CN116009984A - 安全编排与自动化响应处理方法、装置及电子设备 - Google Patents
安全编排与自动化响应处理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN116009984A CN116009984A CN202211635371.8A CN202211635371A CN116009984A CN 116009984 A CN116009984 A CN 116009984A CN 202211635371 A CN202211635371 A CN 202211635371A CN 116009984 A CN116009984 A CN 116009984A
- Authority
- CN
- China
- Prior art keywords
- plug
- security
- task node
- current task
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 title claims abstract description 134
- 238000003672 processing method Methods 0.000 title claims abstract description 43
- 238000000034 method Methods 0.000 claims description 35
- 238000004590 computer program Methods 0.000 claims description 13
- 238000010276 construction Methods 0.000 claims description 11
- 238000003032 molecular docking Methods 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 2
- 238000012545 processing Methods 0.000 abstract description 23
- 238000010586 diagram Methods 0.000 description 11
- 239000000243 solution Substances 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 4
- 239000008186 active pharmaceutical agent Substances 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
Abstract
本发明提供一种安全编排与自动化响应处理方法、装置及电子设备,应用于安全编排与自动化响应系统,其中,所述安全编排与自动化响应系统包括运行时引擎,所述安全编排与自动化响应处理方法包括:维护插件列表,其中,所述插件列表包括多个具有不同插件执行能力的插件;确定安全编排剧本中的当前任务节点,并调用所述插件列表中的目标插件执行所述当前任务节点,以实现基于所述目标插件自动化执行所述安全编排剧本,其中,所述目标插件为与所述当前任务节点对应的插件。在本发明中以插件形式自动化执行安全编排剧本,可以提高安全编排与自动化响应系统的响应处理能力,使整个系统具备热插拔能力。
Description
技术领域
本发明涉及安全事件管理技术领域,尤其涉及一种安全编排与自动化响应处理方法、装置及电子设备。
背景技术
在网络完全形势日趋严峻的情况下,安全事件的管理显示尤为重要。其中,安全编排与自动化响应是进行安全事件管理的重要手段。
相关技术可知,安全编排与自动化响应的核心在于对安全事件处置流程的可编排及自动化响应。在完善自身安全响应能力的前提下,需要持续对行业安全厂商产品的开放能力进行对接并整合,以提升对安全事件的响应能力、响应速度、以减少安全事件的损失。
然而,在当前的安全编排与自动化响应系统中,当调用的某一行业安全厂商产品存在故障时,往往会影响对其他行业安全厂商产品的调用,进而影响安全编排与自动化响应系统的响应性能。因此,当前寻找一种高效的安全编排与自动化响应处理方法成为研究热点。
发明内容
本发明提供一种安全编排与自动化响应处理方法、装置及电子设备,实现以插件形式自动化执行安全编排剧本,可以提高安全编排与自动化响应系统的响应处理能力,使整个系统具备热插拔能力。
本发明提供一种安全编排与自动化响应处理方法,应用于安全编排与自动化响应系统,其中,所述安全编排与自动化响应系统包括运行时引擎,所述安全编排与自动化响应处理方法包括:维护插件列表,其中,所述插件列表包括多个具有不同插件执行能力的插件;确定安全编排剧本中的当前任务节点,并调用所述插件列表中的目标插件执行所述当前任务节点,以实现基于所述目标插件自动化执行所述安全编排剧本,其中,所述目标插件为与所述当前任务节点对应的插件。
根据本发明提供的一种安全编排与自动化响应处理方法,所述插件列表采用以下方式构建:定义插件规范,其中,所述插件规范声明所述插件的基础构建信息,所述基础构建信息至少包括插件唯一标识、插件执行能力、插件执行能力的调用方式和插件执行能力的输入输出参数;基于所述插件规范,构建多个所述插件;基于多个所述插件,得到所述插件列表。
根据本发明提供的一种安全编排与自动化响应处理方法,在所述基于多个所述插件,得到所述插件列表之后,所述安全编排与自动化响应处理方法还包括:在对接新增安全产品的情况下,基于所述插件规范,构建与所述新增安全产品对应的插件,并将与所述新增安全产品对应的插件添加至所述插件列表。
根据本发明提供的一种安全编排与自动化响应处理方法,在所述调用所述插件列表中的目标插件执行所述当前任务节点之前,所述安全编排与自动化响应处理方法还包括:基于所述当前任务节点,确定与所述当前任务节点绑定的目标插件的插件唯一标识;基于所述运行时引擎维护插件注册表,其中,所述插件注册表至少包括所述插件的基础构建信息;基于所述插件注册表,确定与所述插件唯一标识对应的所述目标插件的插件执行能力的调用方式和插件执行能力的输入输出参数;所述调用所述插件列表中的目标插件执行所述当前任务节点,具体包括:获取所述当前任务节点的全局环境配置项;调用所述插件列表中的所述目标插件,并基于所述插件执行能力的调用方式和所述插件执行能力的输入输出参数对所述目标插件进行定义,得到定义后目标插件;基于所述定义后目标插件和所述全局环境配置项执行所述当前任务节点。
根据本发明提供的一种安全编排与自动化响应处理方法,在所述基于所述运行时引擎维护插件注册表之前,所述安全编排与自动化响应处理方法还包括:对所述插件进行完整性校验;在所述插件具备完整性的情况下,基于所述插件的插件唯一标识向所述运行时引擎进行注册,用以基于注册结果得到插件注册表。
根据本发明提供的一种安全编排与自动化响应处理方法,所述插件注册表还包括运行期配置,所述运行期配置包括插件任务优先级处理策略、失败重试处理策略和执行异常处理策略;所述基于所述定义后目标插件和所述全局环境配置项执行所述当前任务节点,具体包括:基于所述全局环境配置项,确定与所述全局环境配置项对应的所述运行期配置;基于所述定义后目标插件和所述运行期配置执行所述当前任务节点。
根据本发明提供的一种安全编排与自动化响应处理方法,在所述调用所述插件列表中的目标插件执行所述当前任务节点之后,所述安全编排与自动化响应处理方法还包括:基于所述运行时引擎,监测所述目标插件对所述当前任务节点的执行情况,并生成执行日志。
本发明还提供一种安全编排与自动化响应处理装置,应用于安全编排与自动化响应系统,其中,所述安全编排与自动化响应系统包括运行时引擎,所述安全编排与自动化响应处理装置包括:第一模块,用于维护插件列表,其中,所述插件列表包括多个具有不同插件执行能力的插件;第二模块,用于确定安全编排剧本中的当前任务节点,并调用所述插件列表中的目标插件执行所述当前任务节点,以实现基于所述目标插件自动化执行所述安全编排剧本,其中,所述目标插件为与所述当前任务节点对应的插件。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述的安全编排与自动化响应处理方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述的安全编排与自动化响应处理方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述的安全编排与自动化响应处理方法。
本发明提供的安全编排与自动化响应处理方法、装置及电子设备,通过维护插件列表,并在确定安全编排剧本中的当前任务节点的情况下,调用插件列表中的目标插件执行当前任务节点,以实现基于目标插件自动化执行安全编排剧本。在本发明中以插件形式自动化执行安全编排剧本,可以提高安全编排与自动化响应系统的响应处理能力,使整个系统具备热插拔能力。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的安全编排与自动化响应处理方法的流程示意图之一;
图2是本发明提供的插件列表的构建流程示意图;
图3是本发明提供的安全编排与自动化响应处理方法的流程示意图之二;
图4是本发明提供的基于定义后目标插件和全局环境配置项执行当前任务节点的流程示意图;
图5是本发明提供的插件发布、扫描、解析、完整性校验时序图;
图6是本发明提供的插件注册、加载、调用、运行与终止时序图;
图7是本发明提供的安全编排与自动化响应处理装置的结构示意图;
图8是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的安全编排与自动化响应处理方法,可以应用于安全编排与自动化响应系统。其中,全编排与自动化响应系统可以包括运行时引擎。在应用过程中,安全编排与自动化响应处理方法可以向运行时引擎描述插件的结构与能力,运行时引擎管理插件的注册,维护插件的生命周期,同时对外暴露插件的能力调用,以使安全编排与自动化响应系统具备热插拔能力。
图1是本发明提供的安全编排与自动化响应处理方法的流程示意图之一。
为了进一步介绍本发明提供的安全编排与自动化响应处理方法下面将结合图1进行说明。
在本发明一示例性实施例中,结合图1可知,安全编排与自动化响应处理方法可以包括步骤110和步骤120,下面将分别介绍各步骤。
在步骤110中,维护插件列表,其中,插件列表包括多个具有不同插件执行能力的插件。
在一种实施例中,可以维护一个插件列表。其中,插件列表可以包括多个不同的插件,每个插件可以具有不同的插件执行能力。
在又一种实施例中,插件可以包括设备联动类插件、消息通知类插件、上下文富化类插件、威胁情报查询类插件、日志检索类插件、运维工单类插件,以及任务审批类插件。其中,前述的插件可以提供约50项安全响应能力。
在又一种实施例中,在技术形态上,插件还可以被划分为三类插件,并应用于不同的技术场景。
第一类插件以Java ClassLoader管理的类和资源的集合,其入口方法的签名对应着插件的输入输出。
第二类插件以RESTful API为调用形态的Web应用接口。其输入包括:URL、请求类型、参数、请求体、头信息、鉴权信息等;输出约定为json格式字符串,由于各RESTful API调用不同的URL,其Response不是固定的结构,插件提供对Response二次解析和赋值给输出参数的能力。
第三类插件以Shell、Python脚本语言实现的业务处理程序,可由用户编写,运行在隔离容器中,规避在宿主机上执行的“命令注入”等风险。隔离容器提供了Shell、Python脚本程序解释、执行的运行时环境,接收插件的输入作为脚本程序的输入参数,将脚本程序的运行处理结果作为插件的输出参数。
在步骤120中,确定安全编排剧本中的当前任务节点,并调用插件列表中的目标插件执行当前任务节点,以实现基于目标插件自动化执行安全编排剧本,其中,目标插件为与当前任务节点对应的插件。
在一种实施例中,安全编排剧本可以包括多个任务节点,其中,任务节点可以理解为是安全编排剧本上的基本编排单元。任务节点可以提供对安全事件的响应能力,任务节点可以与安全产品的安全能力相对应。在应用过程中,可以确定出待执行的当前任务节点,进一步的,再调用插件列表中的目标插件执行当前任务节点,以实现基于目标插件自动化执行安全编排剧本,其中,目标插件为与当前任务节点对应的插件。
需要说明的是,基于插件自动化执行安全编排剧本,可以保证安全编排与自动化响应系统具有热插拔能力。并且,插件可以在安全编排与自动化响应系统启动时才会被注册,在被安全编排剧本实例应用程序调用时才会被加载并实例化,具备“懒加载”机制。由于已注册但未使用的插件不会占用系统资源,从而可以降低安全编排与自动化响应系统的性能开销。
进一步的,安全能力插件化还可以使得安全编排与自动化响应系统具备“水密隔舱”的设计特征,在插件发生调用输入错误、第三方设备故障、网络高延时等异常情况时,不会导致应用程序整体崩溃、宕机,从而可以确保安全编排与自动化响应系统具备较好的鲁棒性。
本发明提供的本发明提供的安全编排与自动化响应处理方法,通过维护插件列表,并在确定安全编排剧本中的当前任务节点的情况下,调用插件列表中的目标插件执行当前任务节点,以实现基于目标插件自动化执行安全编排剧本。在本发明中以插件形式自动化执行安全编排剧本,可以提高安全编排与自动化响应系统的响应处理能力,使整个系统具备热插拔能力。
图2是本发明提供的插件列表的构建流程示意图。
为了进一步介绍本发明提供的安全编排与自动化响应处理方法,下面将结合图2对构建插件列表的过程进行说明。
在本发明一示例性实施例中,结合图2可知,构建插件列表可以包括步骤210至步骤230,下面将分别介绍各步骤。
在步骤210中,定义插件规范,其中,插件规范声明插件的基础构建信息,基础构建信息至少包括插件唯一标识、插件执行能力、插件执行能力的调用方式和插件执行能力的输入输出参数。
在一种实施例中,可以基于mainfest.json文件,定义插件规范。在一示例中,可以基于mainfest.json文件中的字段name、description、version、id声明插件的插件名称、插件描述、插件版本、插件唯一标识。基于前述声明,可以对插件的插件执行能力进行基础声明。
在又一示例中,mainfest.json文件中的actions字段,可以是数组,用于声明插件中提供的一种或多种能力。进一步的,还可以基于actions字段项下的id、name、description、type字段声明该种能力的基础信息。
在又一种实施例中,还可以在actions片段中的start字段嵌套两个属性type、class,用于分别声明该种能力的调用方式与调用入口。其中,调用方式可以包括以下方式:
(1)以Java ClassLoader管理的类和资源;其入口为插件程序主类的全路径名。
(2)以RESTful API为调用形态的Web应用接口;其入口为统一资源定位符。
(3)以Shell、Python脚本语言实现的业务处理程序;其入口为脚本程序的path。
在又一种实施例中,在mainfest.json文件中,字段inputs、outputs字段可以声明该种能力的输入、输出参数信息(对应输入输出参数)。每种插件能力允许定义多个输入、输出参数。
其中,定义输入参数时须声明:
(1)参数名称,由titlte字段指定。
(2)参数值类型,由type字段指定,支持字符串、数值、数组等。
(3)提示信息,由x-component-props字段指定。
(4)参数UI组件类型,由x-component字段指定web界面控件类型。
(5)表单装饰器,由x-decorator字段声明web界面控件的样式。
(6)参数值校验规则,由x-validator字段声明数据校验规则及校验失败提示信息。
(7)是否必填,由required字段声明参数是否必填。
(8)UI交互行为,由x-reactions字段声明,定义web界面各控件的交互逻辑、行为侦听及处理函数。
可以理解的是,基于前述定义的插件规范,可以确保插件在定义、完整性检查、注册、延迟加载及调用、运行及终止等环节具有一致性,受插件框架(对应插件规范)规约和运行时引擎管理和控制。
在步骤220中,基于插件规范,构建多个插件。
在步骤230中,基于多个插件,得到插件列表。
在一种实施例中,可以基于前文定义的插件规范,构建插件,再将构建的多个插件进行汇总,可以得到插件列表。在一示例中,插件列表可以通过插件的插件唯一标识进行管理。
在本发明一示例性实施例中,继续以图2所述的实施例为例进行说明,在基于多个插件,得到插件列表(对应步骤230)之后,安全编排与自动化响应处理方法还可以包括以下步骤:
在对接新增安全产品的情况下,基于插件规范,构建与新增安全产品对应的插件,并将与新增安全产品对应的插件添加至插件列表。
需要说明的是,当需要对接新增安全产品时,由于新增安全产品具有异构性,其对接方式各异,为了提高对接的便捷性,以及提高安全编排与自动化响应系统的可扩展性,可以通过插件化机制实现对接,从而能够更灵活高效地完成适配和能力拉通,将第三方产品的开放能力扩展为一个个可编排的单元,实现安全编排与自动化响应系统响应能力的持续集成。
在一示例中,可以基于预先定义的插件规范,构建与新增安全产品对应的插件。通过此种方式,可以更好得实现对新增安全产品的对接。进一步的,再将与新增安全产品对应的插件添加至插件列表,可以确保当前的插件列表包括安全编排与自动化响应系统中最全面的插件,从而确保当前任务节点能够匹配到合适的插件进行执行。
图3是本发明提供的安全编排与自动化响应处理方法的流程示意图之二。
下面将结合图3对另一种安全编排与自动化响应处理方法的过程进行说明。
在本发明一示例性实施例中,结合图3可知,安全编排与自动化响应处理方法可以包括步骤310至步骤370,其中,步骤310与步骤110相同或相似,其具体实施方式和有益效果请参照前文描述,在本实施例中不再赘述,下面将分别介绍步骤320至步骤370。
在步骤320中,基于当前任务节点,确定与当前任务节点绑定的目标插件的插件唯一标识。
在一种实施例中,各个任务节点均绑定有对应插件的插件唯一标识。在应用过程中,基于插件唯一标识可以定位到与任务节点对应的插件。为进一步调用插件执行任务节点提供基础。
需要说明的是,当前任务节点可以理解为是即将进行执行的任务节点。目标插件是与当前任务节点对应的插件。
在步骤330中,基于运行时引擎维护插件注册表,其中,插件注册表至少包括插件的基础构建信息。
在步骤340中,基于插件注册表,确定与插件唯一标识对应的目标插件的插件执行能力的调用方式和插件执行能力的输入输出参数。
在一种实施例中,可以根据安全编排与自动化响应系统中的运行时引擎维护插件注册表,其中,插件注册表中包括已经注册的所有插件的基础构建信息。其中,基础构建信息至少包括插件唯一标识、插件执行能力、插件执行能力的调用方式和插件执行能力的输入输出参数。在一示例中,基于插件注册表,根据插件唯一标识可以确定出与该插件对应的插件执行能力的输入输出参数。在应用过程中,当确定出插件执行能力的输入输出参数,可以对插件进行定义,从而可以得到定义后插件。其中,定义后插件可以理解为是按照插件执行能力的输入输出参数,定义插件的插件执行能力的输入输出参数。
在步骤350中,获取当前任务节点的全局环境配置项。
在步骤360中,调用插件列表中的目标插件,并基于插件执行能力的调用方式和插件执行能力的输入输出参数对目标插件进行定义,得到定义后目标插件。
在步骤370中,基于定义后目标插件和全局环境配置项执行当前任务节点。
在一种实施例中,可以根据插件执行能力的调用方式和插件执行能力的输入输出参数对目标插件进行定义,以使定义后目标插件的调用方式和输入输出参数满足插件执行能力的调用方式和插件执行能力的输入输出参数的要求,从而可以基于定义后目标插件和全局环境配置项执行当前任务节点。
在本发明又一示例性实施例中,继续以图3所述的实施例为例进行说明。在基于运行时引擎维护插件注册表(对应步骤330)之前,安全编排与自动化响应处理方法还可以包括以下步骤:
对插件进行完整性校验;
在插件具备完整性的情况下,基于插件的插件唯一标识向运行时引擎进行注册,用以基于注册结果得到插件注册表。
在一种实施例中,运行时引擎可以对具备各种能力的插件进行生命周期管理。在对插件进行注册之前,还可以对插件进行插件完整性检查,以确保在插件进行注册之前,能够保证插件的完整性。
在一示例中,可以依次对插件进行扫描、插件解析和插件完整性检查。进一步的,在检测到插件具备完整性的情况下,可以基于插件的插件唯一标识向运行时引擎进行注册,用以基于注册结果得到插件注册表。通过本实施例,可以确保注册的插件均具有完整性,进而为基于插件执行当前任务节点打下基础。
在本发明又一示例性实施例中,插件注册表还可以包括运行期配置,运行期配置还可以包括插件任务优先级处理策略、失败重试处理策略和执行异常处理策略。
图4是本发明提供的基于定义后目标插件和全局环境配置项执行当前任务节点的流程示意图。
在本发明一示例性实施例中,结合图4可知,基于定义后目标插件和全局环境配置项执行当前任务节点可以包括步骤410和步骤420,下面将分别介绍各步骤。
在步骤410中,基于全局环境配置项,确定与全局环境配置项对应的运行期配置;
在步骤420中,基于定义后目标插件和运行期配置执行当前任务节点。
在一种实施例中,可以根据全局环境配置项,确定与全局环境配置项对应的运行期配置,进一步的,再基于定义后目标插件和运行期配置执行当前任务节点,以使在执行当前任务节点时,还能够综合考虑插件任务优先级情况、插件失败重试情况,以及发生执行异常时需要采取的手段等。需要说明的是,运行期配置会覆盖插件定义时的相关声明。
在本发明一示例性实施例中,继续以图1所述的实施例为例进行说明,在调用插件列表中的目标插件执行当前任务节点(对应步骤120)之后,安全编排与自动化响应处理方法还可以包括以下步骤:
基于运行时引擎,监测目标插件对当前任务节点的执行情况,并生成执行日志。
在一种实施例中,还可以对插件的执行情况进行监控,用以得到插件的执行日志。进一步的,可以基于执行日志获取插件的输入输出或运行时捕获的异常情况等。
为了进一步介绍本发明提供的安全编排与自动化响应处理方法,下面将结合图5进行说明。
图5是本发明提供的插件发布、扫描、解析、完整性校验时序图。
在一种实施例中,结合图5可知,在时序1至时序6中,可以在前端上传插件组件,并将插件上传至hdfs,其中,hdfs为一种分布式文件系统,用于存储文件,在本实施例中,用于存储插件信息。在将插件上传至hdfs后,可以将插件UUID(对应插件唯一标识)返回至前端。进一步的,调用插件上传接口,用于传递插件的UUID至系统管理模块。在系统管理模块中,redis保存插件文件并设置过期时间,以及上传UUID至kafka,用以提供数据给soar系统消费,其中,soar系统可以表示安全编排与自动化响应系统。
在时序7至时序11中,soar系统可以消费关于插件UUID的消息,并通过上传插件UUID,从hdfs中得到插件,并将得到的插件返回至soar系统。在soar系统中,可以对插件进行解析,其中,可以对插件UUID进行解析、对插件合法性进行解析以及对插件包大小信息进行校验,以确保插件满足要求。进一步的,还可以对插件内容进行解析,包括对插件包信息进行解析、对任务信息进行解析、对新增任务数据信息规格进行校验、对新增任务表结构进行创建等。
在时序12至时序19中,可以将解析后的设备类型接口返回并保存设备类型。进一步的,再返回设备类型ID,以及对插件类信息进行加载。例如,可以对保存设备类型id进行加载等。还可以更新插件的上传状态,保存设置类型,从而依次实现插件的发布、扫描、解析完整性检验直至有效导入。
图6是本发明提供的插件注册、加载、调用、运行与终止时序图。
下面将结合图6对安全编排与自动化响应处理方法的过程进行说明。
在本发明一种实施例中,结合图6可知,在时序1至时序3中,用户可以发起关于插件上传或删除的指令。以插件上传为例进行说明,将插件设置在soar系统,并对插件进行加载,可以实现soar系统的热插拔能力。进一步的,soar系统的插件化还可以保证数据信息持久化,保证插件的可靠性,以及服务可以自启动时被再次拉起,进而可以确保已注册但未使用的插件不会占用系统资源,以减低系统的性能开销。
在时序4至8中,基于插件可以试运行剧本,确保插件的可实施性。进一步的,可以读取剧本定义,从而获取与剧本中各个任务节点绑定的插件ID,通过插件ID,获取已注册插件信息。并基于获取的插件信息,对插件的输出输入参数和调用方式进行设定,用以基于设定好输出输入参数和调用方式的插件执行任务节点。从而以插件形式自动化执行安全编排剧本,提高了安全编排与自动化响应系统的响应处理能力,使整个系统具备热插拔能力。
在时序9至10中,在插件执行任务节点的过程中,还可以捕获异常信息,并整理异常结果,以确保不影响其他业务的执行。
在本发明提供的安全编排与自动化响应处理方法中,当功能扩展需求以插件形式开发完成后,经过插件导入、完整性检查、注册后,面向安全编排与自动化响应系统的用户,以易于理解的形成管理并呈现,并使得可编排与自动化响应的能力得到增强。
根据上述描述可知,本发明提供的本发明提供的安全编排与自动化响应处理方法,通过维护插件列表,并在确定安全编排剧本中的当前任务节点的情况下,调用插件列表中的目标插件执行当前任务节点,以实现基于目标插件自动化执行安全编排剧本。在本发明中以插件形式自动化执行安全编排剧本,可以提高安全编排与自动化响应系统的响应处理能力,使整个系统具备热插拔能力。
基于相同的构思,本发明还提供一种安全编排与自动化响应处理装置。
下面对本发明提供的安全编排与自动化响应处理装置进行描述,下文描述的安全编排与自动化响应处理装置与上文描述的安全编排与自动化响应处理方法可相互对应参照。
图7是本发明提供的安全编排与自动化响应处理装置的结构示意图。
在本发明一示例性实施例中,安全编排与自动化响应处理装置可以应用于安全编排与自动化响应系统。其中,安全编排与自动化响应系统可以包括运行时引擎。结合图7可知,安全编排与自动化响应处理装置可以包括第一模块710和第二模块720,下面将分别介绍各模块。
第一模块710,可以被配置为用于维护插件列表,其中,插件列表包括多个具有不同插件执行能力的插件;
第二模块720,可以被配置为用于确定安全编排剧本中的当前任务节点,并调用插件列表中的目标插件执行当前任务节点,以实现基于目标插件自动化执行安全编排剧本,其中,目标插件为与当前任务节点对应的插件。
在本发明一示例性实施例中,第一模块710可以采用以下方式实现构建插件列表:
定义插件规范,其中,插件规范声明插件的基础构建信息,基础构建信息至少包括插件唯一标识、插件执行能力、插件执行能力的调用方式和插件执行能力的输入输出参数;
基于插件规范,构建多个插件;
基于多个插件,得到插件列表。
在本发明一示例性实施例中,第一模块710还可以被配置为用于:
在对接新增安全产品的情况下,基于插件规范,构建与新增安全产品对应的插件,并将与新增安全产品对应的插件添加至插件列表。
在本发明一示例性实施例中,第二模块720还可以被配置为用于:
基于当前任务节点,确定与当前任务节点绑定的目标插件的插件唯一标识;
基于运行时引擎维护插件注册表,其中,插件注册表至少包括插件的基础构建信息;
基于插件注册表,确定与插件唯一标识对应的目标插件的插件执行能力的调用方式和插件执行能力的输入输出参数;
第二模块720可以采用以下方式实现调用插件列表中的目标插件执行当前任务节点:
获取当前任务节点的全局环境配置项;
调用插件列表中的目标插件,并基于插件执行能力的调用方式和插件执行能力的输入输出参数对目标插件进行定义,得到定义后目标插件;
基于定义后目标插件和全局环境配置项执行当前任务节点。
在本发明一示例性实施例中,第二模块720还可以被配置为用于:
对插件进行完整性校验;
在插件具备完整性的情况下,基于插件的插件唯一标识向运行时引擎进行注册,用以基于注册结果得到插件注册表。
在本发明一示例性实施例中,插件注册表还可以包括运行期配置,运行期配置可以包括插件任务优先级处理策略、失败重试处理策略和执行异常处理策略;
第二模块720可以采用以下方式实现基于定义后目标插件和全局环境配置项执行当前任务节点:
基于全局环境配置项,确定与全局环境配置项对应的运行期配置;
基于定义后目标插件和运行期配置执行当前任务节点。
在本发明一示例性实施例中,第二模块720还可以被配置为用于:
基于运行时引擎,监测目标插件对当前任务节点的执行情况,并生成执行日志。
图8示例了一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行安全编排与自动化响应处理方法,应用于安全编排与自动化响应系统,其中,所述安全编排与自动化响应系统包括运行时引擎,所述安全编排与自动化响应处理方法包括:维护插件列表,其中,所述插件列表包括多个具有不同插件执行能力的插件;确定安全编排剧本中的当前任务节点,并调用所述插件列表中的目标插件执行所述当前任务节点,以实现基于所述目标插件自动化执行所述安全编排剧本,其中,所述目标插件为与所述当前任务节点对应的插件。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的安全编排与自动化响应处理方法,应用于安全编排与自动化响应系统,其中,所述安全编排与自动化响应系统包括运行时引擎,所述安全编排与自动化响应处理方法包括:维护插件列表,其中,所述插件列表包括多个具有不同插件执行能力的插件;确定安全编排剧本中的当前任务节点,并调用所述插件列表中的目标插件执行所述当前任务节点,以实现基于所述目标插件自动化执行所述安全编排剧本,其中,所述目标插件为与所述当前任务节点对应的插件。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的安全编排与自动化响应处理方法,应用于安全编排与自动化响应系统,其中,所述安全编排与自动化响应系统包括运行时引擎,所述安全编排与自动化响应处理方法包括:维护插件列表,其中,所述插件列表包括多个具有不同插件执行能力的插件;确定安全编排剧本中的当前任务节点,并调用所述插件列表中的目标插件执行所述当前任务节点,以实现基于所述目标插件自动化执行所述安全编排剧本,其中,所述目标插件为与所述当前任务节点对应的插件。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
进一步可以理解的是,本发明实施例中尽管在附图中以特定的顺序描述操作,但是不应将其理解为要求按照所示的特定顺序或是串行顺序来执行这些操作,或是要求执行全部所示的操作以得到期望的结果。在特定环境中,多任务和并行处理可能是有利的。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种安全编排与自动化响应处理方法,其特征在于,应用于安全编排与自动化响应系统,其中,所述安全编排与自动化响应系统包括运行时引擎,所述安全编排与自动化响应处理方法包括:
维护插件列表,其中,所述插件列表包括多个具有不同插件执行能力的插件;
确定安全编排剧本中的当前任务节点,并调用所述插件列表中的目标插件执行所述当前任务节点,以实现基于所述目标插件自动化执行所述安全编排剧本,其中,所述目标插件为与所述当前任务节点对应的插件。
2.根据权利要求1所述的安全编排与自动化响应处理方法,其特征在于,所述插件列表采用以下方式构建:
定义插件规范,其中,所述插件规范声明所述插件的基础构建信息,所述基础构建信息至少包括插件唯一标识、插件执行能力、插件执行能力的调用方式和插件执行能力的输入输出参数;
基于所述插件规范,构建多个所述插件;
基于多个所述插件,得到所述插件列表。
3.根据权利要求2所述的安全编排与自动化响应处理方法,其特征在于,在所述基于多个所述插件,得到所述插件列表之后,所述安全编排与自动化响应处理方法还包括:
在对接新增安全产品的情况下,基于所述插件规范,构建与所述新增安全产品对应的插件,并将与所述新增安全产品对应的插件添加至所述插件列表。
4.根据权利要求1所述的安全编排与自动化响应处理方法,其特征在于,在所述调用所述插件列表中的目标插件执行所述当前任务节点之前,所述安全编排与自动化响应处理方法还包括:
基于所述当前任务节点,确定与所述当前任务节点绑定的目标插件的插件唯一标识;
基于所述运行时引擎维护插件注册表,其中,所述插件注册表至少包括所述插件的基础构建信息;
基于所述插件注册表,确定与所述插件唯一标识对应的所述目标插件的插件执行能力的调用方式和插件执行能力的输入输出参数;
所述调用所述插件列表中的目标插件执行所述当前任务节点,具体包括:
获取所述当前任务节点的全局环境配置项;
调用所述插件列表中的所述目标插件,并基于所述插件执行能力的调用方式和所述插件执行能力的输入输出参数对所述目标插件进行定义,得到定义后目标插件;
基于所述定义后目标插件和所述全局环境配置项执行所述当前任务节点。
5.根据权利要求4所述的安全编排与自动化响应处理方法,其特征在于,在所述基于所述运行时引擎维护插件注册表之前,所述安全编排与自动化响应处理方法还包括:
对所述插件进行完整性校验;
在所述插件具备完整性的情况下,基于所述插件的插件唯一标识向所述运行时引擎进行注册,用以基于注册结果得到插件注册表。
6.根据权利要求4所述的安全编排与自动化响应处理方法,其特征在于,所述插件注册表还包括运行期配置,所述运行期配置包括插件任务优先级处理策略、失败重试处理策略和执行异常处理策略;
所述基于所述定义后目标插件和所述全局环境配置项执行所述当前任务节点,具体包括:
基于所述全局环境配置项,确定与所述全局环境配置项对应的所述运行期配置;
基于所述定义后目标插件和所述运行期配置执行所述当前任务节点。
7.根据权利要求1所述的安全编排与自动化响应处理方法,其特征在于,在所述调用所述插件列表中的目标插件执行所述当前任务节点之后,所述安全编排与自动化响应处理方法还包括:
基于所述运行时引擎,监测所述目标插件对所述当前任务节点的执行情况,并生成执行日志。
8.一种安全编排与自动化响应处理装置,其特征在于,应用于安全编排与自动化响应系统,其中,所述安全编排与自动化响应系统包括运行时引擎,所述安全编排与自动化响应处理装置包括:
第一模块,用于维护插件列表,其中,所述插件列表包括多个具有不同插件执行能力的插件;
第二模块,用于确定安全编排剧本中的当前任务节点,并调用所述插件列表中的目标插件执行所述当前任务节点,以实现基于所述目标插件自动化执行所述安全编排剧本,其中,所述目标插件为与所述当前任务节点对应的插件。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述的安全编排与自动化响应处理方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的安全编排与自动化响应处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211635371.8A CN116009984A (zh) | 2022-12-19 | 2022-12-19 | 安全编排与自动化响应处理方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211635371.8A CN116009984A (zh) | 2022-12-19 | 2022-12-19 | 安全编排与自动化响应处理方法、装置及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116009984A true CN116009984A (zh) | 2023-04-25 |
Family
ID=86018568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211635371.8A Pending CN116009984A (zh) | 2022-12-19 | 2022-12-19 | 安全编排与自动化响应处理方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116009984A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116471122A (zh) * | 2023-06-12 | 2023-07-21 | 南京众智维信息科技有限公司 | 一种基于q学习的网络安全剧本编排方法 |
-
2022
- 2022-12-19 CN CN202211635371.8A patent/CN116009984A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116471122A (zh) * | 2023-06-12 | 2023-07-21 | 南京众智维信息科技有限公司 | 一种基于q学习的网络安全剧本编排方法 |
CN116471122B (zh) * | 2023-06-12 | 2023-08-29 | 南京众智维信息科技有限公司 | 一种基于q学习的网络安全剧本编排方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8151277B2 (en) | Method and system for dynamic remote injection of in-process agents into virtual machine based applications | |
CN107241315B (zh) | 银行网关接口的接入方法、装置及计算机可读存储介质 | |
US8819831B2 (en) | Remote procedure call (RPC) services fuzz attacking tool | |
US20140033177A1 (en) | Multi-platform test automation enhancement | |
WO2017041499A1 (zh) | 一种软件升级方法、系统和计算机可读存储介质 | |
CN112363907A (zh) | Dubbo接口的测试方法、装置、电子装置和存储介质 | |
CN114527857B (zh) | 多核系统复位方法、装置、设备及可读存储介质 | |
CN116009984A (zh) | 安全编排与自动化响应处理方法、装置及电子设备 | |
CN113407383A (zh) | 主备系统切换方法、装置、服务器及主备系统 | |
CN111813646A (zh) | docker容器环境下注入应用探针的方法和装置 | |
CN111026638A (zh) | 一种网页自动化测试方法、装置、电子设备和存储介质 | |
CN114466070A (zh) | 中间件系统、服务请求处理方法、电子设备及存储介质 | |
CN106997313B (zh) | 一种应用程序的信号处理方法、系统及终端设备 | |
US20170270031A1 (en) | Information processing apparatus, test execution method, and computer-readable recording medium | |
CN111522623B (zh) | 组件化软件多进程运行系统 | |
CN113742224A (zh) | 测试系统、方法、装置、计算机设备和存储介质 | |
CN111597020B (zh) | 一种应用程序编程接口api调试方法以及调试终端 | |
CN113836017A (zh) | 一种远程调试方法、系统、计算设备和存储介质 | |
CN111209197A (zh) | 应用程序持续集成测试方法、系统、设备和存储介质 | |
CN112448854A (zh) | 一种kubernetes复杂网络策略系统及其实现方法 | |
CN117407152A (zh) | 云平台的应用管理方法以及云平台的应用管理系统 | |
CN113094261B (zh) | 自动更新测试环境的方法、系统、电子装置和存储介质 | |
CN117376194B (zh) | 网络检测方法、系统、电子设备及计算机可读存储介质 | |
CN111581085B (zh) | 联调测试系统及方法 | |
CN117421249A (zh) | 动态链接库的加载测试方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |