【技术实现步骤摘要】
安全告警转化为安全事件的方法、装置及存储介质
[0001]本专利技术涉及网络安全
,具体涉及一种安全告警转化为安全事件的方法、装置及存储介质。
技术介绍
[0002]当前,在安全防护体系中,企业和单位大多使用堆叠安全设备的方式,在日常的安全运营过程中,完全依赖安全设备告警。但是在实际的运营中,虽然安全设备名称不同或产生的告警名称不同,但实际大都是基于特征、行为的检测而产生的数据。所以,通常会在在实际的环境中,看到同一个资产,包含大量的、重复的告警。
[0003]由于资产繁多,会产生大量的告警,特性是间隔短,数量多,单凭人工手段,无法判别这些告警,到底是属于一个或多个攻击者的重复行为,还是由多个安全设备的产生的同一类的重复的告警。
[0004]当前安全运营平台存在一定的局限性,只能对同源地址、同目的地址、同名称、同威胁级别等四种或四种以上相同特征的告警进行归并,其他的告警信息只能分散读取。在面对大量的告警时,分析人员很难抓住重点,只能花费大量时间与精力去做调查分析研判,造成大量的重复性工作与时间成本浪费。...
【技术保护点】
【技术特征摘要】
1.一种安全告警转化为安全事件的方法,其特征在于,用于采用预置的至少一个事件策略将告警转化为安全事件,所述事件策略包括告警归并策略、事件输出策略和事件信息策略,所述方法包括:获取第一告警数据;利用告警归并策略提取或创建所述第一告警数据的事件ID,以将属于同一所述事件ID的所述第一告警数据进行归类,得到第二告警数据;利用事件输出策略对所述第二告警数据进行自定义赋值,得到第三告警数据;利用事件信息策略对所述第三告警数据进行分组,得到安全事件。2.如权利要求1所述的安全告警转化为安全事件的方法,其特征在于,所述利用告警归并策略提取或创建所述第一告警数据的事件ID,包括:基于所述第一告警数据中告警字段值,确定是否存在目标事件ID,所述目标事件ID基于所述告警字段值相同的告警数据所产生;若是,则提取所述目标事件ID作为所述第一告警数据的事件ID;若否,则创建新的事件ID作为所述第一告警数据的事件ID。3.如权利要求2所述的安全告警转化为安全事件的方法,其特征在于,所述基于所述第一告警数据中告警字段值,确定是否存在目标事件ID,包括:根据所述第一告警数据中告警字段值,在预定义的分组条件中确定与所述第一告警数据属于同一类别的自定义告警字段;根据所述自定义告警字段,查找处于时间窗口内的历史告警数据;判断所述历史告警数据是否产生历史事件ID;若是,则确定所述历史事件ID为所述目标事件ID;若否,则确定不存在所述目标事件ID。4.如权利要求2所述的安全告警转化为安全事件的方法,其特征在于,所述创建新的事件ID作为所述第一告警数据的事件ID,包括:判断所述第一告警数据中告警字段值与统计字段的次数是否匹配;若是,则创建所述新的事件ID作为所述第一告警数据的事件ID;若否,则确定流程结束。5.如权...
【专利技术属性】
技术研发人员:陆海涛,陈宇耀,张瀚之,胡绍勇,
申请(专利权)人:上海观安信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。