[发明专利]支持跨多个操作环境的异常检测的检测字典系统

权利要求书

1.一种系统中的方法，所述方法包括：

保持描述支持跨多个操作环境以共同方式定义的多个检测的框架的数据，所述多个检测中的每个检测包括描述如何实现所作出的用于检测所述多个操作环境中的至少一个操作环境中的异常的保证的元数据集合，所述数据至少包括多个属性，每个属性是操作环境的模型，其映射到所述操作环境的边界且描述如何将检测映射到特定检测实例；

保持针对所述多个操作环境的多个检测；

监视所述多个操作环境中的事件；

响应于监视到检测到针对所述多个操作环境中的至少一个环境的检测的所述元数据集合已被满足，确定所述一个操作环境中的异常已发生；以及

向异常解决服务警告所述一个操作环境中的异常已发生。

2.根据权利要求1所述的方法，还包括：允许用户选择所述多个检测中的不同检测以用于所述多个操作环境中的不同操作环境。

3.根据权利要求1或2所述的方法，所述多个检测中的每个检测具有一个或多个相关联的检测实例，所述一个或多个相关联的检测实例包括描述如何在所述多个操作环境中的特定一个操作环境中实现所述保证的元数据。

4.根据权利要求3所述的方法，还包括：

针对所述检测实例中的每个检测实例来测量该检测实例的有效性；以及

与每个检测实例相关联地保持对该检测实例的有效性的记录。

5.根据权利要求3或4所述的方法，针对每个检测实例的元数据指示相关联的检测所对应的杀伤链的一个或多个阶段。

6.根据权利要求1至5中任一项所述的方法，所述多个操作环境中的每个操作环境包括组织的多个业务部门中的一个业务部门。

7.根据权利要求1至6中的任一项所述的方法，还包括：

生成针对所述异常的案例；以及

在对所述案例的调查完成之后记录所述案例的状态。

8.根据权利要求7所述的方法，所述案例的状态是从包括以下各项的组中选择的：调查、真阳性、假阳性、事故、健康问题、以及调谐触发。

9.根据权利要求1至8中的任一项所述的方法，还包括：

将对所述多个操作环境的所述多个检测的指示呈现给所述多个操作环境中的另外操作环境的获授权用户；

接收用户对所述多个检测中的一个检测的选择；以及

基于用户输入来创建针对所述另外操作环境中的一个操作环境所选择的检测的检测实例。

10.一种系统，包括：

处理器；以及

其上存储有多个指令的计算机可读存储介质，所述多个指令响应于由所述处理器执行而使得所述处理器进行以下操作：

保持描述支持跨多个操作环境以共同方式定义的多个检测的框架的数据，所述多个检测中的每个检测包括描述如何实现所作出的用于检测所述多个操作环境中的至少一个操作环境中的异常的保证的元数据集合，所述数据至少包括多个属性，每个属性是操作环境的模型，其映射到所述操作环境的边界且描述如何将检测映射到特定检测实例；

保持针对所述多个操作环境的多个检测；

监视所述多个操作环境中的事件；

响应于监视到检测到针对所述多个操作环境中的至少一个环境的检测的所述元数据集合已被满足，确定所述一个操作环境中的异常已发生；以及

向异常解决服务警告所述一个操作环境中的异常已发生。

11.根据权利要求10所述的系统，所述多个指令还使得所述处理器进行以下操作：允许用户选择所述多个检测中的不同检测以用于所述多个操作环境中的不同操作环境。

12.根据权利要求10或11所述的系统，所述多个检测中的每个检测具有一个或多个相关联的检测实例，所述一个或多个相关联的检测实例包括描述如何在所述多个操作环境中的特定一个操作环境中实现所述保证的元数据。