CN113037744A - 一种基于交互式的安全事件剧本编排与处置方法及装置 - Google Patents
一种基于交互式的安全事件剧本编排与处置方法及装置 Download PDFInfo
- Publication number
- CN113037744A CN113037744A CN202110246928.8A CN202110246928A CN113037744A CN 113037744 A CN113037744 A CN 113037744A CN 202110246928 A CN202110246928 A CN 202110246928A CN 113037744 A CN113037744 A CN 113037744A
- Authority
- CN
- China
- Prior art keywords
- information
- script
- event
- security event
- combat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013515 script Methods 0.000 title claims abstract description 94
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000002452 interceptive effect Effects 0.000 title claims abstract description 15
- 238000012545 processing Methods 0.000 claims abstract description 42
- 230000008569 process Effects 0.000 claims abstract description 26
- 230000008520 organization Effects 0.000 claims abstract description 14
- 238000004590 computer program Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开的实施例提供了一种基于交互式的安全事件剧本编排与处置方法、装置、设备和计算机可读存储介质。所述方法包括获取原始安全事件信息;基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本;执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置。以此方式,实现了在整个安全事件处置过程中各类型资源的有效调用和协作,提高了对整个安全事件的处置效率。
Description
技术领域
本公开的实施例一般涉及数据处理领域,并且更具体地,涉及一种基于交互式的安全事件剧本编排与处置方法、装置、设备和计算机可读存储介质。
背景技术
近年来网络犯罪和网络安全事件频发,无论是国家还是企业都加大了对网络安全重视程度。在面对安全设备可用性巡检、网络故障诊断与恢复、安全事件调查分析、攻击溯源、重保支撑等应用场景需要涉及到人、设备、系统等多种资源,安全事件的响应和处置一般依赖于一些专业的安全运维人员,系统虽然提供了一些自动化和半自动化的技术手段,但沟通协调主要依赖于传统的通信和邮件等方式,没有充分交互式等技术特点,提高安全事件处置的效率。
同时,现有的安全事件剧本编排与处置管理平台大多采用剧本的方式,将多个安全事件处置的操作步骤,基于工作流引擎来进行衔接,一方面来说,在一个安全事件处理过程中需要协调到多个部门的人员,涉及到多个系统的操作使用权限,如果简单的通过工作流很难实现各个处置环节的上下文信息。另外,随着网络攻击的手段多元化发现,现在网络攻击活动,特别是APT攻击均具有极强的隐蔽性和持续性的特点,往往需要调用到多个剧本来协同完成一个事件的处置,系统的灵活性也不够。
发明内容
本公开旨在至少解决现有技术或相关技术中存在的技术问题之一。
为此,在本公开的第一方面,提供了一种基于交互式的安全事件剧本编排与处置方法。该方法包括:
获取原始安全事件信息;
基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本;
执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置。
进一步地,所述原始安全事件信息为结构化信息,包括:
安全事件名称、事件类型、攻击来源信息、被攻击目标信息、适用场景参数和/或事件来源信息。
进一步地,所述基于所述原始安全事件信息,匹配安全事件处理模板,建立新的作战协同室包括:
根据所述原始安全事件信息中的事件类型、工具来源信息和适用场景参数,匹配已设置的安全事件处理模板,若匹配成功,则根据所述原始安全事件信息中的被攻击目标信息,匹配到与其对应的组织机构人员信息;
基于所述组织机构人员信息、所述已设置的安全事件处理模板包括安全事件的执行脚本和剧本,建立作战协同室。
进一步地,所述执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置包括:
基于所述原始安全事件信息,通过匹配的安全事件处理模板中预置的流程配置信息,对所述作战协同室中的信息进行动态的人员调配、脚本执行和/或剧本处置,完成安全事件的处置。
进一步地,所述执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置包括:
根据所述原始安全事件信息,将所述作战协同室与预设平台进行对接,补充所述作战协同室中的安全事件的执行脚本和剧本的相关参数数据,根据所述安全事件处理模板中预置的流程配置信息,对所述作战协同室中的信息进行动态的人员调配、脚本执行和/或剧本处置,完成安全事件的处置;所述预设平台包括外部安全情报平台和/或内部的安全资产管理平台。
进一步地,所述完成安全事件的处置之后包括:
提取所述安全事件处置过程中执行或应用的脚本、剧本和/或人员信息生成或更新安全事件处理模板。
在本公开的第二方面,提出了一种基于交互式的安全事件剧本编排与处置系统,包括:
获取模块,用于获取原始安全事件信息;
建立模块,用于基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本;
执行模块,用于执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置。
进一步地,所述原始安全事件信息为结构化信息,包括:
安全事件名称、事件类型、攻击来源信息、被攻击目标信息、适用场景参数和/或事件来源信息。
在本公开的第三方面,提出了一种设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如根据本公开的上述方法。
在本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本公开的上述方法。
本申请实施例提供的基于交互式的安全事件剧本编排与处置方法,通过获取原始安全事件信息;基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本;执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置,实现了在整个安全事件处置过程中各类型资源的有效调用和协作,可动态的增加安全事件处置过程中所需要的资源,提高了整个安全事件的处置效率。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了根据本公开的实施例的基于交互式的安全事件剧本编排与处置方法的流程图;
图2示出了根据本公开的实施例的执行作战协同室中的脚本和/或剧本的流程图;
图3示出了根据本公开的实施例的基于交互式的安全事件剧本编排与处置装置的方框图;
图4示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
图1示出了根据本公开实施例的基于交互式的安全事件剧本编排与处置方法100的流程图。所述方法100包括:
S110,获取原始安全事件信息。
在一些实施例中,所述原始安全事件通常是指发生是不可预知的,往往只能被动响应的事件。
在一些实施例中,原始安全事件信息包括:安全事件名称、事件类型、攻击来源信息、被攻击目标信息、适用场景和/或事件来源等可被结构化的信息。例如,所述原始安全事件信息的组成为:eventID、事件名称、事件类型、攻击来源信息、被攻击目标信息、业务场景和事件来源;
其中,所述事件类型主要用于标识本次安全事件发生的事件所属类型;
所述攻击来源信息用于标识本次安全事件发生的攻击源头;
被攻击目标信息用于记录本次事件中被攻击的相关的主机或设备的信息;
所述业务场景用于标识在哪种应用场景下发现的攻击事件;
所述事件来源用于标识请求进行安全事件协同处置的平台
在一些实施例中,采用JSON的方式对所述原始安全事件信息中的数据进行组织和表现,各标签信息之间用分号隔开。
例如,{event_id:1001,event_name:"主机口令暴力破解",event_type:"host_pass_carck",attack_source:{56.2.52.41},attack_target:{192.168.30.18},scene:"major",event_source:"SEIM"}。
即,表示接收到event_id为1001的暴力破解网络攻击事件,攻击源是来自于56.2.52.41的IP地址,被攻击的对象为192.168.30.18主机,安全攻击事件的检测是重保监控的场景在安全日志分析平台中被发现的。
在一些实施例中,所述原始安全事件信息可以直接通过外部系统的接口进行获取,也可以通过人工的方式进行获取。
进一步地,通过外部系统的接口进行获取安全事件信息包括:基于已部署的安全产品平台提供的标准接口,接收来自外部系统的安全事件信息;所述安全产品平台包括全流量安全分析平台、安全日志分析审计平台等。
进一步地,所述安全产品平台支持手工的创建初始化的安全事件信息。即,通过人工的方式进行获取所述安全事件信息。
S120,基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本。
在一些实施例中,所述安全事件处理模板可以通过日常的经验进行设置,即,将日常安全事件处置过程中所涉及到的组织、人、脚本以及流程固化下来,形成所述安全事件处理模板。后续发生同样的安全事件时,可通过已设置的安全事件处理模板,快速的组织相关的资源。
在一些实施例中,平台根据接收到的结构化的安全事件信息,自动匹配已设置的安全事件处理模板,创建一个新的作战协同室,将安全事件处置过程涉及到的人、处置的脚本等信息都纳入到所述作战协同室中。
具体地,根据所述根据安全事件信息中的事件类型、攻击来源以及业务场景信息(数据参数),通过参数组合的方式查询平台中是否存在已匹配的处理该安全事件的模板信息,若是,则根据被攻击的对象信息,查询匹配到相关的组织机构人员信息,将安全事件可能涉及到的执行脚本和剧本组建一个新的作战协同室。所述作战协同室,用于共享整个安全事件处理过程中的相关信息,包括安全事件处置过程涉及到的人、剧本和/或脚本等。
例如,event_type(事件类型)为主机口令暴力破解,判断attack_source(攻击来源)的攻击来源于境外,scene(业务场景)为重保场景,调用紧急处理的主机口令暴力破解的安全事件处置模板(已设置),匹配相应的在事件处置过程中所需要的安全事件脚本和剧本资源,并根据被攻击的主机的归属部门和相关安全管理人员,创建一个作战协同室,用于保障整个安全事件处置过程中的信息可以通过作战协同室来完成共享,提高整个安全事件处置的效率。
S130,执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置。
在一些实施例中,在新建的作战协调室中,根据已匹配的模板的配置信息自动或手工的处置脚本、剧本。所有与该处理事件的相关人员也能通过作战协调室了解到目前处理的安全事件处理的实时信息,查询到所有的脚本、剧本的执行输入输出结果。
进一步地,在新建的作战协调室中,还可根据安全事件处理的实际需要,调用相关的组织机构和/或人员。
在一些实施例中,在新建的作战协调室中,根据所述原始安全事件信息,将所述作战协同室与预设平台进行对接,补充所述作战协同室中的安全事件的执行脚本和/或剧本的相关参数数据。
具体地,在新建的作战协调室中,将结构化的原始安全事件信息作为输入参数,通过与外部安全情报平台或漏洞平台对接、内部的安全资产管理平台进行对接,补充完善脚本和/或剧本在执行过程中所需要的相关参数数据。之后,再根据模板中预置的相关流程配置信息,串行或并行的执行相关的安全事件处置脚本或剧本。
进一步地,对于需要人工审核或者需要人工补充输入的信息,可在协作室内通过人工交付的方式完成相关参数的输入,所述相关参数的数据收集完成后,可自动的完成相关事件的处置。对于一些原有模板没有覆盖或需要更多资源投入的协同处置过程中,操作人员可手工的选择新的人员来协同,选择新的所需要执行的脚本或剧本,补充完成整个安全事件的应急处置。
例如,如图2所示,结构化的原始安全事件信息为:{event_id:1001,event_name:"主机口令暴力破解",event_type:"host_pass_carck",attack_source:{56.2.52.41},attack_target:{192.168.30.18},scene:"major",event_source:"SEIM"},根据传入的所述原始安全事件信息和已匹配的安全事件处置模板,平台会自动的将事件信息中的参数送到情报平台中,检查攻击源在情报平台中的信息,查询主机的安全归属信息,获取主机的安全责任人相关信息,并自动化的生成多个环节,来协同处理本次主机口令暴力破解事件。即,发起修改防火墙安全策略配置的脚本,将攻击源56.2.52.41作为输入参数,在防火墙上设置策略,拒绝来至56.2.52.41的访问请求和操作请求;发起主机安全策略配置与病毒查杀剧本,修改56.2.52.41主机中对登录口令的复杂度的要求,检查该主机上是否已被攻击者安全木马程序,对主机进行病毒的查杀;发起修改主机口令的剧本,主机192.168.30.18的管理人员在作战协同室内输入用户名、旧密码和新密码后,自动连接主机完成新密码的更新。
进一步地,完成上述所有的动作后,可将事件处置的结果通知到外部系统和/或采用短信、邮件等方式通知各相关的管理人员,完成事件处置。
进一步地,完成所述安全事件的处置之后,提取所述安全事件处置过程中执行或应用的脚本、剧本和/或人员信息生成或更新安全事件处理模板。
具体地,在整个安全事件处置结束后,平台可对本次整个作战协同室中的所有处置过程进行复盘,提取出事件处置过程中涉及到的脚本、剧本、组织和/或人的信息,根据实际需求,将本次安全处置的过程形成一个新的安全事件处理模板或更新原有的安全事件处理模板(安全处置脚本)。
在一些实施例中,对于已完成处置的作战协同室,可以完整的回顾整个安全事件处置过程中所执行或应用到的脚本、剧本和/或人员信息,并按照执行的时间顺序或资源类型等进行展示。
根据本公开的实施例,实现了以下技术效果:
通过通用交互式和自动化操作的方式,建立作战协同室,针对一件安全事件的所有数据,均会在所述作战协调室内进行共享和交互,协调各类型资源完成安全事件的处置,实现了在整个安全事件处置过程中各类型资源的有效调用和协作,可动态的增加安全事件处置过程中所需要的资源,提高了整个安全事件的处置效率,可快速开展自动化安全事件应急响应。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
图3示出了根据本公开的实施例的基于交互式的安全事件剧本编排与处置装置300的方框图。如图3所示,装置300包括:
获取模块310,用于获取原始安全事件信息;
建立模块320,用于基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本;
执行模块330,用于执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图4示出了可以用来实施本公开的实施例的电子设备400的示意性框图。如图所示,设备400包括中央处理单元(CPU)401,其可以根据存储在只读存储器(ROM)402中的计算机程序指令或者从存储单元408加载到随机访问存储器(RAM)403中的计算机程序指令,来执行各种适当的动作和处理。在RAM 403中,还可以存储设备400操作所需的各种程序和数据。CPU 401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
设备400中的多个部件连接至I/O接口405,包括:输入单元406,例如键盘、鼠标等;输出单元407,例如各种类型的显示器、扬声器等;存储单元408,例如磁盘、光盘等;以及通信单元409,例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理单元401执行上文所描述的各个方法和处理,例如方法100。例如,在一些实施例中,方法100可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元408。在一些实施例中,计算机程序的部分或者全部可以经由ROM 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到RAM 403并由CPU401执行时,可以执行上文描述的方法100的一个或多个步骤。备选地,在其他实施例中,CPU 401可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法100。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)等等。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
此外,虽然采用特定次序描绘了各操作,但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行,或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地,在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
Claims (10)
1.一种基于交互式的安全事件剧本编排与处置方法,其特征在于,包括:
获取原始安全事件信息;
基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本;
执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置。
2.根据权利要求1所述的方法,其特征在于,所述原始安全事件信息为结构化信息,包括:
安全事件名称、事件类型、攻击来源信息、被攻击目标信息、适用场景参数和/或事件来源信息。
3.根据权利要求2所述的方法,其特征在于,所述基于所述原始安全事件信息,匹配安全事件处理模板,建立新的作战协同室包括:
根据所述原始安全事件信息中的事件类型、工具来源信息和适用场景参数,匹配已设置的安全事件处理模板,若匹配成功,则根据所述原始安全事件信息中的被攻击目标信息,匹配到与其对应的组织机构人员信息;
基于所述组织机构人员信息、所述已设置的安全事件处理模板包括安全事件的执行脚本和剧本,建立作战协同室。
4.根据权利要求3所述的方法,其特征在于,所述执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置包括:
基于所述原始安全事件信息,通过匹配的安全事件处理模板中预置的流程配置信息,对所述作战协同室中的信息进行动态的人员调配、脚本执行和/或剧本处置,完成安全事件的处置。
5.根据权利要求4所述的方法,其特征在于,所述执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置包括:
根据所述原始安全事件信息,将所述作战协同室与预设平台进行对接,补充所述作战协同室中的安全事件的执行脚本和剧本的相关参数数据,根据所述安全事件处理模板中预置的流程配置信息,对所述作战协同室中的信息进行动态的人员调配、脚本执行和/或剧本处置,完成安全事件的处置;所述预设平台包括外部安全情报平台和/或内部的安全资产管理平台。
6.根据权利要求5所述的方法,其特征在于,所述完成安全事件的处置之后包括:
提取所述安全事件处置过程中执行或应用的脚本、剧本和/或人员信息生成或更新安全事件处理模板。
7.一种基于交互式的安全事件剧本编排与处置装置,其特征在于,包括:
获取模块,用于获取原始安全事件信息;
建立模块,用于基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本;
执行模块,用于执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置。
8.根据权利要求7所述的装置,其特征在于,所述原始安全事件信息为结构化信息,包括:
安全事件名称、事件类型、攻击来源信息、被攻击目标信息、适用场景参数和/或事件来源信息。
9.一种设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1~6中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110246928.8A CN113037744A (zh) | 2021-03-05 | 2021-03-05 | 一种基于交互式的安全事件剧本编排与处置方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110246928.8A CN113037744A (zh) | 2021-03-05 | 2021-03-05 | 一种基于交互式的安全事件剧本编排与处置方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113037744A true CN113037744A (zh) | 2021-06-25 |
Family
ID=76468327
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110246928.8A Pending CN113037744A (zh) | 2021-03-05 | 2021-03-05 | 一种基于交互式的安全事件剧本编排与处置方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113037744A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114143065A (zh) * | 2021-11-26 | 2022-03-04 | 杭州安恒信息安全技术有限公司 | 一种安全事件处理方法、装置、设备及介质 |
CN115865477A (zh) * | 2022-11-29 | 2023-03-28 | 国网山东省电力公司信息通信公司 | 一种安全威胁协同处理方法、设备及介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120110433A1 (en) * | 2010-10-28 | 2012-05-03 | Microsoft Corporation | Parallel web page processing |
CN111126729A (zh) * | 2018-10-30 | 2020-05-08 | 千寻位置网络有限公司 | 智能化的安全事件闭环处置系统及其方法 |
CN111835768A (zh) * | 2020-07-14 | 2020-10-27 | 绿盟科技集团股份有限公司 | 一种用于处理安全事件的方法、装置、介质及计算机设备 |
CN111865973A (zh) * | 2020-07-17 | 2020-10-30 | 国网河北省电力有限公司邯郸供电分公司 | 一种网络安全运维关联分析方法 |
CN111917769A (zh) * | 2020-07-30 | 2020-11-10 | 中盈优创资讯科技有限公司 | 一种安全事件的自动处置方法、装置和电子设备 |
CN112422484A (zh) * | 2019-08-23 | 2021-02-26 | 华为技术有限公司 | 确定用于处理安全事件的剧本的方法、装置及存储介质 |
-
2021
- 2021-03-05 CN CN202110246928.8A patent/CN113037744A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120110433A1 (en) * | 2010-10-28 | 2012-05-03 | Microsoft Corporation | Parallel web page processing |
CN111126729A (zh) * | 2018-10-30 | 2020-05-08 | 千寻位置网络有限公司 | 智能化的安全事件闭环处置系统及其方法 |
CN112422484A (zh) * | 2019-08-23 | 2021-02-26 | 华为技术有限公司 | 确定用于处理安全事件的剧本的方法、装置及存储介质 |
CN111835768A (zh) * | 2020-07-14 | 2020-10-27 | 绿盟科技集团股份有限公司 | 一种用于处理安全事件的方法、装置、介质及计算机设备 |
CN111865973A (zh) * | 2020-07-17 | 2020-10-30 | 国网河北省电力有限公司邯郸供电分公司 | 一种网络安全运维关联分析方法 |
CN111917769A (zh) * | 2020-07-30 | 2020-11-10 | 中盈优创资讯科技有限公司 | 一种安全事件的自动处置方法、装置和电子设备 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114143065A (zh) * | 2021-11-26 | 2022-03-04 | 杭州安恒信息安全技术有限公司 | 一种安全事件处理方法、装置、设备及介质 |
CN115865477A (zh) * | 2022-11-29 | 2023-03-28 | 国网山东省电力公司信息通信公司 | 一种安全威胁协同处理方法、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109344624B (zh) | 基于云端协作的渗透测试方法、平台、设备及存储介质 | |
CN107292117B (zh) | 对海量共享医学图像进行质量保障的处理方法与装置 | |
CN113037744A (zh) | 一种基于交互式的安全事件剧本编排与处置方法及装置 | |
CN108874638B (zh) | 基于画像信息的智能云管理 | |
CN111831275B (zh) | 一种编排微场景剧本的方法、服务器、介质及计算机设备 | |
CN112738138B (zh) | 云安全托管方法、装置、设备及存储介质 | |
CN113961332A (zh) | 一种工作流引擎实现的方法、装置、电子设备及存储介质 | |
CN113472787A (zh) | 一种告警信息处理方法、装置、设备及存储介质 | |
CN114465741A (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
CN105809031A (zh) | 数据库审计的方法、装置及系统 | |
CN114861948A (zh) | 设备智能自检方法、设备智能自检系统以及存储介质 | |
CN113420046A (zh) | 非关系型数据库的数据操作方法、装置、设备及存储介质 | |
CN117389655A (zh) | 云原生环境下的任务执行方法、装置、设备和存储介质 | |
CN114826874A (zh) | 一种安全告警日志自动化处置方法、系统及存储介质 | |
CN114238898A (zh) | 信用信息处理方法、虚拟服务器及相关装置 | |
CN114157572A (zh) | 一种安全配置核查系统及方法 | |
CN113590308A (zh) | 一种申请云资源的工作流处理方法、装置、设备及介质 | |
CN113450149A (zh) | 一种信息处理方法、装置、电子设备及计算机可读介质 | |
CN108933678A (zh) | 运维审计系统 | |
CN113297241A (zh) | 网络流量的判断方法、装置、设备、介质和程序产品 | |
CN115906131B (zh) | 一种数据管理方法、系统、设备及存储介质 | |
CN114817921A (zh) | 代码整改方法及装置 | |
KR20220093948A (ko) | 클라우드 기반의 작업 콘텐츠 분석 방법 및 이를 구현하는 시스템 | |
CN108062327B (zh) | 客户端的匹配方法和装置 | |
CN117640237A (zh) | 业务日志处理方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210625 |
|
RJ01 | Rejection of invention patent application after publication |