The invention discloses a closed-loop processing method for security events used in network security management, which comprises an event collector collecting security events and early warning logs from security devices and systems, data cleaning/filtering, merging and normalizing, and storing them into a database, and a system scheduling scanner performing protected assets. Scanning, discovering asset vulnerabilities and acquiring asset information, reading the security events and early warning logs from the database, correlating security events with asset vulnerabilities, and grading the risk of security incidents; giving warnings to security incidents with high risk graded in S200; recording and recording the warnings Processing, re acquisition of vulnerabilities in security devices and systems, confirming that early warning has been eliminated. The security event closed-loop processing flow can integrate and collect all kinds of security information, and collect them together for unified analysis and detection. Data from discrete to centralized, easy to operate, improve work efficiency.
【技术实现步骤摘要】
一种用于网络安全管理的安全事件闭环处理方法
本专利技术涉及网络安全
,具体的说,是一种用于网络安全管理的安全事件闭环处理方法。
技术介绍
由于安全设备种类繁多、预警日志数量众多,安全防护设备与安全扫描设备间相互缺乏信息交互,无法对安全资源有效整合,各个安全设备形成安全孤岛,无法最大化发挥应有价值。企业安全管理人员难以结合网络安全威胁和资产脆弱性对网络安全态势进行全面的分析和掌控,无法形成各类告警事件的采集、分析、告警、响应和整改的流程化管理。负责信息安全的人员和部门往往不能将主要经历用于关键风险事件的处理上。企业通常会选择多种安全产品,例如防火墙、入侵检测系统、防病毒产品、VPN和漏洞扫描工具等,各种产品部署分散、相互割裂,每一种产品都有各自的控制台和数据库,导致独立分散的安全数据孤岛,管理员没有时间分别处理来自不同产品数以百万的安全事件,高优先级安全事件长时间得不到关注,消失在海量安全事件中。同时,安全设备在对网络进行保护时会产生大量的安全事件日志,包括系统攻击、网站攻击、病毒、木马、蠕虫等等,不同厂家的设备产生的事件类型都不一样。这些安全事件,不但种类繁...
【技术保护点】
1.一种用于网络安全管理的安全事件闭环处理方法,其特征在于,包括:步骤S100:事件采集器从安全设备和系统中采集安全事件和预警日志,进行数据清洗/过滤、归并和规范化处理后,存储至数据库;步骤S200:系统调度扫描器对受保护的资产进行扫描,发现资产漏洞和获取资产信息,从数据库中读取所述安全事件和预警日志,将安全事件与资产漏洞进行关联分析,并对安全事件的风险性定级;步骤S300:对步骤S200中风险性定级为高风险的安全事件,发出告警;步骤S400:对告警进行记录并处理;步骤S500:再次采集安全设备和系统中的资产漏洞,确认已消除预警。
【技术特征摘要】
1.一种用于网络安全管理的安全事件闭环处理方法,其特征在于,包括:步骤S100:事件采集器从安全设备和系统中采集安全事件和预警日志,进行数据清洗/过滤、归并和规范化处理后,存储至数据库;步骤S200:系统调度扫描器对受保护的资产进行扫描,发现资产漏洞和获取资产信息,从数据库中读取所述安全事件和预警日志,将安全事件与资产漏洞进行关联分析,并对安全事件的风险性定级;步骤S300:对步骤S200中风险性定级为高风险的安全事件,发出告警;步骤S400:对告警进行记录并处理;步骤S500:再次采集安全设备和系统中的资产漏洞,确认已消除预警。2.根据权利要求1所述的一种用于网络安全管理的安全时间闭环处理方法,其特征在于,所述步骤S100具体包括:步骤S110:定义安全事件的采集范围、采集能力、数据处理和数据存储;步骤S120:事件采集器进行安全事件和预警日志采集;步骤S130:将所述安全事件和预警日志进行备份;步骤S140:将所述安全事件和预警日志进行数据标准化处理;步骤S150:将标准化处理后的安全事件和预警日志存储至分布式文件系统和分布式检索系统。3.根据权利要求2所述的一种用于网络安全管理的安全时间闭环处理方法,其特征在于,所述采集范围包括内部因素,外部因素和情报,所述内部因素包括资产信息、网络拓扑、安全配置、安全漏洞、系统指纹、身份认证、点对点访问、DLP和内网资源访问,所述外部因素包括安全攻击、恶意扫描、拒绝服务、异常流量、外网访问、远程访问和云服务访问;所述情报要素包括战略安全情报、战术安全威胁情报、通告和预警。4.根据权利要求3所述的一种用于网络安全管理的安全时间闭环处理方法,其特征在于,所述步骤S140具体包括:步骤S141:数据清洗/过滤,将采集的数据与...
【专利技术属性】
技术研发人员:于家明,
申请(专利权)人:成都清华永新网络科技有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。