CN116074071A - 一种网络应急响应方法、系统、电子设备、及存储介质 - Google Patents
一种网络应急响应方法、系统、电子设备、及存储介质 Download PDFInfo
- Publication number
- CN116074071A CN116074071A CN202211737758.4A CN202211737758A CN116074071A CN 116074071 A CN116074071 A CN 116074071A CN 202211737758 A CN202211737758 A CN 202211737758A CN 116074071 A CN116074071 A CN 116074071A
- Authority
- CN
- China
- Prior art keywords
- tool
- policy
- target
- strategy
- recorder
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 230000004044 response Effects 0.000 title claims abstract description 31
- 238000004458 analytical method Methods 0.000 claims abstract description 132
- 238000013515 script Methods 0.000 claims abstract description 23
- 238000004590 computer program Methods 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 15
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000011144 upstream manufacturing Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本发明实施例提供了一种网络应急响应方法、系统、电子设备、及存储介质,该方法包括:获取场景的目标策略集合;策略控制器执行目标策略集合中的策略,得到第一执行结果,并根据第一执行结果中的数据,获取策略中的第一工具标记集合;将第一工具标记集合发送至工具库,以使工具库调用安全剧本,得到第二执行结果,并将第二执行结果返回至记录器中;记录器对第二执行结果进行分析,得到第一分析结果;策略控制器切换场景并返回获取场景的目标策略集合的步骤。本发明实施例中,通过策略控制器执行策略,通过记录器对策略的执行结果进行分析,以解决需要人工手动进行决策的问题,根据分析结果,切换场景,以解决需要人工切换场景的问题。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络应急响应方法、一种网络应急响应系统、一种电子设备和一种存储介质。
背景技术
随着SecurityOrchestrationAutomationandResponse(简称SOAR,安全编排与自动化响应)平台的兴起,越来越多的企业开始实践将SOAR平台作为安全基础架构的核心部分。
在实际应用中,SOAR平台仍然十分依赖人工进行管理。管理人员需要同时依据上游分析结果和当前人员状态,手动决策和切换场景,以实施不同场景下的不同安全策略。过渡依赖人工的管理导致场景切换不及时,并可能导致错误场景,造成资源浪费和巨大安全风险。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种网络应急响应方法、一种网络应急响应系统、一种电子设备和一种存储介质。
为了解决上述问题,本发明实施例公开了一种网络应急响应方法,应用于SOAR平台,所述SOAR平台包括策略控制器、事件仓库和记录器,所述事件仓库用于储存安全事件,所述方法包括:
所述策略控制器获取所述事件仓库中的目标安全事件,所述目标安全事件为所述事件仓库中需要进行处理的安全事件;
所述策略控制器确定所述目标安全事件匹配的场景,获取所述场景的目标策略集合;
所述策略控制器执行所述目标策略集合中的策略,得到第一执行结果,并根据所述第一执行结果中的数据,获取所述策略中的第一工具标记集合;
所述策略控制器在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库调用所述第一工具标记集合对应的安全剧本,得到第二执行结果,并将第二执行结果返回至所述记录器中;
所述记录器对所述第二执行结果进行分析,得到第一分析结果;若所述第一分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。
可选地,所述策略包括策略严格程度,所述策略控制器执行所述目标策略集合中的策略,包括:
所述策略控制器根据所述目标策略集合中每个策略的策略严格程度,执行所述目标策略集合中的策略;所述策略严格程度用于表示所述策略的运行规则的难易程度。
可选地,所述策略控制器执行所述目标策略集合中的策略,得到第一执行结果,包括:
所述策略控制器在执行所述目标策略集合中的所述策略的过程中,判断所述目标安全事件中的日志信息与当前环境信息是否满足所述目策略的运行规则;若满足,则继续执行所述策略,得到第一执行结果。
可选地,所述SOAR平台包括作战室,所述方法还包括:
所述策略控制器在所述第一工具标记集合为空集合的情况下,将所述目标安全事件发送至所述作战室;
所述作战室判断所述目标安全事件是否存在处置通道;若所述目标安全事件存在处置通道,则打开所述处置通道;若所述目标安全事件不存在处置通道,则创建所述处置通道;
所述作战室通过所述处置通道获取工具库的工具标记;
所述作战室判断所述目标策略集合中是否有策略包括所述工具标记;若所述目标策略集合中有策略包括所述工具标记,则执行所述策略,得到第三执行结果,并将第三执行结果返回至所述记录器中;若所述目标策略集合中有策略不包括所述工具标记,则获取所述处置通道中的工具参数,并将所述工具标记和所述工具参数发送至所述工具库,以使所述工具库确定所述工具标记对应的安全剧本,通过所述工具参数执行所述安全剧本,并将第四执行结果返回至所述记录器中。
可选地,所述方法还包括:
所述记录器对所述第三执行结果进行分析,得到第二分析结果;
所述记录器对所述第四执行结果进行分析,得到第三分析结果;若所述第二分析结果或所述第三分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。
可选地,所述策略控制器在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库根据所述第一工具标记集合对应的安全剧本,执行安全剧本,并将第二执行结果返回至所述记录器中,包括:
所述策略控制器在所述第一工具标记集合为非空集合的情况下,根据所述第一工具标记集合,从所述目标安全事件的日志数据中,获取工具参数集合;
所述策略控制器将所述第一工具标记集合和所述工具参数集合发送至工具库,以使所述工具库根据所述第一工具标记集合对应的安全剧本,通过所述工具参数集合执行所述安全剧本,并将第二执行结果返回至所述记录器中。
可选地,所述记录器对所述第二执行结果进行分析,得到第一分析结果,包括:
所述记录器对所述处置通道中第一预设时间内的消息进行分析,得到工具名称;
所述记录器将所述工具名称与所述工具库中的名称进行模糊匹配,得到所述工具名称对应的第二工具标记集合;
所述记录器将所述第一工具标记集合与所述第二工具标记集合的交集确定为第一结果集合;
所述记录器获取所述第一预设时间内,所述处置通道执行的工具对应的第三工具标记集合,将所述第一工具标记集合与所述第三工具标记集合的交集确定为第二结果集合;
所述记录器获取所述第一预设时间内,所述处置通道执行的所述工具中,执行失败的工具对应的第四工具标记集合,将所述第一工具标记集合与所述第四工具标记集合的交集确定为第三结果集合;
所述记录器将所述第一结果集合、所述第二结果集合和所述第三结果集合确定为第一分析结果。
可选地,所述策略包括策略严格程度,所述第一分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤,包括:
所述记录器判断所述第一分析结果中,有任意分析结果集合中的数据超过预设阈值,则确定所述第一分析结果不满足预设条件;
所述策略控制器根据所述策略严格程度,更新所述策略;
所述记录器在第二预设时间之后,再次进行分析,得到第五分析结果;
所述记录器判断所述第五分析结果中,有任意分析结果集合中的数据超过所述预设阈值,则确定所述第五分析结果不满足预设条件;
所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。
相应的,本发明实施例还公开了一种网络应急响应系统,应用于SOAR平台,所述SOAR平台包括策略控制器、事件仓库和记录器,所述事件仓库用于储存安全事件,所述系统包括:
所述策略控制器用于获取所述事件仓库中的目标安全事件,所述目标安全事件为所述事件仓库中需要进行处理的安全事件;确定所述目标安全事件匹配的场景,获取所述场景的目标策略集合;执行所述目标策略集合中的策略,得到第一执行结果,并根据所述第一执行结果中的数据,获取所述策略中的第一工具标记集合;在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库调用所述第一工具标记集合对应的安全剧本,得到第二执行结果,并将第二执行结果返回至所述记录器中;
所述记录器用于对所述第二执行结果进行分析,得到第一分析结果;
所述策略控制器还用于在所述第一分析结果不满足预设条件,切换所述场景并返回获取所述场景的目标策略集合的步骤。
可选地,所述策略包括策略严格程度,所述策略控制器执行所述目标策略集合中的策略,包括:
所述策略控制器用于根据所述目标策略集合中每个策略的策略严格程度,执行所述目标策略集合中的策略;所述策略严格程度用于表示所述策略的运行规则的难易程度。
可选地,所述策略控制器执行所述目标策略集合中的策略,得到第一执行结果,包括:
所述策略控制器用于在执行所述目标策略集合中的所述策略的过程中,判断所述目标安全事件中的日志信息与当前环境信息是否满足所述目策略的运行规则;若满足,则继续执行所述策略,得到第一执行结果。
可选地,所述SOAR平台包括作战室,所述方法还包括:
所述策略控制器用于在所述第一工具标记集合为空集合的情况下,将所述目标安全事件发送至所述作战室;
所述作战室用于判断所述目标安全事件是否存在处置通道;若所述目标安全事件存在处置通道,则打开所述处置通道;若所述目标安全事件不存在处置通道,则创建所述处置通道;通过所述处置通道获取工具库的工具标记;判断所述目标策略集合中是否有策略包括所述工具标记;若所述目标策略集合中有策略包括所述工具标记,则执行所述策略,得到第三执行结果,并将第三执行结果返回至所述记录器中;若所述目标策略集合中有策略不包括所述工具标记,则获取所述处置通道中的工具参数,并将所述工具标记和所述工具参数发送至所述工具库,以使所述工具库确定所述工具标记对应的安全剧本,通过所述工具参数执行所述安全剧本,并将第四执行结果返回至所述记录器中。
可选地,所述方法还包括:
所述记录器用于对所述第三执行结果进行分析,得到第二分析结果;对所述第四执行结果进行分析,得到第三分析结果;若所述第二分析结果或所述第三分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。
可选地,所述策略控制器在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库根据所述第一工具标记集合对应的安全剧本,执行安全剧本,并将第二执行结果返回至所述记录器中,包括:
所述策略控制器用于在所述第一工具标记集合满足预设要求的情况下,根据所述第一工具标记集合,从所述目标安全事件的日志数据中,获取工具参数集合;将所述第一工具标记集合和所述工具参数集合发送至工具库;
所述工具库用于根据所述第一工具标记集合对应的安全剧本,通过所述工具参数集合执行所述安全剧本,并将第二执行结果返回至所述记录器中。
可选地,所述记录器对所述第二执行结果进行分析,得到第一分析结果,包括:
所述记录器用于对所述处置通道中第一预设时间内的消息进行分析,得到工具名称;将所述工具名称与所述工具库中的名称进行模糊匹配,得到所述工具名称对应的第二工具标记集合;将所述第一工具标记集合与所述第二工具标记集合的交集确定为第一结果集合;
所述记录器用于获取所述第一预设时间内,所述处置通道执行的工具对应的第三工具标记集合,将所述第一工具标记集合与所述第三工具标记集合的交集确定为第二结果集合;获取所述第一预设时间内,所述处置通道执行的所述工具中,执行失败的工具对应的第四工具标记集合,将所述第一工具标记集合与所述第四工具标记集合的交集确定为第三结果集合;将所述第一结果集合、所述第二结果集合和所述第三结果集合确定为第一分析结果。
可选地,所述策略包括策略严格程度,所述第一分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤,包括:
所述记录器用于判断所述第一分析结果中,有任意分析结果集合中的数据超过预设阈值,则确定所述第一分析结果不满足预设条件;
所述策略控制器用于根据所述策略严格程度,更新所述策略;
所述记录器还用于在第二预设时间之后,再次进行分析,得到第五分析结果;当所述第三分析结果中,有任意分析结果集合中的数据超过所述预设阈值,则确定所述第五分析结果不满足预设条件;
所述策略控制器还用于切换所述场景并返回获取所述场景的目标策略集合的步骤。
相应的,本发明实施例公开了一种电子设备,包括:处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述网络应急响应方法实施例的各个步骤。
相应的,本发明实施例公开了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现上述网络应急响应方法实施例的各个步骤。
本发明实施例包括以下优点:所述策略控制器获取所述事件仓库中的目标安全事件,所述目标安全事件为所述事件仓库中需要进行处理的安全事件;所述策略控制器确定所述目标安全事件匹配的场景,获取所述场景的目标策略集合;所述策略控制器执行所述目标策略集合中的策略,得到第一执行结果,并根据所述第一执行结果中的数据,获取所述策略中的第一工具标记集合;所述策略控制器在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库调用所述第一工具标记集合对应的安全剧本,得到第二执行结果,并将第二执行结果返回至所述记录器中;所述记录器对所述第二执行结果进行分析,得到第一分析结果;若所述第一分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。本发明实施例中,可以通过策略控制器执行策略,还可以通过记录器对策略的执行结果进行分析,以解决需要人工手动进行决策的问题,还可以根据分析结果,切换场景,以解决需要人工切换场景的问题。
附图说明
图1是本发明实施例提供的一种网络应急响应方法的步骤流程图;
图2是本发明实施例提供的另一种网络应急响应方法的步骤流程图;
图3是本发明实施例提供的一种网络应急响应方法的流程图;
图4是本发明实施例提供的一种网络应急响应系统的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图1,示出了本发明实施例提供的一种网络应急响应方法的步骤流程图,应用于SOAR平台,所述SOAR平台包括策略控制器、事件仓库和记录器,所述事件仓库用于储存安全事件,所述方法具体可以包括如下步骤:
步骤101,所述策略控制器获取所述事件仓库中的目标安全事件,所述目标安全事件为所述事件仓库中需要进行处理的安全事件。
随着SOAR平台的兴起,越来越多的企业开始实践将SOAR平台作为安全基础架构的核心部分。SOAR平台作为安全事件响应的中心平台,是企业安全人员根据事件内容,对事件进行响应的平台,是连接上游安全事件检测和分析系统,和下游防火墙等安全设备的连接中枢。因此,在安全事件的应急响应中,SOAR平台相当于安全部门/团队的指挥中心。
在本发明实施例中,SOAR平台可以包括策略控制器、事件仓库和记录器;事件仓库可以于存储上游检测和分析系统所产生的事件。事件可以以是由一条或多条日志所触发的安全事件,并非设备日志。事件可以是由SOAR平台处置的记录,例如,以钓鱼邮件为例,如果邮件告警系统发现了钓鱼邮件,可以发送日志到SOAR平台,SOAR平台可以获取到日志信息中,在邮件告警系统中发现的安全事件。
可以定制策略控制器对应的流程,通过策略控制器起到对应的流程,策略控制器可以获取事件仓库中的目标安全事件,目标安全事件可以是事件仓库中需要进行处理的安全事件。
记录器可以包括记录分析器,记录器可以用于记录处置通道内的人与人的沟通消息,以及处置通道内人员的操作记录和工具库的剧本/应用的执行记录等。记录分析器可以对记录器的内容进行分析,并根据分析结果自动发送指令给策略器自动切换策略或切换场景。
步骤102,所述策略控制器确定所述目标安全事件匹配的场景,获取所述场景的目标策略集合。
策略控制器中可以包括场景,场景可以是包含了一组或多组策略的策略合集,用于指示当前可用的策略。场景值是一个全局常量,是一组常量中的一个,用于表示当前场景。场景值可定义为任意值,但需要同时满足人员可读和策略控制器可读。策略可以用于安全事件匹配的预定规则组合,可以包含运行规则和工具标识合集。根据运行规则组合匹配的结果,自动调用下游工具库组件,是实现SOAR自动化响应的重要组成部分。
可以在策略控制器获取到目标安全事件之后,可以根据目标安全事件中的日志信息,获取发生目标安全事件场景的场景值,根据场景值,从策略控制器确定对应的场景,从而可以获取策略控制器中场景的对应的目标策略集合。
步骤103,所述策略控制器执行所述目标策略集合中的策略,得到第一执行结果,并根据所述第一执行结果中的数据,获取所述策略中的第一工具标记集合。
在策略控制器确定目标策略集合之后,策略控制器可以执行目标策略集合中的策略,执行其中一个策略,可以得到一个策略的执行结果,该执行结果可以为数字等,本发明实施例在此不加以限制。在执行策略的过程中,如果存在策略未执行完成,或其他情况,可能导致执行结果为空,在策略控制器执行完目标策略集合中的所有策略之后,可以得到第一执行结果中所有的数字,可以根据第一执行结果中所有的数字,获取对应策略中的第一工具标记集合,工具标记集合可以用于指示下游工具库中的安全剧本的集合。
步骤104,所述策略控制器在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库调用所述第一工具标记集合对应的安全剧本,得到第二执行结果,并将第二执行结果返回至所述记录器中。
当目标策略集合中的策略正常执行完成时,可以输出第一工具标记对应的数据,如果策略未完成或发生其他情况,可能导致不会输出第一工具标记对应的数据,所以第一执行结果存在有数据和没有数据的情况,当第一执行结果没有数据时,输出的第一工具标记集合也是没有数据的,从而导致第一工具标记集合为空集合,当第一执行结果有数据时,可以输出的第一工具标记集合,第一工具标记集合为非空集合。
在第一工具标记集合为非空集合的情况下,可以将第一工具标记集合发送至工具库,工具库可以调用第一工具标记集合对应的安全剧本,从而得到第二执行结果,再将第二执行结果发送至记录器中从,工具库可以为用于存储安全剧本的剧本库。
步骤105,所述记录器对所述第二执行结果进行分析,得到第一分析结果。
记录器在收到工具库发送的第二执行结果之后,可以通过记录分析器对第二执行结果进行分析,得到第一分析结果。
步骤106,若所述第一分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。
可以判断第一分析结果中的数据是否满足预设条件,如果不满足,则策略控制器可以切换场景,并在切换场景之后返回到获取场景的目标策略集合的步骤,再次对场景进行处理和分析。
策略控制器获取事件仓库中的目标安全事件,目标安全事件为事件仓库中需要进行处理的安全事件;策略控制器确定目标安全事件匹配的场景,获取场景的目标策略集合;策略控制器执行目标策略集合中的策略,得到第一执行结果,并根据第一执行结果中的数据,获取策略中的第一工具标记集合;策略控制器在第一工具标记集合为非空集合的情况下,将第一工具标记集合发送至工具库,以使工具库调用第一工具标记集合对应的安全剧本,得到第二执行结果,并将第二执行结果返回至记录器中;记录器对第二执行结果进行分析,得到第一分析结果;若第一分析结果不满足预设条件,则策略控制器切换场景并返回获取场景的目标策略集合的步骤。本发明实施例中,可以通过策略控制器执行策略,还可以通过记录器对策略的执行结果进行分析,以解决需要人工手动进行决策的问题,还可以根据分析结果,切换场景,以解决需要人工切换场景的问题。
参照图2,示出了本发明实施例提供的另一种网络应急响应方法的步骤流程图,应用于SOAR平台,所述SOAR平台包括策略控制器、事件仓库、记录器和作战室,所述事件仓库用于储存安全事件,所述方法包括:
步骤201,所述策略控制器获取所述事件仓库中的目标安全事件,所述目标安全事件为所述事件仓库中需要进行处理的安全事件;
步骤202,所述策略控制器确定所述目标安全事件匹配的场景,获取所述场景的目标策略集合;
步骤203,所述策略控制器执行所述目标策略集合中的策略,得到第一执行结果,并根据所述第一执行结果中的数据,获取所述策略中的第一工具标记集合;
在本发明实施例中,所述策略包括策略严格程度,所述策略控制器执行所述目标策略集合中的策略,包括:
所述策略控制器根据所述目标策略集合中每个策略的策略严格程度,执行所述目标策略集合中的策略;所述策略严格程度用于表示所述策略的运行规则的难易程度。
在获取到目标安全事件对应场景的目标策略集合之后,策略控制器可以根据目标策略集合中每个策略的策略严格程度,执行目标策略集合中的策略,其中,可以根据策略严格程度从高到低依次执行策略,执行策略的方法可以根据实际情况进行设置,本发明实施例在此不加以限制。
在本发明实施例中,可以用数值表示策略的严格程度,严格程度越高数值越大,严格程度越高的策略执行时需要满足越严苛的条件,反之亦然。该值由策略编排人员根据实际情况进行设置,本发明实施例在此不加以限制。其中,高严格程度的策略能减少因策略问题导致业务受到的影响。因此,日常运营中一般使用高严格程度的策略。反之,在特别时期,如遭遇攻击或进行重点业务保障时期,使用低严格程度的策略,尽最大可能遏制攻击。
在本发明实施例中,所述策略控制器执行所述目标策略集合中的策略,得到第一执行结果,包括:
所述策略控制器在执行所述目标策略集合中的所述策略的过程中,判断所述目标安全事件中的日志信息与当前环境信息是否满足所述目策略的运行规则;
若满足,则继续执行所述策略,得到第一执行结果。
可以获取当前环境信息,的策略控制器在执行目标策略集合中的策略的过程中,可以将当前环境信息和目标安全事件中的日志信息与策略的运行规则进行匹配,判断目标安全事件中的日志信息与当前环境信息是否满足目策略的运行规则,如果目标安全事件中的日志信息与当前环境信息满足目策略的运行规则,则继续执行目标策略集合中的策略,在执行完成之后,可以得到第一执行结果,如果目标安全事件中的日志信息与当前环境信息不满足目策略的运行规则,则结束流程。
步骤204,所述策略控制器在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库调用所述第一工具标记集合对应的安全剧本,得到第二执行结果,并将第二执行结果返回至所述记录器中;
在本发明实施例中,所述策略控制器在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库根据所述第一工具标记集合对应的安全剧本,执行安全剧本,并将第二执行结果返回至所述记录器中,包括:
所述策略控制器在所述第一工具标记集合为非空集合的情况下,根据所述第一工具标记集合,从所述目标安全事件的日志数据中,获取工具参数集合;
所述策略控制器将所述第一工具标记集合和所述工具参数集合发送至工具库,以使所述工具库根据所述第一工具标记集合对应的安全剧本,通过所述工具参数集合执行所述安全剧本,并将第二执行结果返回至所述记录器中。
在得到第一工具标记集合之后,可以判断第一工具标记集合是否为空集合,若第一工具标记集合为非空集合,则可以根据第一工具标记集合中的数据,从目标安全事件的日志数据中,获取与第一工具标记集合对应的安全剧本参数集合,将第一工具标记集合和工具参数集合发送至工具库,当工具库接收到第一工具标记集合和工具参数集合之后,可以根据第一工具标记集合获取对应的安全剧本,再通过工具参数集合执行安全剧本,在执行完成之后,还可以将第二执行结果返回至记录器中。
步骤205,所述记录器对所述第二执行结果进行分析,得到第一分析结果;
在本发明实施例中,所述记录器对所述第二执行结果进行分析,得到第一分析结果,包括:
所述记录器对所述处置通道中第一预设时间内的消息进行分析,得到工具名称;
将所述工具名称与所述工具库中的名称进行模糊匹配,得到所述工具名称对应的第二工具标记集合;
将所述第一工具标记集合与所述第二工具标记集合的交集确定为第一结果集合;
所述记录器获取所述第一预设时间内,所述处置通道执行的工具对应的第三工具标记集合,将所述第一工具标记集合与所述第三工具标记集合的交集确定为第二结果集合;
所述记录器获取所述第一预设时间内,所述处置通道执行的所述工具中,执行失败的工具对应的第四工具标记集合,将所述第一工具标记集合与所述第四工具标记集合的交集确定为第三结果集合;
将所述第一结果集合、所述第二结果集合和所述第三结果集合确定为第一分析结果。
在执行目标策略集合中的策略时,工作人员可以通过处置通道发送信息,在记录器接收到第二执行结果之后,可以对处置通道中第一预设时间内的消息进行分析,提取消息包含的工具名称,还可以将工具名称于工具库中的工具名称进行模糊匹配,得到工具名称对应的第二工具标记集合,再将第一工具标记集合与第二工具标记集合的交集确定为第一结果集合。工作人员可以通过处置通道执行策略,则可以获取第一预设时间内,处置通道执行的工具对应的第三工具标记集合,将第一工具标记集合与第三工具标记集合的交集确定为第二结果集合。在工作人员通过处置通道执行策略时,有的策略执行成功了,有的策略执行失败了,则可以获取第一预设时间内,处置通道执行的工具中,执行失败的工具对应的第四工具标记集合,还可以将第一工具标记集合与第四工具标记集合的交集确定为第三结果集合;还可以将第一结果集合、第二结果集合和第三结果集合确定为第一分析结果。
步骤206,若所述第一分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。
在本发明实施例中,所述策略包括策略严格程度,所述第一分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤,包括:
所述记录器判断所述第一分析结果中,有任意分析结果集合中的数据超过预设阈值,则确定所述第一分析结果不满足预设条件;
所述策略控制器根据所述策略严格程度,更新所述策略;
所述记录器在第二预设时间之后,再次进行分析,得到第五分析结果;
所述记录器判断所述第五分析结果中,有任意分析结果集合中的数据超过所述预设阈值,则确定所述第五分析结果不满足预设条件;
所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。
策略中可以包括策略严格程度,在接收到第一分析结果之后,可以对第一分析结果进行判断,如果第一分析结果中有任意分析结果集合中的数据超过预设阈值,则第一分析结果不满足预设条件,则可以控制策略控制器根据策略严格程度,更新策略,其中,可以更新策略严格程度第一等级的策略,在第二预设时间之后,可以再次对记录器中的数据进行分析,得到第五分析结果,如果在第五分析结果中,有任意分析结果集合中的数据超过预设阈值,则确定第五分析结果不满足预设条件;可以控制策略控制器切换场景并返回获取场景的目标策略集合的步骤,其中,可以根据场景中的最小策略严格程度,切换最小策略严格程度更小的场景,最小策略严格程度可以为场景的目标策略集合中,所有策略的策略严格程度中最小的策略严格程度,第二预设时间可以为第一预设时间的一半,具体的第一预设时间和第二预设时间可以根据实际情况进行设置,本发明实施例在此不加以限制。
步骤207,所述策略控制器在所述第一工具标记集合为空集合的情况下,将所述目标安全事件发送至所述作战室;所述作战室判断所述目标安全事件是否存在处置通道;若所述目标安全事件存在处置通道,则打开所述处置通道;若所述目标安全事件不存在处置通道,则创建所述处置通道;所述作战室通过所述处置通道获取工具库的工具标记;所述作战室判断所述目标策略集合中是否有策略包括所述工具标记;若所述目标策略集合中有策略包括所述工具标记,则执行所述策略,得到第三执行结果,并将第三执行结果返回至所述记录器中;若所述目标策略集合中有策略不包括所述工具标记,则获取所述处置通道中的工具参数,并将所述工具标记和所述工具参数发送至所述工具库,以使所述工具库确定所述工具标记对应的安全剧本,通过所述工具参数执行所述安全剧本,并将第四执行结果返回至所述记录器中。
SOAR平台可以包括作战室,在得到第一工具标记集合之后,可以对第一工具标记集合进行判断,如果第一工具标记集合为空集合,则可以将目标安全事件发送至作战室,当接收到目标安全事件之后,可以判断目标安全事件是否存在处置通道,如果存在处置通道,则打开处置通道,如果不存在处置通道,则创建处置通道,并打开处置通道。
在打开处置通道之后,工作人员可以在处置通道中输入需要的工具名称或工具标记,作战室可以通过处置通道获取工具库的工具标记,可以判断目标策略集合中是否有策略包括该工具标记,如果目标策略集合中有策略包括该工具标记,则可以执行包括该工具标记的策略,得到第三执行结果,并将第三执行结果返回至记录器中,如果目标策略集合中有策略不包括该工具标记,则工作人员可以在处置通道中输入工具参数,可以从处置通道中获取该工具参数,将工具标记和工具参数发送至工具库,工具库可以确定工具标记对应的安全剧本,通过工具参数执行安全剧本,并第四执行结果返回至记录器中。
步骤208,所述记录器对所述第三执行结果进行分析,得到第二分析结果;所述记录器对所述第四执行结果进行分析,得到第三分析结果;若所述第二分析结果或所述第三分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。
在记录器接收到第三执行结果或第四执行结果之后,可以对第三执行结果进行分析,得到第二分析结果,或对第四执行结果进行分析,得到第三分析结果,若第二分析结果或第三分析结果不满足预设条件,则策略控制器切换场景并返回获取场景的目标策略集合的步骤。
其中,在接收到第二分析结果之后,可以对第二分析结果进行判断,如果第二分析结果中有任意分析结果集合中的数据超过预设阈值,则第二分析结果不满足预设条件,则可以控制策略控制器根据策略严格程度,更新策略,其中,可以更新策略严格程度第一等级的策略,在第二预设时间之后,可以再次对记录器中的数据进行分析,得到第四分析结果,如果在第四分析结果中,有任意分析结果集合中的数据超过预设阈值,则确定第四分析结果不满足预设条件;可以控制策略控制器切换场景并返回获取场景的目标策略集合的步骤,其中,可以根据场景中的最小策略严格程度,切换最小策略严格程度更小的场景,最小策略严格程度可以为场景的目标策略集合中,所有策略的策略严格程度中最小的策略严格程度,第二预设时间可以为第一预设时间的一半,具体的第一预设时间和第二预设时间可以根据实际情况进行设置,本发明实施例在此不加以限制。
策略控制器获取事件仓库中的目标安全事件,目标安全事件为事件仓库中需要进行处理的安全事件;策略控制器确定目标安全事件匹配的场景,获取场景的目标策略集合;策略控制器执行目标策略集合中的策略,得到第一执行结果,并根据第一执行结果中的数据,获取策略中的第一工具标记集合;策略控制器在第一工具标记集合为非空集合的情况下,将第一工具标记集合发送至工具库,以使工具库调用第一工具标记集合对应的安全剧本,得到第二执行结果,并将第二执行结果返回至记录器中;记录器对第二执行结果进行分析,得到第一分析结果;若第一分析结果不满足预设条件,则策略控制器切换场景并返回获取场景的目标策略集合的步骤。本发明实施例中,可以通过策略控制器执行策略,还可以通过记录器对策略的执行结果进行分析,以解决需要人工手动进行决策的问题,还可以根据分析结果,切换场景,以解决需要人工切换场景的问题。
为了使本领域计数人员能够更好地理解本发明实施例,下面通过一个例子对本发明实施例加以说明:参照图3,示出了本发明实施例提供的一种网络应急响应方法的流程图;
首先,策略控制器可以获取目标安全事件,并从目标安全事件的日志信息中获取场景的场景值,从可以而从策略控制器中获取场景对应的目标策略集合。
其次,策略控制器可以执行目标策略集合中的所有策略,在执行策略的过程中可以判断目标安全事件中的日志信息与当前环境信息是否满足目策略的运行规则,若否,则结束流程,若是,则继续执行策略,得到第一执行结果,并通过第一执行结果从策略中获取第一工具标记集合。
判断第一工具标记集合是否为空集。
若第一工具标记集合不是空集,则通过第一工具标记集合从目标安全事件的日志信息中获取工具参数集合,并将第一工具标记集合和工具参数集合发送给工具库,工具库工具第一工具标记集合确定安全剧本,并根据工具参数集合执行安全剧本,得到第二执行结果,将第二执行结果发送至记录器。记录器中的记录分析器对执行结果进行分析,得到第一分析结果,并判断第一分析结果中的数据是否成功预设阈值,如果是,则控制策略控制器切换策略,如果不是,则场景可以正常运行,不用切换场景。
若第一工具标记集合是空集,则将目标安全事件发送至作战室,打开处置通道,获取工作人员发送的工具标记和工具参数,可以判断目标策略集合中的策略是否包括工具标识,如果目标策略集合中的策略包括工具标识,则执行该策略,并得到第二分析结果,判断第二分析结果中的数据是否成功预设阈值,如果是,则控制策略控制器切换策略,如果不是,则场景可以正常运行,不用切换场景。如果目标策略集合中的策略不包括工具标识,则将工具标记和工具参数发送至工具库,工具库强制执行该安全剧本,得到第三分析结果,判断第三分析结果中的数据是否成功预设阈值,如果是,则控制策略控制器切换策略,如果不是,则场景可以正常运行,不用切换场景。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图4,示出了本发明实施例提供的一种网络应急响应系统的结构框图,应用于SOAR平台,所述SOAR平台包括策略控制器S1、事件仓库S2和记录器S3,所述事件仓库S2用于储存安全事件,所述系统包括:
所述策略控制器S1用于获取所述事件仓库S2中的目标安全事件,所述目标安全事件为所述事件仓库S2中需要进行处理的安全事件;确定所述目标安全事件匹配的场景,获取所述场景的目标策略集合;执行所述目标策略集合中的策略,得到第一执行结果,并根据所述第一执行结果中的数据,获取所述策略中的第一工具标记集合;在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库S4,以使所述工具库S4调用所述第一工具标记集合对应的安全剧本,得到第二执行结果,并将第二执行结果返回至所述记录器S3中;
所述记录器S3用于对所述第二执行结果进行分析,得到第一分析结果;
所述策略控制器S1还用于在所述第一分析结果不满足预设条件,切换所述场景并返回获取所述场景的目标策略集合的步骤。
可选地,所述策略包括策略严格程度,所述策略控制器S1执行所述目标策略集合中的策略,包括:
所述策略控制器S1用于根据所述目标策略集合中每个策略的策略严格程度,执行所述目标策略集合中的策略;所述策略严格程度用于表示所述策略的运行规则的难易程度。
可选地,所述策略控制器S1执行所述目标策略集合中的策略,得到第一执行结果,包括:
所述策略控制器S1用于在执行所述目标策略集合中的所述策略的过程中,判断所述目标安全事件中的日志信息与当前环境信息是否满足所述目策略的运行规则;若满足,则继续执行所述策略,得到第一执行结果。
可选地,所述SOAR平台包括作战室,所述方法还包括:
所述策略控制器S1用于在所述第一工具标记集合为空集合的情况下,将所述目标安全事件发送至所述作战室;
所述作战室用于判断所述目标安全事件是否存在处置通道;若所述目标安全事件存在处置通道,则打开所述处置通道;若所述目标安全事件不存在处置通道,则创建所述处置通道;通过所述处置通道获取工具库S4的工具标记;判断所述目标策略集合中是否有策略包括所述工具标记;若所述目标策略集合中有策略包括所述工具标记,则执行所述策略,得到第三执行结果,并将第三执行结果返回至所述记录器S3中;若所述目标策略集合中有策略不包括所述工具标记,则获取所述处置通道中的工具参数,并将所述工具标记和所述工具参数发送至所述工具库S4,以使所述工具库S4确定所述工具标记对应的安全剧本,通过所述工具参数执行所述安全剧本,并将第四执行结果返回至所述记录器S3中。
可选地,所述方法还包括:
所述记录器S3用于对所述第三执行结果进行分析,得到第二分析结果;对所述第四执行结果进行分析,得到第三分析结果;若所述第二分析结果或所述第三分析结果不满足预设条件,则所述策略控制器S1切换所述场景并返回获取所述场景的目标策略集合的步骤。
可选地,所述策略控制器S1在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库S4,以使所述工具库S4根据所述第一工具标记集合对应的安全剧本,执行安全剧本,并将第二执行结果返回至所述记录器S3中,包括:
所述策略控制器S1用于在所述第一工具标记集合满足预设要求的情况下,根据所述第一工具标记集合,从所述目标安全事件的日志数据中,获取工具参数集合;将所述第一工具标记集合和所述工具参数集合发送至工具库S4;
所述工具库S4用于根据所述第一工具标记集合对应的安全剧本,通过所述工具参数集合执行所述安全剧本,并将第二执行结果返回至所述记录器S3中。
可选地,所述记录器S3对所述第二执行结果进行分析,得到第一分析结果,包括:
所述记录器S3用于对所述处置通道中第一预设时间内的消息进行分析,得到工具名称;将所述工具名称与所述工具库S4中的名称进行模糊匹配,得到所述工具名称对应的第二工具标记集合;将所述第一工具标记集合与所述第二工具标记集合的交集确定为第一结果集合;
所述记录器S3用于获取所述第一预设时间内,所述处置通道执行的工具对应的第三工具标记集合,将所述第一工具标记集合与所述第三工具标记集合的交集确定为第二结果集合;获取所述第一预设时间内,所述处置通道执行的所述工具中,执行失败的工具对应的第四工具标记集合,将所述第一工具标记集合与所述第四工具标记集合的交集确定为第三结果集合;将所述第一结果集合、所述第二结果集合和所述第三结果集合确定为第一分析结果。
可选地,所述策略包括策略严格程度,所述第一分析结果不满足预设条件,则所述策略控制器S1切换所述场景并返回获取所述场景的目标策略集合的步骤,包括:
所述记录器S3用于判断所述第一分析结果中,有任意分析结果集合中的数据超过预设阈值,则确定所述第一分析结果不满足预设条件;
所述策略控制器S1用于根据所述策略严格程度,更新所述策略;
所述记录器S3用于在第二预设时间之后,再次进行分析,得到第五分析结果;
所述记录器S3判断还用于所述第三分析结果中,有任意分析结果集合中的数据超过所述预设阈值,则确定所述第五分析结果不满足预设条件;
所述策略控制器S1用于切换所述场景并返回获取所述场景的目标策略集合的步骤。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明实施例还提供了一种电子设备,包括:
包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,该计算机程序被处理器执行时实现上述网络应急响应方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现上述网络应急响应方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种网络应急响应方法、一种网络应急响应系统、一种电子设备和一种存储介质,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (11)
1.一种网络应急响应方法,其特征在于,应用于安全编排与自动化响应SOAR平台,所述SOAR平台包括策略控制器、事件仓库和记录器,所述事件仓库用于储存安全事件,所述方法包括:
所述策略控制器获取所述事件仓库中的目标安全事件,所述目标安全事件为所述事件仓库中需要进行处理的安全事件;
所述策略控制器确定所述目标安全事件匹配的场景,获取所述场景的目标策略集合;
所述策略控制器执行所述目标策略集合中的策略,得到第一执行结果,并根据所述第一执行结果中的数据,获取所述策略中的第一工具标记集合;
所述策略控制器在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库调用所述第一工具标记集合对应的安全剧本,得到第二执行结果,并将第二执行结果返回至所述记录器中;
所述记录器对所述第二执行结果进行分析,得到第一分析结果;若所述第一分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。
2.根据权利要求1所述的方法,其特征在于,所述策略包括策略严格程度,所述策略控制器执行所述目标策略集合中的策略,包括:
所述策略控制器根据所述目标策略集合中每个策略的策略严格程度,执行所述目标策略集合中的策略;所述策略严格程度用于表示所述策略的运行规则的难易程度。
3.根据权利要求1所述的方法,其特征在于,所述策略控制器执行所述目标策略集合中的策略,得到第一执行结果,包括:
所述策略控制器在执行所述目标策略集合中的所述策略的过程中,判断所述目标安全事件中的日志信息与当前环境信息是否满足所述目策略的运行规则;若满足,则继续执行所述策略,得到第一执行结果。
4.根据权利要求1所述的方法,其特征在于,所述SOAR平台包括作战室,所述方法还包括:
所述策略控制器在所述第一工具标记集合为空集合的情况下,将所述目标安全事件发送至所述作战室;
所述作战室判断所述目标安全事件是否存在处置通道;若所述目标安全事件存在处置通道,则打开所述处置通道;若所述目标安全事件不存在处置通道,则创建所述处置通道;
所述作战室通过所述处置通道获取工具库的工具标记;
所述作战室判断所述目标策略集合中是否有策略包括所述工具标记;若所述目标策略集合中有策略包括所述工具标记,则执行所述策略,得到第三执行结果,并将第三执行结果返回至所述记录器中;若所述目标策略集合中有策略不包括所述工具标记,则获取所述处置通道中的工具参数,并将所述工具标记和所述工具参数发送至所述工具库,以使所述工具库确定所述工具标记对应的安全剧本,通过所述工具参数执行所述安全剧本,并将第四执行结果返回至所述记录器中。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述记录器对所述第三执行结果进行分析,得到第二分析结果;
所述记录器对所述第四执行结果进行分析,得到第三分析结果;若所述第二分析结果或所述第三分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。
6.根据权利要求1所述的方法,其特征在于,所述策略控制器在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库根据所述第一工具标记集合对应的安全剧本,执行安全剧本,并将第二执行结果返回至所述记录器中,包括:
所述策略控制器在所述第一工具标记集合为非空集合的情况下,根据所述第一工具标记集合,从所述目标安全事件的日志数据中,获取工具参数集合;
所述策略控制器将所述第一工具标记集合和所述工具参数集合发送至工具库,以使所述工具库根据所述第一工具标记集合对应的安全剧本,通过所述工具参数集合执行所述安全剧本,并将第二执行结果返回至所述记录器中。
7.根据权利要求4所述的方法,其特征在于,所述记录器对所述第二执行结果进行分析,得到第一分析结果,包括:
所述记录器对所述处置通道中第一预设时间内的消息进行分析,得到工具名称;
所述记录器将所述工具名称与所述工具库中的名称进行模糊匹配,得到所述工具名称对应的第二工具标记集合;
所述记录器将所述第一工具标记集合与所述第二工具标记集合的交集确定为第一结果集合;
所述记录器获取所述第一预设时间内,所述处置通道执行的工具对应的第三工具标记集合,将所述第一工具标记集合与所述第三工具标记集合的交集确定为第二结果集合;
所述记录器获取所述第一预设时间内,所述处置通道执行的所述工具中,执行失败的工具对应的第四工具标记集合,将所述第一工具标记集合与所述第四工具标记集合的交集确定为第三结果集合;
所述记录器将所述第一结果集合、所述第二结果集合和所述第三结果集合确定为第一分析结果。
8.根据权利要求4所述的方法,其特征在于,所述策略包括策略严格程度,所述第一分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤,包括:
所述记录器判断所述第一分析结果中,有任意分析结果集合中的数据超过预设阈值,则确定所述第一分析结果不满足预设条件;
所述策略控制器根据所述策略严格程度,更新所述策略;
所述记录器在第二预设时间之后,再次进行分析,得到第五分析结果;
所述记录器判断所述第五分析结果中,有任意分析结果集合中的数据超过所述预设阈值,则确定所述第五分析结果不满足预设条件;
所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。
9.一种网络应急响应系统,其特征在于,应用于SOAR平台,所述SOAR平台包括策略控制器、事件仓库和记录器,所述事件仓库用于储存安全事件,所述系统包括:
所述策略控制器用于获取所述事件仓库中的目标安全事件,所述目标安全事件为所述事件仓库中需要进行处理的安全事件;确定所述目标安全事件匹配的场景,获取所述场景的目标策略集合;执行所述目标策略集合中的策略,得到第一执行结果,并根据所述第一执行结果中的数据,获取所述策略中的第一工具标记集合;在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库调用所述第一工具标记集合对应的安全剧本,得到第二执行结果,并将第二执行结果返回至所述记录器中;
所述记录器用于对所述第二执行结果进行分析,得到第一分析结果;
所述策略控制器还用于在所述第一分析结果不满足预设条件,切换所述场景并返回获取所述场景的目标策略集合的步骤。
10.一种电子设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1-8中任一项所述的网络应急响应方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1-8中任一项所述的网络应急响应方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211737758.4A CN116074071B (zh) | 2022-12-30 | 2022-12-30 | 一种网络应急响应方法、系统、电子设备、及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211737758.4A CN116074071B (zh) | 2022-12-30 | 2022-12-30 | 一种网络应急响应方法、系统、电子设备、及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116074071A true CN116074071A (zh) | 2023-05-05 |
CN116074071B CN116074071B (zh) | 2024-05-14 |
Family
ID=86174263
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211737758.4A Active CN116074071B (zh) | 2022-12-30 | 2022-12-30 | 一种网络应急响应方法、系统、电子设备、及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116074071B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190052660A1 (en) * | 2016-02-05 | 2019-02-14 | Defensestorm, Inc. | Enterprise policy tracking with security incident integration |
CN111818069A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
CN113986660A (zh) * | 2021-10-21 | 2022-01-28 | 中国平安财产保险股份有限公司 | 系统调整策略的匹配方法、装置、设备及存储介质 |
CN114781149A (zh) * | 2022-04-15 | 2022-07-22 | 武汉光庭信息技术股份有限公司 | 一种场景元素信息自动获取方法及系统 |
-
2022
- 2022-12-30 CN CN202211737758.4A patent/CN116074071B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190052660A1 (en) * | 2016-02-05 | 2019-02-14 | Defensestorm, Inc. | Enterprise policy tracking with security incident integration |
CN111818069A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
CN113986660A (zh) * | 2021-10-21 | 2022-01-28 | 中国平安财产保险股份有限公司 | 系统调整策略的匹配方法、装置、设备及存储介质 |
CN114781149A (zh) * | 2022-04-15 | 2022-07-22 | 武汉光庭信息技术股份有限公司 | 一种场景元素信息自动获取方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116074071B (zh) | 2024-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8498635B2 (en) | Dynamic fault analysis for a centrally managed network element in a telecommunications system | |
CN111459770A (zh) | 服务器运行状态的告警方法、装置、服务器及存储介质 | |
CN109450691B (zh) | 服务网关监控方法、设备及计算机可读存储介质 | |
CN110275992B (zh) | 应急处理方法、装置、服务器及计算机可读存储介质 | |
CN108551449B (zh) | 防病毒管理系统及方法 | |
CN112346926B (zh) | 资源状态监控方法、装置及电子设备 | |
CN100499482C (zh) | 一种在网络管理系统中监控用户行为的方法 | |
CN111401799A (zh) | 人机协同调度方法及装置、电子设备、存储介质 | |
CN113760634A (zh) | 一种数据处理方法和装置 | |
CN105207797A (zh) | 故障定位方法和装置 | |
CN113098854B (zh) | 任务编排方法、系统、存储介质和电子设备 | |
CN111309696A (zh) | 日志处理方法及装置、电子设备、可读介质 | |
CN110865921A (zh) | 数据监控方法、装置、可读存储介质和电子设备 | |
CN116074071B (zh) | 一种网络应急响应方法、系统、电子设备、及存储介质 | |
CN111949421B (zh) | Sdk调用方法、装置、电子设备和计算机可读存储介质 | |
CN117389655A (zh) | 云原生环境下的任务执行方法、装置、设备和存储介质 | |
CN115509714A (zh) | 一种任务处理方法、装置、电子设备及存储介质 | |
CN113268401A (zh) | 日志信息的输出方法、装置及计算机可读存储介质 | |
CN113014675A (zh) | 数据处理方法及装置、电子设备和存储介质 | |
CN111983960A (zh) | 一种监控系统及方法 | |
CN112948065A (zh) | 基于Kubernetes的调度自动化系统管理装置 | |
CN113672910B (zh) | 安全事件处理方法及装置 | |
CN113971093A (zh) | 一种消息处理方法、装置、设备及计算机存储介质 | |
CN111176959A (zh) | 跨域的应用服务器的预警方法、系统及存储介质 | |
CN116853137B (zh) | 一种多媒体智能调度机及其方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |