CN111818068A - 微场景案例的编排验证方法、装置、介质及计算机设备 - Google Patents
微场景案例的编排验证方法、装置、介质及计算机设备 Download PDFInfo
- Publication number
- CN111818068A CN111818068A CN202010674713.1A CN202010674713A CN111818068A CN 111818068 A CN111818068 A CN 111818068A CN 202010674713 A CN202010674713 A CN 202010674713A CN 111818068 A CN111818068 A CN 111818068A
- Authority
- CN
- China
- Prior art keywords
- function
- verification
- response
- function block
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012795 verification Methods 0.000 title claims abstract description 256
- 238000000034 method Methods 0.000 title claims abstract description 93
- 230000004044 response Effects 0.000 claims abstract description 174
- 238000013515 script Methods 0.000 claims abstract description 72
- 230000009471 action Effects 0.000 claims abstract description 61
- 230000008569 process Effects 0.000 claims abstract description 46
- 238000004458 analytical method Methods 0.000 claims abstract description 26
- 230000006870 function Effects 0.000 claims description 493
- 238000005316 response function Methods 0.000 claims description 115
- 238000012360 testing method Methods 0.000 claims description 77
- 238000002955 isolation Methods 0.000 claims description 65
- 238000004140 cleaning Methods 0.000 claims description 55
- 230000002159 abnormal effect Effects 0.000 claims description 40
- 230000002787 reinforcement Effects 0.000 claims description 32
- 230000003014 reinforcing effect Effects 0.000 claims description 30
- 238000001914 filtration Methods 0.000 claims description 26
- 238000005728 strengthening Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 17
- 238000003860 storage Methods 0.000 claims description 9
- 230000000903 blocking effect Effects 0.000 description 19
- 238000013507 mapping Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 9
- 241000700605 Viruses Species 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 230000000007 visual effect Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000000605 extraction Methods 0.000 description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 238000009825 accumulation Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000007711 solidification Methods 0.000 description 2
- 230000008023 solidification Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种微场景案例的编排验证方法、装置、介质及计算机设备,针对任一类型的微场景,基于预设的编排流程编排对应的案例,案例包括:分析函数体、剧本及至少一个验证函数体;调用分析函数体对微场景的数据源进行过滤及分析,判断是否存在安全事件;若确定存在所述安全事件,调用剧本对安全事件进行响应,获得响应结果;剧本中包括有用于响应所述微场景安全事件的各动作函数;调用至少一个验证函数体对所述响应结果进行验证;如此,当通过剧本对微场景的安全事件进行自动响应后,可以调用验证函数体自动对响应结果进行验证;相比人工验证的方式,可以避免由人工技能差异导致的验证误差,提高验证的准确度及效率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种微场景案例的编排验证方法、装置、介质及计算机设备。
背景技术
在互联网领域,一个系统在运行中可能会出现各种各样的安全风险问题,统称安全事件,比如:网络攻击、病毒入侵、挖矿等;每种安全事件可以看作为一个微场景。为了确保系统可以安全运行,一般会基于安全编排与自动化响应(SOAR,SecurityOrchestration,Automation and Response)的理念预先编排对应的案例,利用案例对进行监控、告警、响应和恢复,以解决出现的各种安全风险问题,实现安全防护。
SOAR的核心理念主要是收集来自不同数据源的安全威胁和情报数据,进行事故分析和分类,若确定存在安全事件,执行剧本的处理逻辑形成响应动作,将响应动作下发到安全设备进行联动响应,实现对安全事件的标准反应活动,进而形成对安全事件标准化响应的流程。
在编排微场景案例后,为了确保对系统的防护精度,还需对案例的响应效果进行验证,但是现有技术中,一般是利用人工进行验证,验证效率及准确度得不到保证。
发明内容
针对现有技术存在的问题,本申请实施例提供了一种微场景案例的编排验证方法、装置、介质及计算机设备,用于解决现有技术中在基于编排的案例对安全事件进行响应后,需要利用人工对响应效果进行验证,导致验证的准确度及效率均得不到确保的技术问题。
本申请的第一方面,提供一种微场景案例的编排验证方法,所述方法包括:
针对任一类型的微场景,基于预设的编排流程编排对应的案例,所述案例包括:分析函数体、剧本及至少一个验证函数体;
调用所述分析函数体对所述微场景的数据源进行过滤及分析,判断是否存在安全事件;
若确定存在所述安全事件,调用所述剧本对所述安全事件进行响应,获得响应结果;所述剧本中包括有用于响应所述微场景安全事件的各动作函数;
调用所述至少一个验证函数体对所述响应结果进行验证。
可选的,所述分析函数体包括:过滤函数体及安全规则匹配函数体;所述剧本包括:至少一个响应函数体;所述基于预设的编排流程编排对应的案例,包括:
接收开始函数块,所述开始函数块与函数模板库中的开始函数体相关联;
接收安全日志函数块;所述安全日志函数块与所述函数模板库中的所述过滤函数体相关联,所述过滤函数体用于对所述微场景的数据源信息进行过滤,获得所述微场景对应的安全日志信息;
接收安全规则函数块;所述安全规则函数块与所述函数模板库中的安全规则匹配函数体相关联,所述安全规则匹配函数体用于基于预设的事件规则对所述安全日志信息进行匹配,生成安全事件;
接收研判取证函数块;所述研判取证函数块与所述函数模板库中研判取证函数体相关联,所述研判取证函数体用于获得所述安全事件的威胁证据;
接收至少一个响应函数块;所述响应函数块与所述函数模板库中相应的响应函数体相关联;所述响应函数体用于对所述安全事件进行响应;
接收至少一个验证函数块,所述验证函数块与所述函数模板库中相应的验证函数体相关联,所述验证函数体用于对相应的所述响应结果进行验证;
接收结束函数块,所述结束函数块与所述函数模板库中的结束函数体相关联;
根据所述开始函数块、所述安全日志函数块、所述安全规则函数块、所述研判取证函数块、所述响应函数块、所述验证函数块及所述结束函数块生成所述微场景对应的案例。
可选的,所述响应函数块包括:全局封堵响应函数块、主机隔离响应函数块、主机清理响应函数块及主机加固响应函数块;所述验证函数块包括:全局封堵验证函数块、主机隔离验证函数块、主机清理验证函数块及主机加固验证函数块;其中,
在所述预设的编排流程中,所述全局封堵验证函数块的前一流程为所述全局封堵函数块;所述全局封堵验证函数块与全局封堵验证函数体相关联,所述全局封堵响应函数块与全局封堵响应函数体相关联;
所述主机隔离验证函数块的前一流程为所述主机隔离函数块;所述主机隔离验证函数块与主机隔离验证函数体相关联,所述主机隔离响应函数块与主机隔离响应函数体相关联;
所述主机清理验证函数块的前一流程为所述主机清理函数块;所述主机清理验证函数块与主机清理验证函数体相关联,所述主机清理响应函数块与主机清理响应函数体相关联;
所述主机加固验证函数的前一流程为所述主机加固函数块;所述主机加固验证函数块与主机加固验证函数体相关联,所述主机加固响应函数块与主机加固响应函数体相关联。
可选的,所述调用所述至少一个验证函数体对所述响应结果进行验证,包括:
针对任一响应结果,当所述响应结果为响应成功时,调用所述至少一个验证函数体向执行响应动作的安全设备下发对应的响应查询请求;所述响应查询请求用于验证对应的所述响应函数体是否已在所述安全设备中,以及用于验证对应的所述响应函数体是否启用;
调用所述至少一个验证函数体向所述安全设备下发对应的验证测试请求,以使得所述安全设备能基于所述验证测试请求对被响应主机进行测试;所述验证测试请求中携带有验证条目;
接收由所述安全设备发送的验证测试结果,基于所述验证测试结果对所述响应结果进行验证。
可选的,所述基于所述验证测试结果对所述响应结果进行验证,包括:
当所述响应结果为全局封堵函数体输出的响应结果时,基于所述验证测试结果判断待封堵的源IP地址是否封堵成功,若确定封堵成功,则确定对应的所述响应结果为响应成功;
当所述响应结果为主机隔离函数体输出的响应结果时,基于所述验证测试结果判断待隔离的源IP地址是否隔离成功,若确定隔离成功,则确定对应的所述响应结果为响应成功。
可选的,所述基于所述验证测试结果对所述响应结果进行验证,包括:
当所述响应结果为主机清理函数体输出的响应结果时,基于所述验证测试结果判断待清理的进程是否清理成功;
判断待清理的文件及对应的异常文件目录是否被清理成功;
判断待清理的异常服务或异常任务是否被清理成功;
判断待清理的异常配置项是否被清理成功;
若确定所述待清理的进程、所述待清理的文件及对应的异常文件目录、所述待清理的异常服务或异常任务、所述待清理的异常配置项均已清理成功,则确定所述响应结果为响应成功。
可选的,所述基于所述验证测试结果对所述响应结果进行验证,包括:
当所述响应结果为主机加固函数体输出的响应结果时,获得对应的加固方式;
若加固方式为补丁升级,基于所述验证测试结果判断加固补丁是否安装成功并启用成功;
若所述加固方式为修改配置项,基于所述验证测试结果判断配置项是否修改成功并启用成功;
若所述加固方式为防火墙封堵,基于所述验证测试结果判断防火墙是否配置封堵策略并启用成功;
若确定对应的加固方式为加固成功,则确定所述响应结果为响应成功。
本申请的第二方面,提供一种微场景案例的编排验证装置,所述装置包括:
编排模块,用于针对任一类型的微场景,基于预设的编排流程编排对应的案例,所述案例包括:分析函数体、剧本及至少一个验证函数体;
分析模块,用于调用所述分析函数体对所述微场景的数据源进行过滤及分析,判断是否存在安全事件;
响应模块,用于确定存在所述安全事件时,调用所述剧本对所述安全事件进行响应,获得响应结果;所述剧本中包括有用于响应所述微场景安全事件的各动作函数;
验证模块,用于调用所述至少一个验证函数体对所述响应结果进行验证。
本申请的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面中任一项所述的方法。
本申请的第三方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面任一项所述的方法。
本申请提供了一种微场景案例的编排验证方法、装置、介质及计算机设备,因基于预设的编排流程编排案例时,将验证函数体编排至案例中,这样案例中即包括有分析函数体、剧本及验证函数体;当通过剧本对微场景的安全事件进行自动响应后,可以调用验证函数体自动对响应结果进行验证;相比人工验证的方式,可以避免由人工技能差异导致的验证误差,提高验证的准确度及效率。
附图说明
图1为本申请实施例提供的微场景案例的编排验证方法流程示意图;
图2为本申请实施例提供的微场景案例的编排流程示意图;
图3为本申请实施例提供的微场景案例的编排验证装置结构示意图;
图4为本申请实施例提供的微场景案例的计算机设备结构示意图;
图5为本申请实施例提供的微场景案例的计算机介质结构示意图。
具体实施方式
为了解决现有技术中在基于编排的案例对安全事件进行响应后,需要利用人工对响应效果进行验证,导致验证的准确度及效率均得不到确保的技术问题;本申请提供了一种微场景案例的编排验证方法、装置、介质及计算机设备。
下面通过附图及具体实施例对本申请的技术方案做进一步的详细说明。
实施例一
本实施例提供一种微场景案例的编排验证方法,如图1所示,方法包括:
S110,针对任一类型的微场景,基于预设的编排流程编排对应的案例,所述案例包括:分析函数体、剧本及至少一个验证函数体;
因威胁场景包括多种类型,比如:蠕虫病毒、挖矿病毒、网络攻击、远程木马等等。为了确保系统的安全运行,因此针对每一种类型的威胁场景,需要在可视化编排界面基于预设的编排流程编排对应的案例,编排后的案例可如图2所示。
其中,案例可以理解为通过可视化编排界面对某一威胁场景进行分析、响应、验证的流程化编排结果;也即编排完成后,案例可自动生成。
值得注意的是,本实施例为了可以对响应结果自动验证,案例的具体内容包括分析函数体、剧本及至少一个验证函数体;分析函数体包括:过滤函数体及安全规则匹配函数体;剧本包括至少一个响应函数体,每个响应函数体中包括有用于响应所述微场景安全事件的各动作函数,那么一个剧本Playbook中通常包含对某个类型微场景下的安全事件进行处理的所有动作函数Action,这些动作函数以串联或并联方式组合,从而实现对该类型微场景下的对安全事件进行自动化响应。在编排微场景案例时,需要根据案例的内容结构来搭建对应的函数块。
为了实现可以通过拖拽函数块的方式编排案例,在基于预设的编排流程编排对应的案例之前,还包括:
将开始函数体与预设的第一用户界面的API进行映射,以使得开始函数体可以和第一用户界面相关联,第一用户界面为开始函数块对应的用户界面,第一用户界面为图2中的开始函数块;
将过滤函数体与预设的第二用户界面的API进行映射,以使得过滤函数体可以和第二用户界面相关联,第二用户界面为过滤函数块对应的用户界面,第二用户界面为图2中的安全日志函数块;
将安全规则匹配函数体与预设的第三用户界面的API进行映射,以使得安全规则匹配函数体可以和第三用户界面相关联,第三用户界面为匹配函数块对应的用户界面,第三用户界面为图2中的安全规则函数块;
将研判取证函数体与预设的第四用户界面的API进行映射,以使得安全规则匹配函数体可以和第四用户界面相关联,第四用户界面为研判取证函数块对应的用户界面,第四用户界面为图2中的研判取证函数块;
将响应函数体与预设的第五用户界面的API进行映射,以使得响应函数体可以和第五用户界面相关联;第五用户界面为响应函数块对应的用户界面;
将验证函数体与预设的第六用户界面的API进行映射,以使得响应函数体可以和第六用户界面相关联;第六用户界面为验证函数块对应的用户界面;
将结束函数体与预设的第七用户界面的API进行映射,以使得结束函数体可以和第七用户界面相关联;第七用户界面为结束函数块对应的用户界面。
一般来说,响应函数体输出的响应结果为响应成功时,验证函数体会对响应结果进行验证,当响应结果为响应失败时,需要创建工单;因此案例还包括:响应结果判定函数体及创建工单函数体。当验证结果为验证成功时,需要执行预警通知,因此案例还包括执行预警通知函数体。同样的,响应结果判定函数体、执行预警通知函数体、创建工单函数体也需要与预设的用户界面的API相关联。
这样,各个函数块即成为了可拖拽的函数块,各个可拖拽的函数块设置在编排页界面的工具箱中;工具箱如图2所示。
用户搭建微场景剧本时,可以从可视化编排界面上的工具箱选择对应的函数块进行搭建。
具体的,作为一种可选的实施例,基于预设的编排流程编排对应的案例,包括:
接收开始函数块,开始函数块与函数模板库中的开始函数体相关联;
接收安全日志函数块;安全日志函数块与函数模板库中的所述过滤函数体相关联,所述过滤函数体用于对所述微场景的数据源信息进行过滤,获得所述微场景对应的安全日志信息;
接收安全规则函数块;安全规则函数块与函数模板库中的安全规则匹配函数体相关联,安全规则匹配函数体用于基于预设的事件规则对所述安全日志信息进行匹配,若能匹配成功,则生成安全事件;
接收研判取证函数块;研判取证函数块与函数模板库中研判取证函数体相关联,研判取证函数体用于获得安全事件的威胁证据;比如威胁证据可以包括:确认攻击源IP是否为黑名单,或者获取病毒文件名称的路径等等。
接收至少一个响应函数块;响应函数块与函数模板库中相应的响应函数体相关联;响应函数体用于对安全事件进行响应;
接收至少一个验证函数块,所述验证函数块与所述函数模板库中相应的验证函数体相关联,所述验证函数体用于对相应的所述响应结果进行验证;
接收结束函数块,所述结束函数块与所述函数模板库中的结束函数体相关联;
根据开始函数块、安全日志函数块、安全规则函数块、研判取证函数块、响应函数块、验证函数块及结束函数块生成微场景对应的案例。
不同类型的微场景需要执行的响应动作不同,总体来说,响应动作主要包括全局封堵、主机隔离、主机清理及主机加固等四类。因此响应函数体可以包括:全局封堵响应函数体、主机隔离响应函数体、主机清理响应函数体及主机加固响应函数体;验证函数体包括:全局封堵验证函数体、主机隔离验证函数体、主机清理验证函数体及主机加固验证函数体;那么第五用户界面和第六用户界面也相应包括多个。如图2所示,第五用户界面包括:全局封堵响应函数块、主机隔离响应函数块、主机清理响应函数块及主机加固响应函数块对应的用户界面;第六用户界面包括:全局封堵验证函数块、主机隔离验证函数块、主机清理验证函数块及主机加固验证函数块对应的用户界面。
为了验证的准确性,继续参考图2,在预设的编排流程中,全局封堵验证函数块的前一流程为全局封堵函数块;全局封堵验证函数块与全局封堵验证函数体相关联,全局封堵响应函数块与全局封堵响应函数体相关联;
主机隔离验证函数块的前一流程为所述主机隔离函数块;主机隔离验证函数块与主机隔离验证函数体相关联,主机隔离响应函数块与主机隔离响应函数体相关联;
主机清理验证函数块的前一流程为主机清理函数块;主机清理验证函数块与主机清理验证函数体相关联,主机清理响应函数块与主机清理响应函数体相关联;
主机加固验证函数的前一流程为主机加固函数块;主机加固验证函数块与主机加固验证函数体相关联,主机加固响应函数块与主机加固响应函数体相关联。
基于预设的编排流程将各个函数块拖拽至编排界面后,还需通过关联箭头设置各个函数块之间的执行顺序,执行顺序设置后之后,案例搭建完毕。然后接收生成指令,根据生成指令,基于各个函数块生成微场景对应的案例。具体的,基于各函数块与对应函数体的映射关系,获得相应的函数体,把相应的函数块转换成相应的代码,转换后的代码为案例的内容。
S111,调用所述分析函数体对所述微场景的数据源进行过滤及分析,判断是否存在安全事件;
生成案例后,将案例导入SOAR执行引擎中。在系统运行过程中,执行引擎调用案例中的分析函数体对微场景的数据源进行过滤及分析,判断是否存在安全事件。
具体的,基于分析函数体中的过滤函数体对系统日志信息进行过滤,获得该微场景下的安全日志信息,基于安全规则匹配函数体中的事件规则对安全日志信息进行匹配,若能匹配成功,则表示当前微场景被命中,生成安全事件。
举例来说,比如微场景为远程木马,那么对数据源信息进行过滤,获得与木马事件相关的安全日志信息,将安全日志信息和预先设置的事件规则进行匹配,若能匹配成功,则生成安全事件。
S112,若确定存在所述安全事件,调用所述响应函数体对所述安全事件进行响应,获得响应结果;所述响应函数体中包括有用于响应所述微场景安全事件的各动作函数;
若确定存在安全事件,则调用研判取证函数体对安全事件进行取证,获得威胁证据及取证结果。若取证结果为取证成功,调用响应函数体对安全事件进行联动化响应,获得响应结果。响应函数体中包括有用于响应微场景安全事件的各动作函数。
如上文所述,不同类型的微场景需要执行的响应动作不同,总体来说,响应动作主要包括全局封堵、主机隔离、主机清理及主机加固等四类;对应的全局封堵函数体、主机隔离函数体、主机清理函数体及主机加固函数体中都包含有多个动作函数。
比如:执行全局封堵响应动作时,主是调用封堵IP、封堵URL、主机隔离等动作函数Action进行响应的;执行主机清理的响应动作时,是调用杀进程、查询注册表、终止服务、删除服务、删除文件夹、删除文件、执行系统命令等动作函数Action进行响应的。
这里,为了可以应对大规模的安全事件,作为一种可选的实施例,当多个微场景同时存在安全事件时,调用响应函数体对安全事件进行响应,可以包括:
当接收到各微场景对应的安全事件时,将安全事件存储至预先设置的事件队列中;
基于预设的提取策略从事件队列中顺序提取待处理的安全事件,并查找各微场景对应的剧本;
为每个剧本创建对应的子进程,基于每个子进程调用对应的剧本入口函数,以能载入各微场景对应的剧本;
在并行执行各剧本时,调用预设的工具包为每个剧本的子进程创建至少一个子线程,并返回所述工具包的主线程;工具包可以为SDK;
基于所述至少一个子线程执行对应剧本中的各动作函数体,以能请求调用外部安全设备利用动作函数体响应对应的安全事件。
这里,基于远程过程调用协议(RPC,Remote Procedure Call Protocol)服务接收安全事件,接收到安全事件后,并不是立即处理该安全事件,而是将安全事件存储至预先设置的事件队列中。在处理安全事件时,按照提取策略顺序提取,以免出现漏掉的情况。
针对任一类型的微场景,查找到微场景对应的剧本后,需要为每个剧本创建对应的子进程,基于每个子进程调用对应的剧本入口函数,以能在对应的子进程中动态载入各微场景对应的剧本。这样若存在多个剧本时,多个剧本可以并行执行。
同时,同样考虑到硬件部署环境的存储能力、计算能力各有差别,为了确保最优的处理能力,为每个剧本创建对应的子进程之前,还包括:
判断已获取到的剧本数量是否达到预设的剧本数量阈值,若已获取到的剧本数量已经达到预设的剧本数量阈值,则控制后续的剧本处于阻塞等待状态,直至已有的剧本执行完毕才会执行后续的剧本;其中,预设的剧本数量阈值可根据硬件系统能同时执行的剧本数量最大值确定。
针对任一剧本,在执行剧本中的动作函数时,调用SDK中的执行函数为该剧本的子进程创建至少一个子线程。比如,某剧本包括n个动作函数Action1、Action2……Action n(需要并行执行),那么则为该剧本的子进程创建n个子线程。
值得注意的是,针对当前动作函数,当为当前动作函数创建好子线程后,需要立即将SDK的主线程返回,以能将创建子线程的控制流流转至该剧本的子进程,随后立即为Action2创建子线程,这样Action1对应的子线程与Action2对应的子线程的创建成功的时间就相差了几个ms,进而可以使得改剧本中对应的多个子线程得以并行执行。
这样,多个剧本可以并行执行,每个剧本中的动作函数也可以并行执行,因此可以对大规模安全事件进行自动响应。
S113,调用所述至少一个验证函数体对所述响应结果进行验证。
响应完成后,各响应函数体输出对应的响应结果,为了验证案例的有效性,调用相应的验证函数体对响应结果进行验证。
作为一种可选的实施例,调用至少一个验证函数体对响应结果进行验证,包括:
针对任一响应结果,当响应结果为响应成功时,调用至少一个验证函数体向执行响应动作的安全设备下发对应的响应查询请求;响应查询请求用于验证对应的响应函数体是否已在安全设备中,以及用于验证对应的响应函数体是否启用;
调用至少一个验证函数体向安全设备下发对应的验证测试请求,以使得安全设备能基于所述验证测试请求对被响应主机进行测试;验证测试请求中携带有验证条目;
接收由安全设备发送的验证测试结果,基于验证测试结果对响应结果进行验证。
其中,安全设备为NDR设备,可以包括:NF设备、WAF设备或IDS设备。当响应函数体为全局封堵函数体或主机隔离函数体时,调用至少一个验证函数体向安全设备下发对应的验证测试请求时,需要依据封堵或隔离的范围,随机选择该范围内的目标IP主机,安全设备向目标IP主机下发验证测试请求,目标IP主机基于验证测试请求,利用测试工具对被封堵或被隔离的源IP进行测试,获得验证测试结果。其中,测试工具可以包括:ping测试工具或者tracert测试工具。
作为一种可选的实施例,基于所述验证测试结果对响应结果进行验证,包括:
当响应结果为全局封堵函数体输出的响应结果时,基于验证测试结果判断全局封堵函数体是否已在安全设备中,以及判定全局封堵函数体是否启用;若确定全局封堵函数体已启用,判断待封堵的源IP地址是否封堵成功,若确定封堵成功,则确定对应的响应结果为响应成功;
当响应结果为主机隔离函数体输出的响应结果时,基于验证测试结果判断主机隔离函数体是否已在安全设备中,以及判定主机隔离函数体是否启用;若确定主机隔离封堵函数体已启用,判断待隔离的源IP地址是否隔离成功,若确定隔离成功,则确定对应的响应结果为响应成功。
当响应结果为主机清理函数体输出的响应结果时,基于验证测试结果判断主机清理函数体是否已在安全设备中,以及判定主机清理函数体是否启用;
若确定主机清理函数体已启用,基于验证测试结果判断待清理的进程是否清理成功(是否不存在);
判断待清理的文件及对应的异常文件目录是否被清理成功(删除或隔离);
判断待清理的异常服务或异常任务是否被清理成功(删除或禁用);
判断待清理的异常配置项是否被清理成功(删除或禁用),异常配置项包括:linux中的异常配置文件,或者配置文件的异常配置项,或者windows中的异常注册表项;
若确定待清理的进程;待清理的文件及对应的异常文件目录、待清理的异常服务或异常任务、待清理的异常配置项均已清理成功,则确定响应结果为响应成功。
当响应结果为主机加固函数体输出的响应结果时,基于验证测试结果判断主机加固函数体是否已在安全设备中,以及判定主机加固函数体是否启用;
若确定主机加固函数体已启用,则获得对应的加固方式,加固方式包括补丁升级、修改配置项或者个人防火墙的封堵;
若加固方式为补丁升级,基于验证测试结果判断加固补丁是否安装成功并启用成功;
若所述加固方式为修改配置项,基于验证测试结果判断配置项是否修改成功并启用成功;
若所述加固方式为防火墙封堵,基于验证测试结果判断防火墙是否配置封堵策略并启用成功;
若确定对应的加固方式为加固成功,则确定响应结果为响应成功。
这样将自动化的验证策略纳入到案例的整体编排流程中,相对于人工验证响应效果的验证方式,可以大幅提升验证的效率,降低由于人工的技能差异导致的验证误差,提高验证的准确度;并且可以将验证函数体固化到数据库中,实现验证经验的固化和积累;根据自动验证的验证结果对案例进行优化,提高安全防护的精度。
基于同样的发明构思,本申请还提供一种微场景案例的编排验证装置,详见实施例二。
实施例二
本实施例提供一种微场景案例的编排验证装置,如图3所示,装置包括:编排模块31、分析模块32、响应模块33及验证模块34;其中
编排模块31,用于针对任一类型的微场景,基于预设的编排流程编排对应的案例,案例包括:分析函数体、剧本及至少一个验证函数体;
分析模块32,用于调用分析函数体对微场景的数据源进行过滤及分析,判断是否存在安全事件;
响应模块33,用于确定存在安全事件时,调用剧本对所述安全事件进行响应,获得响应结果;剧本中包括有用于响应所述微场景安全事件的各动作函数;
验证模块34,用于调用至少一个验证函数体对响应结果进行验证。
因威胁场景包括多种类型,比如:蠕虫病毒、挖矿病毒、网络攻击、远程木马等等。为了确保系统的安全运行,因此针对每一种类型的威胁场景,需要在可视化编排界面基于预设的编排流程编排对应的案例,编排后的案例可如图2所示。
其中,案例可以理解为通过可视化编排界面对某一威胁场景进行分析、响应、验证的流程化编排结果;也即编排完成后,案例可自动生成。
值得注意的是,本实施例为了可以对响应结果自动验证,案例的具体内容包括分析函数体、剧本及至少一个验证函数体;分析函数体包括:过滤函数体及安全规则匹配函数体;剧本包括至少一个响应函数体,每个响应函数体中包括有用于响应所述微场景安全事件的各动作函数,那么一个剧本Playbook中通常包含对某个类型微场景下的安全事件进行处理的所有动作函数Action,这些动作函数以串联或并联方式组合,从而实现对该类型微场景下的对安全事件进行自动化响应。在编排微场景案例时,需要根据案例的内容结构来搭建对应的函数块。
为了实现可以通过拖拽函数块的方式编排案例,在基于预设的编排流程编排对应的案例之前,编排模块31还用于:
将开始函数体与预设的第一用户界面的API进行映射,以使得开始函数体可以和第一用户界面相关联,第一用户界面为开始函数块对应的用户界面,第一用户界面为图2中的开始函数块;
将过滤函数体与预设的第二用户界面的API进行映射,以使得过滤函数体可以和第二用户界面相关联,第二用户界面为过滤函数块对应的用户界面,第二用户界面为图2中的安全日志函数块;
将安全规则匹配函数体与预设的第三用户界面的API进行映射,以使得安全规则匹配函数体可以和第三用户界面相关联,第三用户界面为匹配函数块对应的用户界面,第三用户界面为图2中的安全规则函数块;
将研判取证函数体与预设的第四用户界面的API进行映射,以使得安全规则匹配函数体可以和第四用户界面相关联,第四用户界面为研判取证函数块对应的用户界面,第四用户界面为图2中的研判取证函数块;
将响应函数体与预设的第五用户界面的API进行映射,以使得响应函数体可以和第五用户界面相关联;第五用户界面为响应函数块对应的用户界面;
将验证函数体与预设的第六用户界面的API进行映射,以使得响应函数体可以和第六用户界面相关联;第六用户界面为验证函数块对应的用户界面;
将结束函数体与预设的第七用户界面的API进行映射,以使得结束函数体可以和第七用户界面相关联;第七用户界面为结束函数块对应的用户界面。
一般来说,响应函数体输出的响应结果为响应成功时,验证函数体会对响应结果进行验证,当响应结果为响应失败时,需要创建工单;因此案例还包括:响应结果判定函数体及创建工单函数体。当验证结果为验证成功时,需要执行预警通知,因此案例还包括执行预警通知函数体。同样的,响应结果判定函数体、执行预警通知函数体、创建工单函数体也需要与预设的用户界面的API相关联。
这样,各个函数块即成为了可拖拽的函数块,各个可拖拽的函数块设置在编排页界面的工具箱中;工具箱可如图2所示。
用户搭建微场景剧本时,可以从可视化编排界面上的工具箱选择对应的函数块进行搭建。
具体的,作为一种可选的实施例,编排模块31具体用于:
接收开始函数块,开始函数块与函数模板库中的开始函数体相关联;
接收安全日志函数块;安全日志函数块与函数模板库中的所述过滤函数体相关联,所述过滤函数体用于对所述微场景的数据源信息进行过滤,获得所述微场景对应的安全日志信息;
接收安全规则函数块;安全规则函数块与函数模板库中的安全规则匹配函数体相关联,安全规则匹配函数体用于基于预设的事件规则对所述安全日志信息进行匹配,若能匹配成功,则生成安全事件;
接收研判取证函数块;研判取证函数块与函数模板库中研判取证函数体相关联,研判取证函数体用于获得安全事件的威胁证据;比如威胁证据可以包括:确认攻击源IP是否为黑名单,或者获取病毒文件名称的路径等等。
接收至少一个响应函数块;响应函数块与函数模板库中相应的响应函数体相关联;响应函数体用于对安全事件进行响应;
接收至少一个验证函数块,所述验证函数块与所述函数模板库中相应的验证函数体相关联,所述验证函数体用于对相应的所述响应结果进行验证;
接收结束函数块,所述结束函数块与所述函数模板库中的结束函数体相关联;
根据开始函数块、安全日志函数块、安全规则函数块、研判取证函数块、响应函数块、验证函数块及结束函数块生成微场景对应的案例。
不同类型的微场景需要执行的响应动作不同,总体来说,响应动作主要包括全局封堵、主机隔离、主机清理及主机加固等四类。因此响应函数体可以包括:全局封堵响应函数体、主机隔离响应函数体、主机清理响应函数体及主机加固响应函数体;验证函数体包括:全局封堵验证函数体、主机隔离验证函数体、主机清理验证函数体及主机加固验证函数体;那么第五用户界面和第六用户界面也相应包括多个。如图2所示,第五用户界面包括:全局封堵响应函数块、主机隔离响应函数块、主机清理响应函数块及主机加固响应函数块对应的用户界面;第六用户界面包括:全局封堵验证函数块、主机隔离验证函数块、主机清理验证函数块及主机加固验证函数块对应的用户界面。
为了验证的准确性,继续参考图2,在预设的编排流程中,全局封堵验证函数块的前一流程为全局封堵函数块;全局封堵验证函数块与全局封堵验证函数体相关联,全局封堵响应函数块与全局封堵响应函数体相关联;
主机隔离验证函数块的前一流程为所述主机隔离函数块;主机隔离验证函数块与主机隔离验证函数体相关联,主机隔离响应函数块与主机隔离响应函数体相关联;
主机清理验证函数块的前一流程为主机清理函数块;主机清理验证函数块与主机清理验证函数体相关联,主机清理响应函数块与主机清理响应函数体相关联;
主机加固验证函数的前一流程为主机加固函数块;主机加固验证函数块与主机加固验证函数体相关联,主机加固响应函数块与主机加固响应函数体相关联。
基于预设的编排流程将各个函数块拖拽至编排界面后,还需通过关联箭头设置各个函数块之间的执行顺序,执行顺序设置后之后,案例搭建完毕。然后接收生成指令,根据生成指令,基于各个函数块生成微场景对应的案例。具体的,基于各函数块与对应函数体的映射关系,获得相应的函数体,把相应的函数块转换成相应的代码,转换后的代码为案例的内容。
生成案例后,将案例导入SOAR执行引擎中。在系统运行过程中,分析模块32用于调用案例中的分析函数体对微场景的数据源进行过滤及分析,判断是否存在安全事件。分析模块32可以为执行引擎。
具体的,分析模块32基于分析函数体中的过滤函数体对系统日志信息进行过滤,获得该微场景下的安全日志信息,基于安全规则匹配函数体中的事件规则对安全日志信息进行匹配,若能匹配成功,则表示当前微场景被命中,生成安全事件。
举例来说,比如微场景为远程木马,那么对数据源信息进行过滤,获得与木马事件相关的安全日志信息,将安全日志信息和预先设置的事件规则进行匹配,若能匹配成功,则生成安全事件。
若确定存在安全事件,响应模块33则调用研判取证函数体对安全事件进行取证,获得威胁证据及取证结果。若取证结果为取证成功,调用响应函数体对安全事件进行联动化响应,获得响应结果。响应函数体中包括有用于响应微场景安全事件的各动作函数。
如上文所述,不同类型的微场景需要执行的响应动作不同,总体来说,响应动作主要包括全局封堵、主机隔离、主机清理及主机加固等四类;对应的全局封堵函数体、主机隔离函数体、主机清理函数体及主机加固函数体中都包含有多个动作函数。
比如:执行全局封堵响应动作时,主是调用封堵IP、封堵URL、主机隔离等动作函数Action进行响应的;执行主机清理的响应动作时,是调用杀进程、查询注册表、终止服务、删除服务、删除文件夹、删除文件、执行系统命令等动作函数Action进行响应的。
比如:执行全局封堵响应动作时,主是调用封堵IP、封堵URL、主机隔离等动作函数Action进行响应的;执行主机清理的响应动作时,是调用杀进程、查询注册表、终止服务、删除服务、删除文件夹、删除文件、执行系统命令等动作函数Action进行响应的。
这里,为了可以应对大规模的安全事件,作为一种可选的实施例,当多个微场景同时存在安全事件时,响应模块33具体还用于:
当接收到各微场景对应的安全事件时,将安全事件存储至预先设置的事件队列中;
基于预设的提取策略从事件队列中顺序提取待处理的安全事件,并查找各微场景对应的剧本;
为每个剧本创建对应的子进程,基于每个子进程调用对应的剧本入口函数,以能载入各微场景对应的剧本;
在并行执行各剧本时,调用预设的工具包为每个剧本的子进程创建至少一个子线程,并返回所述工具包的主线程;工具包可以为SDK;
基于所述至少一个子线程执行对应剧本中的各动作函数体,以能请求调用外部安全设备利用动作函数体响应对应的安全事件。
这里,基于远程过程调用协议(RPC,Remote Procedure Call Protocol)服务接收安全事件,接收到安全事件后,并不是立即处理该安全事件,而是将安全事件存储至预先设置的事件队列中。在处理安全事件时,按照提取策略顺序提取,以免出现漏掉的情况。
针对任一类型的微场景,查找到微场景对应的剧本后,需要为每个剧本创建对应的子进程,基于每个子进程调用对应的剧本入口函数,以能在对应的子进程中动态载入各微场景对应的剧本。这样若存在多个剧本时,多个剧本可以并行执行。
同时,同样考虑到硬件部署环境的存储能力、计算能力各有差别,为了确保最优的处理能力,为每个剧本创建对应的子进程之前,还包括:
判断已获取到的剧本数量是否达到预设的剧本数量阈值,若已获取到的剧本数量已经达到预设的剧本数量阈值,则控制后续的剧本处于阻塞等待状态,直至已有的剧本执行完毕才会执行后续的剧本;其中,预设的剧本数量阈值可根据硬件系统能同时执行的剧本数量最大值确定。
针对任一剧本,在执行剧本中的动作函数时,调用SDK中的执行函数为该剧本的子进程创建至少一个子线程。比如,某剧本包括n个动作函数Action1、Action2……Action n(需要并行执行),那么则为该剧本的子进程创建n个子线程。
值得注意的是,针对当前动作函数,当为当前动作函数创建好子线程后,需要立即将SDK的主线程返回,以能将创建子线程的控制流流转至该剧本的子进程,随后立即为Action2创建子线程,这样Action1对应的子线程与Action2对应的子线程的创建成功的时间就相差了几个ms,进而可以使得改剧本中对应的多个子线程得以并行执行。
这样,多个剧本可以并行执行,每个剧本中的动作函数也可以并行执行,因此可以对大规模安全事件进行自动响应。
响应完成后,各响应函数体输出对应的响应结果,为了验证案例的有效性,验证模块34用于调用相应的验证函数体对响应结果进行验证。
作为一种可选的实施例,验证模块34具体用于:
针对任一响应结果,当响应结果为响应成功时,调用至少一个验证函数体向执行响应动作的安全设备下发对应的响应查询请求;响应查询请求用于验证对应的响应函数体是否已在安全设备中,以及用于验证对应的响应函数体是否启用;
调用至少一个验证函数体向安全设备下发对应的验证测试请求,以使得安全设备能基于所述验证测试请求对被响应主机进行测试;验证测试请求中携带有验证条目;
接收由安全设备发送的验证测试结果,基于验证测试结果对响应结果进行验证。
其中,安全设备为网络检测响应(NDR,Network Detection and Response)设备,可以包括:防火墙NF设备、web应用防火墙(WAF,Web Application Firewall)设备或入侵检测系统(IDS,Intrusion Detection Systems)设备。当响应函数体为全局封堵函数体或主机隔离函数体时,调用至少一个验证函数体向安全设备下发对应的验证测试请求时,需要依据封堵或隔离的范围,随机选择该范围内的目标IP主机,安全设备向目标IP主机下发验证测试请求,目标IP主机基于验证测试请求,利用测试工具对被封堵或被隔离的源IP进行测试,获得验证测试结果。其中,测试工具可以包括:ping测试工具或者tracert测试工具。
作为一种可选的实施例,验证模块34具体还用于:
当响应结果为全局封堵函数体输出的响应结果时,基于验证测试结果判断全局封堵函数体是否已在安全设备中,以及判定全局封堵函数体是否启用;若确定全局封堵函数体已启用,判断待封堵的源IP地址是否封堵成功,若确定封堵成功,则确定对应的响应结果为响应成功;
当响应结果为主机隔离函数体输出的响应结果时,基于验证测试结果判断主机隔离函数体是否已在安全设备中,以及判定主机隔离函数体是否启用;若确定主机隔离封堵函数体已启用,判断待隔离的源IP地址是否隔离成功,若确定隔离成功,则确定对应的响应结果为响应成功。
当响应结果为主机清理函数体输出的响应结果时,基于验证测试结果判断主机清理函数体是否已在安全设备中,以及判定主机清理函数体是否启用;
若确定主机清理函数体已启用,基于验证测试结果判断待清理的进程是否清理成功(是否不存在);
判断待清理的文件及对应的异常文件目录是否被清理成功(删除或隔离);
判断待清理的异常服务或异常任务是否被清理成功(删除或禁用);
判断待清理的异常配置项是否被清理成功(删除或禁用),异常配置项包括:linux中的异常配置文件,或者配置文件的异常配置项,或者windows中的异常注册表项;
若确定待清理的进程;待清理的文件及对应的异常文件目录、待清理的异常服务或异常任务、待清理的异常配置项均已清理成功,则确定响应结果为响应成功。
当响应结果为主机加固函数体输出的响应结果时,基于验证测试结果判断主机加固函数体是否已在安全设备中,以及判定主机加固函数体是否启用;
若确定主机加固函数体已启用,则获得对应的加固方式,加固方式包括补丁升级、修改配置项或者个人防火墙的封堵;
若加固方式为补丁升级,基于验证测试结果判断加固补丁是否安装成功并启用成功;
若所述加固方式为修改配置项,基于验证测试结果判断配置项是否修改成功并启用成功;
若所述加固方式为防火墙封堵,基于验证测试结果判断防火墙是否配置封堵策略并启用成功;
若确定对应的加固方式为加固成功,则确定响应结果为响应成功。
这样将自动化的验证策略纳入到案例的整体编排流程中,相对于人工验证响应效果的验证方式,可以大幅提升验证的效率,降低由于人工的技能差异导致的验证误差,提高验证的准确度;并且可以将验证函数体固化到数据库中,实现验证经验的固化和积累;根据自动验证的验证结果对案例进行优化,提高安全防护的精度。
实施例三
本实施例提供一种计算机设备,如图4所示,包括存储器40、处理器41及存储在存储器40上并可在处理器41上运行的计算机程序42,处理器41执行计算机程序42时实现以下步骤:
针对任一类型的微场景,基于预设的编排流程编排对应的案例,所述案例包括:分析函数体、剧本及至少一个验证函数体;
调用所述分析函数体对所述微场景的数据源进行过滤及分析,判断是否存在安全事件;
若确定存在所述安全事件,调用所述剧本对所述安全事件进行响应,获得响应结果;所述剧本中包括有用于响应所述微场景安全事件的各动作函数;
调用所述至少一个验证函数体对所述响应结果进行验证。
在具体实施过程中,处理器41执行计算机程序42时,可以实现实施例一中任一实施方式。
由于本实施例所介绍的计算机设备为实施本申请实施例一中一种微场景案例的编排验证方法所采用的设备,故而基于本申请实施例一中所介绍的方法,本领域所属技术人员能够了解本实施例的计算机设备的具体实施方式以及其各种变化形式,所以在此对于该服务器如何实现本申请实施例中的方法不再详细介绍。只要本领域所属技术人员实施本申请实施例中的方法所采用的设备,都属于本申请所欲保护的范围。
基于同一发明构思,本申请提供了实施例一对应的存储介质,详见实施例四。
实施例四
本实施例提供一种计算机可读存储介质50,如图5所示,其上存储有计算机程序51,该计算机程序51被处理器执行时实现以下步骤:
针对任一类型的微场景,基于预设的编排流程编排对应的案例,所述案例包括:分析函数体、剧本及至少一个验证函数体;
调用所述分析函数体对所述微场景的数据源进行过滤及分析,判断是否存在安全事件;
若确定存在所述安全事件,调用所述剧本对所述安全事件进行响应,获得响应结果;所述剧本中包括有用于响应所述微场景安全事件的各动作函数;
调用所述至少一个验证函数体对所述响应结果进行验证。
在具体实施过程中,该计算机程序51被处理器执行时,可以实现实施例一中任一实施方式。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围,凡在本申请的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种微场景案例的编排验证方法,其特征在于,所述方法包括:
针对任一类型的微场景,基于预设的编排流程编排对应的案例,所述案例包括:分析函数体、剧本及至少一个验证函数体;
调用所述分析函数体对所述微场景的数据源进行过滤及分析,判断是否存在安全事件;
若确定存在所述安全事件,调用所述剧本对所述安全事件进行响应,获得响应结果;所述剧本中包括有用于响应所述微场景安全事件的各动作函数;
调用所述至少一个验证函数体对所述响应结果进行验证。
2.如权利要求1所述的方法,其特征在于,所述分析函数体包括:过滤函数体及安全规则匹配函数体;所述剧本包括:至少一个响应函数体;所述基于预设的编排流程编排对应的案例,包括:
接收开始函数块,所述开始函数块与函数模板库中的开始函数体相关联;
接收安全日志函数块;所述安全日志函数块与所述函数模板库中的所述过滤函数体相关联,所述过滤函数体用于对所述微场景的数据源信息进行过滤,获得所述微场景对应的安全日志信息;
接收安全规则函数块;所述安全规则函数块与所述函数模板库中的安全规则匹配函数体相关联,所述安全规则匹配函数体用于基于预设的事件规则对所述安全日志信息进行匹配,生成安全事件;
接收研判取证函数块;所述研判取证函数块与所述函数模板库中研判取证函数体相关联,所述研判取证函数体用于获得所述安全事件的威胁证据;
接收至少一个响应函数块;所述响应函数块与所述函数模板库中相应的响应函数体相关联;所述响应函数体用于对所述安全事件进行响应;
接收至少一个验证函数块,所述验证函数块与所述函数模板库中相应的验证函数体相关联,所述验证函数体用于对相应的所述响应结果进行验证;
接收结束函数块,所述结束函数块与所述函数模板库中的结束函数体相关联;
根据所述开始函数块、所述安全日志函数块、所述安全规则函数块、所述研判取证函数块、所述响应函数块、所述验证函数块及所述结束函数块生成所述微场景对应的案例。
3.如权利要求2所述的方法,其特征在于,所述响应函数块包括:全局封堵响应函数块、主机隔离响应函数块、主机清理响应函数块及主机加固响应函数块;所述验证函数块包括:全局封堵验证函数块、主机隔离验证函数块、主机清理验证函数块及主机加固验证函数块;其中,
在所述预设的编排流程中,所述全局封堵验证函数块的前一流程为所述全局封堵函数块;所述全局封堵验证函数块与全局封堵验证函数体相关联,所述全局封堵响应函数块与全局封堵响应函数体相关联;
所述主机隔离验证函数块的前一流程为所述主机隔离函数块;所述主机隔离验证函数块与主机隔离验证函数体相关联,所述主机隔离响应函数块与主机隔离响应函数体相关联;
所述主机清理验证函数块的前一流程为所述主机清理函数块;所述主机清理验证函数块与主机清理验证函数体相关联,所述主机清理响应函数块与主机清理响应函数体相关联;
所述主机加固验证函数的前一流程为所述主机加固函数块;所述主机加固验证函数块与主机加固验证函数体相关联,所述主机加固响应函数块与主机加固响应函数体相关联。
4.如权利要求1所述的方法,其特征在于,所述调用所述至少一个验证函数体对所述响应结果进行验证,包括:
针对任一响应结果,当所述响应结果为响应成功时,调用所述至少一个验证函数体向执行响应动作的安全设备下发对应的响应查询请求;所述响应查询请求用于验证对应的所述响应函数体是否已在所述安全设备中,以及用于验证对应的所述响应函数体是否启用;
调用所述至少一个验证函数体向所述安全设备下发对应的验证测试请求,以使得所述安全设备能基于所述验证测试请求对被响应主机进行测试;所述验证测试请求中携带有验证条目;
接收由所述安全设备发送的验证测试结果,基于所述验证测试结果对所述响应结果进行验证。
5.如权利要求4所述的方法,其特征在于,所述基于所述验证测试结果对所述响应结果进行验证,包括:
当所述响应结果为全局封堵函数体输出的响应结果时,基于所述验证测试结果判断待封堵的源IP地址是否封堵成功,若确定封堵成功,则确定对应的所述响应结果为响应成功;
当所述响应结果为主机隔离函数体输出的响应结果时,基于所述验证测试结果判断待隔离的源IP地址是否隔离成功,若确定隔离成功,则确定对应的所述响应结果为响应成功。
6.如权利要求4所述的方法,其特征在于,所述基于所述验证测试结果对所述响应结果进行验证,包括:
当所述响应结果为主机清理函数体输出的响应结果时,基于所述验证测试结果判断待清理的进程是否清理成功;
判断待清理的文件及对应的异常文件目录是否被清理成功;
判断待清理的异常服务或异常任务是否被清理成功;
判断待清理的异常配置项是否被清理成功;
若确定所述待清理的进程、所述待清理的文件及对应的异常文件目录、所述待清理的异常服务或异常任务、所述待清理的异常配置项均已清理成功,则确定所述响应结果为响应成功。
7.如权利要求4所述的方法,其特征在于,所述基于所述验证测试结果对所述响应结果进行验证,包括:
当所述响应结果为主机加固函数体输出的响应结果时,获得对应的加固方式;
若加固方式为补丁升级,基于所述验证测试结果判断加固补丁是否安装成功并启用成功;
若所述加固方式为修改配置项,基于所述验证测试结果判断配置项是否修改成功并启用成功;
若所述加固方式为防火墙封堵,基于所述验证测试结果判断防火墙是否配置封堵策略并启用成功;
若确定对应的加固方式为加固成功,则确定所述响应结果为响应成功。
8.一种微场景案例的编排验证装置,其特征在于,所述装置包括:
编排模块,用于针对任一类型的微场景,基于预设的编排流程编排对应的案例,所述案例包括:分析函数体、剧本及至少一个验证函数体;
分析模块,用于调用所述分析函数体对所述微场景的数据源进行过滤及分析,判断是否存在安全事件;
响应模块,用于确定存在所述安全事件时,调用所述剧本对所述安全事件进行响应,获得响应结果;所述剧本中包括有用于响应所述微场景安全事件的各动作函数;
验证模块,用于调用所述至少一个验证函数体对所述响应结果进行验证。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7任一项所述的方法。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010674713.1A CN111818068B (zh) | 2020-07-14 | 2020-07-14 | 微场景案例的编排验证方法、装置、介质及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010674713.1A CN111818068B (zh) | 2020-07-14 | 2020-07-14 | 微场景案例的编排验证方法、装置、介质及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111818068A true CN111818068A (zh) | 2020-10-23 |
| CN111818068B CN111818068B (zh) | 2022-07-15 |
Family
ID=72843338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010674713.1A Active CN111818068B (zh) | 2020-07-14 | 2020-07-14 | 微场景案例的编排验证方法、装置、介质及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111818068B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037774A (zh) * | 2021-03-31 | 2021-06-25 | 新华三信息安全技术有限公司 | 一种安全管理方法、装置、设备及机器可读存储介质 |
| CN113259371A (zh) * | 2021-06-03 | 2021-08-13 | 上海雾帜智能科技有限公司 | 基于soar系统的网络攻击事件阻止方法及系统 |
| CN113986943A (zh) * | 2021-12-28 | 2022-01-28 | 畅捷通信息技术股份有限公司 | 一种基于场景数据戳的数据一致性验证方法、装置及介质 |
| CN114050937A (zh) * | 2021-11-18 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
| CN114070629A (zh) * | 2021-11-16 | 2022-02-18 | 南京南瑞信息通信科技有限公司 | 针对apt攻击的安全编排与自动化响应方法、装置及系统 |
| CN117056236A (zh) * | 2023-10-10 | 2023-11-14 | 卡斯柯信号(北京)有限公司 | 一种轨道交通信号软件的安全变量验证方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965289A (zh) * | 2018-07-10 | 2018-12-07 | 北京明朝万达科技股份有限公司 | 一种网络安全协同防护方法和系统 |
| CN110881016A (zh) * | 2018-09-05 | 2020-03-13 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
| CN110990233A (zh) * | 2019-11-28 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种利用甘特图展示soar的方法和系统 |
| US20200127893A1 (en) * | 2018-10-22 | 2020-04-23 | International Business Machines Corporation | Network Modeling and Device Configuration Based on Observed Network Behavior |
| CN111131253A (zh) * | 2019-12-24 | 2020-05-08 | 北京优特捷信息技术有限公司 | 基于场景的安全事件全局响应方法以及装置、设备、存储介质 |
| CN111367629A (zh) * | 2020-03-30 | 2020-07-03 | 绿盟科技集团股份有限公司 | 一种延时任务处理方法及装置 |
-
2020
- 2020-07-14 CN CN202010674713.1A patent/CN111818068B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965289A (zh) * | 2018-07-10 | 2018-12-07 | 北京明朝万达科技股份有限公司 | 一种网络安全协同防护方法和系统 |
| CN110881016A (zh) * | 2018-09-05 | 2020-03-13 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
| US20200127893A1 (en) * | 2018-10-22 | 2020-04-23 | International Business Machines Corporation | Network Modeling and Device Configuration Based on Observed Network Behavior |
| CN110990233A (zh) * | 2019-11-28 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种利用甘特图展示soar的方法和系统 |
| CN111131253A (zh) * | 2019-12-24 | 2020-05-08 | 北京优特捷信息技术有限公司 | 基于场景的安全事件全局响应方法以及装置、设备、存储介质 |
| CN111367629A (zh) * | 2020-03-30 | 2020-07-03 | 绿盟科技集团股份有限公司 | 一种延时任务处理方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 邢家鸣: "《SOAR 技术在银行业应用浅析》", 《中国金融电脑》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037774A (zh) * | 2021-03-31 | 2021-06-25 | 新华三信息安全技术有限公司 | 一种安全管理方法、装置、设备及机器可读存储介质 |
| CN113259371A (zh) * | 2021-06-03 | 2021-08-13 | 上海雾帜智能科技有限公司 | 基于soar系统的网络攻击事件阻止方法及系统 |
| CN114070629A (zh) * | 2021-11-16 | 2022-02-18 | 南京南瑞信息通信科技有限公司 | 针对apt攻击的安全编排与自动化响应方法、装置及系统 |
| CN114070629B (zh) * | 2021-11-16 | 2023-10-20 | 南京南瑞信息通信科技有限公司 | 针对apt攻击的安全编排与自动化响应方法、装置及系统 |
| CN114050937A (zh) * | 2021-11-18 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
| CN114050937B (zh) * | 2021-11-18 | 2024-02-09 | 天融信雄安网络安全技术有限公司 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
| CN113986943A (zh) * | 2021-12-28 | 2022-01-28 | 畅捷通信息技术股份有限公司 | 一种基于场景数据戳的数据一致性验证方法、装置及介质 |
| CN113986943B (zh) * | 2021-12-28 | 2022-04-22 | 畅捷通信息技术股份有限公司 | 一种基于场景数据戳的数据一致性验证方法、装置及介质 |
| CN117056236A (zh) * | 2023-10-10 | 2023-11-14 | 卡斯柯信号(北京)有限公司 | 一种轨道交通信号软件的安全变量验证方法及装置 |
| CN117056236B (zh) * | 2023-10-10 | 2024-01-30 | 卡斯柯信号(北京)有限公司 | 一种轨道交通信号软件的安全变量验证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111818068B (zh) | 2022-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111818068B (zh) | 微场景案例的编排验证方法、装置、介质及计算机设备 | |
| CN111831275B (zh) | 一种编排微场景剧本的方法、服务器、介质及计算机设备 | |
| CN111818069B (zh) | 呈现安全事件处理流程的方法、装置、介质及计算机设备 | |
| RU2454705C1 (ru) | Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения | |
| CN106650436B (zh) | 一种基于局域网的安全检测方法和装置 | |
| TWI493378B (zh) | 上傳檔案的方法和裝置 | |
| CN111819556B (zh) | 容器逃逸检测方法、装置、系统及存储介质 | |
| CN111835768B (zh) | 一种用于处理安全事件的方法、装置、介质及计算机设备 | |
| US9491190B2 (en) | Dynamic selection of network traffic for file extraction shellcode detection | |
| CN106156628B (zh) | 一种用户行为分析方法及装置 | |
| EP3205072A1 (en) | Differential dependency tracking for attack forensics | |
| CN110837640B (zh) | 恶意文件的查杀方法、查杀设备、存储介质及装置 | |
| CN109815697B (zh) | 误报行为处理方法及装置 | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| WO2020232887A1 (zh) | 容器应用的配置修改方法、装置、计算机设备及存储介质 | |
| CN109800571B (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
| CN110059007B (zh) | 系统漏洞扫描方法、装置、计算机设备及存储介质 | |
| CN106507300A (zh) | 一种找回丢失终端的方法、装置及终端 | |
| CN105303111B (zh) | 一种用户终端中恶意进程的识别方法、装置及用户终端 | |
| US12086249B2 (en) | Detection system, detection method, and an update verification method performed by using the detection method | |
| CN114491509A (zh) | 基于沙箱的恶意程序行为分析处理方法及系统 | |
| CN111475783B (zh) | 数据检测方法、系统及设备 | |
| KR101938415B1 (ko) | 비정상 행위 탐지 시스템 및 방법 | |
| CN116760819B (zh) | 计算机文件网络传送方法、计算机装置和装置介质 | |
| CN111913430B (zh) | 工业控制系统控制行为检测防护方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |