本发明专利技术公开了一种安全事件处理方法、装置、设备及存储介质,该方法包括:获取外界针对各安全事件分别设置的组件及组件实现顺序,得到与各安全事件分别对应的组件剧本;其中,不同的所述组件对应不同的功能;基于各所述组件剧本生成与各安全事件分别对应的可执行的剧本文件;从不同的系统中接收不同的安全事件,在接收的不同的安全事件的触发下执行相应的剧本文件,实现相应的安全操作。从而仅需执行一次剧本不同安全事件的剧本文件的生成,即可自动化根据通过执行剧本文件实现相应的安全操作,从而大大简化了安全事件处理的操作,方便对于大量安全事件的高效率处理。
【技术实现步骤摘要】
一种安全事件处理方法、装置、设备及存储介质
本专利技术涉及IDR
,更具体地说,涉及一种安全事件处理方法、装置、设备及存储介质。
技术介绍
在实现安全事件处理时,现有技术中通常是需要安全人员对安全事件进行人工分析和识别风险,但是人工分析、风险识别以及阻断安全事件等操作时,操作起来比较繁琐,当面临成千上万的安全事件时,安全人员很可能来不及对这些安全事件均进行处理。
技术实现思路
本专利技术的目的是提供一种安全事件处理方法、装置、设备及存储介质,能够大大简化安全事件处理的操作,方便对于大量安全事件的高效率处理。为了实现上述目的,本专利技术提供如下技术方案:一种安全事件处理方法,包括:获取外界针对各安全事件分别设置的组件及组件实现顺序,得到与各安全事件分别对应的组件剧本;其中,不同的所述组件对应不同的功能;基于各所述组件剧本生成与各安全事件分别对应的可执行的剧本文件;从不同的系统中接收不同的安全事件,在接收的不同的安全事件的触发下执行相应的剧本文件,实现相应的安全操作。优选的,获取外界针对各安全事件分别设置的组件及组件实现顺序,包括:在外界控制下将相应的组件增加至画布区域、从所述画布区域中删除或者改变在所述画布区域中的位置,并且为所述画布区域中各组件按照所述组件实现顺序进行相应的连线,得到外界设置的组件及组件实现顺序。优选的,基于各所述组件剧本生成与各安全事件分别对应的可执行的剧本文件,包括:确定需生成对应剧本文件的任意组件剧本为当前剧本,将当前剧本中包含的各组件分别转换为相应的执行类,并基于所述组件实现顺序定义每个所述指令类的输入及输出,得到包含各所述执行类的剧本文件。优选的,将当前剧本中包含的各组件分别转换为相应的执行类之后,还包括:为每个所述执行类分别绑定相应的监听器;在每个所述执行类的执行过程中,利用所绑定的监听器对相应执行类进行监听,得到相应执行类开始执行、结束执行及异常执行的信息,并输出。优选的,还包括:在执行所述剧本文件的过程中,记录接收的安全事件、接收的安全事件对应每个组件以及接收的安全事件对应每个组件的组件信息;其中,所述组件信息包括相应组件的输入、输出及执行时间。优选的,得到与各安全事件分别对应的组件剧本及剧本文件之后,还包括:对得到的与各安全事件分别对应的组件剧本及剧本文件进行存储。优选的,所述组件包括表示开始实现相应功能的开始组件及表示结束实现相应功能的结束组件,每个所述组件剧本均包括所述开始组件及所述结束组件。一种安全事件处理装置,包括:管理平台,用于:获取外界针对各安全事件分别设置的组件及组件实现顺序,得到与各安全事件分别对应的组件剧本;其中,不同的所述组件对应不同的功能;工作流引擎,用于:基于各所述组件剧本生成与各安全事件分别对应的可执行的剧本文件;以及从不同的系统中接收不同的安全事件,在接收的不同的安全事件的触发下执行相应的剧本文件,实现相应的安全操作。一种安全事件处理设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如上任一项所述安全事件处理方法的步骤。一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述安全事件处理方法的步骤。本专利技术提供了一种安全事件处理方法、装置、设备及存储介质,该方法包括:获取外界针对各安全事件分别设置的组件及组件实现顺序,得到与各安全事件分别对应的组件剧本;其中,不同的所述组件对应不同的功能;基于各所述组件剧本生成与各安全事件分别对应的可执行的剧本文件;从不同的系统中接收不同的安全事件,在接收的不同的安全事件的触发下执行相应的剧本文件,实现相应的安全操作。本申请公开的技术方案中,获取外界针对不同安全事件设置的组件及组价实现顺序,得到包含针对不同安全事件的组件及组件实现顺序的组件剧本,将组件剧本转换成可执行的剧本文件后,即可在接收到安全事件时执行接收到的安全事件所对应的剧本文件,以实现相应的安全操作。可见,本申请能够在外界控制下实现针对不同安全事件的剧本文件的生成,进而在接收到安全事件时自动执行相应的剧本文件,以实现相应的安全操作,从而仅需执行一次剧本不同安全事件的剧本文件的生成,即可自动化根据通过执行剧本文件实现相应的安全操作,从而大大简化了安全事件处理的操作,方便对于大量安全事件的高效率处理。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本专利技术实施例提供的一种安全事件处理方法的流程图;图2为本专利技术实施例提供的一种安全事件处理方法中组件设置示意图;图3为本专利技术实施例提供的一种安全事件处理方法中剧本文件示例图;图4为本专利技术实施例提供的一种安全事件处理方法的整体设计示意图;图5为本专利技术实施例提供的一种安全事件处理方法中安全事件处理图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。请参阅图1,其示出了本专利技术实施例提供的一种安全事件处理方法的流程图,可以包括:S11:获取外界针对各安全事件分别设置的组件及组件实现顺序,得到与各安全事件分别对应的组件剧本;其中,不同的组件对应不同的功能。本专利技术实施例提供的一种安全事件处理方法的执行主体可以为对应的安全事件处理装置。其中,安全事件包括APT攻击、数据泄露、网站被黑、被DDOS攻击等突发安全事件,IDR安全事件响应能够针对安全事件提供现场响应能力,包括紧急止血措施、事后损失评估、攻击源追溯等。由于安全事件的来源广泛,包括HIDS、网络层的NTA、终端EDR、VPN的认证日志及DNS的解析记录等,安全事件的数量庞大,如每天用于安全审计的原始日志达到了10Tb及以上的量级,且安全事件存储在不同的大数据组件中,包括Hive、ElasticSearch、Kafka等,因此,为了实现对不同安全事件的响应,本申请实施例可以由工作人员针对每种累积的安全事件的分析流程转化为工作流的剧本,即组件剧本。安全事件设置相应的组件及组件间的实现顺序,从而得到包含相应的组件及组件间的实现顺序的组件剧本。具体来说,本申请将安全人员分析响应安全事件时的操作对应一系列动作(比如查询IP是否在黑名单库、获取用户信息等等)分别封装成相应的组件,然后提供可视化的平台,使得安全人员可以自主拖拉各种封装的组件和填写组件参数,将自身不同组件对应不同功能,组本文档来自技高网...
【技术保护点】
1.一种安全事件处理方法,其特征在于,包括:/n获取外界针对各安全事件分别设置的组件及组件实现顺序,得到与各安全事件分别对应的组件剧本;其中,不同的所述组件对应不同的功能;/n基于各所述组件剧本生成与各安全事件分别对应的可执行的剧本文件;/n从不同的系统中接收不同的安全事件,在接收的不同的安全事件的触发下执行相应的剧本文件,实现相应的安全操作。/n
【技术特征摘要】
1.一种安全事件处理方法,其特征在于,包括:
获取外界针对各安全事件分别设置的组件及组件实现顺序,得到与各安全事件分别对应的组件剧本;其中,不同的所述组件对应不同的功能;
基于各所述组件剧本生成与各安全事件分别对应的可执行的剧本文件;
从不同的系统中接收不同的安全事件,在接收的不同的安全事件的触发下执行相应的剧本文件,实现相应的安全操作。
2.根据权利要求1所述的方法,其特征在于,获取外界针对各安全事件分别设置的组件及组件实现顺序,包括:
在外界控制下将相应的组件增加至画布区域、从所述画布区域中删除或者改变在所述画布区域中的位置,并且为所述画布区域中各组件按照所述组件实现顺序进行相应的连线,得到外界设置的组件及组件实现顺序。
3.根据权利要求2所述的方法,其特征在于,基于各所述组件剧本生成与各安全事件分别对应的可执行的剧本文件,包括:
确定需生成对应剧本文件的任意组件剧本为当前剧本,将当前剧本中包含的各组件分别转换为相应的执行类,并基于所述组件实现顺序定义每个所述指令类的输入及输出,得到包含各所述执行类的剧本文件。
4.根据权利要求3所述的方法,其特征在于,将当前剧本中包含的各组件分别转换为相应的执行类之后,还包括:
为每个所述执行类分别绑定相应的监听器;
在每个所述执行类的执行过程中,利用所绑定的监听器对相应执行类进行监听,得到相应执行类开始执行、结束执行及异常执行的信息,并输出。
5.根据权利要求4所述的方法,其特征在...
【专利技术属性】
技术研发人员:叶新华,范渊,刘博,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。