【技术实现步骤摘要】
一种安全告警日志自动化处置方法、系统及存储介质
[0001]本申请涉及网络安全的
,尤其是涉及一种安全告警日志自动化处置方法、系统及存储介质。
技术介绍
[0002]随着企业和组织信息化建设规模日益扩大,安全架构日趋复杂,组织内各类安全设备、运维系统、业务系统产生的安全数据和告警事件越来越多,企业和组织自身的安全运维压力越来越大,安全运维复杂度不断增加。在现今的企业安全管理体系中,自动化方案更多的将注意力集中在安全事件告警监控和采集上。以SOC、SIEM等解决方案为代表的安全事件监控和分析系统,每天收集到海量的安全事件信息,并产生大量的告警日志,且大部分告警属于重复或者误报信息。这些告警信息需要安全运维人员人工判断其风险等级,以及是否需采取必要措施处置告警。通常大部分告警有其对应的应急处理方案,安全运维人员将其查找出来,并按照处理方案手动去做对应的操作,例如在防火墙上封禁非法IP、登录存在漏洞的服务器上打安全补丁、删除发现的风险程序和文件等。
[0003]针对上述中的相关技术,专利技术人认为存在有以下缺陷:日常...
【技术保护点】
【技术特征摘要】
1.一种安全告警日志自动化处置方法,其特征在于,包括以下步骤:S1:利用接收器获取原始告警数据,并将所述原始告警数据转换成标准格式告警数据;S2:对所述标准格式告警数据进行数据预处理,所述数据预处理具体包括:数据过滤:利用所述标准格式告警数据的告警信息中的属性的值构建过滤表达式,利用所述过滤表达式对标准格式告警数据进行过滤,获得过滤后的告警数据;数据范式化:利用数据操作符对所述过滤后的告警数据中的属性进行修改,获得范式化告警数据;数据归并:将指定时间段内重复的所述范式化告警数据合并成一条数据,获得归并后的告警数据;S3:利用执行器对归并后的告警数据进行告警处置。2.根据权利要求1所述的一种安全告警日志自动化处置方法,其特征在于:在所述步骤S1中,所述利用接收器获取原始告警数据具体包括:所述接收器基于特定策略或者频率从告警源接口获取数据,所述特定策略包括定时任务策略以及基于Socket长连接策略。3.根据权利要求2所述的一种安全告警日志自动化处置方法,其特征在于:所述告警源包括SoC和SIEM。4.根据权利要求1所述的一种安全告警日志自动化处置方法,其特征在于:在所述步骤S1中,所述利用接收器获取原始告警数据具体包括:利用接收器提供标准的API接口,由第三方告警源通过所述API接口主动推送原始告警数据到所述接收器中。5.根据权利要求1所述的一种安全告警日志自动化处置方法,其特征在于:在所述步骤S2中,利用所述标准格式告警数据中的变量$alarm获取所述告警信息中的属性的值。6.根据权利要求1所述的一种安全告警日志自动化处置方...
【专利技术属性】
技术研发人员:刘光磊,
申请(专利权)人:上海碳泽信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。