【技术实现步骤摘要】
针对多源异构审计数据实现关联告警处理的方法、装置、处理器及其计算机可读存储介质
[0001]本专利技术涉及云计算及边缘计算领域,尤其涉及多源异构审计数据领域,具体是指一种针对多源异构审计数据实现关联告警处理的方法、装置、处理器及其计算机可读存储介质。
技术介绍
[0002]大数据时代,从云计算到边缘计算,基于对不同来源、不同产品、不同系统、多种结构审计数据研究的迫切需要,多源异构审计数据这一概念随之产生,其主要包括两个特征:一是审计事件记录来源具有多源性;二是审计事件记录字段格式各有不同,即异构性。
[0003]纯粹的审计数据分析意义不大,审计通常关联告警,在信息安全领域应用广泛。传统的审计关联告警往往紧耦合特定业务,存在硬编码的问题,处理单一化,无法有效处理多源异构的场景。
技术实现思路
[0004]本专利技术的目的是克服了上述现有技术的缺点,提供了一种满足处理多样、有效性好、适用范围较为广泛的针对多源异构审计数据实现关联告警处理的方法、装置、处理器及其计算机可读存储介质。
[0005]为了...
【技术保护点】
【技术特征摘要】
1.一种针对多源异构审计数据实现关联告警处理的方法,其特征在于,所述的方法包括以下步骤:(1)插件框架预加载插件和规则引擎加载自定义规则文件,同时校验插件和规则的有效性;(2)审计webhook server接收来自各个系统推送的审计事件记录,并转发给插件框架以收集获取事件;(3)插件框架根据审计事件记录的字段格式确定来源,交由对应的插件负责解析;(4)插件解析审计事件记录,并将提取的字段值传递给规则引擎;(5)规则引擎按相应规则判断是否违反规则条件,如果是,则触发告警,审计输出端输出告警到告警终端;否则,不触发告警。2.根据权利要求1所述的针对多源异构审计数据实现关联告警处理的方法,其特征在于,所述的方法还包括以下步骤:开发适配各个系统审计事件记录的插件,并定义相关的审计规则。3.根据权利要求1所述的针对多源异构审计数据实现关联告警处理的方法,其特征在于,每个所述的插件对应一个审计事件记录格式。4.根据权利要求1所...
【专利技术属性】
技术研发人员:谢湧,逯利军,钱培专,许闱帷,季利军,
申请(专利权)人:上海赛特斯信息科技股份有限公司北京赛特斯信息科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。