CN117240554B - 安全事件的治理方法及电子设备 - Google Patents

安全事件的治理方法及电子设备 Download PDF

Info

Publication number
CN117240554B
CN117240554B CN202311212585.9A CN202311212585A CN117240554B CN 117240554 B CN117240554 B CN 117240554B CN 202311212585 A CN202311212585 A CN 202311212585A CN 117240554 B CN117240554 B CN 117240554B
Authority
CN
China
Prior art keywords
model
alarm
event
security
security event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311212585.9A
Other languages
English (en)
Other versions
CN117240554A (zh
Inventor
吴晨炜
秦伟伦
张洋吉
马冰
王东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Haitong Securities Co ltd
Original Assignee
Haitong Securities Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Haitong Securities Co ltd filed Critical Haitong Securities Co ltd
Priority to CN202311212585.9A priority Critical patent/CN117240554B/zh
Publication of CN117240554A publication Critical patent/CN117240554A/zh
Application granted granted Critical
Publication of CN117240554B publication Critical patent/CN117240554B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Alarm Systems (AREA)

Abstract

本申请提供一种安全事件的治理方法及电子设备。该方法通过在安全运营平台中基于ATT&CK框架建立包括技术模型、数据源模型、告警模型、捕获模型、响应模型和显示模型的安全运营体系,通过数据源模型获取相关日志数据,接入安全运营平台后提取日志字段信息,当日志字段信息为告警信息时,根据告警模型检测日志字段信息中的关键字,在未检测到告警关键字时添加相关标签映射,在检测到告警关键字时,生成告警事件并在显示模型中添加对应标识信息;否则基于安全运营体系建立预警场景并输出告警事件,还根据捕获模型和响应模型确定安全事件并调用对应的响应机制。本申请的方法,提高了安全运营平台对安全治理的效率和质量,增加安全运营的科学性和有效性。

Description

安全事件的治理方法及电子设备
技术领域
本申请涉及信息安全技术,尤其涉及一种安全事件的治理方法及电子设备。
背景技术
目前,随着网络内设备的增多,在网络安全方面各类漏洞的不断出现,攻击者的攻击手段、攻击方法和攻击工具一直在不断变化和不断更新,因此,网络安全需要持续的运营、维护和优化,以保证网络的安全建设。
现有技术建立安全运营平台,之后安全人员根据组织内部的安全事件类型或者行业内流行的安全事件类型针对性的选择数据接入安全运营平台,根据数据的相关信息提取对应的安全事件,并通过对收集到的各个安全事件进行深层的分析和关联,及时反映安全事件的安全情况,定位安全预警,及时提供处理方法和建议,协助管理员进行事件分析、预警分析、预警管理和应急响应处理。
但是现有技术主观选择组织内部安全事件类型或者行业内流行的安全事件类型的相关数据接入安全运营平台,降低了数据采集的全面性和科学性,之后对相关数据的分析和管理的过程也依赖于安全人员的主观思想和专业程度,降低了网络安全事件治理的效率和质量,并且难以系统性对安全运营的工作进行有效评价。
发明内容
本申请提供一种安全事件的治理方法及电子设备,用以在安全运营平台中提高安全事件的运营治理效率,增加安全运营的科学性和有效性,降低运营难度。
第一方面,本申请提供一种安全事件的治理方法,方法应用于安全运营平台,方法包括:
根据安全运营体系获取数据源,根据数据源获取相关日志数据,并将日志数据接入安全运营平台;
根据安全运营体系获取所述日志数据的日志字段信息,并根据日志字段信息确定是否为告警信息;在确定所述日志字段信息为告警信息时,提取日志字段信息的告警关键字,根据提取到的所述告警关键字生成告警事件,并根据所述告警事件和专家经验回溯完整的告警事件,生成告警恢复事件;
根据告警事件和安全运营体系进行安全事件捕获并获取安全事件;
根据安全事件调用响应机制或生成安全事件预警工单。
可选地,根据安全运营体系获取数据源前,还需要建立安全运营体系,其中,安全运营体系包括技术模型、数据源模型、告警模型、捕获模型、响应模型和显示模型;
获取安全运营体系的技术模型,其中,技术模型包括各个攻击对应的战术、技术和子技术;
根据技术模型建立数据源模型,其中,数据源模型包括各个攻击对应的战术、技术、子技术与数据源之间的映射关系。
可选地,当未获取到日志字段信息告警关键字时,方法包括:
根据数据源模型对日志字段信息对应的数据源进行标签映射,生成补充标签映射关系;
根据补充标签映射关系再次获取告警关键字,并根据告警关键字确定是否为告警事件。
可选地,捕获模型包括告警子序列、经验条目、安全事件类型和安全事件分数;
根据专家经验配置经验条目;
根据经验条目确定告警子序列,其中,告警子序列包括告警事件的信息;
根据技术模型配置经验条目对应的安全事件类型和安全事件分数;
并根据技术模型和专家经验确定捕获模型对应的响应模型。
可选地,根据告警事件和安全运营体系进行安全事件捕获并获取安全事件,根据安全事件调用响应机制或生成安全事件预警工单,具体包括:
根据捕获模型确定告警事件对应的安全事件分数;
根据安全事件分数确定是否超过目标安全事件分数;
当安全事件分数超过目标安全事件分数时,根据响应模型配置响应机制,否则,生成安全事件预警工单。
可选地,根据技术模型建立告警模型,其中,告警模型包括各个攻击对应的战术、技术和子技术与告警关键字之间的映射关系。
可选地,根据告警关键字确定日志字段信息为非告警信息时,根据日志字段信息和告警模型建立预警场景,根据预警场景生成告警事件,其中,预警场景包括日志字段信息对应的预警检测。
可选地,根据技术模型建立显示模型,其中,显示模型包括各个攻击对应的战术、技术和子技术的标识。
可选地,根据告警模型更新所述显示模型中的标识信息;
和/或补充标签映射关系更新所述显示模型中的标识信息;
和/或根据预警场景更新显示模型中的标识信息。
可选地,根据显示模型的标识信息计算安全运营评价指标。
第二方面,本申请提供一种安全事件的治理装置,包括:
获取模块,用于根据安全运营体系获取数据源,根据数据源获取相关日志数据,并将日志数据接入安全运营平台;
获取模块,还用于根据安全运营体系获取所述日志数据的日志字段信息,并根据日志字段信息确定是否为告警信息;在确定所述日志字段信息为告警信息时,并提取日志字段信息的告警关键字,根据提取到的所述告警关键字生成告警事件,并根据所述告警事件和专家经验回溯完整的告警事件,生成告警恢复事件;
处理模块,用于根据告警事件和安全运营体系进行安全事件捕获并获取安全事件;
处理模块,还用于根据安全事件调用响应机制或生成安全事件预警工单。
可选地,处理模块,还用于根据安全运营体系获取数据源前,还需要建立安全运营体系,其中,安全运营体系包括技术模型、数据源模型、告警模型、捕获模型、响应模型和显示模型;
获取模块,还用于获取安全运营体系的技术模型,其中,技术模型包括各个攻击对应的战术、技术和子技术;
处理模块,还用于根据技术模型建立数据源模型,其中,数据源模型包括各个攻击对应的战术、技术、子技术与数据源之间的映射关系。
可选地,当未获取到日志字段信息告警关键字时,处理模块,还用于根据数据源模型对日志字段信息对应的数据源进行标签映射,生成补充标签映射关系;
根据补充标签映射关系再次获取告警关键字,并根据告警关键字确定是否为告警事件。
可选地,捕获模型包括告警子序列、经验条目、安全事件类型和安全事件分数;
处理模块,还用于根据专家经验配置经验条目;
根据经验条目确定告警子序列,其中,告警子序列包括告警事件的信息;
根据技术模型配置经验条目对应的安全事件类型和安全事件分数;
根据技术模型和专家经验确定捕获模型对应的响应模型。
可选地,处理模块,还用于根据告警事件和安全运营体系进行安全事件捕获并获取安全事件,根据安全事件调用响应机制或生成安全事件预警工单,具体包括:
根据捕获模型确定告警事件对应的安全事件分数;
根据安全事件分数确定是否超过目标安全事件分数;
当安全事件分数超过目标安全事件分数时,根据响应模型配置响应机制,否则,生成安全事件预警工单。
可选地,处理模块,还用于根据技术模型建立告警模型,其中,告警模型包括各个攻击对应的战术、技术和子技术与告警关键字之间的映射关系。
可选地,处理模块,还用于根据告警关键字确定日志字段信息为非告警信息时,根据日志字段信息和告警模型建立预警场景,根据预警场景生成告警事件,其中,预警场景包括日志字段信息对应的预警检测。
可选地,处理模块,还用于根据技术模型建立显示模型,其中,显示模型包括各个攻击对应的战术、技术和子技术的标识。
可选地,处理模块,还用于根据告警模型更新所述显示模型中的标识信息;
和/或补充标签映射关系更新所述显示模型中的标识信息;和/或根据预警场景更新显示模型中的标识信息。
可选地,处理模块,还用于根据显示模型的标识信息计算安全运营评价指标。
第三方面,本申请提供一种电子设备,包括:处理器,以及与处理器通信连接的存储器;
存储器存储计算机执行指令;
处理器执行存储器存储的计算机执行指令,以实现第一方面所涉及的方法。
第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如上第一方面所涉及的方法。
本申请提供的安全事件的治理方法及电子设备,在安全运营平台中建立安全运营体系,安全运营体系包括技术模型,根据技术模型中的战术、技术和子技术建立数据源模型,使安全运营平台根据数据源模型全面筛选所有数据,并精准选取对应的相关日志数据接入安全运营平台,根据环境数据获取相关事件中的日志字段信息。安全运营平台全面检测日志字段信息是否为告警信息,并通过建立告警模型判断是否存在对应子技术的告警关键词,根据告警关键词将该日志字段信息确定为告警事件,未检测出告警关键词时,根据数据源模型对日志字段信息对应的数据源进行补充标签映射,在确定该日志字段信息为非告警信息时,根据告警模型建立预警场景,并通过建立显示模型,使数据源的标签映射以及建立的预警场景在显示模型中添加对应的标识信息,管理安全运营平台的评价标准,并通过建立响应模型,使安全运营平台根据安全事件类型调用对应的响应机制,扩大安全事件治理的覆盖面和治理质量。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种安全事件的治理方法的流程图;
图2为本申请实施例提供的另一种安全事件的治理方法的流程图;
图3为本申请实施例提供的一种显示模型中标识信息的示意图;
图4为本申请实施例提供的另一种安全事件的治理方法的流程图;
图5为本申请实施例提供的一种安全事件的治理装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
信息安全的缺失通常会造成数据丢失、数据泄露、数据篡改和系统不可用等直接危害,无论哪个危害,都足以对企业的正常经营和持续盈利造成严重影响。因此,需要对企业进行安全运营的建设。
在以安全运营平台为核心的安全运营体系建设中,现有技术首先通过安全人员根据组织内部的安全事件类型或者行业内流行的安全事件类型针对性的选择数据,并将数据接入安全运营平台进行数据采集,基于采集的数据进行安全事件检测以及后续针对安全事件人工配置相应处置响应等治理措施。
但是针对数据采集缺乏专业的标准指导的安全运营平台,降低了数据采集效率,并通过安全人员构建安全场景以及人工配置响应动作,导致当面对真正的安全事件时,响应效率较低,增大解决难度,并且在场景的覆盖度上缺乏统一评价标准,高度依赖于安全人员的专业户程度等主观因素,降低了安全运营的科学性和有效性。
本申请基于ATT&CK框架建立安全运营平台的安全运营体系,在安全运营体系的建立中,首先根据技术模型建立技术和数据源映射的数据源模型,根据技术模型建立告警关键字和技术映射的告警模型,根据技术模型和专家经验建立技术与安全事件相关信息映射的捕获模型,再根据技术模型建立安全事件和响应机制映射的响应模型,最后根据技术模型建立显示模型,其中,技术模型包括ATT&CK框架。之后基于该安全运营体系进行安全运营工作的开展,科学采集全面数据源接入安全运营平台,在安全运营平台中对数据进行分析提取出日志数据以及对应的日志字段信息,根据安全运营体系确定是否为告警信息,在确定为告警信息时,根据安全运营体系获取告警关键字,获取到告警关键字后回溯完整告警事件,并根据安全运营体系获取完整的告警事件对应的安全事件,从而再次根据安全运营体系调用对应的响应机制,并针对非告警信息的日志字段信息建立预警场景,并更新建立的安全运营体系中的各个标签技术,从而形成科学化、全面化的数据采集分析,并通过不断优化安全运营体系增强企业的安全运营效率和质量。
图1为本申请实施例提供的一种安全事件的治理方法的流程图,如图1所示,该安全事件的治理方法包括如下步骤:
S101、根据安全运营体系获取数据源,根据数据源获取相关日志数据,并将日志数据接入安全运营平台。
更具体地,安全运营平台根据安全运营体系获取数据源,并根据获得数据源标识从数据库中获取相关日志数据,并将获取到的相关日志数据接入安全运营平台。其中,相关日志数据包括相关告警日志、相关行为日志和相关流量日志。
可选地,安全运营平台在根据安全运营体系获取数据源前,还需要建立安全运营体系,其中,安全运营体系包括技术模型、数据源模型、告警模型、捕获模型、响应模型和显示模型,其中,技术模型根据ATT&CK对抗战术和技术知识库建立而成,并且技术模型将网络安全事件分为十四个战术阶段,战术阶段会基于每个战术继续向下列入对应该战术的个别的技术和子技术。
可选地,在数据源模型的建立中,安全运营平台首先获取安全运营体系的技术模型,之后根据技术模型建立数据源模型,其中,数据源模型包括各个攻击对应的战术、技术、子技术与多个数据源之间的映射关系。
在一种可能的实施例中,技术模型中的每个子技术均有与之对应的数据源,根据技术模型中的各个子技术和/或技术和/或战术与数据源之间的映射关系建立数据源模型。
例如:如表1所示,当战术为侦查,侦查战术下列的T1595技术对应的T1595.001子技术映射的数据源为网络流量数据源,安全运营平台根据技术模型中侦查战术下列T1595技术对应的T1595.001子技术,获取其对应的数据源类型为网络流量,即从数据库中获取网络流量类的相关日志数据,并将获取到的相关日志数据接入安全运营平台。
表1
战术 技术 子技术 数据源
侦查 T1595 T1595.001 网络流量
S102、根据安全运营体系获取日志数据的告警关键字,并根据告警关键字生成告警恢复事件。
更具体地,安全运营平台根据建立的安全运营体系获取日志数据的日志字段信息,并根据日志数据对应的日志字段信息是否包括相关告警日志确定对应的日志数据是否为告警信息,当日志字段信息不包括相关告警日志时确定对应的日志数据为非告警信息,当日志字段信息包括相关告警日志时确定对应的日志数据为告警信息。
可选地,当日志数据为告警信息时,根据安全运营体系中的告警模型获取日志字段信息中的告警关键字。其中,告警模型的建立方法为安全运营平台根据之前建立的技术模型建立告警模型。其中,告警模型包括各个攻击对应的战术、技术和子技术与告警关键字之间的映射关系。
在一种可能的实施例中,技术模型中的每个子技术均有与之对应的告警关键字,根据技术模型中的各个子技术和/或技术和/或战术与告警关键字之间的映射关系建立告警模型。
例如:在告警模型中,当战术为发现时,发现战术下列的网络服务扫描技术映射的告警关键字为扫描,基于此,如表2所示,安全运营平台根据发现战术下列的网络服务扫描技术,获取对应的告警关键字为扫描后,在之前获取的日志字段信息中针对“扫描”告警关键字进行检索。
表2
战术 技术 子技术 告警关键字
发现 网络服务扫描 —— 扫描
更具体地,图2为本申请实施例提供的另一种安全事件的治理方法的流程图,如图2所示,安全运营平台建立的安全运营体系中的告警模型,且确定日志字段信息为告警信息之后,还包括如下步骤:
S1031、获取日志字段信息的告警关键字。
更具体地,安全运营平台根据告警模型中关于告警关键字的映射关系获取日志字段信息的告警关键字。
S1032、生成告警事件。
更具体地,当确定日志字段信息为告警信息,且获取到日志字段信息的告警关键字时,将该日志字段信息生成告警事件。
S1033、生成告警恢复事件。
更具体地,全运营平台根据专家经验将告警事件生成捕获模型中对应的经验条目,根据该经验条目对告警事件进行回溯,生成告警恢复事件。
S1034、生成补充标签映射关系。
更具体地,当确定日志字段信息为告警信息,且未获取到日志字段信息的告警关键字时,安全运营平台根据日志字段信息获取到相关数据源,并根据数据源模型获得没有检测出告警关键字的日志字段信息对应数据源所映射的相关子技术,并在技术模型对该子技术添加该标签映射,从而在基于技术模型建立的告警模型中生成告警关键字与对应子技术的补充标签映射关系。
可选地,安全运营平台根据没有检测出告警关键字的日志字段信息生成对应的数据源模型的补充标签映射关系,并对数据源模型进行标签映射的更新。
S1035、再次获取告警关键字。
更具体地,根据新增的补充标签映射关系重新对该日志字段信息进行告警关键字检测,直到从该日志字段信息中获取到告警关键字,之后根据告警关键字进行后续的相关处理。
S1036、更新标识信息。
更具体地,当确定日志字段信息为告警信息,且根据告警模型未获取到日志字段信息的告警关键字,并生成补充标签映射关系后,还可以根据补充标签映射关系更新显示模型中的标识信息。其中,在更新标识信息之前,还根据技术模型建立显示模型,其中,显示模型包括各个攻击对应的战术、技术和子技术的标识。在显示模型中,直观的展示各个战术和技术下列的子技术的场景覆盖数量信息,通过在显示模型中更新标识信息,增强了当前安全运营平台中的安全体系建设覆盖程度的直观表达性,使相关安全人员能更快速科学的了解确实的技术和/或子技术和/或战术。
可选地,当确定日志字段信息为告警信息,且根据告警模型获取到日志字段信息的告警关键字后,根据告警模型更新显示模型中的标识信息。
可选地,安全运营平台还根据显示模型的标识信息计算安全运营评价指标。
在一种可能的实施例中,安全运营体系中显示模型展示了安全运营平台的告警事件的标识信息,图3为本申请实施例提供的一种显示模型中标识信息的示意图,如图3所示,显示模型的标识信息展示包括战术单元31、技术单元32和子技术单元33,其中,战术单元包括关联策略及其数量、开启策略及其数量、关闭策略及其数量和覆盖状态及其数量;技术单元包括关联策略列下的第一关联技术、第二关联技术和第三关联技术,开启策略列下的第一开启技术、第二开启技术和第三开启技术、关闭策略列下的第一关闭技术、第二关闭技术和第三关闭技术、覆盖状态列下的第一覆盖技术、第二覆盖技术和第三覆盖技术。
其中,每一个技术下包括多个子技术,并在子技术单元中对涉及的相关子技术进行高亮标识,如图3所示,每增加一个涉及的子技术,则在显示模型中对应子技术的位置自动进行高亮标识,并将各个子技术的标识数量对应更新。
可选地,当没有涉及相关子技术的告警事件时,将对应的子技术数量标识为“(0)”,并不进行高亮标识。
可选地,安全运营平台可根据显示模型生成战术覆盖度、技术覆盖度和子技术覆盖度的数据指标。
S103、根据告警事件和安全运营体系进行安全事件捕获并获取安全事件。
更具体地,安全运营平台根据建立的安全运营体系和专家经验进行安全事件捕获,获得告警事件对应的安全事件。根据安全运营体系调用安全事件对应的响应机制,或者针对安全事件生成安全事件预警工单。
S104、根据安全事件调用响应机制或生成安全事件预警工单。
更具体地,安全运营平台根据安全运营体系调用安全事件对应的响应机制,或者针对安全事件生成安全事件预警工单。
在本申请实施例提供的安全事件的治理方法中,基于安全运营平台建立安全运营体系,通过安全运营体系中的技术模型建立数据源模型、告警模型以及显示模型,通过数据源模型中各个战术、技术和子技术与数据源的映射关系科学且专业的选取相应的数据源接入安全运营平台,提升了数据筛选的全面性和科学性,并且根据各个子技术与日志字段信息中告警关键字的映射关系确定告警事件,提升了对告警事件获取的效率和准确性,并通过显示模型直观的展示当前安全运营平台的建设对各个战术、技术和子技术的覆盖程度,及时精准进行相关评价,提升安全运营效率和稳定性。
可选地,当确定日志字段信息为非告警信息时,根据日志字段信息和告警模型建立预警场景,其中,预警场景包括日志字段信息对应的预警检测。
可选地,还根据预警场景的建立更新显示模型中的标识信息。
在本申请实施例提供的安全事件的治理方法中,当未获取到日志字段信息的告警关键字时,将该日志字段信息重新生成补充标签映射关系,对相应的安全运营体系中的模型进行标签映射,从而实现对安全运营体系的更新和补充,并通过对显示模型中标识信息中关于技术类型以及涉及数量的标识进行更新显示,增强可视化,提升对安全运营平台的科学管理效率及质量。
图4为本申请实施例提供的另一种安全事件的治理方法的流程图,如图4所示,据告警事件和安全运营体系进行安全事件捕获并获取安全事件之后,该治理方法还包括如下所示步骤:
S401、根据捕获模型确定告警事件对应的安全事件分数。
更具体地,安全运营平台根据捕获模型确定告警事件和/或经验条目和/或告警恢复事件对应的安全事件分数。
可选地,在确定安全事件分数之前,安全运营平台建立安全运营体系中的捕获模型和响应模型,其中,捕获模型包括告警子序列、经验条目、安全事件类型和安全事件分数。
在一种可能的实施例中,安全运营平台根据专家经验配置经验条目,并根据各个告警事件对应的各个经验条目配置对应的告警子序列,其中,告警子序列包括告警事件的信息,并根据技术模型配置各个经验条目对应的各个安全事件类型以及安全事件分数。
可选地,安全运营平台还根据技术模型和专家经验建立各个安全事件类型与各个响应机制之间映射关系的响应模型。
在一种可能的实施例中,如表3所示,当根据专家经验确定告警事件对应的经验条目为A->B->C时,根据捕获模型确定经验条目对应的安全事件类型为横向移动、安全事件分数为15分以及告警子序列,其中,经验条目的A->B->C为告警事件不同的回溯阶段,告警子序列在表3中不进行示例表示。
表3
经验条目 安全事件类型 安全事件加分 告警子序列
A->B->C 横向移动 15分 ——
S402、根据安全事件分数确定是否超过目标安全事件分数。
更具体地,安全运营中心配置目标安全事件分数,并将安全事件分数与该目标安全事件分数进行比较,确定安全事件分数是否超过目标安全事件分数。
可选地,目标安全事件分数根据不同的安全事件和实际情况进行自定义设置。
S403、当安全事件分数超过目标安全事件分数时,根据响应模型、配置响应机制,否则,生成安全事件预警工单。
更具体地,当安全事件分数超过目标安全事件分数时,安全运营平台根据响应模型对安全事件配置响应机制,并以API调用的方式实时进行响应处置。
可选地,当安全事件分数未超过目标安全事件分数时,安全运营平台将该安全事件生成安全事件预警工单,并将安全事件预警工单存储在安全运营平台。
在一种可能的实施例中,如表4所示,当安全事件分数为15分,且目标安全事件分数为10分时,安全运营平台获取安全事件对应的响应机制,并API调用该响应机制,其中,对应的响应机制在表4中不进行示例表示。
表4
安全事件分数 目标安全事件分数 响应机制
15分 10分 ——
在本申请实施例提供的安全事件的治理方法中,通过建立捕获模型获取告警事件对应的经验条目,以及经验条目对应的安全事件分数以及安全事件类型,并根据安全事件分数和自定义的目标安全事件分数判断是否需要响应处置该安全事件,若需要处置时,根据响应模型确定安全事件类型对应的响应机制,并以API的方式调用治理该安全事件,提升安全运营平台对安全事的响应精准度以及对安全事件的治理覆盖面。
本申请提供一种安全事件的治理装置,安全事件的治理装置的结构示意图如图5所示,该安全事件的治理装置500包括:
获取模块501,用于根据安全运营体系获取数据源,根据数据源获取相关日志数据,并将日志数据接入安全运营平台;
获取模块501,还用于根据安全运营体系获取日志数据的日志字段信息,并根据日志字段信息确定是否为告警信息;在确定日志字段信息为告警信息时,并提取日志字段信息的告警关键字,根据提取到的告警关键字生成告警事件,并根据告警事件和专家经验回溯完整的告警事件,生成告警恢复事件;
处理模块502,用于根据告警事件和安全运营体系进行安全事件捕获并获取安全事件;
处理模块502,还用于根据安全事件调用响应机制或生成安全事件预警工单。
可选地,处理模块,还用于根据安全运营体系获取数据源前,还需要建立安全运营体系,其中,安全运营体系包括技术模型、数据源模型、告警模型、捕获模型、响应模型和显示模型;
获取模块,还用于获取安全运营体系的技术模型,其中,技术模型包括各个攻击对应的战术、技术和子技术;
处理模块,还用于根据技术模型建立数据源模型,其中,数据源模型包括各个攻击对应的战术、技术、子技术与数据源之间的映射关系。
可选地,当未获取到日志字段信息告警关键字时,处理模块,还用于根据数据源模型对日志字段信息对应的数据源进行标签映射,生成补充标签映射关系;
根据补充标签映射关系再次获取告警关键字,并根据告警关键字确定是否为告警事件。
可选地,捕获模型包括告警子序列、经验条目、安全事件类型和安全事件分数;
处理模块,还用于根据专家经验配置经验条目;
根据经验条目确定告警子序列,其中,告警子序列包括告警事件的信息;
根据技术模型配置经验条目对应的安全事件类型和安全事件分数;
根据技术模型和专家经验确定捕获模型对应的响应模型。
可选地,处理模块,还用于根据告警事件和安全运营体系进行安全事件捕获并获取安全事件,根据安全事件调用响应机制或生成安全事件预警工单,具体包括:
根据捕获模型确定告警事件对应的安全事件分数;
根据安全事件分数确定是否超过目标安全事件分数;
当安全事件分数超过目标安全事件分数时,根据响应模型配置响应机制,否则,生成安全事件预警工单。
可选地,处理模块,还用于根据技术模型建立告警模型,其中,告警模型包括各个攻击对应的战术、技术和子技术与告警关键字之间的映射关系。
可选地,处理模块,还用于根据告警关键字确定日志字段信息为非告警信息时,根据日志字段信息和告警模型建立预警场景,根据预警场景生成告警事件,其中,预警场景包括日志字段信息对应的预警检测。
可选地,处理模块,还用于根据技术模型建立显示模型,其中,显示模型包括各个攻击对应的战术、技术和子技术的标识。
可选地,处理模块,还用于
根据告警模型更新显示模型中的标识信息;
和/或补充标签映射关系更新显示模型中的标识信息;
和/或根据预警场景更新显示模型中的标识信息。
可选地,处理模块,还用于根据显示模型的标识信息计算安全运营评价指标。
如图6所示,本申请一实施例提供一种电子设备600,电子设备600包括存储器601和处理器602。
其中,存储器601用于存储处理器可执行的计算机指令;
处理器602在执行计算机指令时实现上述实施例中方法中的各个步骤。具体可以参见前述方法实施例中的相关描述。
可选地,上述存储器601既可以是独立的,也可以跟处理器602集成在一起。当存储器601独立设置时,该电子设备还包括总线,用于连接存储器601和处理器602。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机指令,当处理器执行计算机指令时,实现上述实施例中方法中的各个步骤。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (9)

1.一种安全事件的治理方法,其特征在于,所述方法应用于安全运营平台,所述方法包括:
根据安全运营体系获取数据源,根据所述数据源获取相关日志数据,并将所述相关日志数据接入所述安全运营平台;其中,所述相关日志数据包括相关告警日志、相关行为日志和相关流量日志;
根据安全运营体系获取所述日志数据的日志字段信息,并根据日志字段信息确定是否为告警信息;在确定所述日志字段信息为告警信息时,并提取日志字段信息的告警关键字,根据提取到的所述告警关键字生成告警事件,并根据所述告警事件和专家经验回溯完整的告警事件,生成告警恢复事件;
根据所述告警事件和安全运营体系进行安全事件捕获并获取安全事件;
根据所述安全事件调用响应机制或生成安全事件预警工单;
根据安全运营体系获取数据源前,还需要建立安全运营体系,其中,所述安全运营体系包括技术模型、数据源模型、告警模型;
获取所述安全运营体系的技术模型,其中,所述技术模型包括各个攻击对应的战术、技术和子技术;
根据所述技术模型建立数据源模型,其中,所述数据源模型包括各个攻击对应的战术、技术、子技术与数据源之间的映射关系;
根据所述技术模型建立告警模型,其中,所述告警模型包括各个攻击对应的战术、技术和子技术与告警关键字之间的映射关系。
2.根据权利要求1所述的方法,其特征在于,当未获取到日志字段信息告警关键字时,所述方法包括:
根据所述数据源模型对所述日志字段信息对应的数据源进行标签映射,生成补充标签映射关系;
根据所述补充标签映射关系再次获取告警关键字,并根据告警关键字确定是否为告警事件。
3.根据权利要求1所述的方法,其特征在于,所述安全运营体系还包括捕获模型和响应模型,所述捕获模型包括告警子序列、经验条目、安全事件类型和安全事件分数;
根据专家经验配置所述经验条目;
根据所述经验条目确定所述告警子序列,其中,所述告警子序列包括告警事件的信息;
根据技术模型配置所述经验条目对应的安全事件类型和安全事件分数;
并根据所述技术模型和专家经验确定所述捕获模型对应的响应模型。
4.根据权利要求3所述的方法,其特征在于,根据所述告警事件和安全运营体系进行安全事件捕获并获取安全事件,根据所述安全事件调用响应机制或生成安全事件预警工单,具体包括:
根据捕获模型确定所述告警事件对应的安全事件分数;
根据所述安全事件分数确定是否超过目标安全事件分数;
当所述安全事件分数超过所述目标安全事件分数时,根据所述响应模型配置响应机制,否则,生成安全事件预警工单。
5.根据权利要求1所述的方法,其特征在于,根据所述告警关键字确定所述日志字段信息为非告警信息时,根据所述日志字段信息和所述告警模型建立预警场景,根据预警场景生成告警事件,其中,所述预警场景包括所述日志字段信息对应的预警检测。
6.根据权利要求2所述的方法,其特征在于,所述安全运营体系还包括显示模型,根据所述技术模型建立所述显示模型,其中,所述显示模型包括各个攻击对应的战术、技术和子技术的标识。
7.根据权利要求6所述的方法,其特征在于,根据告警模型更新所述显示模型中的标识信息;
和/或根据补充标签映射关系更新所述显示模型中的标识信息;
和/或根据预警场景更新所述显示模型中的标识信息。
8.根据权利要求7所述的方法,其特征在于,根据所述显示模型的标识信息计算安全运营评价指标。
9.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至8任一项所述的方法。
CN202311212585.9A 2023-09-19 2023-09-19 安全事件的治理方法及电子设备 Active CN117240554B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311212585.9A CN117240554B (zh) 2023-09-19 2023-09-19 安全事件的治理方法及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311212585.9A CN117240554B (zh) 2023-09-19 2023-09-19 安全事件的治理方法及电子设备

Publications (2)

Publication Number Publication Date
CN117240554A CN117240554A (zh) 2023-12-15
CN117240554B true CN117240554B (zh) 2024-05-07

Family

ID=89090653

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311212585.9A Active CN117240554B (zh) 2023-09-19 2023-09-19 安全事件的治理方法及电子设备

Country Status (1)

Country Link
CN (1) CN117240554B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111858482A (zh) * 2020-07-15 2020-10-30 北京市燃气集团有限责任公司 一种攻击事件追踪溯源方法、系统、终端及存储介质
CN114363044A (zh) * 2021-12-30 2022-04-15 深信服科技股份有限公司 一种分层告警方法、系统、存储介质和终端
CN114422327A (zh) * 2022-01-14 2022-04-29 杭州立思辰安科科技有限公司 一种告警处置建议生成方法、装置、系统和计算机可读存储介质
CN115766068A (zh) * 2022-09-27 2023-03-07 杭州安恒信息技术股份有限公司 一种网络安全事件等级分类方法、装置、设备、介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6845819B2 (ja) * 2018-02-22 2021-03-24 株式会社日立製作所 分析装置、分析方法、および分析プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111858482A (zh) * 2020-07-15 2020-10-30 北京市燃气集团有限责任公司 一种攻击事件追踪溯源方法、系统、终端及存储介质
CN114363044A (zh) * 2021-12-30 2022-04-15 深信服科技股份有限公司 一种分层告警方法、系统、存储介质和终端
CN114422327A (zh) * 2022-01-14 2022-04-29 杭州立思辰安科科技有限公司 一种告警处置建议生成方法、装置、系统和计算机可读存储介质
CN115766068A (zh) * 2022-09-27 2023-03-07 杭州安恒信息技术股份有限公司 一种网络安全事件等级分类方法、装置、设备、介质

Also Published As

Publication number Publication date
CN117240554A (zh) 2023-12-15

Similar Documents

Publication Publication Date Title
CN104836781B (zh) 区分访问用户身份的方法及装置
CN111815916A (zh) 一种目标区域的监控预警方法、系统和移动终端
US20100146622A1 (en) Security system and method for detecting intrusion in a computerized system
WO2015025694A1 (ja) セキュリティ上の脅威を評価する評価装置及びその方法
CN104520871A (zh) 漏洞矢量信息分析
KR20150009798A (ko) 개인 정보 상시 감시 시스템 및 그 상시 감시 방법
KR102230441B1 (ko) 보안 취약점 진단 결과를 기반으로 보안 조치 보고서를 생성하는 방법, 장치 및 프로그램
CN110689443A (zh) 出险数据处理方法、装置及存储介质、服务器
GB2604787A (en) Systems and methods for objective-based skill training
CN113596844A (zh) 一种基于数据信息的预警方法、装置、介质及电子设备
Santos et al. Intelligence analyses and the insider threat
CN114553596B (zh) 适用于网络安全的多维度安全情况实时展现方法及系统
CN112307464A (zh) 诈骗识别方法、装置及电子设备
CN110222243A (zh) 确定异常行为的方法、装置和存储介质
CN112669039A (zh) 基于知识图谱的客户风险管控系统及方法
CN105825130B (zh) 一种信息安全预警方法及装置
CN115174205A (zh) 一种网络空间安全实时监测方法、系统及计算机存储介质
CN105162931B (zh) 一种通信号码的分类方法及装置
CN114154166A (zh) 异常数据识别方法、装置、设备和存储介质
CN112000862B (zh) 数据处理方法及装置
CN117240554B (zh) 安全事件的治理方法及电子设备
CN115022152B (zh) 一种用于判定事件威胁度的方法、装置及电子设备
CN113872831B (zh) 一种网络测试可视化系统和方法
CN109714342A (zh) 一种电子设备的保护方法及装置
CN114697079A (zh) 一种应用客户端非法用户检测方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant