(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211119272.4 (22)申请日 2022.09.15 (71)申请人 南京怡晟安全技 术研究院有限公司 地址 211100 江苏省南京市江宁区科建 路 29号有志大厦6层L6 029 (72)发明人 李峰　顾亮　 (74)专利代理 机构 南京苏创专利代理事务所 (普通合伙) 32273 专利代理师 王晶杰 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) (54)发明名称 一种安全编排和自动化响应方法 (57)摘要 本发明涉及一种安全编排和自动化响应方 法， 属于网络信息安全领域。 通过外部设备推送 取安全信息和事性管理、 安全运营管理中心、 态 势感知、 工单、 邮件和导入导出中信息作为告警 信息。 对告警信息进行告警管理， 告警管理包括 告警分诊、 告警调查、 告警响应和告警库， 其中告 警分诊为将告警信息分类， 告警调查为提取告警 原因。 按预定场景脚本持续通过告警分诊分类指 派不同的案件处理流程。 告警响应通过定时任务 轮询调用API接口来调用对面API接口， 与安全编 排和自动化按安全预设脚本联动进行响应。 对案 件真伪性进行验证。 让安全专家从繁重的重复劳 动中释放出来， 每一次安全事件的对应处置过程 都在统一标准， 统一 步骤下执行。 权利要求书1页 说明书4页 附图3页 CN 115208699 A 2022.10.18 CN 115208699 A 1.一种安全编排和自动化响应方法， 其特 征在于： 包括如下步骤： 步骤1： 收集信息： 通过外部设备推送取安全信 息和事性管理、 安全运营管理中心、 态势 感知、 工单、 邮件和导入导出中信息作为告警信息； 步骤2： 告警管理： 对步骤1所述的告警信息进行告警管理， 告警管理包括告警分诊、 告 警调查、 告警响应和告警库， 其中告警分诊为将步骤1所述的告警信息分类， 告警调查为提 取告警原因； 步骤3： 案件管理： 按预定场景脚本持续通过步骤2中的告警分诊分类指派不同的案件 处理流程； 步骤4： 安全编排和自动化： 所述步骤2中的告警响应通过定时任务轮询调用API接口来 调用对面API接口， 与安全编排和自动化按安全预设脚本联动进行响应； 步骤5： 编排或运行引擎： 使用Full  API和安全编排能力剧本运行实例和工作流引擎、 人机接口和动作接口， 对案件真伪性进行验证； 步骤6： 应用管理： 调用外部系 统的安全扫描器、 工单、 邮件的程序,方法和api， 同时输 出API接口对接 外部系统的调用， 对接安全编排和自动化中场景。 2.根据权利要求1所述的安全编排和自动化响应方法， 其特征在于： 所述步骤2中的告 警分诊具体为安全告警类别区分， 再进行统一展示， 安全告警类别区分包括区分来源和类 型， 来源包括服务器告警、 应用告警和数据库告警， 类型包括木马和sql注入类型。 3.根据权利要求2所述的安全编排和自动化响应方法， 其特征在于： 所述步骤2中的告 警分诊还包括自动计算可信度和处置优先级， 所述可信度使用非单一漏洞扫描工具进 行双 重或多次检测进 行可信度叠加， 所述处置优先级通过安全工具预制安全评 分规则根据安全 漏洞类型进行安全评分， 将优先级高的工作队列排在前面， 进行管理员的信息推送和告警 工单展示， 处置优先级时sql注入属于高危漏洞， 处置优先级最高。 4.根据权利要求1所述的安全编排和自动化响应方法， 其特征在于： 所述步骤2中的告 警调查具体为告警真伪鉴别， 包括事件还原和事件成因调查， 剔除虚警、 模糊的和低质量的 告警。 5.根据权利要求1所述的安全编排和自动化响应方法， 其特征在于： 所述步骤2再通过 告警透视获得对告警信息全面的可 见性。 6.根据权利要求1所述的安全编排和自动化响应方法， 其特征在于： 所述步骤2中的告 警库中存放告警信息的数据库表。 7.根据权利要求1所述的安全编排和自动化响应方法， 其特征在于： 步骤3案件概览、 案 件流程处理、 痕迹管 理和编排调查与响应， 案件报告、 案件度量和案件协作分析， 案件库、 案 件响应； 通过痕迹和物证进 行关联， 再经过时间积累和历史信息回溯进 行痕迹追加， 得到痕 迹物证和攻击者的战技过程指标信息， 所述积累为 安全专家预制指标， 形成指标 元数据。 8.根据权利要求1所述的安全编排和自动化响应方法， 其特征在于： 所述步骤4中安全 编排前根据业务逻辑、 流转和排列执行顺序构建工作流编排， 包括客户不同的系统或一个 系统内不同组件的安全能力通过可编程接口和人工检查点， 按照典型剧本解析的逻辑关系 组合， 以完成安全操作。权　利　要　求　书 1/1 页 2 CN 115208699 A 2一种安全编排和自动化响应方 法 技术领域 [0001]本发明涉及一种安全编排和自动化响应方法， 属于网络信息安全技 术领域。 背景技术 [0002]网络安全是企业数字化转型发展的基石， 是企业得以长久生存的保障。 随着数字 化大潮的来袭， 企业的数字化转型百家争鸣， 数字化道路上的技术可谓是百花齐放。 想要在 网络安全前行之路上， 不断适应网络攻击的变化， 跟上数字化大潮的脚步， 绝非易事。 而且 近些年， 攻击者利用新技术不断升级风险， 进化攻击手段， 企业也在不断遭受合规方面的压 力， 这让企业的安全团队遭 遇重重困难。 [0003]1.商业价值难以体现， 企业的安全建设需要耗费大量的成本， 但是一般而 言， 企业 的安全建设是无法为企业带来任何利润的， 除非企业在遭遇数据泄露、 违反政策法规等可 能造成重大经济损失时才能体现其价值。 然而网络安全又是非常重要的， 如何平衡成本投 入和带来的价 值是一个企业需要考虑的重要问题。 [0004]2、 运维难度非常之高 部署了大量的安全设备， 每天都会收到海量的日志、 告警和安全事件信息， 分析人 员需要工具来组织数据， 发现有用的信息。 面对安全事件， 如果处置不及时， 很有可能会带 来极大的安全隐患； 同时， 如果针对安全事件处理的不合理， 问题响应时间和响应结果均不 能保证。 [0005]3、 安全人员缺失严重 在State of IT的年度全球问卷调查中， ESG （企业战略集团） 询问被调查对象哪一 个领域最容易产生问题的缺陷。 从2014年开始， 被调查对象一直在说， 网络安全技能的缺陷 是最大的问题。 到了2018年， 超过5成的人将网络安全技能的缺乏认定为最大的问题。 安全 从业者不论从数量上还是技术上均有着 较大的缺 失， 这导致很难有效地 发现和控制安全风 险。 发明内容 [0006]发明目的： 针对上述现有存在的问题和不足， 本发明的目的是提供一种安全编排 和自动化响应方法， 让安全专家从繁重的重复劳动中释放出来， 每一次安全事件的对应处 置过程都在统一标准， 统一 步骤下执行。 [0007]技术方案： 为实现上述发明目的， 本发明采用以下技 术方案： 一种安全编排和自动化响应方法， 包括如下步骤： 步骤1： 收集信息： 通过外部设备推送取安全信息和事性管理、 安全运营管理中心、 态势感知、 工单、 邮件和导入导出中信息作为告警信息； 步骤2： 告警管理： 对步骤1所述的告警信息进行告警管理， 告警管理包括告警分 诊、 告警调查、 告警响应和告警库， 其中告警分诊为将步骤1所述的告警信息 分类， 告警调查 为提取告警原因；说　明　书 1/4 页 3 CN 115208699 A 3