【技术实现步骤摘要】
一种网络应急响应方法、系统、电子设备、及存储介质
[0001]本专利技术涉及网络安全
,特别是涉及一种网络应急响应方法、一种网络应急响应系统、一种电子设备和一种存储介质。
技术介绍
[0002]随着SecurityOrchestrationAutomationandResponse(简称SOAR,安全编排与自动化响应)平台的兴起,越来越多的企业开始实践将SOAR平台作为安全基础架构的核心部分。
[0003]在实际应用中,SOAR平台仍然十分依赖人工进行管理。管理人员需要同时依据上游分析结果和当前人员状态,手动决策和切换场景,以实施不同场景下的不同安全策略。过渡依赖人工的管理导致场景切换不及时,并可能导致错误场景,造成资源浪费和巨大安全风险。
技术实现思路
[0004]鉴于上述问题,提出了本专利技术实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种网络应急响应方法、一种网络应急响应系统、一种电子设备和一种存储介质。
[0005]为了解决上述问题,本专利技术实施例公开了一种网络应...
【技术保护点】
【技术特征摘要】
1.一种网络应急响应方法,其特征在于,应用于安全编排与自动化响应SOAR平台,所述SOAR平台包括策略控制器、事件仓库和记录器,所述事件仓库用于储存安全事件,所述方法包括:所述策略控制器获取所述事件仓库中的目标安全事件,所述目标安全事件为所述事件仓库中需要进行处理的安全事件;所述策略控制器确定所述目标安全事件匹配的场景,获取所述场景的目标策略集合;所述策略控制器执行所述目标策略集合中的策略,得到第一执行结果,并根据所述第一执行结果中的数据,获取所述策略中的第一工具标记集合;所述策略控制器在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库调用所述第一工具标记集合对应的安全剧本,得到第二执行结果,并将第二执行结果返回至所述记录器中;所述记录器对所述第二执行结果进行分析,得到第一分析结果;若所述第一分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。2.根据权利要求1所述的方法,其特征在于,所述策略包括策略严格程度,所述策略控制器执行所述目标策略集合中的策略,包括:所述策略控制器根据所述目标策略集合中每个策略的策略严格程度,执行所述目标策略集合中的策略;所述策略严格程度用于表示所述策略的运行规则的难易程度。3.根据权利要求1所述的方法,其特征在于,所述策略控制器执行所述目标策略集合中的策略,得到第一执行结果,包括:所述策略控制器在执行所述目标策略集合中的所述策略的过程中,判断所述目标安全事件中的日志信息与当前环境信息是否满足所述目策略的运行规则;若满足,则继续执行所述策略,得到第一执行结果。4.根据权利要求1所述的方法,其特征在于,所述SOAR平台包括作战室,所述方法还包括:所述策略控制器在所述第一工具标记集合为空集合的情况下,将所述目标安全事件发送至所述作战室;所述作战室判断所述目标安全事件是否存在处置通道;若所述目标安全事件存在处置通道,则打开所述处置通道;若所述目标安全事件不存在处置通道,则创建所述处置通道;所述作战室通过所述处置通道获取工具库的工具标记;所述作战室判断所述目标策略集合中是否有策略包括所述工具标记;若所述目标策略集合中有策略包括所述工具标记,则执行所述策略,得到第三执行结果,并将第三执行结果返回至所述记录器中;若所述目标策略集合中有策略不包括所述工具标记,则获取所述处置通道中的工具参数,并将所述工具标记和所述工具参数发送至所述工具库,以使所述工具库确定所述工具标记对应的安全剧本,通过所述工具参数执行所述安全剧本,并将第四执行结果返回至所述记录器中。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:所述记录器对所述第三执行结果进行分析,得到第二分析结果;所述记录器对所述第四执行结果进行分析,得到第三分析结果;若所述第二分析结果
或所述第三分析结果不满足预设条件,则所述策略控制器切换所述场景并返回获取所述场景的目标策略集合的步骤。6.根据权利要求1所述的方法,其特征在于,所述策略控制器在所述第一工具标记集合为非空集合的情况下,将所述第一工具标记集合发送至工具库,以使所述工具库根据所述第一工具标记集合对应的安全剧本,执行安全剧本,并将第二执行结果返回至所述记录器中,包括:所述策略控制器在所述第一工具标记集合为非空集合的情况下,根据所述第一工具标记集合,从所...
【专利技术属性】
技术研发人员:邢学锋,王琪强,邹照旭,张俊祥,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。