2.如權利要求1所述的方法，其特征在于，所述分析函數體包括：過濾函數體及安全規則匹配函數體；所述劇本包括：至少一個響應函數體；所述基于預設的編排流程編排對應的案例，包括：

接收開始函數塊，所述開始函數塊與函數模板庫中的開始函數體相關聯；

接收安全日志函數塊；所述安全日志函數塊與所述函數模板庫中的所述過濾函數體相關聯，所述過濾函數體用于對所述微場景的數據源信息進行過濾，獲得所述微場景對應的安全日志信息；

接收安全規則函數塊；所述安全規則函數塊與所述函數模板庫中的安全規則匹配函數體相關聯，所述安全規則匹配函數體用于基于預設的事件規則對所述安全日志信息進行匹配，生成安全事件；

接收研判取證函數塊；所述研判取證函數塊與所述函數模板庫中研判取證函數體相關聯，所述研判取證函數體用于獲得所述安全事件的威脅證據；

接收至少一個響應函數塊；所述響應函數塊與所述函數模板庫中相應的響應函數體相關聯；所述響應函數體用于對所述安全事件進行響應；

接收至少一個驗證函數塊，所述驗證函數塊與所述函數模板庫中相應的驗證函數體相關聯，所述驗證函數體用于對相應的所述響應結果進行驗證；

接收結束函數塊，所述結束函數塊與所述函數模板庫中的結束函數體相關聯；

根據所述開始函數塊、所述安全日志函數塊、所述安全規則函數塊、所述研判取證函數塊、所述響應函數塊、所述驗證函數塊及所述結束函數塊生成所述微場景對應的案例。