本申請提供一種微場景案例的編排驗證方法、裝置、介質及計算機設備，針對任一類型的微場景，基于預設的編排流程編排對應的案例，案例包括：分析函數體、劇本及至少一個驗證函數體；調用分析函數體對微場景的數據源進行過濾及分析，判斷是否存在安全事件；若確定存在所述安全事件，調用劇本對安全事件進行響應，獲得響應結果；劇本中包括有用于響應所述微場景安全事件的各動作函數；調用至少一個驗證函數體對所述響應結果進行驗證；如此，當通過劇本對微場景的安全事件進行自動響應后，可以調用驗證函數體自動對響應結果進行驗證；相比人工驗證的方式，可以避免由人工技能差異導致的驗證誤差，提高驗證的準確度及效率。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種微場景案例的編排驗證方法、裝置、介質及計算機設備。

背景技術

在互聯網領域，一個系統在運行中可能會出現各種各樣的安全風險問題，統稱安全事件，比如：網絡攻擊、病毒入侵、挖礦等；每種安全事件可以看作為一個微場景。為了確保系統可以安全運行，一般會基于安全編排與自動化響應(SOAR，SecurityOrchestration,Automation and Response)的理念預先編排對應的案例，利用案例對進行監控、告警、響應和恢復，以解決出現的各種安全風險問題，實現安全防護。

SOAR的核心理念主要是收集來自不同數據源的安全威脅和情報數據，進行事故分析和分類，若確定存在安全事件，執行劇本的處理邏輯形成響應動作，將響應動作下發到安全設備進行聯動響應，實現對安全事件的標準反應活動，進而形成對安全事件標準化響應的流程。

在編排微場景案例后，為了確保對系統的防護精度，還需對案例的響應效果進行驗證，但是現有技術中，一般是利用人工進行驗證，驗證效率及準確度得不到保證。

發明內容

針對現有技術存在的問題，本申請實施例提供了一種微場景案例的編排驗證方法、裝置、介質及計算機設備，用于解決現有技術中在基于編排的案例對安全事件進行響應后，需要利用人工對響應效果進行驗證，導致驗證的準確度及效率均得不到確保的技術問題。

本申請的第一方面，提供一種微場景案例的編排驗證方法，所述方法包括：

針對任一類型的微場景，基于預設的編排流程編排對應的案例，所述案例包括：分析函數體、劇本及至少一個驗證函數體；

調用所述分析函數體對所述微場景的數據源進行過濾及分析，判斷是否存在安全事件；

若確定存在所述安全事件，調用所述劇本對所述安全事件進行響應，獲得響應結果；所述劇本中包括有用于響應所述微場景安全事件的各動作函數；

調用所述至少一個驗證函數體對所述響應結果進行驗證。

可選的，所述分析函數體包括：過濾函數體及安全規則匹配函數體；所述劇本包括：至少一個響應函數體；所述基于預設的編排流程編排對應的案例，包括：

接收開始函數塊，所述開始函數塊與函數模板庫中的開始函數體相關聯；

接收安全日志函數塊；所述安全日志函數塊與所述函數模板庫中的所述過濾函數體相關聯，所述過濾函數體用于對所述微場景的數據源信息進行過濾，獲得所述微場景對應的安全日志信息；

接收安全規則函數塊；所述安全規則函數塊與所述函數模板庫中的安全規則匹配函數體相關聯，所述安全規則匹配函數體用于基于預設的事件規則對所述安全日志信息進行匹配，生成安全事件；

接收研判取證函數塊；所述研判取證函數塊與所述函數模板庫中研判取證函數體相關聯，所述研判取證函數體用于獲得所述安全事件的威脅證據；

接收至少一個響應函數塊；所述響應函數塊與所述函數模板庫中相應的響應函數體相關聯；所述響應函數體用于對所述安全事件進行響應；