[发明专利]基于场景的安全事件全局响应方法以及装置、设备、存储介质

权利要求书

1.一种基于场景的安全事件全局响应方法，其特征在于，包括：

采集用户上传的日志数据，通过统一格式化后得到格式化日志；

对格式化日志按照安全规则进行聚合，得到告警信息；

基于告警信息字段，对告警信息告警信息进行安全事件分类；

按照不同的安全事件分类结果，建立对应的预设响应流程处置安全事件，其中所述预设响应流程中的操作步骤由第一用户进行确认，并且在所述预设响应流程完成后由第二用户进行确认。

2.根据权利要求1所述的基于场景的安全事件全局响应方法，其特征在于，按照不同的安全事件分类结果，建立对应的预设响应流程处置安全事件包括：

按照不同的安全事件分类场景，建立对应的自动化响应流程处置安全事件。

3.根据权利要求1所述的基于场景的安全事件全局响应方法，其特征在于，基于告警信息字段，对告警信息进行安全事件分类包括：

基于告警信息字段，判断告警信息中的安全事件是否有恶意；

如果判断告警信息中的安全事件有恶意，则对告警信息进行对应的安全事件分类。

4.根据权利要求1所述的基于场景的安全事件全局响应方法，其特征在于，基于告警信息字段，对告警信息进行安全事件分类包括：

基于告警信息字段，判断告警信息中的安全事件试图获取何种类型的数据；

通过判断告警信息中的安全事件试图获取的数据类型，对告警信息进行对应的安全事件分类。

5.根据权利要求1所述的基于场景的安全事件全局响应方法，其特征在于，按照不同的安全事件分类结果，建立对应的预设响应流程处置安全事件之后包括：

按照默认处置流程，由第一用户进行确认，并且在所述默认处置流程完成后由第二用户进行确认；

根据所述第二用户的反馈，修正所述默认处置流程，并增加至流程策略库。

6.一种基于场景的安全事件全局响应装置，其特征在于，包括：

采集模块，用于采集用户上传的日志数据，通过统一格式化后得到格式化日志；

聚合告警模块，用于对格式化日志进行聚合，得出告警信息；

格式化处理模块，用于基于告警信息字段，对告警信息告警信息进行安全事件分类；

响应模块，用于按照不同的安全事件分类结果，建立对应的预设响应流程处置安全事件，其中所述预设响应流程中的操作步骤由第一用户进行确认，并且在所述预设响应流程完成后由第二用户进行确认。

7.根据权利要求6所述的基于场景的安全事件全局响应装置，其特征在于，所述格式化处理模块，用于

基于告警信息字段，判断告警信息中的安全事件是否有恶意；

如果判断告警信息中的安全事件有恶意，则对告警信息进行对应的安全事件分类；

基于告警信息字段，判断告警信息中的安全事件试图获取何种类型的数据；

通过判断告警信息中的安全事件试图获取的数据类型，对告警信息进行对应的安全事件分类。

8.根据权利要求6所述的基于场景的安全事件全局响应装置，其特征在于，还包括：审核模块，用于

按照默认处置流程，由第一用户进行确认，并且在所述默认处置流程完成后由第二用户进行确认；

根据所述第二用户的反馈，修正所述默认处置流程，并增加至流程策略库。

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至5任一项所述的基于场景的安全事件全局响应方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至5任一项所述的基于场景的安全事件全局响应方法的步骤。