(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211119272.4 (22)申请日 2022.09.15 (71)申请人 南京怡晟安全技 术研究院有限公司 地址 211100 江苏省南京市江宁区科建 路 29号有志大厦6层L6 029 (72)发明人 李峰 顾亮  (74)专利代理 机构 南京苏创专利代理事务所 (普通合伙) 32273 专利代理师 王晶杰 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) (54)发明名称 一种安全编排和自动化响应方法 (57)摘要 本发明涉及一种安全编排和自动化响应方 法, 属于网络信息安全领域。 通过外部设备推送 取安全信息和事性管理、 安全运营管理中心、 态 势感知、 工单、 邮件和导入导出中信息作为告警 信息。 对告警信息进行告警管理, 告警管理包括 告警分诊、 告警调查、 告警响应和告警库, 其中告 警分诊为将告警信息分类, 告警调查为提取告警 原因。 按预定场景脚本持续通过告警分诊分类指 派不同的案件处理流程。 告警响应通过定时任务 轮询调用API接口来调用对面API接口, 与安全编 排和自动化按安全预设脚本联动进行响应。 对案 件真伪性进行验证。 让安全专家从繁重的重复劳 动中释放出来, 每一次安全事件的对应处置过程 都在统一标准, 统一 步骤下执行。 权利要求书1页 说明书4页 附图3页 CN 115208699 A 2022.10.18 CN 115208699 A 1.一种安全编排和自动化响应方法, 其特 征在于: 包括如下步骤: 步骤1: 收集信息: 通过外部设备推送取安全信 息和事性管理、 安全运营管理中心、 态势 感知、 工单、 邮件和导入导出中信息作为告警信息; 步骤2: 告警管理: 对步骤1所述的告警信息进行告警管理, 告警管理包括告警分诊、 告 警调查、 告警响应和告警库, 其中告警分诊为将步骤1所述的告警信息分类, 告警调查为提 取告警原因; 步骤3: 案件管理: 按预定场景脚本持续通过步骤2中的告警分诊分类指派不同的案件 处理流程; 步骤4: 安全编排和自动化: 所述步骤2中的告警响应通过定时任务轮询调用API接口来 调用对面API接口, 与安全编排和自动化按安全预设脚本联动进行响应; 步骤5: 编排或运行引擎: 使用Full  API和安全编排能力剧本运行实例和工作流引擎、 人机接口和动作接口, 对案件真伪性进行验证; 步骤6: 应用管理: 调用外部系 统的安全扫描器、 工单、 邮件的程序,方法和api, 同时输 出API接口对接 外部系统的调用, 对接安全编排和自动化中场景。 2.根据权利要求1所述的安全编排和自动化响应方法, 其特征在于: 所述步骤2中的告 警分诊具体为安全告警类别区分, 再进行统一展示, 安全告警类别区分包括区分来源和类 型, 来源包括服务器告警、 应用告警和数据库告警, 类型包括木马和sql注入类型。 3.根据权利要求2所述的安全编排和自动化响应方法, 其特征在于: 所述步骤2中的告 警分诊还包括自动计算可信度和处置优先级, 所述可信度使用非单一漏洞扫描工具进 行双 重或多次检测进 行可信度叠加, 所述处置优先级通过安全工具预制安全评 分规则根据安全 漏洞类型进行安全评分, 将优先级高的工作队列排在前面, 进行管理员的信息推送和告警 工单展示, 处置优先级时sql注入属于高危漏洞, 处置优先级最高。 4.根据权利要求1所述的安全编排和自动化响应方法, 其特征在于: 所述步骤2中的告 警调查具体为告警真伪鉴别, 包括事件还原和事件成因调查, 剔除虚警、 模糊的和低质量的 告警。 5.根据权利要求1所述的安全编排和自动化响应方法, 其特征在于: 所述步骤2再通过 告警透视获得对告警信息全面的可 见性。 6.根据权利要求1所述的安全编排和自动化响应方法, 其特征在于: 所述步骤2中的告 警库中存放告警信息的数据库表。 7.根据权利要求1所述的安全编排和自动化响应方法, 其特征在于: 步骤3案件概览、 案 件流程处理、 痕迹管 理和编排调查与响应, 案件报告、 案件度量和案件协作分析, 案件库、 案 件响应; 通过痕迹和物证进 行关联, 再经过时间积累和历史信息回溯进 行痕迹追加, 得到痕 迹物证和攻击者的战技过程指标信息, 所述积累为 安全专家预制指标, 形成指标 元数据。 8.根据权利要求1所述的安全编排和自动化响应方法, 其特征在于: 所述步骤4中安全 编排前根据业务逻辑、 流转和排列执行顺序构建工作流编排, 包括客户不同的系统或一个 系统内不同组件的安全能力通过可编程接口和人工检查点, 按照典型剧本解析的逻辑关系 组合, 以完成安全操作。权 利 要 求 书 1/1 页 2 CN 115208699 A 2一种安全编排和自动化响应方 法 技术领域 [0001]本发明涉及一种安全编排和自动化响应方法, 属于网络信息安全技 术领域。 背景技术 [0002]网络安全是企业数字化转型发展的基石, 是企业得以长久生存的保障。 随着数字 化大潮的来袭, 企业的数字化转型百家争鸣, 数字化道路上的技术可谓是百花齐放。 想要在 网络安全前行之路上, 不断适应网络攻击的变化, 跟上数字化大潮的脚步, 绝非易事。 而且 近些年, 攻击者利用新技术不断升级风险, 进化攻击手段, 企业也在不断遭受合规方面的压 力, 这让企业的安全团队遭 遇重重困难。 [0003]1.商业价值难以体现, 企业的安全建设需要耗费大量的成本, 但是一般而 言, 企业 的安全建设是无法为企业带来任何利润的, 除非企业在遭遇数据泄露、 违反政策法规等可 能造成重大经济损失时才能体现其价值。 然而网络安全又是非常重要的, 如何平衡成本投 入和带来的价 值是一个企业需要考虑的重要问题。 [0004]2、 运维难度非常之高 部署了大量的安全设备, 每天都会收到海量的日志、 告警和安全事件信息, 分析人 员需要工具来组织数据, 发现有用的信息。 面对安全事件, 如果处置不及时, 很有可能会带 来极大的安全隐患; 同时, 如果针对安全事件处理的不合理, 问题响应时间和响应结果均不 能保证。 [0005]3、 安全人员缺失严重 在State of IT的年度全球问卷调查中, ESG (企业战略集团) 询问被调查对象哪一 个领域最容易产生问题的缺陷。 从2014年开始, 被调查对象一直在说, 网络安全技能的缺陷 是最大的问题。 到了2018年, 超过5成的人将网络安全技能的缺乏认定为最大的问题。 安全 从业者不论从数量上还是技术上均有着 较大的缺 失, 这导致很难有效地 发现和控制安全风 险。 发明内容 [0006]发明目的: 针对上述现有存在的问题和不足, 本发明的目的是提供一种安全编排 和自动化响应方法, 让安全专家从繁重的重复劳动中释放出来, 每一次安全事件的对应处 置过程都在统一标准, 统一 步骤下执行。 [0007]技术方案: 为实现上述发明目的, 本发明采用以下技 术方案: 一种安全编排和自动化响应方法, 包括如下步骤: 步骤1: 收集信息: 通过外部设备推送取安全信息和事性管理、 安全运营管理中心、 态势感知、 工单、 邮件和导入导出中信息作为告警信息; 步骤2: 告警管理: 对步骤1所述的告警信息进行告警管理, 告警管理包括告警分 诊、 告警调查、 告警响应和告警库, 其中告警分诊为将步骤1所述的告警信息 分类, 告警调查 为提取告警原因;说 明 书 1/4 页 3 CN 115208699 A 3

.PDF文档 专利 一种安全编排和自动化响应方法

文档预览
中文文档 9 页 50 下载 1000 浏览 0 评论 309 收藏 3.0分
温馨提示:本文档共9页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
专利 一种安全编排和自动化响应方法 第 1 页 专利 一种安全编排和自动化响应方法 第 2 页 专利 一种安全编排和自动化响应方法 第 3 页
下载文档到电脑,方便使用
本文档由 人生无常2024-03-18 16:40:03上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言