本發明公開了一種安全編排及自動化響應的方法和裝置。解決了當遭受到網絡安全威脅、攻擊時，自動識別安全事件，自動化編排響應處置流程，并實現自動化的相應響應的技術問題。所述方法包括：獲取威脅告警信息，將獲取的信息與安全事件庫中的安全事件進行比對，確認對應的安全事件；根據該安全事件確認響應的安全劇本；按照安全劇本的流程執行臺詞，對綜合威脅告警進行響應。有益效果：采用本發明所述的方法，安全響應實現自動化，處置流程實現自動化編排，從而提高了對安全事件響應的效率。將響應機制整合起來，形成聯動，進行自動化的響應。采用本發明對響應過程可以通過人工手動和自動化進行編輯，確保了形成有效的響應劇本。

技術領域

本發明屬安全運維技術領域，涉及一種在遭受到安全威脅時，對安全事件及時進行有效的應對，以及對安全事件處理過程操作的編排，尤其涉及一種安全編排及自動化響應的方法和裝置。

背景技術

隨著網絡安全攻防對抗的日趨激烈，快速的對遭受的安全威脅進行響應，及時的對安全威脅進行防范和阻止，實施有效的控制策略是必不可少的。

正是在這樣的背景下，在國際上，檢測和響應類產品受到了極大的關注。放眼國內，更多的注意力集中到了新型檢測產品，尤其是未知威脅檢測領域。借助這些產品和技術，用戶獲得了更低的平均檢測時間，能夠更快更準確地檢測出攻擊和入侵。但是，這些產品和技術大都沒有幫助用戶降低平均響應時間。事實上，對于用戶而言，更快地檢測出問題僅僅是第一步，如何快速地對問題進行響應更加重要。而在提升安全響應效率的時候，不能僅僅從單點(譬如單純從端點或者網絡)去考慮，還需要從全網整體安全運維的角度去考慮，要將分散的檢測與響應機制整合起來。

如何將安全響應實現自動化，將處置流程自動化編排，從而提高響應的效率，是亟待解決的重要問題。

發明內容

本發明主要目的為解決遭受的網絡安全威脅、攻擊時，如何實現自動化的相應，并對處置流程進行自動化編排，從而提高網絡安全事件的應對效率的問題。

為實現上述目的，本發明采用如下技術方案來實現：

一種安全編排及自動化響應的方法，包括以下步驟：

S1、獲取威脅告警信息，將獲取的信息與安全事件庫中的安全事件進行比對，確認對應的安全事件；

S2、根據該安全事件確認響應的安全劇本；

S3、按照安全劇本的流程執行臺詞，對綜合威脅告警進行響應。

進一步地，當在對比后，判斷出安全事件庫中無對應的安全事件時，則自動將該安全事件加入安全事件庫中；

確定安全權事件對應的臺詞；

當缺少對應的臺詞時，則進行人工預警；構造對應的新的臺詞，存入臺詞庫中；

編排成對應的安全劇本，將劇本存入劇本庫中。

進一步地，所述的臺詞，存儲在臺詞庫當中；其中一條臺詞對應了一臺網絡設備或系統的一條處置措施；所述的處置措施為一條標準操作動作，所述的標準動作由若干按順序執行的操作步驟組成。

進一步地，當缺少針對安全事件應對的臺詞時，通過可視化編排構造對應的新的臺詞，再存入臺詞庫中。

進一步地，所述的安全劇本通過劇本執行引擎控制、執行安全劇本的內容；

所述劇本執行引擎執行控制時，將安全劇本中的工作流，先通過DAG解析出若干任務，再對任務進行調度執行。

進一步地，通過將安全劇本與任務按照任務的依賴關系關聯起來，對任務的運行狀態進行實時可視化監控。

進一步地，所述的威脅告警信息，可以是從網絡安全設備、安全系統或威脅分析系統獲取；