【技术实现步骤摘要】
一种基于SOAR的资产外联的处理方法、装置和系统
[0001]本申请涉及网络安全
,具体而言,涉及一种基于SOAR的资产外联的处理方法、装置和系统。
技术介绍
[0002]在传统资产外联告警处置场景中,安全运维人员需要在安全运营系统上报的海量告警数据中发现资产外联的违规行为后,须自行关联分析相关日志数据进行深度分析,判断告警有效之后,定位设备并线下进行问题排查与处置。整个响应流程繁琐而低效,需要人工推进,难以形成标准化流程;当针对重复发生的同类事件,处理方式和流程雷同,处理时间长,且需要消耗大量安全运维资源关注和推动消除问题,效果事倍功半;特别当大量设备与系统都需要同时进行处置时,对每个主机系统进行逐一操作,效率低、处置响应慢且需消耗大量人力资源。
技术实现思路
[0003]本申请实施例的目的在于提供一种基于SOAR的资产外联的处理方法、装置和系统,用以解决上述问题。
[0004]第一方面,本专利技术提供一种基于SOAR的资产外联的处理方法,所述方法包括:获取至少一个探针上传的事件信息,其中,每...
【技术保护点】
【技术特征摘要】
1.一种基于SOAR的资产外联的处理方法,其特征在于,所述方法包括:获取至少一个探针上传的事件信息,其中,每一探针部署在一终端设备上,所述事件信息包括资产外联的违规行为信息;根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析,获得每一违规行为信息对应的分析结果,其中,所述预设的分析库中预先存储有多类违规行为和每类违规行为映射的分析结果;根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案;以及利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置。2.根据权利要求1所述的方法,其特征在于,所述获取至少一个探针上传的事件信息,包括:获取至少一个设置在属于关注资产的终端设备上的探针上传的事件信息。3.根据权利要求2所述的方法,其特征在于,所述获取至少一个设置在属于关注资产的终端设备上的探针上传的事件信息,包括:获取至少一个探针上传的发生资产外联的违规行为的终端设备的标识;根据每一探针上传的终端设备的标识判断对应的终端设备是否属于关注资产;若属于关注资产,则获取属于关注资产的终端设备的探针上传的事件信息。4.根据权利要求1所述的方法,其特征在于,在所述根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析,获得每一违规行为信息对应的分析结果之后,所述方法还包括:根据每一违规行为信息对应的分析结果判断是否存在属于同一违规行为的分析结果;若是,则将属于同一事件的分析结果进行整合,获得综合分析结果;根据综合分析结果在预设的方案库中查找对应的处置方案;根据综合分析结果查找到的处置方案对发生同一违规行为的所有终端设备进行处置。5.根据权利要求1所述的方法,其特征在于,在所述利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置之后,所述方法还包括:自动提取并保存每一探针上传的对应终端设备的违规行为信息。6.根据权利要求1所述的方法,其特征在于,在所述利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置之后,所述方法还包括:提取每一事件信息中违规行为的特征信息;根据每一事件信息中的违规行为的特...
【专利技术属性】
技术研发人员:袁表仙,高志,惠红刚,张彩霞,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。