【技术实现步骤摘要】
一种基于交互式的安全事件剧本编排与处置方法及装置
[0001]本公开的实施例一般涉及数据处理领域,并且更具体地,涉及一种基于交互式的安全事件剧本编排与处置方法、装置、设备和计算机可读存储介质。
技术介绍
[0002]近年来网络犯罪和网络安全事件频发,无论是国家还是企业都加大了对网络安全重视程度。在面对安全设备可用性巡检、网络故障诊断与恢复、安全事件调查分析、攻击溯源、重保支撑等应用场景需要涉及到人、设备、系统等多种资源,安全事件的响应和处置一般依赖于一些专业的安全运维人员,系统虽然提供了一些自动化和半自动化的技术手段,但沟通协调主要依赖于传统的通信和邮件等方式,没有充分交互式等技术特点,提高安全事件处置的效率。
[0003]同时,现有的安全事件剧本编排与处置管理平台大多采用剧本的方式,将多个安全事件处置的操作步骤,基于工作流引擎来进行衔接,一方面来说,在一个安全事件处理过程中需要协调到多个部门的人员,涉及到多个系统的操作使用权限,如果简单的通过工作流很难实现各个处置环节的上下文信息。另外,随着网络攻击的手段多元化发现,现在网络攻击活动,特别是APT攻击均具有极强的隐蔽性和持续性的特点,往往需要调用到多个剧本来协同完成一个事件的处置,系统的灵活性也不够。
技术实现思路
[0004]本公开旨在至少解决现有技术或相关技术中存在的技术问题之一。
[0005]为此,在本公开的第一方面,提供了一种基于交互式的安全事件剧本编排与处置方法。该方法包括:
[0006]获取原始安全事件信息; />[0007]基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本;
[0008]执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置。
[0009]进一步地,所述原始安全事件信息为结构化信息,包括:
[0010]安全事件名称、事件类型、攻击来源信息、被攻击目标信息、适用场景参数和/或事件来源信息。
[0011]进一步地,所述基于所述原始安全事件信息,匹配安全事件处理模板,建立新的作战协同室包括:
[0012]根据所述原始安全事件信息中的事件类型、工具来源信息和适用场景参数,匹配已设置的安全事件处理模板,若匹配成功,则根据所述原始安全事件信息中的被攻击目标信息,匹配到与其对应的组织机构人员信息;
[0013]基于所述组织机构人员信息、所述已设置的安全事件处理模板包括安全事件的执
行脚本和剧本,建立作战协同室。
[0014]进一步地,所述执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置包括:
[0015]基于所述原始安全事件信息,通过匹配的安全事件处理模板中预置的流程配置信息,对所述作战协同室中的信息进行动态的人员调配、脚本执行和/或剧本处置,完成安全事件的处置。
[0016]进一步地,所述执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置包括:
[0017]根据所述原始安全事件信息,将所述作战协同室与预设平台进行对接,补充所述作战协同室中的安全事件的执行脚本和剧本的相关参数数据,根据所述安全事件处理模板中预置的流程配置信息,对所述作战协同室中的信息进行动态的人员调配、脚本执行和/或剧本处置,完成安全事件的处置;所述预设平台包括外部安全情报平台和/或内部的安全资产管理平台。
[0018]进一步地,所述完成安全事件的处置之后包括:
[0019]提取所述安全事件处置过程中执行或应用的脚本、剧本和/或人员信息生成或更新安全事件处理模板。
[0020]在本公开的第二方面,提出了一种基于交互式的安全事件剧本编排与处置系统,包括:
[0021]获取模块,用于获取原始安全事件信息;
[0022]建立模块,用于基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本;
[0023]执行模块,用于执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置。
[0024]进一步地,所述原始安全事件信息为结构化信息,包括:
[0025]安全事件名称、事件类型、攻击来源信息、被攻击目标信息、适用场景参数和/或事件来源信息。
[0026]在本公开的第三方面,提出了一种设备,包括:
[0027]一个或多个处理器;
[0028]存储装置,用于存储一个或多个程序;
[0029]当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如根据本公开的上述方法。
[0030]在本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本公开的上述方法。
[0031]本申请实施例提供的基于交互式的安全事件剧本编排与处置方法,通过获取原始安全事件信息;基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本;执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置,实现了在整个安全事件处置过程中各类型资源的有效调用和协作,可动态的增加安全事件处置过程中所需要的资源,提高了整个安全事件的处置效率。
[0032]应当理解,
技术实现思路
部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
[0033]结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
[0034]图1示出了根据本公开的实施例的基于交互式的安全事件剧本编排与处置方法的流程图;
[0035]图2示出了根据本公开的实施例的执行作战协同室中的脚本和/或剧本的流程图;
[0036]图3示出了根据本公开的实施例的基于交互式的安全事件剧本编排与处置装置的方框图;
[0037]图4示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
[0038]为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
[0039]另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
...
【技术保护点】
【技术特征摘要】
1.一种基于交互式的安全事件剧本编排与处置方法,其特征在于,包括:获取原始安全事件信息;基于所述原始安全事件信息,匹配已设置的安全事件处理模板,建立新的作战协同室;所述作战协同室包括与所述原始安全事件信息相对应的组织机构人员信息、执行脚本和剧本;执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置。2.根据权利要求1所述的方法,其特征在于,所述原始安全事件信息为结构化信息,包括:安全事件名称、事件类型、攻击来源信息、被攻击目标信息、适用场景参数和/或事件来源信息。3.根据权利要求2所述的方法,其特征在于,所述基于所述原始安全事件信息,匹配安全事件处理模板,建立新的作战协同室包括:根据所述原始安全事件信息中的事件类型、工具来源信息和适用场景参数,匹配已设置的安全事件处理模板,若匹配成功,则根据所述原始安全事件信息中的被攻击目标信息,匹配到与其对应的组织机构人员信息;基于所述组织机构人员信息、所述已设置的安全事件处理模板包括安全事件的执行脚本和剧本,建立作战协同室。4.根据权利要求3所述的方法,其特征在于,所述执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置包括:基于所述原始安全事件信息,通过匹配的安全事件处理模板中预置的流程配置信息,对所述作战协同室中的信息进行动态的人员调配、脚本执行和/或剧本处置,完成安全事件的处置。5.根据权利要求4所述的方法,其特征在于,所述执行所述作战协同室中的脚本和/或剧本,完成安全事件的处置包括:根据所述原始安全事件信息,将所述作战协同室与预...
【专利技术属性】
技术研发人员:梁群,陈刚,
申请(专利权)人:中通服创发科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。