des signatures, des hachages, des appels API), et une identification explicite (par exemple, la façon dont un fichier ou un processus se qualifie lui-même). En suivant ces données pour divers objets informatiques et en corrélant ces étiquettes aux occurrences d'un logiciel malveillant, des règles peuvent être écrites concernant la distribution vers des points d'extrémité en vue de faciliter une détection de menace sur la base, par exemple, d'interactions d'objets marqués, de changements apportés aux étiquettes d'objets, etc. De cette manière, une détection de menace sur la base d'interactions complexes d'objets informatiques peut être caractérisée dans un mode indépendant de la plate-forme, et pré-traitée sur des points d'extrémité sans nécessiter un surdébit de communications significatif avec une installation de gestion de menace à distance.
