SOAR剧本模型、剧本构建方法、电子设备和存储介质技术

本申请提供了一种SOAR剧本模型、剧本构建方法、电子设备和存储介质，方法包括获取初始SOAR剧本模型；根据初始SOAR剧本模型构建剧本模型，剧本模型包括控制器、触发器、第一集合对象容器、第二集合对象容器、第三集合对象容器、第四集合对象容器、第五集合对象容器和第六集合对象容器。剧本模型根据开始节点、App信息、条件判断信息、连线方向集合、变量信息和结束节点生成目标SOAR剧本。以解决在剧本使用的过程中，若出现需求问题时解决问题过程较长且效率低的问题。率低的问题。率低的问题。

【技术实现步骤摘要】
SOAR剧本模型、剧本构建方法、电子设备和存储介质


[0001]本申请涉及网络安全
，尤其涉及一种SOAR剧本模型、剧本构建方法、电子设备和存储介质。

技术介绍

[0002]SOAR(Security Orchestration，Automation and Response，安全编排和自动化响应)为安全编排自动化与响应，并将其看作是安全编排与自动化(SOA，Security Orchestration and Automation)、安全事件响应平台(SIRP,Security Incident Response Platform)和威胁情报平台(TIP,Threat Intelligence Platform)三种技术/工具的融合。安全编排是指将客户不同的系统或者一个系统内部不同组件的安全能力通过可编程接口API(Application Programming Interface，应用程序接口)和人工检测点，按照一定的逻辑关系组合到一起，用以完成某个特定安全操作的过程。SOAR平台可以对现有的安全能力进行灵活编排，通过编写剧本(Playbook)完成场景构建，实现自动化运营。
[0003]其中，剧本是SOAR平台中一系列动作(Action)连接起来的，包含了安全运营完整的研判处置流程。然而，目前相关技术中使用的剧本，若出现需求问题时解决问题效率低。例如，若使用剧本中发现了需要对可疑IP地址进行封禁，但发现可疑IP地址后需进行进一步判断。若增加该判断需求则需要重新构建新的剧本并采用大量时间验证，导致解决问题过程较长且效率低。

技术实现思路

[0004]本申请提供了一种SOAR剧本模型、剧本构建方法、电子设备和存储介质。以解决在剧本使用的过程中，若出现需求问题时解决问题过程较长且效率低的问题。
[0005]第一方面，本申请提供了一种SOAR剧本构建方法，方法应用于事件管理系统，具体包括以下步骤：
[0006]获取初始SOAR剧本模型；
[0007]根据初始SOAR剧本模型构建剧本模型，剧本模型包括：
[0008]控制器，被配置为执行人工审批、条件判断和定时器进程；
[0009]触发器，被配置为存放多个前置App信息并运行多个前置App，接收输入的前置App信息，触发进入与前置App信息对应的应用程序；
[0010]第一集合对象容器，被配置为存放多个App信息并运行多个App，接收输入的App信息，调用App信息对应的App接口以实现应用对接；
[0011]第二集合对象容器，被配置为存放并运行连线方向集合，连线方向集合包括多个节点之间的数据连线方向；
[0012]第三集合对象容器，被配置为存放并运行连线走向条件集合，连线走向条件集合包括多个节点之间数据连线方向对应的条件判断信息；条件判断信息用于表征是否继续执行数据连线方向；
[0013]第四集合对象容器，被配置为存放与目标SOAR剧本对应的基本描述信息、组织机构描述信息以及执行环境基础信息；
[0014]第五集合对象容器，被配置为存放与目标SOAR剧本对应的变量信息；变量信息为预设剧本数据，预设剧本数据用于在构建目标SOAR剧本时直接调用；
[0015]第六集合对象容器，被配置为存放与目标SOAR剧本对应的来源描述信息，来源描述信息用于表征剧本对应的来源。
[0016]可选的，剧本模型还包括开始节点和结束节点，其中，开始节点被配置为根据预设开始动作生成，结束节点被配置为根据结束动作生成剧本。
[0017]可选的，根据初始SOAR剧本模型构建剧本模型之后，还包括：
[0018]接收输入的开始节点、App信息、条件判断信息、连线方向集合、变量信息和结束节点；其中，App信息输入至第一集合对象容器，条件判断信息输入至第三集合对象容器，连线方向集合输入至第二集合对象容器，变量信息输入至第五集合对象容器；
[0019]剧本模型根据开始节点、App信息、条件判断信息、连线方向集合、变量信息和结束节点生成目标SOAR剧本。
[0020]可选的，剧本模型根据开始节点、App信息、条件判断信息、连线方向集合、变量信息和结束节点生成目标SOAR剧本，包括：
[0021]根据连线方向集合将开始节点、App信息、条件判断信息、变量信息和结束节点进行依赖关系的连线操作，以生成目标SOAR剧本。
[0022]可选的，还包括：
[0023]响应在事件管理系统的用户界面上输入的对多个标识的拖拽操作，生成目标SOAR剧本；其中，多个标识为与控制器、触发器、第一集合对象容器、第二集合对象容器、第三集合对象容器、第四集合对象容器、第五集合对象容器和第六集合对象容器对应的可视化标识。
[0024]可选的，还包括：
[0025]根据条件判断信息对目标SOAR剧本中的部分或全部动作进行审批处理；经过审批处理的动作将被目标SOAR剧本执行，未经过审批处理的动作不被目标SOAR剧本执行。
[0026]第二方面，本申请提供了一种SOAR剧本模型，具体包括：
[0027]控制器，被配置为执行人工审批、条件判断和定时器进程；
[0028]触发器，被配置为存放多个前置App信息并运行多个前置App，接收输入的前置App信息，触发进入与前置App信息对应的应用程序；
[0029]第一集合对象容器，被配置为存放多个App信息并运行多个App，接收输入的App信息，调用App信息对应的App接口以实现应用对接；
[0030]第二集合对象容器，被配置为存放并运行连线方向集合，连线方向集合包括多个节点之间的数据连线方向；
[0031]第三集合对象容器，被配置为存放并运行连线走向条件集合，连线走向条件集合包括多个节点之间数据连线方向对应的条件判断信息；条件判断信息用于表征是否继续执行数据连线方向；
[0032]第四集合对象容器，被配置为存放与目标SOAR剧本对应的基本描述信息、组织机构描述信息以及执行环境基础信息；
[0033]第五集合对象容器，被配置为存放与目标SOAR剧本对应的变量信息；变量信息为预设剧本数据，预设剧本数据用于在构建目标SOAR剧本时直接调用；
[0034]第六集合对象容器，被配置为存放与目标SOAR剧本对应的来源描述信息，来源描述信息用于表征剧本对应的来源。
[0035]第三方面，本申请提供了一种计算机可读的存储介质，存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述SOAR剧本构建方法。
[0036]第四方面，本申请提供了一种电子设备，包括存储器和处理器，其特征在于，存储器中存储有计算机程序，处理器被设置为运行计算机程序以执行上述SOAR剧本构建方法。
[0037]由以上技术方案可知，本申请提供了一种SOAR剧本模型、剧本构建方法、电子设备和存储介质，方法包括获取初始SOAR剧本模型；根据初始SOAR剧本模型构建剧本模型，剧本模型包括控制本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种SOAR剧本构建方法，其特征在于，所述方法应用于事件管理系统，具体包括以下步骤：获取初始SOAR剧本模型；根据所述初始SOAR剧本模型构建剧本模型，所述剧本模型包括：控制器，被配置为执行人工审批、条件判断和定时器进程；触发器，被配置为存放多个前置App信息并运行多个前置App，接收输入的所述前置App信息，触发进入与所述前置App信息对应的应用程序；第一集合对象容器，被配置为存放多个App信息并运行多个App，接收输入的所述App信息，调用所述App信息对应的App接口以实现应用对接；第二集合对象容器，被配置为存放并运行连线方向集合，所述连线方向集合包括多个节点之间的数据连线方向；第三集合对象容器，被配置为存放并运行连线走向条件集合，所述连线走向条件集合包括多个节点之间所述数据连线方向对应的条件判断信息；所述条件判断信息用于表征是否继续执行所述数据连线方向；第四集合对象容器，被配置为存放与目标SOAR剧本对应的基本描述信息、组织机构描述信息以及执行环境基础信息；第五集合对象容器，被配置为存放与目标SOAR剧本对应的变量信息；所述变量信息为预设剧本数据，所述预设剧本数据用于在构建目标SOAR剧本时直接调用；第六集合对象容器，被配置为存放与目标SOAR剧本对应的来源描述信息，所述来源描述信息用于表征所述剧本对应的来源。2.根据权利要求1所述的方法，其特征在于，所述剧本模型还包括开始节点和结束节点，其中，所述开始节点被配置为根据预设开始动作生成，所述结束节点被配置为根据结束动作生成所述剧本。3.根据权利要求2所述的方法，其特征在于，所述根据所述初始SOAR剧本模型构建剧本模型之后，还包括：接收输入的所述开始节点、所述App信息、所述条件判断信息、所述连线方向集合、所述变量信息和所述结束节点；其中，所述App信息输入至所述第一集合对象容器，所述条件判断信息输入至第三集合对象容器，所述连线方向集合输入至第二集合对象容器，所述变量信息输入至第五集合对象容器；所述剧本模型根据所述开始节点、所述App信息、所述条件判断信息、所述连线方向集合、所述变量信息和所述结束节点生成所述目标SOAR剧本。4.根据权利要求3所述的方法，其特征在于，所述剧本模型根据所述开始节点、所述App信息、所述条件判断信息、所述连线方向集合、所述变量信息和所述结束节点生成所述目标SOAR剧本，包括：根据所述连线方向集合将所述开始节...

【专利技术属性】
技术研发人员：钟竹，薛洪亮，黄伟，
申请(专利权)人：北京安博通科技股份有限公司，
类型：发明
国别省市：