CN111818069A - 呈现安全事件处理流程的方法、装置、介质及计算机设备 - Google Patents
呈现安全事件处理流程的方法、装置、介质及计算机设备 Download PDFInfo
- Publication number
- CN111818069A CN111818069A CN202010674716.5A CN202010674716A CN111818069A CN 111818069 A CN111818069 A CN 111818069A CN 202010674716 A CN202010674716 A CN 202010674716A CN 111818069 A CN111818069 A CN 111818069A
- Authority
- CN
- China
- Prior art keywords
- response
- response execution
- information
- result
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本申请提供了一种呈现安全事件处理流程的方法、装置、介质及计算机设备,针对任一类型的威胁场景,预先均通过SOAR平台编排有对应的案例;在通过案例对威胁场景进行分析时,获得分析过程中产生的分析过程信息及分析结果;在对安全事件进行响应时,获得响应过程中的响应执行信息、响应执行状态及响应执行结果;将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果分别显示在web页面的各对应界面中;这样用户可直观地看到整个处理流程的处理进度及处理结果,因此可以高效地获取到所需要的信息;并可基于清楚地看到处理失败的流程及确定出处理失败的流程对应的后续处理流程,方便用户及时对案例的处理流程进行维护和优化。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种呈现安全事件处理流程的方法、装置、介质及计算机设备。
背景技术
在互联网领域,一个系统在运行中可能会存在各种类型的威胁场景,出现各种各样的安全风险问题,比如:网络攻击、远程木马、挖矿病毒等。为了确保系统可以安全运行,一般会利用安全编排与自动化响应(SOAR,Security Orchestration,Automation andResponse)平台编排案例,利用案例对威胁场景进行分析及响应,以解决出现的各种安全风险问题。
现有技术中,在对威胁场景进行分析、对安全事件进行响应后,相应的处理信息及处理结果均是以列表方式呈现,导致无法直观看出处理进度及处理结果。若有处理失败的动作,用户也无法清楚的得知处理失败的动作会影响到后续哪个处理流程,导致用户不能及时对处理流程进行维护和优化。
发明内容
针对现有技术存在的问题,本申请实施例提供了一种呈现安全事件处理流程的方法、装置、介质及计算机设备,用于解决现有技术中在SOAR平台中调用预先编排的案例分析威胁场景及响应安全事件时,无法直观体现出相应的处理的进度及处理结果,导致用户无法高效地获取所需要的信息,也不能在响应失败时及时对案例的处理流程进行维护和优化的技术问题。
本申请的第一方面,提供一种呈现安全事件处理流程的方法,所述方法包括:
针对任一类型的威胁场景,根据对应的案例对所述威胁场景进行分析时,获得分析过程信息及分析结果;所述案例是通过安全编排与自动化响应SOAR平台预先编排的;
当确定存在所述安全事件,根据所述案例对所述安全事件进行响应时,获得响应执行信息、响应执行状态及响应执行结果;
将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中;所述web页面的各对应界面用于可视化显示所述安全事件的处理流程。
可选的,所述将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中之前,还包括:
基于所述案例中的编排流程,调用绘图组件在所述web页面中搭建对应的所述界面及各所述界面之间的路径流向;所述案例为可视化案例。
可选的,所述将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中,包括:
基于所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果确定对应的数据结口;
通过对应的数据结口将所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果推分别送至对应的所述界面中进行显示。
可选的,所述将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中后,还包括:
基于预设的周期,刷新所述对应界面中的所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果。
可选的,所述将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面中各对应的界面中后,还包括:
根据所述分析结果及所述响应执行状态调节对应界面的显示颜色以及对应路径流向的显示颜色。
本申请的第二方面,提供一种呈现安全事件处理流程的装置,所述装置包括:
监控模块,用于针对任一类型的威胁场景,根据对应的案例对所述威胁场景进行分析时,获得分析过程信息及分析结果;所述案例是通过安全编排与自动化响应SOAR平台预先编排的;
当确定存在所述安全事件,根据所述案例对所述安全事件进行响应时,获得响应执行信息、响应执行状态及响应执行结果;
显示模块,用于将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中;所述web页面的各对应界面用于可视化显示所述安全事件的处理流程。
可选的,所述装置还包括:搭建模块,
用于基于所述案例中的编排流程,调用绘图组件在所述web页面中搭建对应的所述界面及各所述界面之间的路径流向;其中,所述案例为可视化案例。
可选的,所述显示单元具体用于:
基于所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果确定对应的数据结口;
通过对应的数据结口将所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果推分别送至对应的所述界面中进行显示。
本申请的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面中任一项所述的方法。
本申请的第四方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面中任一项所述的方法。
本申请提供了一种呈现安全事件处理流程的方法、装置、介质及计算机设备,针对任一类型的威胁场景,预先均通过SOAR平台编排有对应的案例;在通过案例对威胁场景进行分析时,获得分析过程中产生的分析过程信息及分析结果;在对安全事件进行响应时,获得响应过程中的响应执行信息、响应执行状态及响应执行结果;将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果分别显示在web页面的各对应界面中;这样可以把分析过程的信息及响应过程的信息可视化地显示在web页面的各界面中,那么用户便可直观地看到整个处理流程的处理进度及处理结果,因此可以高效地获取到所需要的信息;因各个界面对应显示有分析过程的信息及响应过程的信息,因此可以基于各个界面显示的相应信息清楚地看到处理失败的流程;因整个处理流程是可视化的,因此还可以直观地确定出处理失败的流程对应的后续处理流程,方便用户及时对案例的处理流程进行维护和优化。
附图说明
图1为本申请实施例提供的呈现安全事件处理流程的方法流程示意图;
图2为本申请实施例提供的通过SOAR平台预先编排的可视化案例的示意图;
图3为本申请实施例提供的对安全事件进行响应后生成的可视化响应流程示意图;
图4为本申请实施例提供的对安全事件进行响应后,存在响应失败时的可视化响应流程示意图;
图5为本申请实施例提供的对安全事件进行响应后,存在响应正在执行中国的可视化响应流程示意图;
图6为本申请实施例提供的呈现安全事件处理流程的装置结构示意图;
图7为本申请实施例提供的呈现安全事件处理流程的计算机设备结构示意图;
图8为本申请实施例提供的呈现安全事件处理流程的计算机介质结构示意图。
具体实施方式
为了解决现有技术中在SOAR平台中调用预先编排的案例分析威胁场景及响应安全事件时,无法直观体现出相应的处理的进度及处理结果,导致用户无法高效地获取所需要的信息,也不能在响应失败时及时对案例的处理流程进行维护和优化的技术问题。本申请提供了一种呈现安全事件处理流程的方法、装置、介质及计算机设备。
下面通过附图及具体实施例对本申请的技术方案做进一步的详细说明。
实施例一
本实施例提供一种呈现安全事件处理流程的方法,如图1所示,方法包括:
S110,针对任一类型的威胁场景,根据对应的案例对所述威胁场景进行分析时,获得分析过程信息及分析结果;所述案例是通过安全编排与自动化响应SOAR平台预先编排的;
因威胁场景包括多种类型,为了确保系统的安全运行,因此针对每一种类型的威胁场景,需要在SOAR平台中,通过可视化编排页面预先编排可视化案例。其中,案例可以理解为通过可视化编排页面对某一威胁场景进行分析及响应的流程化编排结果;也即编排完成后,案例可自动生成。其中,某种类型威胁场景对应的可视化案例可如图2所示。
从图2中可以看出,可视化案例包括:开始流程块、安全日志流程块、安全规则流程块、研判取证流程块、取证结果判定流程块、全局封堵流程块、主机清理流程块、创建工单流程块、预警通知流程块及结束流程块。其中,各流程块实质上为用户界面,每个流程块的API的和模板库中相应的函数体之间具有映射关系,因此当在编排页面上编排出某个流程块时,能相应获得该流程块对应的函数体。那么当各流程块编排完成之后,可以自动生成案例。
其中,安全日志流程块主要是用于对安全日志进行分析,判断是否存在入侵日志;若存在入侵日志,安全规则流程块用于对入侵日志进行分析,判断是否存在安全事件;研判取证流程块用于基于安全事件获取详细的威胁证据,比如确认攻击源IP是否为黑名单,或者获取病毒文件名称的路径等等。全局封堵流程块、主机清理流程块用于对安全事件进行响应。
具体的,案例生成后,每个案例中都包含有该威胁场景的事件规则、事件规则和案例之间的关联关系以及针对当前威胁场景的剧本playbook。将事件规则、安全事件和案例之间的关联关系发送至安全分析引擎。SOAR平台在判定是否存在安全事件时,将采集到的安全日志上传至安全分析引擎,若确定安全日志中存在入侵防护类型的日志,安全分析引擎将入侵防护日志和事件规则进行匹配,若能匹配成功,则生成安全事件。同时由于事件规则和案例之间存在关联关系,因此确定出需要对该安全事件进行自动响应。那么将归并过滤后的安全事件上传至SOAR平台的执行引擎。执行引擎基于与安全事件相关联的案例查找到正确的剧本,执行剧本的处理逻辑形成响应动作,将响应动作下发到安全设备进行联动响应。
这里,一个剧本中通常包含对某种类型威胁场景下的安全事件进行处理的所有动作函数Action,这些动作函数以串联或并联方式组合,形成剧本的处理逻辑,而实现该类型威胁场景下对安全事件的自动响应。
可继续参考图2,图2中剧本下包含的响应策略包括:研判取证、全局封堵、主机清理、创建工单及预警通知。在每个响应策略的响应过程中,是通过执行各响应策略中的动作函数对安全事件进行自动响应的。比如:在通过全局封堵的响应策略进行响应时,是调用封堵IP、封堵URL、主机隔离等动作函数Action进行响应的;在通过主机清理的响应策略进行响应时,是调用杀进程、查询注册表、终止服务、删除服务、删除文件夹、删除文件、执行系统命令等动作函数Action进行响应的。
当实现某种类型威胁场景下安全事件的自动响应后,需要显示相应的处理信息及处理结果,本申请为了可以直观地显示出从分析至响应的整个处理流程,在安全分析引擎对安全日志进行分析时,调用预先设置的监控模块实时采集分析过程信息及分析结果,以能获得分析过程信息及分析结果,分析结果用于确定是否存在安全事件。监控模块用于对安全分析引擎、执行引擎进行实时监控。
因需要对安全日志进行分析及需要将入侵防护日志与事件规则进行匹配;那么分析过程信息可以包括:分析过程产生的基本状态信息及详细信息。
对安全日志进行分析时,基本状态信息包括:命中、未命中;详细信息包括:日志类型(比如入侵防护日志)、命中的数据源设备类型(比如IPS、WAF、NF等)、命中数据源设备IP等(比如1.1.1.1)、日志命中次数、及日志命中时间段(包含起始时间及结束时间)。
将入侵防护日志与事件规则进行匹配时,基本状态信息包括:命中、未命中;详细信息包括:命中的规则名称、命中的规则状态(比如开启)、命中的安全事件名称、安全事件ID、事件次数、事件生成的开始时间及结束时间。
分析结果主要是相对于基本状态信息而言的,比如分析结果为命中或未命中。
S111,当确定存在所述安全事件,根据所述案例对所述安全事件进行响应时,获得响应执行信息、响应执行状态及响应执行结果;
如上述所说,安全分析引擎将入侵防护日志和事件规则进行匹配,若能匹配成功,则生成安全事件。那么当确定存在安全事件,根据案例对安全事件进行响应时,获得响应过程中的响应执行信息、响应执行状态及响应执行结果。
对于不同类型的威胁场景来说,具体的响应策略可能是不同的。比如针对挖矿病毒,响应策略可以包括:研判取证、全局封堵、主机清理及主机加固;而针对远程木马,响应策略可能包括:研判取证、全局封堵、主机隔离等。
这里,在基于各响应策略对安全事件进行响应时,响应执行信息也可以包括:基本状态信息及详细信息;响应执行状态为基本状态信息中的执行状态;响应执行结果为详细信息中的执行结果。
具体的,对于研判取证的响应策略来说,基本状态信息包括:未触发、执行中、执行成功、执行失败。详细信息包括:取证类型、取证对象、取证信息源、取证结果及取证结果详情。其中,取证类型可以为情报、取证对象可以为源IP、取证信息源可以为本地情报、取证结果可以为成功或失败;取证结果详情可以为IP命中威胁情报黑名单。那么,响应执行状态可以包括:未触发、执行中、执行成功或执行失败;响应执行结果可以为取证成功或取证失败。
对于全局封堵的响应策略来说,基本状态信息包括:未触发、执行中、执行成功、执行失败。详细信息包括:响应方式、响应设备类型、响应设备IP、响应结果、封堵时长及解封方式。其中,响应方式可以为IP封堵,响应设备类型可以为NF,响应设备IP可以为:12.1.1.1,响应结果可以为:成功或者失败,封堵时长可以为:预设时长(比如10h)或永久封堵,解封方式可以为自动。那么,响应执行状态可以包括:未触发、执行中、执行成功或执行失败;响应执行结果可以为响应成功或响应失败。
对于主机隔离的响应策略来说,基本状态信息包括:未触发、执行中、执行成功、执行失败。详细信息包括:响应方式、响应设备类型、响应设备IP、响应结果、隔离时长及解隔离方式。其中,响应方式可以为主机隔离,响应设备类型可以为EDR,响应设备IP可以为:12.1.1.1,响应结果可以为:成功或者失败,隔离时长可以为:预设时长(比如10h)或永久隔离,解隔离方式可以为自动。那么,响应执行状态可以包括:未触发、执行中、执行成功或执行失败;响应执行结果可以为响应成功或响应失败。
对于主机清理的响应策略来说,基本状态信息包括:未触发、执行中、执行成功、执行失败。详细信息包括:响应方式、响应设备类型及执行详情;其中,执行详情可以包括:进程清理及文件清理;比如进程清理可以为xxx进程清理成功;文件清理可以为xxx文件清理成功。那么,响应执行状态可以包括:未触发、执行中、执行成功或执行失败;响应执行结果可以为进程清理成功、进程清理失败、文件清理成功或文件清理失败。
对于创建工单的响应策略来说,基本状态信息包括:未触发、执行中、执行成功、执行失败。详细信息包括:通知类型,联系人信息及邮件(短信)信息详情。那么响应执行状态可以包括:未触发、执行中、执行成功或执行失败;响应执行结果可以为发送成功或发送失败。
值得注意的是,当对安全事件进行自动响应时,为了可以高效地响应大规模的安全事件,当接收到各威胁场景对应的安全事件时,实现如下:
将安全事件存储至预先设置的事件队列中;
基于预设的提取策略从事件队列中顺序提取待处理的安全事件,并获得各威胁场景对应的剧本;
为每个剧本创建对应的子进程,通过每个子进程调用对应的剧本入口函数,以能载入各威胁场景对应的剧本;
调用预设的软件开发工具包SDK为每个剧本的子进程创建至少一个子线程,并返回所述SDK的主线程;
通过所述至少一个子线程执行对应剧本中的各动作函数体。
这里,根据远程过程调用协议(RPC,Remote Procedure Call Protocol)服务接收安全事件,接收到安全事件后,并不是立即处理该安全事件,而是将安全事件存储至预先设置的事件队列中。在处理安全事件时,按照提取策略顺序提取,以免出现漏掉的情况。
针对任一威胁场景,获得威胁场景对应的剧本后,需要为每个剧本创建对应的子进程,通过每个子进程调用对应的剧本入口函数,以能在对应的子进程中动态载入各威胁场景对应的剧本。这样若存在多个剧本时,多个剧本可以并行执行。
同时,同样考虑到硬件部署环境的存储能力、计算能力各有差别,为了确保最优的处理能力,为每个剧本创建对应的子进程之前,还包括:
判断已获取到的剧本数量是否达到预设的剧本数量阈值,若已获取到的剧本数量已经达到预设的剧本数量阈值,则控制后续的剧本处于阻塞等待状态,直至已有的剧本执行完毕才会执行后续的剧本;其中,预设的剧本数量阈值可根据硬件系统能同时执行的剧本数量最大值确定。
针对任一剧本,在执行剧本中的动作函数时,调用SDK中的执行函数为该剧本的子进程创建至少一个子线程。比如,某剧本包括n个动作函数Action1、Action2……Action n(需要并行执行),那么则为该剧本的子进程创建n个子线程。
值得注意的是,针对当前动作函数,当为当前动作函数创建好子线程后,需要立即将SDK的主线程返回,以能将创建子线程的控制流流转至该剧本的子进程,随后立即为Action2创建子线程,这样Action1对应的子线程与Action2对应的子线程的创建成功的时间就相差了几个ms,进而可以使得改剧本中对应的多个子线程得以并行执行。
这样,多个剧本可以并行执行,每个剧本中的动作函数也可以并行执行,因此可以对大规模安全事件进行自动响应。
S112,将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中;所述web页面的各对应界面用于可视化显示所述安全事件的处理流程。
为了可以直观地显示对日志分析及对安全事件的处理流程,将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果显示在web页面的各对应界面中;web页面的各对应界面用于可视化显示安全事件的处理流程。
作为一种可选的实施例,将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果显示在web页面的各对应界面中之前,还包括:
基于案例中的编排流程的逻辑顺序,调用绘图组件在web页面中搭建对应的界面及各界面之间的路径流向,绘图组件可以包括:jsplumb组件。
那么将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果显示在web页面的各对应界面中,可以包括:
基于分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果确定对应的数据结口,数据接口可以为界面的API接口;
通过对应的数据结口将分析结果、响应执行信息、响应执行状态及响应执行结果推分别送至对应的所述界面中进行显示;分析结果、响应执行信息、响应执行状态及响应执行结果中携带有对应的数据接口信息。
具体的,监控模块获得分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果后,将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果发送至web页面的控制执行端;分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果中携带有对应的数据接口。这样控制执行端在接收到上述信息后,可确定出应该将信息推送至哪一个界面中。
控制执行端在接收到分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果中时,提取出对应的数据接口,基于数据接口将各信息推送至对应的界面中进行显示。因web页面中的各界面的编排流程与案例的编排流程一致,因此可以实时完整地呈现出针对每种类型威胁场景的处理流程以及处理进度。对威胁场景进行响应的整个流程如图3所示。
为了确保web页面的实时性显示,作为一种可选的实施例,将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果显示在web页面的各对应界面中后,还包括:
基于预设的周期,刷新对应界面中的分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果。比如:周期可以为5s。
这样,web页面中呈现的是最新的数据,确保了实时性。
为了方便用户可以直观地清楚地得知分析结果及执行状态,作为一种可选的实施例,将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果显示在web页面中各对应的界面中后,还包括:
根据分析结果及响应执行状态调节对应界面的显示颜色以及对应路径流向的显示颜色。比如:红色代表执行失败、绿色代表执行成功、橙色代表正在执行、灰色代表流程未触发执行。对于路径流向的颜色来说,绿色代表流经当前路径,灰色代表未流经当前路径。
继续参考图3,比如:对安全日志进行分析时,若分析结果为命中,那么在安全日志流程块对应的界面中,用于显示分析结果的窗口颜色可为绿色(安全日志命中所在的窗口)。
在对安全事件进行响应时,用到的响应策略为全局封堵及主机清理时,若全局封堵成功,主机清理成功,则在对应的界面中,用于显示响应执行结果的窗口颜色为绿色。
同样的,若取证结果为成功,此时不会触发创建工单,那么创建工单流程块对应的路径流向的颜色为灰色(取证结果判定流程块至创建工单流程块之间的路径流向)。
若对安全事件的响应完成后,响应执行结果出现失败的情况时,对应的处理流程如图4所示。若有某个响应策略正在执行中,对应的处理流程如图5所示。
从图3~图5可以看出,可视化的处理流程图中直观地显示出了对威胁场景的整个处理流程及处理结果,用户可以一目了然地获取所需要的各种信息,提高了获取信息的效率。并且,若存在响应失败的流程,可以直观地确定出处理失败的流程对应的后续处理流程,方便用户及时对案例的整个处理流程进行维护和优化。
基于同样的发明构思,本申请还提供一种呈现安全事件处理流程的装置,详见实施例二。
实施例二
本实施例提供一种呈现安全事件处理流程的装置,如图6所示,装置包括:监控模块61及显示模块62;其中,
监控模块61,用于针对任一类型的威胁场景,根据对应的案例对威胁场景进行分析时,获得分析过程信息及分析结果;案例是通过安全编排与自动化响应SOAR平台预先编排的;
当确定存在安全事件,根据案例对安全事件进行响应时,获得响应执行信息、响应执行状态及响应执行结果;
显示模块62,用于将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果显示在web页面的各对应界面中;web页面的各对应界面用于可视化显示安全事件的处理流程。
具体的,因威胁场景包括多种类型,为了确保系统的安全运行,因此针对每一种类型的威胁场景,需要在SOAR平台中,通过可视化编排页面预先编排可视化案例。其中,案例可以理解为通过可视化编排页面对某一威胁场景进行分析及响应的流程化编排结果;也即编排完成后,案例可自动生成。其中,某种类型威胁场景对应的可视化案例可如图2所示。
从图2中可以看出,可视化案例包括:开始流程块、安全日志流程块、安全规则流程块、研判取证流程块、取证结果判定流程块、全局封堵流程块、主机清理流程块、创建工单流程块、预警通知流程块及结束流程块。其中,各流程块实质上为用户界面,每个流程块的API的和模板库中相应的函数体之间具有映射关系,因此当在编排页面上编排出某个流程块时,能相应获得该流程块对应的函数体。那么当各流程块编排完成之后,可以自动生成案例。
其中,安全日志流程块主要是用于对安全日志进行分析,判断是否存在入侵日志;若存在入侵日志,安全规则流程块用于对入侵日志进行分析,判断是否存在安全事件;研判取证流程块用于基于安全事件获取详细的威胁证据,比如确认攻击源IP是否为黑名单,或者获取病毒文件名称的路径等等。全局封堵流程块、主机清理流程块用于对安全事件进行响应。
案例生成后,每个案例中都包含有该威胁场景的事件规则、事件规则和案例之间的关联关系以及针对当前威胁场景的剧本playbook。将事件规则、安全事件和案例之间的关联关系发送至安全分析引擎。SOAR平台在判定是否存在安全事件时,将采集到的安全日志上传至安全分析引擎,若确定安全日志中存在入侵防护类型的日志,安全分析引擎将入侵防护日志和事件规则进行匹配,若能匹配成功,则生成安全事件。同时由于事件规则和案例之间存在关联关系,因此确定出需要对该安全事件进行自动响应。那么将归并过滤后的安全事件上传至SOAR平台的执行引擎。执行引擎基于与安全事件相关联的案例查找到正确的剧本,执行剧本的处理逻辑形成响应动作,将响应动作下发到安全设备进行联动响应。
这里,一个剧本中通常包含对某种类型威胁场景下的安全事件进行处理的所有动作函数Action,这些动作函数以串联或并联方式组合,形成剧本的处理逻辑,而实现该类型威胁场景下对安全事件的自动响应。
可继续参考图2,图2中剧本下包含的响应策略包括:研判取证、全局封堵、主机清理、创建工单及预警通知。在每个响应策略的响应过程中,是通过执行各响应策略中的动作函数对安全事件进行自动响应的。比如:在通过全局封堵的响应策略进行响应时,是调用封堵IP、封堵URL、主机隔离等动作函数Action进行响应的;在通过主机清理的响应策略进行响应时,是调用杀进程、查询注册表、终止服务、删除服务、删除文件夹、删除文件、执行系统命令等动作函数Action进行响应的。
当实现某种类型威胁场景下安全事件的自动响应后,需要显示相应的处理信息及处理结果,本申请为了可以直观地显示出从分析至响应的整个处理流程,在安全分析引擎对安全日志进行分析时,监控模块61用于对安全分析引擎、执行引擎进行实时监控,实时采集分析过程信息及分析结果,以能获得分析过程信息及分析结果,分析结果用于确定是否存在安全事件。
因需要对安全日志进行分析及需要将入侵防护日志与事件规则进行匹配;那么分析过程信息可以包括:分析过程产生的基本状态信息及详细信息。对安全日志进行分析时,基本状态信息包括:命中、未命中;详细信息包括:日志类型(比如入侵防护日志)、命中的数据源设备类型(比如IPS、WAF、NF等)、命中数据源设备IP等(比如1.1.1.1)、日志命中次数、及日志命中时间段(包含起始时间及结束时间)。
将入侵防护日志与事件规则进行匹配时,基本状态信息包括:命中、未命中;详细信息包括:命中的规则名称、命中的规则状态(比如开启)、命中的安全事件名称、安全事件ID、事件次数、事件生成的开始时间及结束时间。
分析结果主要是相对于基本状态信息而言的,比如分析结果为命中或未命中。
如上述所说,安全分析引擎将入侵防护日志和事件规则进行匹配,若能匹配成功,则生成安全事件。那么当确定存在安全事件,根据案例对安全事件进行响应时,监控模块61还用于获得响应过程中的响应执行信息、响应执行状态及响应执行结果。
对于不同类型的威胁场景来说,具体的响应策略可能是不同的。比如针对挖矿病毒,响应策略可以包括:研判取证、全局封堵、主机清理及主机加固;而针对远程木马,响应策略可能包括:研判取证、全局封堵、主机隔离等。
这里,在基于各响应策略对安全事件进行响应时,响应执行信息也可以包括:基本状态信息及详细信息;响应执行状态为基本状态信息中的执行状态;响应执行结果为详细信息中的执行结果。
具体的,对于研判取证的响应策略来说,基本状态信息包括:未触发、执行中、执行成功、执行失败。详细信息包括:取证类型、取证对象、取证信息源、取证结果及取证结果详情。其中,取证类型可以为情报、取证对象可以为源IP、取证信息源可以为本地情报、取证结果可以为成功或失败;取证结果详情可以为IP命中威胁情报黑名单。那么,响应执行状态可以包括:未触发、执行中、执行成功或执行失败;响应执行结果可以为取证成功或取证失败。
对于全局封堵的响应策略来说,基本状态信息包括:未触发、执行中、执行成功、执行失败。详细信息包括:响应方式、响应设备类型、响应设备IP、响应结果、封堵时长及解封方式。其中,响应方式可以为IP封堵,响应设备类型可以为NF,响应设备IP可以为:12.1.1.1,响应结果可以为:成功或者失败,封堵时长可以为:预设时长(比如10h)或永久封堵,解封方式可以为自动。那么,响应执行状态可以包括:未触发、执行中、执行成功或执行失败;响应执行结果可以为响应成功或响应失败。
对于主机隔离的响应策略来说,基本状态信息包括:未触发、执行中、执行成功、执行失败。详细信息包括:响应方式、响应设备类型、响应设备IP、响应结果、隔离时长及解隔离方式。其中,响应方式可以为主机隔离,响应设备类型可以为EDR,响应设备IP可以为:12.1.1.1,响应结果可以为:成功或者失败,隔离时长可以为:预设时长(比如10h)或永久隔离,解隔离方式可以为自动。那么,响应执行状态可以包括:未触发、执行中、执行成功或执行失败;响应执行结果可以为响应成功或响应失败。
对于主机清理的响应策略来说,基本状态信息包括:未触发、执行中、执行成功、执行失败。详细信息包括:响应方式、响应设备类型及执行详情;其中,执行详情可以包括:进程清理及文件清理;比如进程清理可以为xxx进程清理成功;文件清理可以为xxx文件清理成功。那么,响应执行状态可以包括:未触发、执行中、执行成功或执行失败;响应执行结果可以为进程清理成功、进程清理失败、文件清理成功或文件清理失败。
对于创建工单的响应策略来说,基本状态信息包括:未触发、执行中、执行成功、执行失败。详细信息包括:通知类型,联系人信息及邮件(短信)信息详情。那么响应执行状态可以包括:未触发、执行中、执行成功或执行失败;响应执行结果可以为发送成功或发送失败。
值得注意的是,当对安全事件进行自动响应时,为了可以高效地响应大规模的安全事件,当接收到各威胁场景对应的安全事件时,实现如下:
将安全事件存储至预先设置的事件队列中;
基于预设的提取策略从事件队列中顺序提取待处理的安全事件,并获得各威胁场景对应的剧本;
为每个剧本创建对应的子进程,通过每个子进程调用对应的剧本入口函数,以能载入各威胁场景对应的剧本;
调用预设的软件开发工具包SDK为每个剧本的子进程创建至少一个子线程,并返回所述SDK的主线程;
通过所述至少一个子线程执行对应剧本中的各动作函数体。
这里,根据远程过程调用协议(RPC,Remote Procedure Call Protocol)服务接收安全事件,接收到安全事件后,并不是立即处理该安全事件,而是将安全事件存储至预先设置的事件队列中。在处理安全事件时,按照提取策略顺序提取,以免出现漏掉的情况。
针对任一威胁场景,获得威胁场景对应的剧本后,需要为每个剧本创建对应的子进程,通过每个子进程调用对应的剧本入口函数,以能在对应的子进程中动态载入各威胁场景对应的剧本。这样若存在多个剧本时,多个剧本可以并行执行。
同时,同样考虑到硬件部署环境的存储能力、计算能力各有差别,为了确保最优的处理能力,为每个剧本创建对应的子进程之前,还包括:
判断已获取到的剧本数量是否达到预设的剧本数量阈值,若已获取到的剧本数量已经达到预设的剧本数量阈值,则控制后续的剧本处于阻塞等待状态,直至已有的剧本执行完毕才会执行后续的剧本;其中,预设的剧本数量阈值可根据硬件系统能同时执行的剧本数量最大值确定。
针对任一剧本,在执行剧本中的动作函数时,调用SDK中的执行函数为该剧本的子进程创建至少一个子线程。比如,某剧本包括n个动作函数Action1、Action2……Action n(需要并行执行),那么则为该剧本的子进程创建n个子线程。
值得注意的是,针对当前动作函数,当为当前动作函数创建好子线程后,需要立即将SDK的主线程返回,以能将创建子线程的控制流流转至该剧本的子进程,随后立即为Action2创建子线程,这样Action1对应的子线程与Action2对应的子线程的创建成功的时间就相差了几个ms,进而可以使得改剧本中对应的多个子线程得以并行执行。
这样,多个剧本可以并行执行,每个剧本中的动作函数也可以并行执行,因此可以对大规模安全事件进行自动响应。
为了可以直观地显示对日志分析及对安全事件的处理流程,显示单元62用于将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果显示在web页面的各对应界面中;web页面的各对应界面用于可视化显示安全事件的处理流程。
作为一种可选的实施例,装置还包括搭建模块63,将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果显示在web页面的各对应界面中之前,搭建模块63用于:
基于案例中的编排流程的逻辑顺序,调用绘图组件在web页面中搭建对应的界面及各界面之间的路径流向,绘图组件可以包括:jsplumb组件。
那么显示单元62具体用于:
基于分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果确定对应的数据结口,数据接口可以为界面的API接口;
通过对应的数据结口将分析结果、响应执行信息、响应执行状态及响应执行结果推分别送至对应的所述界面中进行显示;分析结果、响应执行信息、响应执行状态及响应执行结果中携带有对应的数据接口信息。
具体的,监控模块61获得分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果后,将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果发送至web页面的显示模块62,显示模块62可以为控制执行端;分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果中携带有对应的数据接口。这样显示模块62在接收到上述信息后,可确定出应该将信息推送至哪一个界面中。
显示模块62在接收到分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果中时,提取出对应的数据接口,基于数据接口将各信息推送至对应的界面中进行显示。因web页面中的各界面的编排流程与案例的编排流程一致,因此可以实时完整地呈现出针对每种类型威胁场景的处理流程以及处理进度。对威胁场景进行响应的整个流程如图3所示。
为了确保web页面的实时性显示,作为一种可选的实施例,将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果显示在web页面的各对应界面中后,显示模块62还用于:
基于预设的周期,刷新对应界面中的分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果。比如:周期可以为5s。
这样,web页面中呈现的是最新的数据,确保了实时性。
为了方便用户可以直观地清楚地得知分析结果及执行状态,作为一种可选的实施例,将分析过程信息、分析结果、响应执行信息、响应执行状态及响应执行结果显示在web页面中各对应的界面中后,显示模块62还用于:
根据分析结果及响应执行状态调节对应界面的显示颜色以及对应路径流向的显示颜色。比如:红色代表执行失败、绿色代表执行成功、橙色代表正在执行、灰色代表流程未触发执行。对于路径流向的颜色来说,绿色代表流经当前路径,灰色代表未流经当前路径。
继续参考图3,比如:对安全日志进行分析时,若分析结果为命中,那么在安全日志流程块对应的界面中,用于显示分析结果的窗口颜色可为绿色(安全日志命中所在的窗口)。
在对安全事件进行响应时,用到的响应策略为全局封堵及主机清理时,若全局封堵成功,主机清理成功,则在对应的界面中,用于显示响应执行结果的窗口颜色为绿色。
同样的,若取证结果为成功,此时不会触发创建工单,那么创建工单流程块对应的路径流向的颜色为灰色(取证结果判定流程块至创建工单流程块之间的路径流向)。
若对安全事件的响应完成后,响应执行结果出现失败的情况时,对应的处理流程如图4所示。若有某个响应策略正在执行中,对应的处理流程如图5所示。
从图3~图5可以看出,可视化的处理流程图中直观地显示出了对威胁场景的整个处理流程及处理结果,用户可以一目了然地获取所需要的各种信息,提高了获取信息的效率。并且,若存在响应失败的流程,可以直观地确定出处理失败的流程对应的后续处理流程,方便用户及时对案例的整个处理流程进行维护和优化。
实施例三
本实施例提供一种计算机设备,如图7所示,包括存储器70、处理器71及存储在存储器70上并可在处理器71上运行的计算机程序72,处理器71执行计算机程序72时实现以下步骤:
针对任一类型的威胁场景,根据对应的案例对所述威胁场景进行分析时,获得分析过程信息及分析结果;所述案例是通过安全编排与自动化响应SOAR平台预先编排的;
当确定存在所述安全事件,根据所述案例对所述安全事件进行响应时,获得响应执行信息、响应执行状态及响应执行结果;
将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中;所述web页面的各对应界面用于可视化显示所述安全事件的处理流程。
在具体实施过程中,处理器71执行计算机程序72时,可以实现实施例一中任一实施方式。
由于本实施例所介绍的计算机设备为实施本申请实施例一中一种呈现安全事件处理流程所采用的设备,故而基于本申请实施例一中所介绍的方法,本领域所属技术人员能够了解本实施例的计算机设备的具体实施方式以及其各种变化形式,所以在此对于该服务器如何实现本申请实施例中的方法不再详细介绍。只要本领域所属技术人员实施本申请实施例中的方法所采用的设备,都属于本申请所欲保护的范围。
基于同一发明构思,本申请提供了实施例一对应的存储介质,详见实施例四。
实施例四
本实施例提供一种计算机可读存储介质80,如图8所示,其上存储有计算机程序81,该计算机程序81被处理器执行时实现以下步骤:
针对任一类型的威胁场景,根据对应的案例对所述威胁场景进行分析时,获得分析过程信息及分析结果;所述案例是通过安全编排与自动化响应SOAR平台预先编排的;
当确定存在所述安全事件,根据所述案例对所述安全事件进行响应时,获得响应执行信息、响应执行状态及响应执行结果;
将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中;所述web页面的各对应界面用于可视化显示所述安全事件的处理流程。
在具体实施过程中,该计算机程序81被处理器执行时,可以实现实施例一中任一实施方式。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围,凡在本申请的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种呈现安全事件处理流程的方法,其特征在于,所述方法包括:
针对任一类型的威胁场景,根据对应的案例对所述威胁场景进行分析时,获得分析过程信息及分析结果;所述案例是通过安全编排与自动化响应SOAR平台预先编排的;
当确定存在所述安全事件,根据所述案例对所述安全事件进行响应时,获得响应执行信息、响应执行状态及响应执行结果;
将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中;所述web页面的各对应界面用于可视化显示所述安全事件的处理流程。
2.如权利要求1所述的方法,其特征在于,所述将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中之前,还包括:
基于所述案例中的编排流程,调用绘图组件在所述web页面中搭建对应的所述界面及各所述界面之间的路径流向;所述案例为可视化案例。
3.如权利要求1所述的方法,其特征在于,所述将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中,包括:
基于所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果确定对应的数据结口;
通过对应的数据结口将所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果推分别送至对应的所述界面中进行显示。
4.如权利要求1所述的方法,其特征在于,所述将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中后,还包括:
基于预设的周期,刷新所述对应界面中的所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果。
5.如权利要求2所述的方法,其特征在于,所述将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面中各对应的界面中后,还包括:
根据所述分析结果及所述响应执行状态调节对应界面的显示颜色以及对应路径流向的显示颜色。
6.一种呈现安全事件处理流程的装置,其特征在于,所述装置包括:
监控模块,用于针对任一类型的威胁场景,根据对应的案例对所述威胁场景进行分析时,获得分析过程信息及分析结果;所述案例是通过安全编排与自动化响应SOAR平台预先编排的;
当确定存在所述安全事件,根据所述案例对所述安全事件进行响应时,获得响应执行信息、响应执行状态及响应执行结果;
显示模块,用于将所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果显示在web页面的各对应界面中;所述web页面的各对应界面用于可视化显示所述安全事件的处理流程。
7.如权利要求6所述的装置,其特征在于,所述装置还包括:搭建模块,
用于基于所述案例中的编排流程,调用绘图组件在所述web页面中搭建对应的所述界面及各所述界面之间的路径流向;其中,所述案例为可视化案例。
8.如权利要求6所述的装置,其特征在于,所述显示单元具体用于:
基于所述分析过程信息、所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果确定对应的数据结口;
通过对应的数据结口将所述分析结果、所述响应执行信息、所述响应执行状态及所述响应执行结果推分别送至对应的所述界面中进行显示。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至5任一项所述的方法。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010674716.5A CN111818069B (zh) | 2020-07-14 | 2020-07-14 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010674716.5A CN111818069B (zh) | 2020-07-14 | 2020-07-14 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111818069A true CN111818069A (zh) | 2020-10-23 |
| CN111818069B CN111818069B (zh) | 2022-07-15 |
Family
ID=72842527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010674716.5A Active CN111818069B (zh) | 2020-07-14 | 2020-07-14 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111818069B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037774A (zh) * | 2021-03-31 | 2021-06-25 | 新华三信息安全技术有限公司 | 一种安全管理方法、装置、设备及机器可读存储介质 |
| CN113569234A (zh) * | 2021-06-17 | 2021-10-29 | 南京大学 | 一种用于安卓攻击场景重建的可视化取证系统及实现方法 |
| CN113672910A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 安全事件处理方法及装置 |
| CN113726744A (zh) * | 2021-08-02 | 2021-11-30 | 南京南瑞信息通信科技有限公司 | 基于任务编排的可视化安全告警处置系统与方法 |
| CN114050937A (zh) * | 2021-11-18 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
| CN115277222A (zh) * | 2022-07-29 | 2022-11-01 | 中国电信股份有限公司 | 封堵统一资源定位符url信息的方法、装置,及电子设备 |
| CN116074071A (zh) * | 2022-12-30 | 2023-05-05 | 中国电信股份有限公司 | 一种网络应急响应方法、系统、电子设备、及存储介质 |
| CN116074071B (zh) * | 2022-12-30 | 2024-05-14 | 中国电信股份有限公司 | 一种网络应急响应方法、系统、电子设备、及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170134415A1 (en) * | 2015-08-31 | 2017-05-11 | Splunk Inc. | Network Security Threat Detection by User/User-Entity Behavioral Analysis |
| US20170251002A1 (en) * | 2016-02-29 | 2017-08-31 | Palo Alto Networks, Inc. | Malware analysis platform for threat intelligence made actionable |
| CN108039959A (zh) * | 2017-11-29 | 2018-05-15 | 深信服科技股份有限公司 | 一种数据的态势感知方法、系统及相关装置 |
| CN109981573A (zh) * | 2019-02-20 | 2019-07-05 | 新华三信息安全技术有限公司 | 安全事件响应方法及装置 |
| CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
| CN110851228A (zh) * | 2019-11-19 | 2020-02-28 | 亚信科技(中国)有限公司 | 复杂事件可视化编排处理系统及方法 |
| CN110990233A (zh) * | 2019-11-28 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种利用甘特图展示soar的方法和系统 |
| CN111131253A (zh) * | 2019-12-24 | 2020-05-08 | 北京优特捷信息技术有限公司 | 基于场景的安全事件全局响应方法以及装置、设备、存储介质 |
| CN111262734A (zh) * | 2020-01-13 | 2020-06-09 | 北京工业大学 | 一种网络安全事件应急处理方法 |
-
2020
- 2020-07-14 CN CN202010674716.5A patent/CN111818069B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170134415A1 (en) * | 2015-08-31 | 2017-05-11 | Splunk Inc. | Network Security Threat Detection by User/User-Entity Behavioral Analysis |
| US20170251002A1 (en) * | 2016-02-29 | 2017-08-31 | Palo Alto Networks, Inc. | Malware analysis platform for threat intelligence made actionable |
| CN108039959A (zh) * | 2017-11-29 | 2018-05-15 | 深信服科技股份有限公司 | 一种数据的态势感知方法、系统及相关装置 |
| CN109981573A (zh) * | 2019-02-20 | 2019-07-05 | 新华三信息安全技术有限公司 | 安全事件响应方法及装置 |
| CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
| CN110851228A (zh) * | 2019-11-19 | 2020-02-28 | 亚信科技(中国)有限公司 | 复杂事件可视化编排处理系统及方法 |
| CN110990233A (zh) * | 2019-11-28 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种利用甘特图展示soar的方法和系统 |
| CN111131253A (zh) * | 2019-12-24 | 2020-05-08 | 北京优特捷信息技术有限公司 | 基于场景的安全事件全局响应方法以及装置、设备、存储介质 |
| CN111262734A (zh) * | 2020-01-13 | 2020-06-09 | 北京工业大学 | 一种网络安全事件应急处理方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037774A (zh) * | 2021-03-31 | 2021-06-25 | 新华三信息安全技术有限公司 | 一种安全管理方法、装置、设备及机器可读存储介质 |
| CN113569234A (zh) * | 2021-06-17 | 2021-10-29 | 南京大学 | 一种用于安卓攻击场景重建的可视化取证系统及实现方法 |
| CN113569234B (zh) * | 2021-06-17 | 2023-11-03 | 南京大学 | 一种用于安卓攻击场景重建的可视化取证系统及实现方法 |
| CN113672910A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 安全事件处理方法及装置 |
| CN113726744A (zh) * | 2021-08-02 | 2021-11-30 | 南京南瑞信息通信科技有限公司 | 基于任务编排的可视化安全告警处置系统与方法 |
| CN114050937A (zh) * | 2021-11-18 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
| CN114050937B (zh) * | 2021-11-18 | 2024-02-09 | 天融信雄安网络安全技术有限公司 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
| CN115277222A (zh) * | 2022-07-29 | 2022-11-01 | 中国电信股份有限公司 | 封堵统一资源定位符url信息的方法、装置,及电子设备 |
| CN116074071A (zh) * | 2022-12-30 | 2023-05-05 | 中国电信股份有限公司 | 一种网络应急响应方法、系统、电子设备、及存储介质 |
| CN116074071B (zh) * | 2022-12-30 | 2024-05-14 | 中国电信股份有限公司 | 一种网络应急响应方法、系统、电子设备、及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111818069B (zh) | 2022-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111818069B (zh) | 呈现安全事件处理流程的方法、装置、介质及计算机设备 | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| CN107632918B (zh) | 计算存储设备的监控系统及方法 | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN111818068B (zh) | 微场景案例的编排验证方法、装置、介质及计算机设备 | |
| CN111831275B (zh) | 一种编排微场景剧本的方法、服务器、介质及计算机设备 | |
| US20120311562A1 (en) | Extendable event processing | |
| KR101623073B1 (ko) | Api 기반 악성 코드 탐지 시스템 및 방법 | |
| CN106156628B (zh) | 一种用户行为分析方法及装置 | |
| CN110837640B (zh) | 恶意文件的查杀方法、查杀设备、存储介质及装置 | |
| CN111835768B (zh) | 一种用于处理安全事件的方法、装置、介质及计算机设备 | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| CN107204965B (zh) | 一种密码破解行为的拦截方法及系统 | |
| JP2007334536A (ja) | マルウェアの挙動解析システム | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN108337266B (zh) | 一种高效的协议客户端漏洞发掘方法与系统 | |
| CN111291384A (zh) | 漏洞扫描方法、装置及电子设备 | |
| JP2021060987A (ja) | コンピュータネットワークにおけるデータ効率のよい脅威検出の方法 | |
| CN111368293B (zh) | 进程管理方法、装置、系统与计算机可读存储介质 | |
| CN107241304A (zh) | 一种DDos攻击的检测方法及装置 | |
| CN111641601A (zh) | 防火墙管理方法、装置、设备及存储介质 | |
| CN109309591A (zh) | 流量数据统计方法、电子设备及存储介质 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| CN111049784A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |