(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211219654.4 (22)申请日 2022.09.30 (71)申请人 北京启明星 辰信息安全技 术有限公 司 地址 100193 北京市海淀区东北旺西路8号 21号楼启明星 辰大厦102号 申请人 启明星辰信息技 术集团股份有限公 司　 北京网御星云信息技 术有限公司 (72)发明人 李陟　米华　罗欢　 (74)专利代理 机构 北京君泰水木知识产权代理 有限公司 1 1906 专利代理师 王志远　葛春燕 (51)Int.Cl. G06F 21/55(2013.01)H04L 9/40(2022.01) (54)发明名称 一种用于SOAR的安全事件防御处置剧本生 成系统及其方法 (57)摘要 本申请提供一种用于SOAR的安全事件防御 处置剧本生成系统及其方法， 系统包括数据库模 块、 安全事件获取模块、 策略映射模块、 动作映射 模块和剧本编排模块， 所述数据库模块包括第一 映射模块和第二映射模块； 所述策略映射模块用 于根据第一映射模块中的映射关系获得待处理 安全事件的防御策略； 所述动作映射模块用于根 据第二映射模块中的映射关系获得待处理安全 事件的防御策略的防御动作； 所述剧本编排模块 用于将策略映射模块和动作映射模块获得的防 御策略和防御动作以可视化选项的方式向用户 提供选择， 并针对最终选择的防御动作生成防御 处置剧本。 本申请能够极大降低编排难度、 提高 剧本生成的质量和效率。 权利要求书2页 说明书6页 附图1页 CN 115455412 A 2022.12.09 CN 115455412 A 1.一种用于SOAR的安全事件防御处置剧本生成系统， 其特征在于， 包括数据库模块、 安 全事件获取模块、 策略映射模块、 动作映射模块和剧本编排模块， 其中： 所述数据库模块包括第 一映射模块和第 二映射模块， 所述第 一映射模块包括已有的安 全事件防御策略知识体系中的安全事件与防御策略的映射关系， 所述第二映射模块包括 SOAR中的防御策略与防御动作的映射关系； 所述安全事件获取模块用于将待处理安全事件的日志信息进行解析并转换为SOAR所 定义的标准 化的安全 事件格式； 所述策略映射模块用于根据第一映射模块中的映射关系获得待处理安全事件的防御 策略； 所述动作映射模块用于根据第二映射模块中的映射关系获得待处理安全事件的防御 策略的防御动作； 所述剧本编排模块用于将策略映射模块和动作映射模块获得的防御策略和防御动作 以可视化选项的方式向用户提供选择， 并针对最终选择的防御动作生成防御处置剧本 。 2.如权利要求1所述的用于SOAR的安全事件防御处置剧本生成系统， 其特征在于， 所述 第一映射模块包括防御策略矩阵， 所述防御策略矩阵包括安全事件防御策略知识体系中安 全事件ID和防御策略的文字描述的映射关系。 3.如权利要求1所述的用于SOAR的安全事件防御处置剧本生成系统， 其特征在于， 已有 的安全事件防御策略知识体系由AT T&CK知识体系 、 CAPEC知识体系和D3FEND知识体系构成。 4.如权利要求1所述的用于SOAR的安全事件防御处置剧本生成系统， 其特征在于， 还包 括剧本服务模块， 通过防御动作的适配器将防御处置剧本转换为支持多种版本SOAR的防御 处置剧本， 并提供 下载。 5.一种使用如权利要求1 ‑4任一项所述的用于SOAR的安全事件防御处置剧本生成系统 的方法， 其特 征在于， 该 方法的步骤为： S11， 获得待处 理安全事件的信息； S12， 根据第一映射模块中的映射关系， 获得待处理安全事件对应的防御策略， 在可视 化界面上进行展示， 由用户对展示出的防御策略进行选择； S13， 根据第二映射模块中的映射关系， 获得被选择的防御策略对应的防御动作， 在可 视化界面上进行展示， 由用户对展示出的防御动作进行选择； S14， 将所有被选择的防御动作， 生成待处 理安全事件的防御处置剧本 。 6.如权利要求5所述的防御处置剧本的生成方法， 其特 征在于， 在步骤S1 1中， 还包括： 步骤S111， 对待处理安全事件的安全事件日志进行采集和解析， 将第三方安全事件转 换为标准 安全事件； 步骤S112， 根据安全事件到ATT&CK攻击技术的映射表， 将待处理安全事件所映射到的 ATT&CK的攻击技 术的TTPid作为待处 理安全事件的安全 事件ID。 7.如权利要求6所述的防御处置剧本的生成方法， 其特 征在于， 在步骤S12中， 还 包括: 步骤S121,所述第一映射模块包括防御策略矩阵， 所述防御策略矩阵包括安全事件防 御策略知识体系中安全事件ID和防御策略的文字描述的映射关系,根据防御策略矩阵获得 待处理安全事件的安全 事件ID对应的防御策略的文字描述。 8.如权利要求5所述的防御处置剧本的生成方法， 其特征在于， 在步骤S12中， 所述防御权　利　要　求　书 1/2 页 2 CN 115455412 A 2策略包括检测方法类别和缓解方法类别， 在可视化界面上按照不同类别对同一安全事件的 防御策略进行展示。 9.如权利要求5所述的用于SOAR的安全事件防御处置剧本生成方法， 其特征在于， 在步 骤S13中， 每种防御策略对应一种或多种防御动作。权　利　要　求　书 2/2 页 3 CN 115455412 A 3