[发明专利]安全事件处理方法、装置、设备及计算机可读存储介质在审
| 申请号: | 202011545403.6 | 申请日: | 2020-12-23 |
| 公开(公告)号: | CN112636978A | 公开(公告)日: | 2021-04-09 |
| 发明(设计)人: | 刘炳亮 | 申请(专利权)人: | 深信服科技股份有限公司;水利部信息中心 |
| 主分类号: | H04L12/24 | 分类号: | H04L12/24;H04L29/06 |
| 代理公司: | 深圳市世纪恒程知识产权代理事务所 44287 | 代理人: | 关向兰 |
| 地址: | 518000 广东省深圳市南*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 安全 事件 处理 方法 装置 设备 计算机 可读 存储 介质 | ||
本发明公开一种安全事件处理方法,所述安全事件处理方法包括以下步骤:获取预设安全设备上报的告警数据;对告警数据进行分析,以生成安全事件;根据安全事件,确定目标playbook剧本;基于目标playbook,对安全事件进行处理,也就是说,本发明中,基于playbook对安全事件进行处理,从而提升处理速度,避免处理不及时安全问题进一步扩大化的情况,提升安全性,降低运维成本。本发明还公开了一种安全事件处理装置、设备及计算机可读存储介质,提升了处理速度和安全性。
技术领域
本发明涉及安全防控技术领域,特别涉及一种安全事件处理方法、装置、设备及计算机可读存储介质。
背景技术
随着信息化技术的不断发展,网络和信息越来越庞杂,网络安全也成为重中之重。
为了保障网络装置(例如,终端、路由器等装置)、网络等的安全,相关技术中,通常会通过安全设备对网络装置、网络等进行监测,在监测到异常时,安全设备会获取告警数据进行上报,以对告警数据进行处理。但是,目前对告警数据的处理方式,处理速度慢、导致安全问题扩大化,并且成本高。
发明内容
本发明的主要目的是提供一种安全事件处理方法、装置、设备及计算机可读存储介质,旨在解决现有告警数据处理速度慢、导致安全问题扩大化,并且成本高的技术问题。
为实现上述目的,本发明提出一种安全事件处理方法,所述安全事件处理方法包括以下步骤:
获取预设安全设备上报的告警数据;
对所述告警数据进行分析,以生成安全事件;
根据所述安全事件,确定目标playbook剧本;
基于所述目标playbook,对所述安全事件进行处理。
可选的,所述基于所述目标playbook,对所述安全事件进行处理的步骤包括:
基于预设初始处理方式,确定所述安全事件的风险等级和处理优先级;
基于所述风险等级和所述处理优先级,对所述安全事件进行处理。
可选的,所述基于所述风险等级和所述处理优先级,对所述安全事件进行处理的步骤,包括:
根据所述风险等级,判断是否需要对所述安全事件进行前期处理;
若是,基于所述处理优先级,获取与所述安全事件匹配的目标前期处理策略;
基于所述目标前期处理策略对所述安全事件进行处理。
可选的,所述根据所述风险等级,判断是否需要对所述安全事件进行前期处理的步骤之后,所述安全事件处理方法还包括以下步骤:
若是,判断是否需要对所述安全事件进行溯源处理;
若是,基于所述处理优先级,获取与所述安全事件匹配的目标溯源处理策略;
基于所述目标溯源处理策略,进行溯源分析;
基于溯源分析结果,确定对应的目标访问控制策略;
基于所述目标访问控制策略进行控制。
可选的,所述对所述告警数据进行分析,以生成安全事件的步骤之前,所述安全事件处理方法还包括:
对所述告警数据进行归一化处理;
所述对所述告警数据进行分析,以生成安全事件的步骤,包括:
对归一化处理后的所述告警数据进行分析,以生成安全事件。
可选的,所述基于所述目标playbook,对所述安全事件进行处理的步骤之后,所述安全事件处理方法还包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服科技股份有限公司;水利部信息中心,未经深信服科技股份有限公司;水利部信息中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011545403.6/2.html,转载请声明来源钻瓜专利网。
