CN110990233A - 一种利用甘特图展示soar的方法和*** - Google Patents
一种利用甘特图展示soar的方法和*** Download PDFInfo
- Publication number
- CN110990233A CN110990233A CN201911197727.2A CN201911197727A CN110990233A CN 110990233 A CN110990233 A CN 110990233A CN 201911197727 A CN201911197727 A CN 201911197727A CN 110990233 A CN110990233 A CN 110990233A
- Authority
- CN
- China
- Prior art keywords
- processing
- alarm event
- response
- processing rule
- soar
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供了一种利用甘特图展示SOAR的方法和***,涉及网络安全的技术领域,包括:获取告警事件处理***的处理规则和告警事件处理***中的响应组件,并确定处理规则的标识序号和响应组件的标识序号;获取目标告警信息,并基于目标告警信息确定处理规则的触发时间节点;获取响应组件的响应时间节点;利用触发时间节点,响应时间节点和标识序号,构建甘特图其中,甘特图用于表征告警事件处理***的安全编排和自动化响应的处理过程,解决了现有技术中无法直观的反映出告警事件处理***的SOAR(安全编排和自动化响应)过程中的各个规则以及各个响应组件的执行顺序、执行时间技术问题。
Description
技术领域
本发明涉及网络安全的技术领域,尤其是涉及一种利用甘特图展示SOAR的方法和***。
背景技术
SOAR(Security Orchestration,Automation and Response,安全编排和自动化响应),在网络安全领域已经流行一段时间,是企业安全的发展方向。SOAR提高了事件响应的效率通过集成的案例管理和任务自动化提高团队的效率,很好地分担安全分析人员大量事务性工作。
SOAR编排各个规则和各个响应组件的工作内容及工作流向,并没有一个直观的时间轴来表示其执行顺序,执行时间,已经执行完成和未执行的。
针对上述问题,还未提出有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种利用甘特图展示SOAR的方法和***,以缓解了有技术中无法直观的反映出告警事件处理***的SOAR(安全编排和自动化响应)过程中的各个规则以及各个响应组件的执行顺序、执行时间技术问题。
第一方面,本发明实施例提供了一种利用甘特图展示SOAR的方法,包括:获取告警事件处理***的处理规则和告警事件处理***中的响应组件,并确定所述处理规则的标识序号和所述响应组件的标识序号;获取目标告警信息,并基于所述目标告警信息确定所述处理规则的触发时间节点,其中,所述目标告警信息用于表征所述告警事件处理***对目标告警事件的处理结果,所述目标告警事件为所述告警事件处理***所处理的告警事件中的任意告警事件;获取所述响应组件的响应时间节点;利用所述触发时间节点,所述响应时间节点和所述标识序号,构建甘特图。
进一步地,确定所述处理规则的标识序号和所述响应组件的标识序号包括:基于所述处理规则和所述响应组件,构建SOAR剧本,其中,所述SOAR剧本用于表征所述告警事件处理***处理告警事件的流程;根据所述SOAR剧本确定所述处理规则的标识序号和所述响应组件的标识序号。
进一步地,基于所述处理规则和所述响应组件,构建SOAR剧本,包括:将所述处理规则和所述响应组件添加至预设画布,得到目标画布;结合所述告警事件处理***的处理流程,在所述目标画布中连接所述处理规则和所述响应组件,得到所述SOAR剧本。
进一步地,根据所述SOAR剧本确定所述处理规则的标识序号和所述响应组件的标识序号包括:基于所述SOAR剧本获取目标顺序;其中,所述目标顺序为将所述处理规则和所述响应组件添加至预设画布的顺序;按照所述目标顺序,为所述处理规则和所述响应组件分别配置对应的标识序号。
进一步地,所述目标告警信息携带有最终处理规则的触发时间节点,以及初始处理规则的标识序号,其中,所述初始处理规则为所述目标告警事件在触发所述最终处理规则之前触发的预设数量个处理规则,所述最终处理规则为所述目标告警事件触发的最后一个处理规则;
基于所述目标告警信息确定出所述处理规则的触发时间节点,包括:获取步骤,基于所述最终处理规则之前触发的预设数量个处理规则的标识信息,获取初始告警信息,其中,所述初始告警信息为所述初始处理规则所对应的告警信息;第一确定步骤,根据所述初始告警信息,确定出所述预设数量个处理规则的触发时间节点;第二确定步骤,将所述最终处理规则之前的预设数量个处理规则确定为所述最终处理规则,以及将所述初始告警信息确定为所述目标告警信息;重复执行所述获取步骤和所述第一确定步骤,直至确定出所有处理规则的触发时间节点。
进一步地,利用所述响应时间节点,所述触发时间节点和所述标识序号,构建甘特图,包括:构建坐标系,其中,所述坐标系的横坐标为时间节点,所述坐标系的纵坐标为标识序号;利用所述响应时间节点,所述触发时间节点和所述标识序号,将所述处理规则和所述响应组件添加至所述坐标系,得到所述甘特图。
第二方面,本发明实施例还提供了一种利用甘特图展示SOAR的***,包括:第一获取单元,第二获取单元,第三获取单元和构建单元,其中,所述第一获取单元用于获取告警事件处理***的处理规则和告警事件处理***中的响应组件,并确定所述处理规则的标识序号和所述响应组件的标识序号;所述第二获取单元用于获取目标告警信息,并基于所述目标告警信息确定所述处理规则的触发时间节点,其中,所述目标告警信息用于表征所述告警事件处理***对目标告警事件的处理结果,所述目标告警事件为所述告警事件处理***所处理的告警事件中的任意告警事件;所述第三获取单元用于获取所述响应组件的响应时间节点;所述构建单元用于利用所述触发时间节点,所述响应时间节点和所述标识序号,构建甘特图。
进一步地,所述第一获取单元还用于:基于所述处理规则和所述响应组件,构建SOAR剧本,其中,所述SOAR剧本用于表征所述告警事件处理***处理告警事件的流程;根据所述SOAR剧本确定所述处理规则的标识序号和所述响应组件的标识序号。
第三方面,本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行第一方面所述的利用甘特图展示SOAR的方法。
第四方面,本发明实施还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现第一方面中所述的利用甘特图展示SOAR的方法。
在本发明实施例中,首先,获取告警事件处理***的处理规则和告警事件处理***中的响应组件,并确定处理规则的标识序号和响应组件的标识序号;接着,获取目标告警信息,并基于目标告警信息确定处理规则的触发时间节点,其中,目标告警信息用于表征告警事件处理***对目标告警事件的处理结果,目标告警事件为告警事件处理***所处理的告警事件中的任意告警事件;然后,获取响应组件的响应时间节点;最后,利用触发时间节点,响应时间节点和标识序号,构建SOAR剧本的甘特图。
在本发明实施例中,通过获取告警事件处理***的处理规则和告警事件处理***中的响应组件,并确定处理规则的标识序号和所述响应组件的标识序号,以及获取根据目标告警信息确定出的处理规则的时间节点和响应组件的响应时间节点,构建甘特图,由于甘特图能够通过条状图显示项目、进度以及其他时间相关的***进展的内在关系随着时间进展的情况,因此达到了通过甘特图展示告警事件处理***的安全编排和自动化响应的处理过程的目的,进而解决了现有技术中无法直观的反映出告警事件处理***的安全编排和自动化响应过程中的各个规则和各个响应组件的执行顺序和执行时间的技术问题,从而实现了通过甘特图直观的反映出告警事件处理***的安全编排和自动化响应过程中的各个规则和各个响应组件的执行顺序和执行时间技术的技术效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种利用甘特图展示SOAR的方法的流程图;
图2为本发明实施例提供的一种确定处理规则的标识序号和响应组件的标识序号的方法的流程图;
图3为本发明实施例提供的一种利用甘特图展示SOAR的***的示意图;
图4为本发明实施例提供的一种服务器的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
根据本发明实施例,提供了一种利用甘特图展示SOAR的方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种利用甘特图展示SOAR的方法,如图1所示,该方法包括如下步骤:
步骤S102,获取告警事件处理***的处理规则和告警事件处理***中的响应组件,并确定所述处理规则的标识序号和所述响应组件的标识序号;
步骤S104,获取目标告警信息,并基于所述目标告警信息确定所述处理规则的触发时间节点,其中,所述目标告警信息用于表征所述告警事件处理***对目标告警事件的处理结果,所述目标告警事件为所述告警事件处理***所处理的告警事件中的任意告警事件。
具体的,上述的目标告警信息可以从与告警事件处理***相连接的kafka平台中获取,Kafka是一个开源流处理平台,由Scala和Java编写。Kafka是一种高吞吐量的分布式发布订阅消息***,它可以处理消费者在网站中的所有动作流数据。该动作(网页浏览,搜索和其他用户的行动)是在现代网络上的许多社会功能的一个关键因素。这些动作流数据通常是由于吞吐量的要求而通过处理日志和日志聚合来解决。Kafka的目的是通过Hadoop的并行加载机制来统一线上和离线的消息处理,也是为了通过集群来提供实时的消息。
步骤S106,获取所述响应组件的响应时间节点。
具体的,上述的响应组件的响应时间节点响应组件的接口对告警事件进行处理的时间节点。
步骤S108,利用所述触发时间节点,所述响应时间节点和所述标识序号,构建甘特图,其中,所述甘特图用于表征所述告警事件处理***的安全编排和自动化响应的处理过程。
在本发明实施例中,通过获取告警事件处理***的处理规则和告警事件处理***中的响应组件,并确定处理规则的标识序号和所述响应组件的标识序号,以及获取根据目标告警信息确定出的处理规则的时间节点和响应组件的响应时间节点,构建甘特图,由于甘特图能够通过条状图显示项目、进度以及其他时间相关的***进展的内在关系随着时间进展的情况,因此达到了通过甘特图展示告警事件处理***的安全编排和自动化响应的处理过程的目的,进而解决了现有技术中无法直观的反映出告警事件处理***的SOAR(安全编排和自动化响应)过程中的各个规则以及各个响应组件的执行顺序、执行时间技术问题,从而实现了通过甘特图直观的反映出警处理***的SOAR(安全编排和自动化响应)过程中的各个规则以及各个响应组件的执行顺序、执行时间的技术效果。
在本发明实施例中,如图2所示,确定所述处理规则的标识序号和所述响应组件的标识序号,还包括如下步骤:
步骤S11,基于所述处理规则和所述响应组件,构建SOAR剧本,其中,所述SOAR剧本用于表征所述告警事件处理***处理告警事件的流程;
步骤S12,根据所述SOAR剧本确定所述处理规则的标识序号和所述响应组件的标识序号。
在本发明实施例中,为了确定出处理规则的标识序号和响应组件的标识序号,首先,基于处理规则和响应组件,构建用于表征告警事件处理***处理告警事件处理流程的流程框图,并将该流程框图作为SOAR剧本。
然后,根据SOAR剧本确定出处理规则的标识序号响应组件的标识序号。
具体的,为了构建SOAR剧本,首先需要将处理规则和响应组件以框图的形式添加至预设画布之中,然后,按照告警事件处理***对告警事件的处理流程,将用于表征处理规则和响应组件的框图用线段连接起来,从而得到SOAR剧本。
为了确定出理规则的标识序号和响应组件的标识序号,需要根据SOAR剧本确定出处理规则和响应组件添加至预设画布的顺序,然后按照该顺序为处理规则和响应组件分别配置对应的标识序号,从而确定出理规则的标识序号和响应组件的标识序号。
在本发明实施例中,基于所述目标告警信息确定所述处理规则的触发时间节点,还包括如下步骤:
获取步骤,基于所述最终处理规则之前触发的预设数量个处理规则的标识信息,获取初始告警信息,其中,所述初始告警信息为所述初始处理规则所对应的告警信息;
步骤S21,第一确定步骤,根据所述初始告警信息,确定出所述预设数量个处理规则的触发时间节点;
步骤S22,第二确定步骤,将所述最终处理规则之前的预设数量个处理规则确定为所述最终处理规则,以及将所述初始告警信息确定为所述目标告警信息;
步骤S23,重复执行所述获取步骤和所述第一确定步骤,直至确定出所有处理规则的触发时间节点。
需要说明的是,上述的目标告警信息携带有最终处理规则的触发时间节点,以及初始处理规则的标识序号,其中,初始处理规则为目标告警事件在触发最终处理规则之前触发的预设数量个处理规则,最终处理规则为目标告警事件触发的最后一个处理规则。
上述的预设数量可以由用户根据实际情况自行设定,在本申请实施例中不做具体限定,优选地,预设数量为1或2。
在本发明实施例中,首先,需要根据最终处理规则之前触发的预设数量个处理规则的标识信息,获取初始处理规则所对应的告警信息(即,初始告警信息)。
然后,根据初始告警信息,确定出预设数量个处理规则的触发时间节点,由于初始告警信息和目标告警信息类似,初始告警信息携带有该初始告警信息对应的处理规则的触发时间节点,因此能够通过初始告警信息确定出预设数量个处理规则的触发时间节点。
接着,将最终处理规则之前的预设数量个处理规则确定为最终处理规则,以及将初始告警信息确定为所述目标告警信息,再次执行获取步骤和第一确定步骤,直至确定出所有处理规则的触发时间节点。
通过上述逆推追溯的方法,能够确定出所有处理规则的触发时间节点。
例如,告警事件处理***中包含5个处理规则,分别为规则1至规则5,在获取到目标告警事件时,告警事件处理***的5个处理规则按照规则1至规则5的顺序依次被触发,则最终处理规则为规则5,若预设数量为2,则目标告警信息携带的初始处理规则的标识序号则为规则4和规则3,而规则4对应的初始告警信息则携带有规则4的触发时间节点,同样的,规则3对应的初始告警信息则携带有规则3的触发时间节点。
在本发明实施例中,步骤S108,还包括如下步骤:
步骤S31,构建坐标系,其中,所述坐标系的横坐标为时间节点,所述坐标系的纵坐标为标识序号;
步骤S32,利用所述响应时间节点,所述触发时间节点和所述标识序号,将所述处理规则和所述响应组件添加至所述坐标系,得到所述甘特图。
在本发明实施例中,由于甘特图是通过条状图(相当于处理规则和响应组件对应的框图)显示项目,进度和其他时间相关的***进展的内在关系随着时间进展的情况,因此,甘特图可以以坐标系的形式进行展现。
首先,以时间节点作为坐标系的横坐标,以及以标识序号作为坐标系的纵坐标,构建坐标系。
然后,根据每个处理规则的触发时间节点和其所对应的标识序号,将处理规则添加至坐标系中,以及根据每个响应组件的触发时间节点和其所对应的标识序号,将响应组件添加至坐标系中,从而得到了能够反映出告警事件处理***的安全编排和自动化响应过程中的各个规则和各个响应组件的执行顺序和执行时间的甘特图,从而使得安全分析人员能够通过甘特图直观的确定出告警事件处理***的安全编排和自动化响应过程中的各个规则和各个响应组件的执行顺序和执行时间,进而减轻了安全分析人员的工作压力。
需要说明的是,在上述的甘特图中,可以通过为响应组件添加标识信息的方式来表征响应组件是否完成了对目标告警事件的处理,例如,将完成了对目标告警事件处理的响应组件以绿色进行显示,将为完成对目标告警事件处理的响应组件以灰色进行显示。
另外,甘特图中还可以显示告警事件的处理进度,处理进度通过完成了对目标告警事件处理的响应组件的数量与响应组件的总数量的比值进行表示。
通过为响应组件添加标识信息使安全分析人员直观的了解到告警事件处理***在处理告警事件时的流程走向,以及通过在甘特图中显示告警事件的处理进度,使安全分析人员直观的了解到告警事件处理***的工作进度。
实施例二:
本发明还提供了一种利用甘特图展示SOAR的***的实施例,该***用于执行本发明实施例上述内容所提供的利用甘特图展示SOAR的方法,以下是本发明实施例提供的利用甘特图展示SOAR的***的具体介绍。
如图3所示,上述的利用甘特图展示SOAR的***,包括:第一获取单元10,第二获取单元20,第三获取单元30和构建单元40。
所述第一获取单元10用于获取告警事件处理***的处理规则和告警事件处理***中的响应组件,并确定所述处理规则的标识序号和所述响应组件的标识序号;
所述第二获取单元20用于获取目标告警信息,并基于所述目标告警信息确定所述处理规则的触发时间节点,其中,所述目标告警信息用于表征所述告警事件处理***对目标告警事件的处理结果,所述目标告警事件为所述告警事件处理***所处理的告警事件中的任意告警事件;
所述第三获取单元30用于获取所述响应组件的响应时间节点;
所述构建单元40用于利用所述触发时间节点,所述响应时间节点和所述标识序号,构建甘特图,其中,所述甘特图用于表征所述告警事件处理***的安全编排和自动化响应的处理过程。
在本发明实施例中,通过获取告警事件处理***的处理规则和告警事件处理***中的响应组件,并确定处理规则的标识序号和所述响应组件的标识序号,以及获取根据目标告警信息确定出的处理规则的时间节点和响应组件的响应时间节点,构建甘特图,由于甘特图能够通过条状图显示项目、进度以及其他时间相关的***进展的内在关系随着时间进展的情况,因此达到了通过甘特图展示告警事件处理***的安全编排和自动化响应的处理过程的目的,进而解决了现有技术中无法直观的反映出告警事件处理***的SOAR(安全编排和自动化响应)过程中的各个规则以及各个响应组件的执行顺序、执行时间技术问题,从而实现了通过甘特图直观的反映出警处理***的SOAR(安全编排和自动化响应)过程中的各个规则以及各个响应组件的执行顺序、执行时间的技术效果。
优选地,所述第一获取单元还用于:基于所述处理规则和所述响应组件,构建SOAR剧本,其中,所述SOAR剧本用于表征所述告警事件处理***处理告警事件的流程;根据所述SOAR剧本确定所述处理规则的标识序号和所述响应组件的标识序号。
优选地,所述第一获取单元还用于:将所述处理规则和所述响应组件添加至预设画布,得到目标画布;结合所述告警事件处理***的处理流程,在所述目标画布中连接所述处理规则和所述响应组件,得到所述SOAR剧本。
优选地,所述第一获取单元还用于:基于所述SOAR剧本获取目标顺序;其中,所述目标顺序为将所述处理规则和所述响应组件添加至预设画布的顺序;按照所述目标顺序,为所述处理规则和所述响应组件分别配置对应的标识序号。
优选地,所述目标告警信息携带有最终处理规则的触发时间节点,以及初始处理规则的标识序号,其中,所述初始处理规则为所述目标告警事件在触发所述最终处理规则之前触发的预设数量个处理规则,所述最终处理规则为所述目标告警事件触发的最后一个处理规则,所述第二获取单元还用于:基于所述最终处理规则之前触发的预设数量个处理规则的标识信息,获取初始告警信息,其中,所述初始告警信息为所述初始处理规则所对应的告警信息;根据所述初始告警信息,确定出所述预设数量个处理规则的触发时间节点;将所述最终处理规则之前的预设数量个处理规则确定为所述最终处理规则,以及将所述初始告警信息确定为所述目标告警信息;重复执行所述获取步骤和所述第一确定步骤,直至确定出所有处理规则的触发时间节点。
优选地,所述构建单元还用于:构建坐标系,其中,所述坐标系的横坐标为时间节点,所述坐标系的纵坐标为标识序号;利用所述响应时间节点,所述触发时间节点和所述标识序号,将所述处理规则和所述响应组件添加至所述坐标系,得到所述甘特图。
本发明实施例提供的一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行上述实施例一中的利用甘特图展示SOAR的方法。
实施例三:
本发明实施例提供的一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例一中的利用甘特图展示SOAR的方法。
参见图4,本发明实施例还提供一种服务器100,包括:处理器60,存储器61,总线62和通信接口63,所述处理器60、通信接口63和存储器61通过总线62连接;处理器60用于执行存储器61中存储的可执行模块,例如计算机程序。
其中,存储器61可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口63(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线62可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器61用于存储程序,所述处理器60在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器60中,或者由处理器60实现。
处理器60可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器60中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器60可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器61,处理器60读取存储器61中的信息,结合其硬件完成上述方法的步骤。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种利用甘特图展示SOAR的方法,其特征在于,包括:
获取告警事件处理***的处理规则和告警事件处理***中的响应组件,并确定所述处理规则的标识序号和所述响应组件的标识序号;
获取目标告警信息,并基于所述目标告警信息确定所述处理规则的触发时间节点,其中,所述目标告警信息用于表征所述告警事件处理***对目标告警事件的处理结果,所述目标告警事件为所述告警事件处理***所处理的告警事件中的任意告警事件;
获取所述响应组件的响应时间节点;
利用所述触发时间节点,所述响应时间节点和所述标识序号,构建甘特图,其中,所述甘特图用于表征所述告警事件处理***的安全编排和自动化响应的处理过程。
2.根据权利要求1所述的方法,其特征在于,确定所述处理规则的标识序号和所述响应组件的标识序号包括:
基于所述处理规则和所述响应组件,构建SOAR剧本,其中,所述SOAR剧本用于表征所述告警事件处理***处理告警事件的流程;
根据所述SOAR剧本确定所述处理规则的标识序号和所述响应组件的标识序号。
3.根据权利要求2所述的方法,其特征在于,基于所述处理规则和所述响应组件,构建SOAR剧本,包括:
将所述处理规则和所述响应组件添加至预设画布,得到目标画布;
结合所述告警事件处理***的处理流程,在所述目标画布中连接所述处理规则和所述响应组件,得到所述SOAR剧本。
4.根据权利要求3所述的方法,其特征在于,根据所述SOAR剧本确定所述处理规则的标识序号和所述响应组件的标识序号包括:
基于所述SOAR剧本获取目标顺序;其中,所述目标顺序为将所述处理规则和所述响应组件添加至预设画布的顺序;
按照所述目标顺序,为所述处理规则和所述响应组件分别配置对应的标识序号。
5.根据权利要求1所述的方法,其特征在于,所述目标告警信息携带有最终处理规则的触发时间节点,以及初始处理规则的标识序号,其中,所述初始处理规则为所述目标告警事件在触发所述最终处理规则之前触发的预设数量个处理规则,所述最终处理规则为所述目标告警事件触发的最后一个处理规则;
基于所述目标告警信息确定出所述处理规则的触发时间节点,包括:
获取步骤,基于所述最终处理规则之前触发的预设数量个处理规则的标识信息,获取初始告警信息,其中,所述初始告警信息为所述初始处理规则所对应的告警信息;
第一确定步骤,根据所述初始告警信息,确定出所述预设数量个处理规则的触发时间节点;
第二确定步骤,将所述最终处理规则之前的预设数量个处理规则确定为所述最终处理规则,以及将所述初始告警信息确定为所述目标告警信息;
重复执行所述获取步骤和所述第一确定步骤,直至确定出所有处理规则的触发时间节点。
6.根据权利要求1所述的方法,其特征在于,利用所述响应时间节点,所述触发时间节点和所述标识序号,构建甘特图,包括:
构建坐标系,其中,所述坐标系的横坐标为时间节点,所述坐标系的纵坐标为标识序号;
利用所述响应时间节点,所述触发时间节点和所述标识序号,将所述处理规则和所述响应组件添加至所述坐标系,得到所述甘特图。
7.一种利用甘特图展示SOAR的***,其特征在于,包括:第一获取单元,第二获取单元,第三获取单元和构建单元,其中,
所述第一获取单元用于获取告警事件处理***的处理规则和告警事件处理***中的响应组件,并确定所述处理规则的标识序号和所述响应组件的标识序号;
所述第二获取单元用于获取目标告警信息,并基于所述目标告警信息确定所述处理规则的触发时间节点,其中,所述目标告警信息用于表征所述告警事件处理***对目标告警事件的处理结果,所述目标告警事件为所述告警事件处理***所处理的告警事件中的任意告警事件;
所述第三获取单元用于获取所述响应组件的响应时间节点;
所述构建单元用于利用所述触发时间节点,所述响应时间节点和所述标识序号,构建甘特图,其中,所述甘特图用于表征所述告警事件处理***的安全编排和自动化响应的处理过程。
8.根据权利要求7所述的***,其特征在于,所述第一获取单元还用于:
基于所述处理规则和所述响应组件,构建SOAR剧本,其中,所述SOAR剧本用于表征所述告警事件处理***处理告警事件的流程;
根据所述SOAR剧本确定所述处理规则的标识序号和所述响应组件的标识序号。
9.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行上述权利要求1至6中任一项所述的利用甘特图展示SOAR的方法。
10.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至6中任一项所述的利用甘特图展示SOAR的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911197727.2A CN110990233B (zh) | 2019-11-28 | 2019-11-28 | 一种利用甘特图展示soar的方法和*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911197727.2A CN110990233B (zh) | 2019-11-28 | 2019-11-28 | 一种利用甘特图展示soar的方法和*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110990233A true CN110990233A (zh) | 2020-04-10 |
CN110990233B CN110990233B (zh) | 2023-05-30 |
Family
ID=70088219
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911197727.2A Active CN110990233B (zh) | 2019-11-28 | 2019-11-28 | 一种利用甘特图展示soar的方法和*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110990233B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111818068A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 微场景案例的编排验证方法、装置、介质及计算机设备 |
CN111818069A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
CN112202724A (zh) * | 2020-09-09 | 2021-01-08 | 绿盟科技集团股份有限公司 | 一种多合一编排模式的数据汇聚方法及装置 |
CN112508448A (zh) * | 2020-12-21 | 2021-03-16 | 中电福富信息科技有限公司 | 基于大数据和ai驱动的安全编排及响应***及其方法 |
CN112529417A (zh) * | 2020-12-14 | 2021-03-19 | 杭州安恒信息技术股份有限公司 | 一种安全事件处理方法、装置、设备及存储介质 |
CN113259371A (zh) * | 2021-06-03 | 2021-08-13 | 上海雾帜智能科技有限公司 | 基于soar***的网络攻击事件阻止方法及*** |
CN113726744A (zh) * | 2021-08-02 | 2021-11-30 | 南京南瑞信息通信科技有限公司 | 基于任务编排的可视化安全告警处置***与方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103107907A (zh) * | 2013-01-04 | 2013-05-15 | 西安交大捷普网络科技有限公司 | 一种基于事件流追加推动方式的安全响应方法 |
CN106302788A (zh) * | 2016-08-29 | 2017-01-04 | 成都泛米科技有限公司 | 一种基于网络动态甘特图的互动方法及*** |
CN106649123A (zh) * | 2016-12-28 | 2017-05-10 | 中国银行股份有限公司 | 面向持续集成的告警***及方法 |
CN107193714A (zh) * | 2017-03-30 | 2017-09-22 | 武汉斗鱼网络科技有限公司 | 一种告警展示方法及装置 |
US20180181870A1 (en) * | 2016-12-23 | 2018-06-28 | Cerner Innovation, Inc. | Integrating flexible rule execution into a near real-time streaming environment |
CN109272293A (zh) * | 2018-09-12 | 2019-01-25 | 宫辉 | 一种基于程序轴法律事务管理***的事务提醒方法 |
CN109510726A (zh) * | 2018-12-21 | 2019-03-22 | 深圳市万网博通科技有限公司 | 网络可视化实现方法、装置、计算机设备和存储介质 |
-
2019
- 2019-11-28 CN CN201911197727.2A patent/CN110990233B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103107907A (zh) * | 2013-01-04 | 2013-05-15 | 西安交大捷普网络科技有限公司 | 一种基于事件流追加推动方式的安全响应方法 |
CN106302788A (zh) * | 2016-08-29 | 2017-01-04 | 成都泛米科技有限公司 | 一种基于网络动态甘特图的互动方法及*** |
US20180181870A1 (en) * | 2016-12-23 | 2018-06-28 | Cerner Innovation, Inc. | Integrating flexible rule execution into a near real-time streaming environment |
CN106649123A (zh) * | 2016-12-28 | 2017-05-10 | 中国银行股份有限公司 | 面向持续集成的告警***及方法 |
CN107193714A (zh) * | 2017-03-30 | 2017-09-22 | 武汉斗鱼网络科技有限公司 | 一种告警展示方法及装置 |
CN109272293A (zh) * | 2018-09-12 | 2019-01-25 | 宫辉 | 一种基于程序轴法律事务管理***的事务提醒方法 |
CN109510726A (zh) * | 2018-12-21 | 2019-03-22 | 深圳市万网博通科技有限公司 | 网络可视化实现方法、装置、计算机设备和存储介质 |
Non-Patent Citations (1)
Title |
---|
李放;王保青;师玉洁;姜涛;: "结合SOAR与ARKit的增强现实工程模拟***仿真" * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111818068A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 微场景案例的编排验证方法、装置、介质及计算机设备 |
CN111818069A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
CN111818068B (zh) * | 2020-07-14 | 2022-07-15 | 绿盟科技集团股份有限公司 | 微场景案例的编排验证方法、装置、介质及计算机设备 |
CN112202724A (zh) * | 2020-09-09 | 2021-01-08 | 绿盟科技集团股份有限公司 | 一种多合一编排模式的数据汇聚方法及装置 |
CN112529417A (zh) * | 2020-12-14 | 2021-03-19 | 杭州安恒信息技术股份有限公司 | 一种安全事件处理方法、装置、设备及存储介质 |
CN112508448A (zh) * | 2020-12-21 | 2021-03-16 | 中电福富信息科技有限公司 | 基于大数据和ai驱动的安全编排及响应***及其方法 |
CN113259371A (zh) * | 2021-06-03 | 2021-08-13 | 上海雾帜智能科技有限公司 | 基于soar***的网络攻击事件阻止方法及*** |
CN113726744A (zh) * | 2021-08-02 | 2021-11-30 | 南京南瑞信息通信科技有限公司 | 基于任务编排的可视化安全告警处置***与方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110990233B (zh) | 2023-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110990233B (zh) | 一种利用甘特图展示soar的方法和*** | |
US20210168175A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
CN112052111B (zh) | 服务器异常预警的处理方法、装置、设备及存储介质 | |
CN110162976B (zh) | 风险评估方法、装置及终端 | |
US20210092160A1 (en) | Data set creation with crowd-based reinforcement | |
CN111178760A (zh) | 风险监测方法、装置、终端设备及计算机可读存储介质 | |
CN109995612B (zh) | 一种服务巡检方法、装置及电子设备 | |
CN110222535B (zh) | 区块链配置文件的处理装置、方法及存储介质 | |
CN111552633A (zh) | 接口的异常调用测试方法、装置、计算机设备及存储介质 | |
CN114048055A (zh) | 时序数据异常根因分析方法及*** | |
CN104579830A (zh) | 服务监控方法及装置 | |
CN111738463A (zh) | 运维方法、装置、***、电子设备及存储介质 | |
CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
CN115437933A (zh) | 自动化测试方法、装置、计算机设备及存储介质 | |
CN111309743A (zh) | 报表推送方法及装置 | |
CN114564297A (zh) | 一种任务执行顺序计算方法、装置、设备及可读存储介质 | |
CN113778878A (zh) | 接口测试方法、装置、电子设备及存储介质 | |
CN113468212A (zh) | 事件执行的方法、装置及电子设备 | |
CN112559525A (zh) | 数据检查***、方法、装置和服务器 | |
CN115629951A (zh) | 一种任务全链路追踪方法、第一节点、链路***及介质 | |
CN114363002B (zh) | 一种网络攻击关系图的生成方法及装置 | |
CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
CN111597093A (zh) | 一种异常处理方法、装置及其设备 | |
CN113259154B (zh) | 中台数据校验通知方法、装置、计算机设备和存储介质 | |
CN113918204A (zh) | 一种元数据脚本管理方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |