CN113472787A - 一种告警信息处理方法、装置、设备及存储介质 - Google Patents
一种告警信息处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113472787A CN113472787A CN202110741921.3A CN202110741921A CN113472787A CN 113472787 A CN113472787 A CN 113472787A CN 202110741921 A CN202110741921 A CN 202110741921A CN 113472787 A CN113472787 A CN 113472787A
- Authority
- CN
- China
- Prior art keywords
- task
- alarm information
- information
- work order
- tasks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 39
- 238000003672 processing method Methods 0.000 title claims abstract description 23
- 238000013515 script Methods 0.000 claims abstract description 73
- 238000012545 processing Methods 0.000 claims abstract description 65
- 238000012544 monitoring process Methods 0.000 claims description 59
- 238000000034 method Methods 0.000 claims description 57
- 238000012423 maintenance Methods 0.000 claims description 46
- 238000004590 computer program Methods 0.000 claims description 14
- 238000012098 association analyses Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 abstract description 11
- 230000008569 process Effects 0.000 description 33
- 238000004458 analytical method Methods 0.000 description 17
- 241000700605 Viruses Species 0.000 description 12
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 6
- 238000011835 investigation Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 238000010219 correlation analysis Methods 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000000452 restraining effect Effects 0.000 description 2
- 238000005211 surface analysis Methods 0.000 description 2
- 231100000331 toxic Toxicity 0.000 description 2
- 230000002588 toxic effect Effects 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 238000012038 vulnerability analysis Methods 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000009469 supplementation Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种告警信息处理方法,包括:获取告警信息;根据告警信息的类型,在预设的至少一个任务编排剧本中确定对应的任务编排剧本;按照对应的任务编排剧本中各任务的执行顺序,依次执行各任务,并根据各任务的任务执行结果确定告警信息的处理结果。可见,本方案在提供安全服务时,可通过与该告警信息对应的任务编排剧本中的各个任务自动处理该告警信息,从而得到对应的处理结果,实现了对告警信息自动化处理,提高了安全服务的效率,并且由于该方式不依赖技术人员的业务能力,保障安全服务的质量,提高了安全服务的整体效果。本发明还公开了一种告警信息处理装置、设备及存储介质,同样能实现上述技术效果。
Description
技术领域
本发明涉及信息安全技术领域,更具体地说,涉及一种告警信息处理方法、装置、设备及存储介质。
背景技术
安全服务是为了加强网络信息系统安全性,对抗网络攻击采取的一系列措施。目前对不同客户提供安全服务时,需要安排技术人员到现场,通过技术人员对客户的数据进行分析,得到安全服务的结果。
但是通过该方式为客户提供安全服务,安全服务效果的好坏严重依赖技术人员的业务能力,如果技术人员业务能力优秀,则会带来良好的安全服务效果,反之,如果技术人员的业务能力较差,则会带来较差的安全服务效果,因此,通过该方式为客户提供安全服务,难以保障服务质量。如果需要保障安全服务质量,则需要投入大量的人力成本,批量复制可行性弱。
发明内容
本发明的目的在于提供一种告警信息处理方法、装置、设备及存储介质,以提高安全服务效果。
为实现上述目的,本发明提供的一种告警信息处理方法,包括:
获取告警信息;所述告警信息为对待监测网络的监测数据分析后生成的信息;
根据所述告警信息的类型,在预设的至少一个任务编排剧本中确定对应的任务编排剧本,所述至少一个任务编排剧本中的每个任务编排剧本包括多个任务,每个任务编排剧本中的多个任务间具有预先设定的执行顺序,所述多个任务编排剧本互不相同;
按照所述对应的任务编排剧本中各任务的执行顺序,依次执行所述各任务,并根据所述各任务的任务执行结果确定所述告警信息的处理结果。
其中,所述获取告警信息之后,还包括:
生成与所述告警信息对应的工单;所述工单用于记录所述各任务。
其中,所述工单还用于记录所述各任务的任务执行结果,所述依次执行所述各任务之后,还包括:
根据所述各任务的任务执行结果更新所述工单;
在页面展示所述工单。
其中,在页面展示所述工单之后,还包括:
若检测到执行的当前任务需要人工执行,则在所述工单上记录与所述当前任务对应的提示信息;所述提示信息用于提醒运维人员执行当前任务;
接收所述运维人员对所述当前任务输入的任务执行结果。
其中,所述待监测网络的监测数据存储在数据平台,所述接收所述运维人员对所述当前任务输入的任务执行结果,包括:
接收运维人员发送的查询命令;
根据所述查询命令从所述数据平台中查询所述监测数据,并将查询得到的监测数据进行显示,所述查询得到的监测数据用于确定所述当前任务输入的任务执行结果;
接收所述运维人员对所述当前任务输入的任务执行结果。
其中,所述获取告警信息,包括:
通过部署在所述待监测网络的各个安全组件采集所述监测数据;
利用预先设置的关联分析规则对所述监测数据进行分析处理,获得待处理的告警信息。
其中,所述告警信息处理方法还包括:
接收用户登录请求;所述用户登录请求携带用户标识信息及认证信息;
对所述认证信息验证成功后,展示与所述用户标识信息对应的安全服务结果,所述安全服务结果包括告警信息、与所述告警信息对应的各个任务,任务执行结果及告警信息的处理结果。
为实现上述目的,本发明进一步提供一种告警信息处理装置,包括:
告警获取模块,用于获取告警信息;所述告警信息为对待监测网络的监测数据分析后生成的信息;
剧本确定模块,用于根据所述告警信息的类型,在预设的至少一个任务编排剧本中确定对应的任务编排剧本,所述至少一个任务编排剧本中的每个任务编排剧本包括多个任务,每个任务编排剧本中的多个任务间具有预先设定的执行顺序,所述多个任务编排剧本互不相同;
任务执行模块,用于按照所述对应的任务编排剧本中各任务的执行顺序,依次执行所述各任务,并根据所述各任务的任务执行结果确定所述告警信息的处理结果。
为实现上述目的,本发明进一步提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述告警信息处理方法的步骤。
为实现上述目的,本发明进一步提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述告警信息处理方法的步骤。
通过以上方案可知,本发明实施例提供了一种告警信息处理方法,包括:获取告警信息;该告警信息为对待监测网络的监测数据分析后生成的信息;根据告警信息的类型,在预设的至少一个任务编排剧本中确定对应的任务编排剧本,至少一个任务编排剧本中的每个任务编排剧本包括多个任务,每个任务编排剧本中的多个任务间具有预先设定的执行顺序,多个任务编排剧本互不相同;按照对应的任务编排剧本中各任务的执行顺序,依次执行各任务,并根据各任务的任务执行结果确定告警信息的处理结果。
可见,本方案在提供安全服务时,可通过对监测数据进行分析得到告警信息后,通过与该告警信息对应的任务编排剧本中的各个任务自动处理该告警信息,从而得到对应的处理结果,实现了对告警信息自动化处理,提高了安全服务的效率,并且由于该方式不依赖技术人员的业务能力,保障安全服务的质量,提高了安全服务的整体效果。
本发明还公开了一种告警信息处理装置、设备及存储介质,同样能实现上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种告警信息处理系统的整体架构示意图;
图2为本发明实施例公开的一种告警信息处理方法流程示意图;
图3为本发明实施例公开的一种告警信息自动处理流程图;
图4为本发明实施例公开的一种告警信息处理方法流程示意图;
图5为本发明实施例公开的一种工单同步流程示意图;
图6为本发明实施例公开的调查分析流程图;
图7为本发明实施例公开的人力模型示意图;
图8为本发明实施例公开的系统整体架构示意图;
图9为本发明实施例公开的告警信息整体流程示意图;
图10为本发明实施例公开的工单生成流程示意图;
图11为本发明实施例公开的一种告警信息处理装置结构示意图;
图12为本发明实施例公开的一种电子设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
具体来说,本发明实施例公开了一种告警信息处理方法、装置、设备及存储介质,以提高安全服务效果。为了便于理解,下面对本申请的技术方案所适用的系统架构进行介绍,参见图1,为本发明实施例公开的一种告警信息处理系统的整体架构示意图,通过图1可以看出,该系统包括:云端运营中心平台及客户端,运营中心端及各客户端所实现的功能如下所示:
客户端,具体用于通过部署在待监测网络中的安全组件获取监测数据,该监测数据具体为通过安全组件对资产、漏洞、威胁、事件等进行检测后生成的数据,并将该监测数据通过对应的连接器回传至云端运营中心平台,以让云端运营中心平台根据该监测数据为各个客户提供安全服务。在本方案中,为客户提供安全服务的过程为:对监测数据分析获得告警信息,并对告警信息进行处理的过程。
云端运营中心(SOC,Security Operations Center)包括:安全运营专家团队(云端运维人员、用户本地专家)、安全运营平台、承载在安全运营平台上的服务工单流程,以对用户信息化资产开展持续安全运营服务。具体来说,运营中心平台首先通过数据平台对监测数据进行分析生成告警信息,然后通过安全运营专家及平台的服务工单流程实现对告警信息的处理,该处理包括安全监测、事件验证、溯源分析、影响面分析、处置闭环等,为客户提供持续的安全运营服务。
参见图2,为本发明实施例公开的一种告警信息处理方法流程示意图;该方法具体包括:
S101、获取告警信息;该告警信息为对待监测网络的监测数据分析后生成的信息;
具体来说,本申请中的监测数据为客户的待监测网络中获取的安全日志、终端数据、网络数据、业务日志等等数据,通过对监测数据的分析,可以及时排查出待监测网络中存在的安全漏洞、网络攻击等等,并生成对应的告警信息;并且,本方案通过对告警信息的处理,可以对待监测网络中存在的问题进行修复,确保客户的信息资产的安全性,提高安全服务效果。
S102、根据告警信息的类型,在预设的至少一个任务编排剧本中确定对应的任务编排剧本;该至少一个任务编排剧本中的每个任务编排剧本包括多个任务,每个任务编排剧本中的多个任务间具有预先设定的执行顺序,多个任务编排剧本互不相同;
需要说明的是,本方案对告警信息的处理过程是通过预先编排的任务编排剧本playbook实现的,由于不同类型的告警信息所需要的playbook不同,因此本申请需要预先针对不同类型的告警信息编排不同的playbook。在本申请中,告警信息的类型包括:网络攻击类型、安全漏洞类型等等。并且,本实施例预先设定了至少一个任务编排剧本,每个任务编排剧本包括多个任务,每个任务编排剧本中的多个任务间具有预先设定的执行顺序,多个任务编排剧本互不相同。其中,多个任务编排剧本互不相同可以理解为:任意两个任务编排剧本中包含的任务和/或任务的顺序不相同,即:两个任务编排剧本所包含的任务可以完全不同、部分不同或相同,若任务编排剧本A和任务编排剧本B包含的任务相同,则任务编排剧本A中任务的顺序与任务编排剧本B中任务的顺序不同。
具体来说,对playbook的编排是指对playbook要实现的任务进行编排,若将playbook理解为处理告警信息的流程,则playbook中的每个任务则可以理解为流程中的每个步骤。playbook的框架包含:发现、误判审核、遏制影响、深入分析、影响面分析、处置加固等,每个过程相当于playbook中的任务,其中,框架中的各个过程为通用的处理过程,在此进行简单说明:发现:对告警的发现;误判审核:确认告警信息是否准确;遏制影响:通过具体手段降低告警所带来的影响,如:断网等操作;深入分析:对告警的深入分析,如:电脑入侵病毒时,分析病毒入侵的来源。通过对上述过程的编排即可得到playbook,以通过playbook对告警信息进行自动化处理。
需要说明的是,playbook中的每个任务具体为自动化执行某种任务的脚本,每个自动化任务具有单一的功能实行,如:查VT(Virtualization Technology,虚拟化技术)的威胁情报,封锁IP(Internet Protocol Address,互联网协议地址)等,playbook中的自动化任务通过后台脚本实现,无需通过界面进行配置,后台脚本包括但不限于Python脚本。自动化任务在执行时,根据输入(input)进行任务执行,并输出(output)相关结果;其中,本申请中的自动化任务可分为三种:一种为自动化分析任务:主要提供自动化分析能力;另一种为自动化处置任务:主要提供自动化处置能力;最后一种为自动化判断任务:主要根据输入参数以及判断条件输出判断结果,并根据判断结果执行不同条件的流程。对于任务的自动化脚本的补充,可来源于分析师分析时的经验固化。
S103、按照对应的任务编排剧本中各任务的执行顺序,依次执行各任务,并根据各任务的任务执行结果确定告警信息的处理结果。
需要说明的是,由于任务编排剧本playbook中包括多个任务,且多个任务之间具有预先设定的执行顺序,因此本申请根据任务编排剧本处理告警信息时,需要依次执行顺序中的每个任务。在各个任务执行时,每个任务都具有执行结果,如果当前任务的执行需要依据上一个任务的执行结果,则执行当前任务时还需要获取上一个任务的执行结果,从而得出当前任务的执行结果。在本申请中,对于告警信息、待执行的任务、各任务的执行结果等信息均保存在数据库,在获取相关数据时,可直接从数据库中获取。并且,该playbook中最后一个任务的执行结果可以作为告警信息的处理结果。
例如:对监测数据分析后,生成终端中毒的告警信息,与该告警信息对应的任务编排剧本中包括如下三个任务:
任务一、通过查毒软件进行杀毒,判断终端中是否存在病毒;若存在,则执行任务二,若不存在,则执行任务三;
任务二、将病毒文件删除或者隔离;
任务三、通过其他手段进行病毒分析处理。
参见图3,为本发明实施例公开的一种告警信息自动处理流程图,任务编排剧本中的每个任务均通过图3所述的自动处理流程执行。其中,图3中的数据库中存储了告警信息、与告警信息对应的任务编排剧本,任务编排剧本中包括处理该告警信息所要执行的任务。在执行完每个任务后,每个任务的执行结果也需要更新至数据库。在执行该自动处理流程时,包括如下步骤:
1、TaskMgr(任务管理者)从数据库中读取待执行任务;
2、判断条件是否满足分解任务;如果满足,则准备参数继续执行3;
具体的,由于任务执行时具有对应的执行顺序,只有前一个步骤执行后,下一个步骤才会执行,如果待执行任务的前一个任务已经执行完,则说明当前待执行任务满足分解任务这一条件,并准备执行该任务的参数,继续执行下一步骤;否则,不满足条件,继续等待;
3、将满足条件且准备好输入参数的任务输入分布式队列;
4、TaskRunner(任务执行者)从分布式队列中调用待执行任务;其中,该TaskRunner并不执行任务,只起到调度作用;
5-7、TaskRunner调用ScriptMgr(脚本管理模块),ScriptMgr准备执行环境后,调用执行待执行任务的脚本Script,通过该脚本具体执行该任务;
8-9、脚本Script执行该任务时,如果仅通过脚本本身就能执行该任务,则不需要执行8-9,如果该任务需要目标服务器的帮助才能执行完,这时需要通过8-9向目标服务器发送请求,并接收目标服务器返回的结果;例如:当前执行的任务需要查询某个IP地址是否为有害IP地址,此时便可向目标服务器发送请求,该请求的作用为:请求目标服务器查询该IP地址是否为有害IP地址;目标服务器接收到该请求后便进行查询,并将查询结果返回至该脚本;
10-12,脚本接收到查询结果后,将任务执行结果存储至数据库;具体来说,每个任务在数据库中是一条记录,包括任务的基本信息、任务执行的开始时间、结束时间、执行结果等信息。
综上可以看出,本方案在提供安全服务时,可通过对监测数据进行分析得到告警信息后,通过与该告警信息对应的任务编排剧本中的各个任务自动处理该告警信息,从而得到对应的处理结果,实现了对告警信息自动化处理,提高了安全服务的效率,并且由于该方式不依赖技术人员的业务能力,保障安全服务的质量,提高了安全服务的整体效果。
参见图4,为本发明实施例公开的一种告警信息处理方法流程示意图;需要说明的是,本实施例与上一实施例中的相同部分在此便不再赘述,详情可参见上一实施例;在本实施例中,该方法具体包括:
S201、获取告警信息,生成与告警信息对应的工单;该告警信息为对待监测网络的监测数据分析后生成的信息,该工单用于记录各任务及各任务的任务执行结果;
需要说明的是,本申请生成告警信息后,还需要生成与该告警信息对应的工单,该工单为:为客户提供安全服务的工作单据,该工单中可以记录告警信息、该告警信息的处理过程等信息,该处理过程包括处理该告警信息的各项任务以及各项任务的执行结果,从而实现对告警信息的跟踪处理。具体的,该工单生成后,可通过页面进行展示,运维人员可通过该页面了解客户生成的告警信息以及该告警信息的处理过程。
S202、根据告警信息的类型,在预设的至少一个任务编排剧本中确定对应的任务编排剧本,至少一个任务编排剧本中的每个任务编排剧本包括多个任务,每个任务编排剧本中的多个任务间具有预先设定的执行顺序,多个任务编排剧本互不相同;
S203、按照对应的任务编排剧本中各任务的执行顺序,依次执行各任务,根据各任务的任务执行结果更新工单,在页面展示工单;
S204、根据各任务的任务执行结果确定告警信息的处理结果。
具体来说,本实施例自动执行各个任务时,需要将每个任务的执行结果更新至数据库,还需要将每个任务的执行结果更新至工单,通过工单进行展示,让运维人员通过工单查看告警信息的处理过程。例如:按照任务编排剧本中各任务的执行顺序依次执行每个任务时,可调用与不同任务对应的自动化分析脚本执行每个任务,并在工单页面中展示自动化脚本的分析过程以及分析后得到的执行结果。
需要说明的是,本申请首次生成的工单,可携带有哪些任务需人工执行的提示信息,以便提醒运维人员执行对应的任务;并且,本申请在页面展示工单之后,如果检测到执行的当前任务需要人工执行,则在工单上记录与当前任务对应的提示信息;该提示信息同样用于提醒运维人员执行当前任务;并接收运维人员对当前任务输入的任务执行结果。参见图5,为本发明实施例公开的一种工单同步流程示意图,可以看出,任务自动化执行后,首先需要更新自动化任务的结果至数据库,然后读取任务结果在工单进行显示,该工单具体形式可以为运维人员可以查看的页面,该页面显示了告警信息的各任务的处理过程,如果遇到当前任务需要人工干预,此时可以在工单页面进行提示,通过运维人员查看后执行当前任务,然后更新人工执行结果至数据库,并驱动自动化处理流程自动执行下一个任务。也即:工单网页打开后,会自动读取各任务的执行结果进行显示,如果需要人工介入,则运维人员会执行相关动作,并在界面输入执行结果,系统接收到输入的执行结果后,会将该执行结果更新至数据库,并驱动自动化继续执行下一个操作。
例如:当前任务为判断目标文件是否具有病毒,在执行当前任务时,由于查毒软件判断不出来该目标文件是否有毒,则在工单页面进行提示,通过运维人员查看是否为毒,运维人员家得出结论后,在工单页面输入判定结果,系统自动执行后续步骤。
需要说明的是,在本实施例中,待监测网络的监测数据存储在数据平台,如果运维人员执行当前任务时,需要进行数据查询操作,在本方案还需要接收运维人员发送的查询命令;根据该查询命令从数据平台中查询监测数据,并将查询得到的监测数据进行显示,该查询得到的监测数据用于确定当前任务输入的任务执行结果,接收运维人员对当前任务输入的任务执行结果。
参见图6,为本发明实施例公开的调查分析流程图,可以看出,如果运维人员在执行当前任务时,需要查询数据才能得出结果,在通过工单系统事件调查WEB(World WideWeb,万维网)服务触发查询请求,该工单系统事件调查WEB服务具体为一个页面,运维人员通过在该页面中触发查询请求,由工单后台提供统一接口,将查询请求代理转发至数据平台,工单后台获得查询结果后,便将查询结果通过工单系统事件调查WEB服务进行展示,运维人员根据该查询结果可以回写举证,并存储至工单中,该举证具体可以是文本或图片格式。例如:当前任务需要分析如病毒是何时入侵的,此时需要查询数据得出结论,那么便需要向数据平台发送查询请求,运维人员通过对查询数据进行分析后可得出结论,并将该结论保存至告警信息对应的工单中,存储至数据库。
需要说明的是,在本方案中,安全运营专家团队可分为用户侧本地运营专家和云端的运维人员,本地运营专家为T1安服工程师;云端的运维人员按照等级划分,划分原则包括但不限于按照不同技术能力、不同职责分工、不同安全专业方向、服务对象所处不同行业等进行等级划分,通过专业的人做专业的事,提升服务专业度和服务效率,参见图7,为本发明实施例公开的人力模型示意图,可以看出,根据行业属性可将云端的运维人员分为企业组、医疗行业组、教育行业组,根据岗位职责和技术能力可将云端的运维人员分为T1安服工程师、T2安全运营专家、T3首席安全专家,根据不同的专业方向可将云端的运维人员分为病毒木马分析专家、网络攻击对抗专家、大数据分析溯源专家。并且,如果通过云端自动化处理流程执行各个任务时,若存在云端处理不了的任务,则可以派单给本地专家,让本地专家去客户处执行云端处理不了的任务,例如:不能自动搜集监测数据,但是又需要对该客户提供安全服务,此时可让本地运营专家去客户处获取监测数据,然后通过云端对监测数据处理生成告警信息,并对该告警信息进行处理,以为该客户提供安全服务。
综上可以看出,本申请在处理告警信息时,可生成对应的工单,通过该工单记录与告警信息对应的各个任务以及各个任务的任务执行结果,实现对告警信息的跟踪处理;该工单生成后,还可通过页面进行展示,让运维人员可通过工单页面了解客户生成的告警信息以及该告警信息的处理过程。并且,本方案将工单进行展示后,若执行的任务需要人工参与,则运维人员可以通过分析、查询数据等方式参与任务的执行,最终实现告警信息的闭环处理,处理完后该工单才可关闭,这种通过更专业的运维人员远程提供安全服务的方式,可以降低服务成本,提升服务质量。
基于上述任意实施例,在本实施例中,获取告警信息的方式具体包括:通过部署在待监测网络的各个安全组件采集监测数据;利用预先设置的关联分析规则对监测数据进行分析处理,获得待处理的告警信息。
参见图8,为本发明实施例公开的系统整体架构示意图,其中的安全组件部署在用户内部网络中,包括但不限于:L2-L7网络防护组件、终端防护组件、漏洞分析组件、威胁感知及分析组件等,其中L2-L7网络防护组件可以为防火墙,用于获取安全日志、网络数据等,终端防护组件用于获取终端数据,漏洞分析组件用于漏洞数据;其中,终端数据与网络数据是原始数据,若网络数据中存在攻击,则防火墙可根据规则对网络数据进行检测,生成安全日志,该安全日志包括:漏洞数据、网络攻击数据、病毒木马数据等。
本申请中的监测数据即为通过安全组件获取的安全日志、终端数据、网络数据、业务日志等数据;监测数据采集后,需要通过连接器将监测数据上传至大数据SIEM(securityinformation and event management,安全信息和事件管理)平台,连接器主要实现数据接收、数据过滤、数据缓存和数据上报的功能;数据平台接收监测数据后,对接收的监测数据进行格式化统一,然后通过消息队列进行数据缓存(kafka),对格式化统一的监测数据进行拷贝,一份监测数据存储至ElasticSesrch(搜索服务器)和HDFS(Hadoop DistributedFile System,分布式文件系统),其中ElasticSesrch用来存储最近的热数据,HDFS用来存储冷数据,存储至ElasticSesrch和HDFS中的数据用来执行后续的其他操作,在本方案中并未使用。
另一份监测数据存储至Flink(开源流处理框架),Flink为关联分析平台的底层框架,用于做关联分析,Flink读到监测数据后,调用关联分析规则进行匹配,若能匹配到,则生成对应的告警信息;SPL(Structured Process Language)为查询语言,由于ElasticSesrch和HDFS具有不同的查询语法,上层查询时要统一查询方法,因此上层输入SPL语句,若要查询ElasticSesrch,则转换为支持ElasticSesrch的语句,若要查询HDFS,则转换为支持HDFS的语句。其中,数据搜索/API(Application Programming Interface,应用程序接口)用于对SPL进行封装。需要说明的是,生成告警信息后,有可能该告警信息中只有简单的数据,因此可通过数据平台中的数据解析/数据丰富功能,获取该告警信息更多的相关数据,例如:告警信息只知道IP地址、端口,但是并不知道该IP地址是否为有效的IP地址,此时便需要数据丰富功能来查询,对告警信息的内容进行丰富。最后,将处理后的告警信息上传至SOC平台,对告警信息进行处理。
在图8所示的SOC平台中,工单平台主要用来获取告警信息,生成与该告警信息对应的工单、任务的自动化执行、工单同步流程等等,事件调查平台主要根据运维人员的触发数据平台查询数据,告警聚合主要对同一类型的告警信息进行聚合,SOAR(SecurityOrchestration,Automation and Response,自动化编排)用于对各类告警信息的任务编排剧本进行编排,接口平台用于为SOC平台执行操作提供接口。
参见图9,为本发明实施例公开的告警信息整体流程示意图,通过图9可以看出,整个流程机制分为4个模块:安全组件、统一认证、运营平台、数据平台等;运营平台内嵌多个子模块,主要实现平台上运营流程的落地和可视,包括:工单系统模块、portal(运营服务的门户网站平台)展示模块、自动化编排模块、调查分析平台模块。
其中,通过安全组件获取监测数据上传至数据平台后,可在数据平台进行规则匹配及数据丰富后生成告警信息,数据平台中的读告警插件检测到告警信息后,会将告警信息作为事件上报至运营平台。事件上报至运营平台时,首先通过工单系统模块的工单生成流程生成对应的告警及工单,参见图10,为本发明实施例公开的工单生成流程示意图;图10中的告警读取APP(Application,应用软件)相当于数据平台中的读告警插件,告警读取APP从数据平台中按照顺序消费告警信息,并将读取到的告警信息通过API接口上报到运营平台的告警接收WEB服务器,WEB服务器接收到告警信息后将告警写入Kafka队列,告警管理模块从Kafka队列读取告警并进行处理,此处的处理具体是对同一类型进行告警归并、关联分析、去重等操作;然后将更新的告警信息,以及根据告警信息创建工单写入数据库,供后续处理。通过图10所述的工单生成流程获得告警及工单后,通过图3所述的自动处理流程对告警信息进行自动化处理,通过图5所述的工单同步流程对工单内容进行展示,并将运维人员的执行结果同步至数据库。
图9中的统一认证模块主要实现用户信息的认证管理,本申请中可对运维人员进行登录认证,运维人员登录认证后,便可通过查看工单,了解告警信息的处理过程,并进行人工干预。另外,本方案还为客户提供了查看安全服务结果的方法,因此,若接收到携带用户标识信息及认证信息的用户登录请求,则对该认证信息验证成功后,展示与用户标识信息对应的安全服务结果,该安全服务结果包括告警信息、与告警信息对应的各个任务,任务执行结果及告警信息的处理结果。
具体来说,客户发送该客户登陆请求所要登陆的界面可以为portal界面,对客户认证成功后,客户便可查看portal展示模块所展示的内容,portal展示模块可对整个安全服务过程、服务结果、服务交付物、服务的SLA(Service-Level Agreement,服务级别协议)等进行透明化展示,其中,服务结果包括任务的自动化执行结果以及人工执行结果,服务交付物具体是指:针对工单的一个告警报告,该告警报告包括告警信息的处理过程和处理结果。需要说明的是,本申请为用户所展示的内容并不限定为上述内容,还可以为其他内容,例如:还可以展示客户的月报、季报等等,通过月报和季报对一段时间内产生的告警信息、告警信息处理过程,安全状况水平等情况进行说明。
参见图9,运营平台还可以通过调用API或者访问的方式,对接外部第三方产品,如对接:情报平台、邮箱平台、短信平台、微信平台等等。另外,图9中的自动化编排模块主要对任务编排剧本中各任务进行编排,调查分析平台模块主要从数据平台查询数据,其具体内容已在上述实施例中进行说明,在此便不再赘述。
综上可以看出,本方案在云端建设基于大数据的运营中心平台,将客户侧安全组件收集的监测数据接入云端后,大量的安全专家可以通过云端运营平台,远程对大量客户开展持续安全运营服务;并且,本方案还可以对告警信息进行自动化处理流程,提升服务效率。
下面对本发明实施例提供的告警信息处理装置进行介绍,下文描述的告警信息处理装置与上文描述的告警信息处理方法可以相互参照。
参见图11,本发明实施例提供的一种告警信息处理装置结构示意图;通过图11可以看出,该装置包括:
告警获取模块100,用于获取告警信息;所述告警信息为对待监测网络的监测数据分析后生成的信息;
剧本确定模块200,用于根据所述告警信息的类型,在预设的至少一个任务编排剧本中确定对应的任务编排剧本,所述至少一个任务编排剧本中的每个任务编排剧本包括多个任务,每个任务编排剧本中的多个任务间具有预先设定的执行顺序,所述多个任务编排剧本互不相同;
任务执行模块300,用于按照所述对应的任务编排剧本中各任务的执行顺序,依次执行所述各任务,并根据所述各任务的任务执行结果确定所述告警信息的处理结果。
其中,本装置还包括:
工单生成模块,用于生成与所述告警信息对应的工单;所述工单用于记录所述各任务及各任务的任务执行结果。
其中,本装置还包括:
工单更新模块,用于根据所述各任务的任务执行结果更新所述工单;
工单展示模块,用于在页面展示所述工单。
其中,本装置还包括:
提示模块,用于检测到执行的当前任务需要人工执行,则在所述工单上记录与所述当前任务对应的提示信息;所述提示信息用于提醒运维人员执行当前任务;
结果接收模块,用于接收所述运维人员对所述当前任务输入的任务执行结果。
其中,所述结果接收模块包括:
命令接收单元,用于接收运维人员发送的查询命令;所述待监测网络的监测数据存储在数据平台;
数据查询单元,用于根据所述查询命令从所述数据平台中查询所述监测数据,并将查询得到的监测数据进行显示,所述查询得到的监测数据用于确定所述当前任务输入的任务执行结果;
结果接收单元,用于接收所述运维人员对所述当前任务输入的任务执行结果。
其中,告警获取模块具体用于:通过部署在所述待监测网络的各个安全组件采集所述监测数据,利用预先设置的关联分析规则对所述监测数据进行分析处理,获得待处理的告警信息。
其中,本装置还包括:
请求接收模块,用于接收用户登录请求;所述用户登录请求携带用户标识信息及认证信息;
服务结果展示模块,用于对所述认证信息验证成功后,展示与所述用户标识信息对应的安全服务结果,所述安全服务结果包括告警信息、与所述告警信息对应的各个任务,任务执行结果及告警信息的处理结果。
参见图12,为本发明实施例公开的一种电子设备结构示意图;该设备包括:
存储器11,用于存储计算机程序;
处理器12,用于执行所述计算机程序时实现如上述任意方法实施例所述的告警信息处理方法的步骤。
在本实施例中,该设备可以是PC(Personal Computer,个人电脑),也可以是智能手机、平板电脑、掌上电脑、便携计算机等终端设备。
该设备可以包括存储器11、处理器12和总线13。
其中,存储器11包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序,该存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。处理器12在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,为网关设备提供计算和控制能力,执行所述存储器11中保存的计算机程序时,可以实现前述任一实施例公开的执行告警信息处理方法的步骤。
该总线13可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图12中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
进一步地,设备还可以包括网络接口14,网络接口14可选的可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该设备与其他电子设备之间建立通信连接。
图12仅示出了具有组件11-14的设备,本领域技术人员可以理解的是,图12示出的结构并不构成对设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本发明实施例还公开一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意方法实施例所述的告警信息处理方法的步骤。
其中,该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种告警信息处理方法,其特征在于,包括:
获取告警信息;所述告警信息为对待监测网络的监测数据分析后生成的信息;
根据所述告警信息的类型,在预设的至少一个任务编排剧本中确定对应的任务编排剧本,所述至少一个任务编排剧本中的每个任务编排剧本包括多个任务,每个任务编排剧本中的多个任务间具有预先设定的执行顺序,所述多个任务编排剧本互不相同;
按照所述对应的任务编排剧本中各任务的执行顺序,依次执行所述各任务,并根据所述各任务的任务执行结果确定所述告警信息的处理结果。
2.根据权利要求1所述的告警信息处理方法,其特征在于,所述获取告警信息之后,还包括:
生成与所述告警信息对应的工单;所述工单用于记录所述各任务。
3.根据权利要求2所述的告警信息处理方法,其特征在于,所述工单还用于记录所述各任务的任务执行结果,所述依次执行所述各任务之后,还包括:
根据所述各任务的任务执行结果更新所述工单;
在页面展示所述工单。
4.根据权利要求3所述的告警信息处理方法,其特征在于,在页面展示所述工单之后,还包括:
若检测到执行的当前任务需要人工执行,则在所述工单上记录与所述当前任务对应的提示信息;所述提示信息用于提醒运维人员执行当前任务;
接收所述运维人员对所述当前任务输入的任务执行结果。
5.根据权利要求4所述的告警信息处理方法,其特征在于,所述待监测网络的监测数据存储在数据平台,所述接收所述运维人员对所述当前任务输入的任务执行结果,包括:
接收运维人员发送的查询命令;
根据所述查询命令从所述数据平台中查询所述监测数据,并将查询得到的监测数据进行显示,所述查询得到的监测数据用于确定所述当前任务输入的任务执行结果;
接收所述运维人员对所述当前任务输入的任务执行结果。
6.根据权利要求1所述的告警信息处理方法,其特征在于,所述获取告警信息,包括:
通过部署在所述待监测网络的各个安全组件采集所述监测数据;
利用预先设置的关联分析规则对所述监测数据进行分析处理,获得待处理的告警信息。
7.根据权利要求1至6中任意一项所述的告警信息处理方法,其特征在于,所述告警信息处理方法还包括:
接收用户登录请求;所述用户登录请求携带用户标识信息及认证信息;
对所述认证信息验证成功后,展示与所述用户标识信息对应的安全服务结果,所述安全服务结果包括告警信息、与所述告警信息对应的各个任务,任务执行结果及告警信息的处理结果。
8.一种告警信息处理装置,其特征在于,包括:
告警获取模块,用于获取告警信息;所述告警信息为对待监测网络的监测数据分析后生成的信息;
剧本确定模块,用于根据所述告警信息的类型,在预设的至少一个任务编排剧本中确定对应的任务编排剧本,所述至少一个任务编排剧本中的每个任务编排剧本包括多个任务,每个任务编排剧本中的多个任务间具有预先设定的执行顺序,所述多个任务编排剧本互不相同;
任务执行模块,用于按照所述对应的任务编排剧本中各任务的执行顺序,依次执行所述各任务,并根据所述各任务的任务执行结果确定所述告警信息的处理结果。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的告警信息处理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的告警信息处理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110741921.3A CN113472787A (zh) | 2021-06-30 | 2021-06-30 | 一种告警信息处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110741921.3A CN113472787A (zh) | 2021-06-30 | 2021-06-30 | 一种告警信息处理方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113472787A true CN113472787A (zh) | 2021-10-01 |
Family
ID=77876911
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110741921.3A Pending CN113472787A (zh) | 2021-06-30 | 2021-06-30 | 一种告警信息处理方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113472787A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114050937A (zh) * | 2021-11-18 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
CN114356451A (zh) * | 2021-12-31 | 2022-04-15 | 北京安博通科技股份有限公司 | 应用执行方法、应用执行装置、设备及存储介质 |
CN115022154A (zh) * | 2022-06-21 | 2022-09-06 | 深圳市商汤科技有限公司 | 告警流程处理方法、装置、设备、存储介质及程序产品 |
CN115543588A (zh) * | 2022-11-30 | 2022-12-30 | 成都中星世通电子科技有限公司 | 基于脚本编排的电磁感知任务执行方法、系统及终端 |
CN116471122A (zh) * | 2023-06-12 | 2023-07-21 | 南京众智维信息科技有限公司 | 一种基于q学习的网络安全剧本编排方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10681071B1 (en) * | 2016-08-02 | 2020-06-09 | ThreatConnect, Inc. | Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events |
CN112202724A (zh) * | 2020-09-09 | 2021-01-08 | 绿盟科技集团股份有限公司 | 一种多合一编排模式的数据汇聚方法及装置 |
CN112422484A (zh) * | 2019-08-23 | 2021-02-26 | 华为技术有限公司 | 确定用于处理安全事件的剧本的方法、装置及存储介质 |
CN112529417A (zh) * | 2020-12-14 | 2021-03-19 | 杭州安恒信息技术股份有限公司 | 一种安全事件处理方法、装置、设备及存储介质 |
CN112636978A (zh) * | 2020-12-23 | 2021-04-09 | 深信服科技股份有限公司 | 安全事件处理方法、装置、设备及计算机可读存储介质 |
-
2021
- 2021-06-30 CN CN202110741921.3A patent/CN113472787A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10681071B1 (en) * | 2016-08-02 | 2020-06-09 | ThreatConnect, Inc. | Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events |
CN112422484A (zh) * | 2019-08-23 | 2021-02-26 | 华为技术有限公司 | 确定用于处理安全事件的剧本的方法、装置及存储介质 |
CN112202724A (zh) * | 2020-09-09 | 2021-01-08 | 绿盟科技集团股份有限公司 | 一种多合一编排模式的数据汇聚方法及装置 |
CN112529417A (zh) * | 2020-12-14 | 2021-03-19 | 杭州安恒信息技术股份有限公司 | 一种安全事件处理方法、装置、设备及存储介质 |
CN112636978A (zh) * | 2020-12-23 | 2021-04-09 | 深信服科技股份有限公司 | 安全事件处理方法、装置、设备及计算机可读存储介质 |
Non-Patent Citations (2)
Title |
---|
杨延双: "基于大数据网络安全态势感知系统理论及实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》, pages 3 * |
雷鸣等: "基于分布式技术的气象系统数据服务平台构建", 《计算机与现代化》, pages 1 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114050937A (zh) * | 2021-11-18 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
CN114050937B (zh) * | 2021-11-18 | 2024-02-09 | 天融信雄安网络安全技术有限公司 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
CN114356451A (zh) * | 2021-12-31 | 2022-04-15 | 北京安博通科技股份有限公司 | 应用执行方法、应用执行装置、设备及存储介质 |
CN115022154A (zh) * | 2022-06-21 | 2022-09-06 | 深圳市商汤科技有限公司 | 告警流程处理方法、装置、设备、存储介质及程序产品 |
CN115543588A (zh) * | 2022-11-30 | 2022-12-30 | 成都中星世通电子科技有限公司 | 基于脚本编排的电磁感知任务执行方法、系统及终端 |
CN116471122A (zh) * | 2023-06-12 | 2023-07-21 | 南京众智维信息科技有限公司 | 一种基于q学习的网络安全剧本编排方法 |
CN116471122B (zh) * | 2023-06-12 | 2023-08-29 | 南京众智维信息科技有限公司 | 一种基于q学习的网络安全剧本编排方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113472787A (zh) | 一种告警信息处理方法、装置、设备及存储介质 | |
USRE48681E1 (en) | System and method for tracking web interactions with real time analytics | |
CN111835582B (zh) | 物联网巡检设备的配置方法、装置、计算机设备 | |
US9479518B1 (en) | Low false positive behavioral fraud detection | |
CN105283849B (zh) | 针对性能和细节的并行跟踪 | |
CN105103147B (zh) | 用工作负载分发器来跟踪的方法及系统 | |
CN110428127B (zh) | 自动化分析方法、用户设备、存储介质及装置 | |
CN109714187A (zh) | 基于机器学习的日志分析方法、装置、设备及存储介质 | |
CN111343173B (zh) | 数据访问的异常监测方法及装置 | |
US9020831B2 (en) | Information tracking system and method | |
CN112580914A (zh) | 汇集多源数据的企业级数据中台系统的实现方法及装置 | |
CN111222034B (zh) | 一种数据移动化显示方法、装置及云服务器 | |
CN113157545A (zh) | 业务日志的处理方法、装置、设备及存储介质 | |
US20180005289A1 (en) | Distributing action items and action item reminders | |
US20200012990A1 (en) | Systems and methods of network-based intelligent cyber-security | |
CN107168844B (zh) | 一种性能监控的方法及装置 | |
CN111898023A (zh) | 一种消息推送方法、装置、可读存储介质及计算设备 | |
US11897527B2 (en) | Automated positive train control event data extraction and analysis engine and method therefor | |
CN111159520A (zh) | 样本鉴定方法、装置及安全应急响应系统 | |
CN112738138A (zh) | 云安全托管方法、装置、设备及存储介质 | |
CN104246787A (zh) | 用于模式发现的参数调节 | |
US20200067985A1 (en) | Systems and methods of interactive and intelligent cyber-security | |
CN113901476A (zh) | 一种基于虚拟化环境的漏洞验证方法、系统、设备及介质 | |
CN116611046A (zh) | 一种基于soar的弱口令处理方法、装置以及处理系统 | |
KR102516819B1 (ko) | 빅데이터를 기반으로 위협 이벤트를 분석하고 대응하도록 지원하는 방법 및 이를 이용한 서버 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211001 |