一种基于应用包插件的安全事件响应和自动化编排方法与流程

1.本发明涉及网络安全技术领域，特别涉及一种基于应用包插件的安全事件响应和自动化编排方法。


背景技术：

2.安全运营是网络安全保障体系的一部分，随着安全体系的不断深化，大部分企业已从建设期转换为运营期，一家企业在日常安全运维过程中，存在多人、多个异构系统、多个操作界面的安全运营协作工作，安全处置效率较长，运营效率低下；
3.soar，gartner 2015年提出的soar概念，定义为security orchestration，automation and response，既安全编排、自动化与响应。将复杂的威胁事件响应过程和任务，事先制定成标准自动化执行的处理工作流(简称剧本或预案)；
4.工作流引擎(workflow)作为平台系统的一部分，将系统各个动作拼接成“动作集”，定义顺序、转换条件和传递数据；
5.应用包，封装第三方系统、应用或服务的接口，形成应用业务逻辑的动作库，一个应用可包含多个动作的集合，简称为应用包。其可供soar子系统在剧本可视化编排时，根据实际剧本的处置述求，结合形成工作流环节的一部分。


技术实现要素：

6.本发明要解决的技术问题是克服现有技术的缺陷，提供一种基于应用包插件的安全事件响应和自动化编排方法，根据“剧本”定义的工作流程，以应用调度和工作流编排的模式，在人、技术、流程进行协同，自动化执行系统间的协作，减少重复、低效的安全运维任务，提升安全运营响应效率。
7.本发明提供了如下的技术方案：
8.本发明提供一种基于应用包插件的安全事件响应和自动化编排方法，主要核心模块包括：定义剧本、触发器、规则引擎、剧本编排、动作引擎，具体步骤如下所示：
9.(1)定义剧本：通过可视化的编排，定义好具备逻辑顺序、条件规则的流程工作图，形成工作流执行图(剧本)；
10.(2)触发器：从传感器或其他系统接受或监听安全事件，当有外部系统的安全事件发生并被传感器处理时，安全事件将被触发，发送到系统做下一步的处置；
11.(3)规则引擎：是一个基于有向图的工作流引擎，专为soar中自定义编排和响应处置所用；规则将触发器映射到操作(或工作流)，应用匹配条件并将触发器映射到操作输入；工作流通过结构化的yaml文件(yaml是是一种通用的数据串行化格式，配置文件的描语言)进行描述和定义；工作流可由一个或多个任务组成，每个任务包含了要执行的操作和输入；任务执行完成后，根据条件进行下一步任务，若存在下一步任务，那上个任务的输出可作为当前任务的输入源；若不存在更多的任务执行，则工作流执行结束；
12.(4)剧本编排：通常以可视化拖拉拽自助编排的方式，建立若干个图组成预执行的
流程图；工作流执行支持有向图或者有向循环图的方式；该图可以具有并行运行的分支，然后归并收敛到单个分支的能力，同样，单个分支亦可分散到多个分支；
13.(5)动作引擎：应用包下的一个或多个动作，工作流将动作拼接成“动作集合”，定义顺序、转换条件和传递数据；大多数自动化不仅仅是一个步骤，因此需要多个操作；工作流可以手动调用或由规则触发。
14.与现有技术相比，本发明的有益效果如下：
15.本发明以安全事件驱动的模式，将多个异构系统间的协同自动化、灵活的协同起来，运用在soar的安全产品赛道上，在任务调度的灵活性、可配置型和拖拉拽的有向图展示方式，有良好的用户体验，安全运营可快速上手；创造性的将事件驱动的预案处理技术融入网络安全防护领域中，在开展安全运营响应流程中，在搭建一种安全事件编排和自动化响应能力(soar)的相关系统中，作为任务调度协作的核心引擎；具有良好的实际经济和社会效益，可以为社会和企业创造可观的价值。
附图说明
16.附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：
17.图1是本发明的实施例示意图；
18.图2是本发明的核心模块示意图。
具体实施方式
19.以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。其中附图中相同的标号全部指的是相同的部件。
20.实施例1
21.如图1-2，本发明提供一种基于应用包插件的安全事件响应和自动化编排方法，主要核心模块包括：定义剧本、触发器、规则引擎、剧本编排、动作引擎，具体步骤如下所示：
22.(1)定义剧本：通过可视化的编排，定义好具备逻辑顺序、条件规则的流程工作图，形成工作流执行图(剧本)；
23.(2)触发器：从传感器或其他系统接受或监听安全事件，当有外部系统的安全事件发生并被传感器处理时，安全事件将被触发，发送到系统做下一步的处置；
24.(3)规则引擎：是一个基于有向图的工作流引擎，专为soar中自定义编排和响应处置所用；规则将触发器映射到操作(或工作流)，应用匹配条件并将触发器映射到操作输入；工作流通过结构化的yaml文件(yaml是是一种通用的数据串行化格式，配置文件的描语言)进行描述和定义；工作流可由一个或多个任务组成，每个任务包含了要执行的操作和输入；任务执行完成后，根据条件进行下一步任务，若存在下一步任务，那上个任务的输出可作为当前任务的输入源；若不存在更多的任务执行，则工作流执行结束；
25.(4)剧本编排：通常以可视化拖拉拽自助编排的方式，建立若干个图组成预执行的流程图；工作流执行支持有向图或者有向循环图的方式；该图可以具有并行运行的分支，然后归并收敛到单个分支的能力，同样，单个分支亦可分散到多个分支；
26.(5)动作引擎：应用包下的一个或多个动作，工作流将动作拼接成“动作集合”，定义顺序、转换条件和传递数据；大多数自动化不仅仅是一个步骤，因此需要多个操作；工作流可以手动调用或由规则触发。
27.进一步的，示例如下：
28.1.在2021的某次重大攻防演习活动中，其处于平台的安全事件的响应处置一环。在面对全网大量的安全设备事件告警，先经过分析中心后，形成各条事件权重分，到“自动化中心”(工作流引擎内置其中)中，配置若干个事件处置模型，根据事件等级，进行事件告警忽略、钉钉通知、邮件通知、事件上报和ip封堵等处置方式，最终实现对事件的自动化处理，事件记录压缩率872％，大大减轻了监控人员的压力，加快了处理速度，提升了公司网络攻击的应对能力。
29.2.互金公司作为研发单位，承担了2021年集团重大攻关项目的子课题“安全事件编排和自动化响应”的研发工作，本发明专利是其中一个重大技术创新攻关点，目前已经在2个单位试点落地。
30.本发明以安全事件驱动的模式，将多个异构系统间的协同自动化、灵活的协同起来，运用在soar的安全产品赛道上，在任务调度的灵活性、可配置型和拖拉拽的有向图展示方式，有良好的用户体验，安全运营可快速上手；创造性的将事件驱动的预案处理技术融入网络安全防护领域中，在开展安全运营响应流程中，在搭建一种安全事件编排和自动化响应能力(soar)的相关系统中，作为任务调度协作的核心引擎；具有良好的实际经济和社会效益，可以为社会和企业创造可观的价值。
31.最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。