本發明公開了一種安全事件響應劇本生成方法、系統、計算機裝置和存儲介質。安全事件響應劇本生成方法包括根據安全場景確定安全功能實體，識別安全功能實體支持的安全動作，將安全動作標記為讀取類或寫入類，將安全動作作為生成節點生成安全事件響應劇本等步驟。本發明引入了讀寫分析的分類機制和技術實現，使得生成的安全事件響應劇本中的安全動作被標識為寫入類或讀取類，通過對安全動作的類別化標識，提高了安全劇本編排的易用性，減少了安全劇本編輯人員編排過程中的誤操作，允許進行動作和權限的適配，基于此可以進一步實現權限設置、安全動作執行審批、新插入的安全動作危險度檢測等優化技術。本發明廣泛應用于網絡安全技術領域。

技術領域

本發明涉及網絡安全技術領域，尤其是一種安全事件響應劇本生成方法、系統、計算機裝置和存儲介質。

背景技術

安全事件響應劇本可以表現為一組用于表示按照什么順序(flow)、調用什么安全設備(app)、執行什么動作(action)的數據，通過執行安全事件響應劇本，可以實現網絡安全事件響應。主流的SOAR(安全編排、自動化與響應)產品都提供了基于圖形的可視化編排能力，允許安全人員將應急響應過程中的各個原子化的動作(action)按照一定的邏輯進行編排，形成安全響應劇本(playbook)，從而在發生安全事件時開展快速的應急響應。現有的劇本編排技術只是完成對動作順序的編排，缺少對動作的管控和風險識別機制。

發明內容

針對上述至少一個技術問題，本發明的目的在于提供一種安全事件響應劇本生成方法、系統、計算機裝置和存儲介質。

一方面，本發明實施例包括一種安全事件響應劇本生成方法，包括以下步驟：

確定安全場景；

根據所述安全場景，確定要使用的安全功能實體；

識別所述安全功能實體支持的安全動作；

根據所述安全動作的內容，將所述安全動作標記為讀取類或寫入類；

將所述安全動作作為生成節點，生成所述安全事件響應劇本。

進一步地，所述安全功能實體支持的安全動作包括所述安全功能實體已執行的安全動作和所述安全功能實體將執行的安全動作。

進一步地，所述根據所述安全動作的內容，將所述安全動作標記為讀取類或寫入類這一步驟，具體包括：

當所述安全動作用于執行獲取信息的操作，將所述安全動作標記為讀取類；

當所述安全動作用于執行發送信息的操作，將所述安全動作標記為寫入類。

進一步地，安全事件響應劇本生成方法還包括以下步驟：

對所述安全事件響應劇本進行可視化處理；所述可視化處理用于通過產生視覺效果，以區分所述安全事件響應劇本中屬于讀取類的所述安全動作以及屬于寫入類的所述安全動作。

進一步地，安全事件響應劇本生成方法還包括以下步驟：

對所述安全事件響應劇本進行權限設置；所述權限設置用于對所述安全事件響應劇本中屬于讀取類的所述安全動作以及屬于寫入類的所述安全動作賦予不同的訪問權限和/或修改權限。

進一步地，安全事件響應劇本生成方法還包括以下步驟：

對所述安全事件響應劇本中的部分或全部所述安全動作進行審批處理；經過所述審批處理的所述安全動作將被所述安全事件響應劇本執行，未經過所述審批處理的所述安全動作不被所述安全事件響應劇本執行。

進一步地，安全事件響應劇本生成方法還包括以下步驟：

檢測對所述安全事件響應劇本的插入動作；所述插入動作用于向所述安全事件響應劇本中的特定位置插入新的安全動作；