安全事件响应剧本生成方法、系统、装置和存储介质制造方法及图纸

本发明专利技术公开了一种安全事件响应剧本生成方法、系统、计算机装置和存储介质。安全事件响应剧本生成方法包括根据安全场景确定安全功能实体，识别安全功能实体支持的安全动作，将安全动作标记为读取类或写入类，将安全动作作为生成节点生成安全事件响应剧本等步骤。本发明专利技术引入了读写分析的分类机制和技术实现，使得生成的安全事件响应剧本中的安全动作被标识为写入类或读取类，通过对安全动作的类别化标识，提高了安全剧本编排的易用性，减少了安全剧本编辑人员编排过程中的误操作，允许进行动作和权限的适配，基于此可以进一步实现权限设置、安全动作执行审批、新插入的安全动作危险度检测等优化技术。本发明专利技术广泛应用于网络安全技术领域。

【技术实现步骤摘要】
安全事件响应剧本生成方法、系统、装置和存储介质
本专利技术涉及网络安全
，尤其是一种安全事件响应剧本生成方法、系统、计算机装置和存储介质。
技术介绍
安全事件响应剧本可以表现为一组用于表示按照什么顺序(flow)、调用什么安全设备(app)、执行什么动作(action)的数据，通过执行安全事件响应剧本，可以实现网络安全事件响应。主流的SOAR(安全编排、自动化与响应)产品都提供了基于图形的可视化编排能力，允许安全人员将应急响应过程中的各个原子化的动作(action)按照一定的逻辑进行编排，形成安全响应剧本(playbook)，从而在发生安全事件时开展快速的应急响应。现有的剧本编排技术只是完成对动作顺序的编排，缺少对动作的管控和风险识别机制。
技术实现思路
针对上述至少一个技术问题，本专利技术的目的在于提供一种安全事件响应剧本生成方法、系统、计算机装置和存储介质。一方面，本专利技术实施例包括一种安全事件响应剧本生成方法，包括以下步骤：确定安全场景；根据所述安全场景，确定要使用的安全功能实体；识别所述安全功能实体支持的安全动作；根据所述安全动作的内容，将所述安全动作标记为读取类或写入类；将所述安全动作作为生成节点，生成所述安全事件响应剧本。进一步地，所述安全功能实体支持的安全动作包括所述安全功能实体已执行的安全动作和所述安全功能实体将执行的安全动作。进一步地，所述根据所述安全动作的内容，将所述安全动作标记为读取类或写入类这一步骤，具体包括：当所述安全动作用于执行获取信息的操作，将所述安全动作标记为读取类；当所述安全动作用于执行发送信息的操作，将所述安全动作标记为写入类。进一步地，安全事件响应剧本生成方法还包括以下步骤：对所述安全事件响应剧本进行可视化处理；所述可视化处理用于通过产生视觉效果，以区分所述安全事件响应剧本中属于读取类的所述安全动作以及属于写入类的所述安全动作。进一步地，安全事件响应剧本生成方法还包括以下步骤：对所述安全事件响应剧本进行权限设置；所述权限设置用于对所述安全事件响应剧本中属于读取类的所述安全动作以及属于写入类的所述安全动作赋予不同的访问权限和/或修改权限。进一步地，安全事件响应剧本生成方法还包括以下步骤：对所述安全事件响应剧本中的部分或全部所述安全动作进行审批处理；经过所述审批处理的所述安全动作将被所述安全事件响应剧本执行，未经过所述审批处理的所述安全动作不被所述安全事件响应剧本执行。进一步地，安全事件响应剧本生成方法还包括以下步骤：检测对所述安全事件响应剧本的插入动作；所述插入动作用于向所述安全事件响应剧本中的特定位置插入新的安全动作；将所述新的安全动作识别为读取类或写入类；根据所述安全事件响应剧本中所述特定位置前和/或后的所述安全动作与所述新的安全动作之间的种类关系，确定所述新的安全动作的危险度。另一方面，本专利技术实施例还包括一种安全事件响应剧本生成系统，包括：第一模块，用于确定安全场景；第二模块，用于根据所述安全场景，确定要使用的安全功能实体；第三模块，用于识别所述安全功能实体支持的安全动作；第四模块，用于根据所述安全动作的内容，将所述安全动作标记为读取类或写入类；第五模块，用于将所述安全动作作为生成节点，生成所述安全事件响应剧本。另一方面，本专利技术实施例还包括一种计算机装置，包括存储器和处理器，所述存储器用于存储至少一个程序，所述处理器用于加载所述至少一个程序以执行安全事件响应剧本生成方法。另一方面，本专利技术实施例还包括一种存储介质，其中存储有处理器可执行的指令，所述处理器可执行的指令在由处理器执行时用于执行安全事件响应剧本生成方法。本专利技术的有益效果是：实施例中的安全事件响应剧本生成方法，在现有技术的基础上引入了读写分析的分类机制和技术实现，使得生成的安全事件响应剧本中的安全动作被标识为写入类或读取类，通过对安全动作的类别化标识，提高了安全剧本编排的易用性，减少了安全剧本编辑人员编排过程中的误操作，降低了自动化剧本的安全风险；采用读写分离技术机制，允许安全编排系统针对不同的人员、场景进行动作和权限的适配，基于此可以进一步实现访问权限和/或修改权限设置、安全动作执行审批、新插入的安全动作危险度检测等优化技术。附图说明图1为实施例中安全事件响应剧本生成方法的流程图；图2为实施例中安全事件响应剧本生成方法的原理图。具体实施方式本实施例中，安全事件响应剧本生成方法的流程如图1所示，包括以下步骤：S1.确定安全场景；S2.根据安全场景，确定要使用的安全功能实体；S3.识别安全功能实体支持的安全动作；S4.根据安全动作的内容，将安全动作标记为读取类或写入类；S5.将安全动作作为生成节点，生成安全事件响应剧本。步骤S1-S5的原理如图2所示。步骤S1中，根据实际使用需要确定安全场景，例如确定安全场景为网络安全封禁场景。根据网络安全封禁场景的要求，网络安全工程师可以提出以下形式的安全策略：(1)给定一个输入IP地址(2)通过华为防火墙API接口封禁IP地址(3)查询华为防火墙API接口确认IP已经被封禁(4)根据封禁查询结果，发送消息通知到微信(5)由于IP封禁是高危动作，网络安全工程师希望在封禁动作前增加一个审批。对上述安全策略(1)-(5)进行解析，该策略涉及一个输入(即IP地址)、两个安全功能实体(即华为防火墙和微信)、一个判断规则，从而执行步骤S2，确定要使用的安全功能实体包括华为防火墙和微信。本实施例中的安全动作可以是指安全功能实体执行自身功能时所执行的动作，例如华为防火墙这一安全功能实体支持的安全动作包括：查询一个IP是否被封禁、下发指令封禁一个IP地址、查询防火墙运行状态；微信这一安全功能实体支持的安全动作包括：通过微信向单个用户发送消息、通过微信向群组发送消息。本实施例中的安全动作也可以是指用于为安全功能实体提供运行条件的网络设备、IT系统或SaaS服务等跟安全响应优化的系统或过程动作，例如：启动杀毒软件、更新客户端病毒库、查询交换机MAC地址表、重启交换机、关闭交换机端口、查询WindowsAD中用户邮箱信息、冻结一个员工账号、调用SaaS服务查询某个IP地址的归属地等等。进一步地，安全动作可以是一个动作名称，也可以是一组动作的集合，例如，安全动作可以是指重启一个服务器这一个动作，也可以是指创建一个员工账号这一组动作，具体包括创建WindowsAD账号、公司Exchange邮箱、更新员工所在部门信息等一系列子动作。步骤S3中，可以通过查询等方式识别安全功能实体支持的安全动作。本实施例中，上述这些安全动作，可以是安全功能实体已执行的安全动作和安全功能实体将执行的安全动作。接下来，网络安全工程师对上述安全功本文档来自技高网...

【技术保护点】
1.一种安全事件响应剧本生成方法，其特征在于，包括以下步骤：/n确定安全场景；/n根据所述安全场景，确定要使用的安全功能实体；/n识别所述安全功能实体支持的安全动作；/n根据所述安全动作的内容，将所述安全动作标记为读取类或写入类；/n将所述安全动作作为生成节点，生成所述安全事件响应剧本。/n

【技术特征摘要】
1.一种安全事件响应剧本生成方法，其特征在于，包括以下步骤：
确定安全场景；
根据所述安全场景，确定要使用的安全功能实体；
识别所述安全功能实体支持的安全动作；
根据所述安全动作的内容，将所述安全动作标记为读取类或写入类；
将所述安全动作作为生成节点，生成所述安全事件响应剧本。


2.根据权利要求1所述的安全事件响应剧本生成方法，其特征在于，所述安全功能实体支持的安全动作包括所述安全功能实体已执行的安全动作和所述安全功能实体将执行的安全动作。


3.根据权利要求1所述的安全事件响应剧本生成方法，其特征在于，所述根据所述安全动作的内容，将所述安全动作标记为读取类或写入类这一步骤，具体包括：
当所述安全动作用于执行获取信息的操作，将所述安全动作标记为读取类；
当所述安全动作用于执行发送信息的操作，将所述安全动作标记为写入类。


4.根据权利要求1所述的安全事件响应剧本生成方法，其特征在于，还包括以下步骤：
对所述安全事件响应剧本进行可视化处理；所述可视化处理用于通过产生视觉效果，以区分所述安全事件响应剧本中属于读取类的所述安全动作以及属于写入类的所述安全动作。


5.根据权利要求1所述的安全事件响应剧本生成方法，其特征在于，还包括以下步骤：
对所述安全事件响应剧本进行权限设置；所述权限设置用于对所述安全事件响应剧本中属于读取类的所述安全动作以及属于写入类的所述安全动作赋予不同的访问权限和/或修改权限。


6.根据权利要...

【专利技术属性】
技术研发人员：许瑞，肖景芬，汪浩，
申请(专利权)人：上海雾帜智能科技有限公司，
类型：发明
国别省市：上海;31