(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111503751.1 (22)申请日 2021.12.09 (71)申请人 天翼电子商务有限公司 地址 102200 北京市昌平区未来科技城南 区中国电信集团公司院内 (72)发明人 刘剑群　吴朝亮　刘骁睿　刘奇　 彭大祥　孟熹　朱孟星　陈鹏　 张长英　 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/08(2022.01) H04L 41/22(2022.01) H04L 67/00(2022.01) H04L 67/30(2022.01) G06F 8/34(2018.01) G06F 9/54(2006.01) (54)发明名称 一种基于应用包插件的安全事件响应和自 动化编排方法 (57)摘要 本发明公开了一种基于应用包插件的安全 事件响应和自动化编排方法， 主要核心模块包 括： 定义剧本、 触发器、 规则引擎、 剧本编排、 动作 引擎。 本发明以安全事件驱动的模式， 将多个异 构系统间的协同自动化、 灵活的协同起来， 运用 在SOAR的安全产品赛道上， 在任务调度的灵活 性、 可配置型和拖拉拽的有向图展示方式， 有良 好的用户体验， 安全运营可快速上手； 创造性的 将事件驱动的预案处理技术融入网络安全防护 领域中， 在开展安全运营响应流程中， 在搭建一 种安全事件编排和自动化响应能力(SOAR)的相 关系统中， 作为任务调度协作的核心引擎； 具有 良好的实际经济和社会效益， 可以为社会和企业 创造可观的价 值。 权利要求书1页 说明书3页 附图1页 CN 114401109 A 2022.04.26 CN 114401109 A 1.一种基于应用包插件的安全事件响应和自动化编排方法， 其特征在于， 主要核心模 块包括： 定义剧本、 触发器、 规则引擎、 剧本编排、 动作引擎， 具体步骤如下 所示： (1)定义剧本： 通过可视化的编排， 定义好具备逻辑顺序、 条件规则的流程工作图， 形成 工作流执 行图(剧本)； (2)触发器： 从传感器或其他系统接受或监 听安全事件， 当有外部系统 的安全事件发生 并被传感器处 理时， 安全 事件将被触发， 发送到系统做下一 步的处置； (3)规则引擎： 是一个基于有向图的工作流引擎， 专为SOAR中自定义编排和响应处置所 用； 规则将 触发器映射到操作(或工作流)， 应用匹配条件并将 触发器映射到操作输入； 工作 流通过结构化的YAML文件(YAML是是一种通用的数据串行化格式， 配置文件的描语 言)进行 描述和定义； 工作流可由一个或多个任务组成， 每个任务包含了要 执行的操作和输入； 任务 执行完成后， 根据条件进 行下一步任务， 若存在下一步任务， 那上个任务的输出可作为当前 任务的输入 源； 若不存在更多的任务执 行， 则工作流执 行结束； (4)剧本编排： 通常以可视化拖拉拽自助编排的方式， 建立若干个图组成预执行的流程 图； 工作流执行支持有向图或者有向循环图的方式； 该图可以具有并行运行的分支， 然后归 并收敛到单个分支的能力， 同样， 单个分支亦可分散 到多个分支； (5)动作引擎： 应用包下的一个或多个动作， 工作流将动作拼接成 “动作集合 ”， 定义顺 序、 转换条件和传递数据； 大多数自动化不仅仅是一个步骤， 因此需要多个操作； 工作流可 以手动调用或由规则触发。权　利　要　求　书 1/1 页 2 CN 114401109 A 2一种基于应用包插 件的安全事件响应和自动化编排 方法 技术领域 [0001]本发明涉及网络安全技术领域， 特别涉及 一种基于应用包插件的安全事件响应和 自动化编排方法。 背景技术 [0002]安全运营是网络安全保障体系的一部分， 随着安全体系的不断深化， 大部分企业 已从建设期转换为运营期， 一家企业在日常安全运维过程中， 存在多人、 多个异构系统、 多 个操作界面的安全运营协作工作， 安全处置效率较长， 运营效率低下； [0003]SOAR， Gartner  2015年提出的SOAR概念， 定义为Security  Orchestration， Automation  and Response， 既安全编排、 自动化与响应。 将复杂的威胁事件响应过程和任 务， 事先制定成标准自动化执 行的处理工作流(简称剧本或预案)； [0004]工作流引擎(workflow)作为平台系统的一部分， 将系统各个动作拼接成 “动作 集”， 定义顺序、 转换 条件和传递数据； [0005]应用包， 封装第三方系统、 应用或服务的接口， 形成应用业务逻辑的动作库， 一个 应用可包含多个动作的集合， 简称为应用包。 其可供SOAR子系统在剧本可视化编排时， 根据 实际剧本的处置述 求， 结合形成工作流环 节的一部分。 发明内容 [0006]本发明要解决的技术问题是克服现有技术的缺陷， 提供一种基于应用包插件的安 全事件响应和自动化编排方法， 根据 “剧本”定义的工作流程， 以应用 调度和工作流编排的 模式， 在人、 技术、 流程进行协同， 自动化执行系统间的协作， 减少重复、 低效的安全运维任 务， 提升安全运营响应效率。 [0007]本发明提供了如下的技 术方案： [0008]本发明提供一种基于应用包插件的安全事件响应和自动化编排方法， 主要核心模 块包括： 定义剧本、 触发器、 规则引擎、 剧本编排、 动作引擎， 具体步骤如下 所示： [0009](1)定义剧本： 通过可视化的编排， 定义好具备逻辑顺序、 条件规则的流程工作图， 形成工作流执 行图(剧本)； [0010](2)触发器： 从传感器或其他系统接受或监听安全事件， 当有外部系统的安全事件 发生并被传感器处 理时， 安全 事件将被触发， 发送到系统做下一 步的处置； [0011](3)规则引擎： 是一个基于有向 图的工作流引擎， 专为SOAR中自定义编排和响应处 置所用； 规则将 触发器映射到操作(或工作流)， 应用匹配条件并将 触发器映射到操作输入； 工作流通过结构化的YAML文件(YAML是是一种通用的数据串 行化格式， 配置文件的描语 言) 进行描述和定义； 工作流可由一个或多个任务组成， 每个任务包含了要 执行的操作和输入； 任务执行完成后， 根据条件进 行下一步任务， 若存在下一步任务， 那上个任务的输出可作为 当前任务的输入 源； 若不存在更多的任务执 行， 则工作流执 行结束； [0012](4)剧本编排： 通常以可视化拖拉拽自助编排的方式， 建立若干个图组成预执行的说　明　书 1/3 页 3 CN 114401109 A 3