[发明专利]安全事件响应剧本生成方法、系统、装置和存储介质

说明书

本发明公开了一种安全事件响应剧本生成方法、系统、计算机装置和存储介质。安全事件响应剧本生成方法包括根据安全场景确定安全功能实体，识别安全功能实体支持的安全动作，将安全动作标记为读取类或写入类，将安全动作作为生成节点生成安全事件响应剧本等步骤。本发明引入了读写分析的分类机制和技术实现，使得生成的安全事件响应剧本中的安全动作被标识为写入类或读取类，通过对安全动作的类别化标识，提高了安全剧本编排的易用性，减少了安全剧本编辑人员编排过程中的误操作，允许进行动作和权限的适配，基于此可以进一步实现权限设置、安全动作执行审批、新插入的安全动作危险度检测等优化技术。本发明广泛应用于网络安全技术领域。

技术领域

本发明涉及网络安全技术领域，尤其是一种安全事件响应剧本生成方法、系统、计算机装置和存储介质。

背景技术

安全事件响应剧本可以表现为一组用于表示按照什么顺序(flow)、调用什么安全设备(app)、执行什么动作(action)的数据，通过执行安全事件响应剧本，可以实现网络安全事件响应。主流的SOAR(安全编排、自动化与响应)产品都提供了基于图形的可视化编排能力，允许安全人员将应急响应过程中的各个原子化的动作(action)按照一定的逻辑进行编排，形成安全响应剧本(playbook)，从而在发生安全事件时开展快速的应急响应。现有的剧本编排技术只是完成对动作顺序的编排，缺少对动作的管控和风险识别机制。

发明内容

针对上述至少一个技术问题，本发明的目的在于提供一种安全事件响应剧本生成方法、系统、计算机装置和存储介质。

一方面，本发明实施例包括一种安全事件响应剧本生成方法，包括以下步骤：

确定安全场景；

根据所述安全场景，确定要使用的安全功能实体；

识别所述安全功能实体支持的安全动作；

根据所述安全动作的内容，将所述安全动作标记为读取类或写入类；

将所述安全动作作为生成节点，生成所述安全事件响应剧本。

进一步地，所述安全功能实体支持的安全动作包括所述安全功能实体已执行的安全动作和所述安全功能实体将执行的安全动作。

进一步地，所述根据所述安全动作的内容，将所述安全动作标记为读取类或写入类这一步骤，具体包括：

当所述安全动作用于执行获取信息的操作，将所述安全动作标记为读取类；

当所述安全动作用于执行发送信息的操作，将所述安全动作标记为写入类。

进一步地，安全事件响应剧本生成方法还包括以下步骤：

对所述安全事件响应剧本进行可视化处理；所述可视化处理用于通过产生视觉效果，以区分所述安全事件响应剧本中属于读取类的所述安全动作以及属于写入类的所述安全动作。

进一步地，安全事件响应剧本生成方法还包括以下步骤：

对所述安全事件响应剧本进行权限设置；所述权限设置用于对所述安全事件响应剧本中属于读取类的所述安全动作以及属于写入类的所述安全动作赋予不同的访问权限和/或修改权限。

进一步地，安全事件响应剧本生成方法还包括以下步骤：

对所述安全事件响应剧本中的部分或全部所述安全动作进行审批处理；经过所述审批处理的所述安全动作将被所述安全事件响应剧本执行，未经过所述审批处理的所述安全动作不被所述安全事件响应剧本执行。

进一步地，安全事件响应剧本生成方法还包括以下步骤：

检测对所述安全事件响应剧本的插入动作；所述插入动作用于向所述安全事件响应剧本中的特定位置插入新的安全动作；