一种安全事件处理方法、装置、设备及介质与流程

1.本技术涉及信息安全技术领域，特别涉及一种安全事件处理方法、装置、设备及介质。


背景技术：

2.目前，网络安全工作的重心已经转移为安全运营、安全管理，传统安全运维的过程流程繁琐，处置周期较长，沟通成本较大，安全分析师的经验需要长期积累且经验难以固化，导致人力不足，安全设备整合度低，联动性不强，安全设备各自为战，缺少统一协同工作能力，造成资源浪费。


技术实现要素：

3.有鉴于此，本技术的目的在于提供一种安全事件处理方法、装置、设备及介质，能够提高安全事件的处理效率以及降低安全设备的资源浪费。其具体方案如下：
4.第一方面，本技术公开了一种安全事件处理方法，应用于服务端，包括：
5.生成安全事件对应的作战室页面；
6.根据客户端发送的进入作战室请求，判断所述客户端对应的用户是否为所述安全事件的相关用户，若是，则将所述作战室页面作为响应信息返回给所述客户端；
7.当获取到任一所述相关用户的客户端基于所述作战室页面发送的安全能力执行请求，则从安全能力中心调取并执行相应的安全能力；
8.将所述安全能力的执行信息实时推送至后序用户的客户端进行显示，以便所述后序用户根据所述执行信息执行相应的操作，实现多用户对所述安全事件的协同处理。
9.可选的，所述生成安全事件对应的作战室页面，包括：
10.当监测到网络环境中出现安全事件，则生成所述安全事件对应的作战室页面。
11.可选的，所述生成安全事件对应的作战室页面，包括：
12.确定处理所述安全事件所需的安全能力，并基于所需的安全能力生成所述安全事件对应的作战室页面。
13.可选的，所述确定处理所述安全事件所需的安全能力，并基于所需的安全能力生成所述安全事件对应的作战室页面，包括：
14.确定处理所述安全事件所需的安全能力和人工任务，并基于所需的安全能力和人工任务生成所述安全事件对应的作战室页面。
15.可选的，还包括：
16.当获取到第一客户端基于所述作战室页面发送的人工任务执行请求，则基于所述人工任务执行请求将相应的人工任务信息发送至对应的第二客户端；
17.获取所述第二客户端发送的反馈信息，并将所述反馈信息推送至所述第一客户端，以便所述第一客户端对应的用户基于所述反馈信息在所述作战室页面选择相应的安全能力。
18.可选的，所述根据客户端发送的进入作战室请求，判断所述客户端对应的用户是否为所述安全事件的相关用户，包括：
19.根据客户端发送的进入作战室请求中携带的标识信息，判断所述客户端对应的用户是否为所述安全事件的相关用户。
20.可选的，还包括：
21.若所述客户端对应的用户为所述安全事件的相关用户，则与该客户端建立websocket连接。
22.第二方面，本技术公开了一种安全事件处理装置，应用于服务端，包括：
23.作战室页面生成模块，用于生成安全事件对应的作战室页面；
24.进入作战室请求处理模块，用于根据客户端发送的进入作战室请求，判断所述客户端对应的用户是否为所述安全事件的相关用户，若是，则将所述作战室页面作为响应信息返回给所述客户端；
25.安全能力执行请求处理模块，用于当获取到任一所述相关用户的客户端基于所述作战室页面发送的安全能力执行请求，则从安全能力中心调取并执行相应的安全能力；
26.执行信息推送模块，用于将所述安全能力的执行信息实时推送至后序用户的客户端进行显示，以便所述后序用户根据所述执行信息执行相应的操作，实现多用户对所述安全事件的协同处理。
27.第三方面，本技术公开了一种电子设备，包括：
28.存储器，用于保存计算机程序；
29.处理器，用于执行所述计算机程序，以实现前述的安全事件处理方法。
30.第四方面，本技术公开了一种计算机可读存储介质，用于保存计算机程序，所述计算机程序被处理器执行时实现前述的安全事件处理方法。
31.可见，本技术先生成安全事件对应的作战室页面，然后根据客户端发送的进入作战室请求，判断所述客户端对应的用户是否为所述安全事件的相关用户，若是，则将所述作战室页面作为响应信息返回给所述客户端，当获取到任一所述相关用户的客户端基于所述作战室页面发送的安全能力执行请求，则从安全能力中心调取并执行相应的安全能力，将所述安全能力的执行信息实时推送至后序用户的客户端进行显示，以便所述后序用户根据所述执行信息执行相应的操作，实现多用户对所述安全事件的协同处理。这样，通过统一的作战室页面实现多用户对安全事件的协同处理，并通过包括各种安全能力的安全能力中心，实现安全能力的统一调度，能够提高安全事件的处理效率以及降低安全设备的资源浪费。
附图说明
32.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
33.图1为本技术公开的一种安全事件处理方法流程图；
34.图2为本技术公开的一种具体的安全事件处理方法流程图；
35.图3为本技术公开的一种具体的人工任务处理界面示意图；
36.图4为本技术公开的一种安全事件处理装置结构示意图；
37.图5为本技术公开的一种电子设备结构图。
具体实施方式
38.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
39.目前，网络安全工作的重心已经转移为安全运营、安全管理，传统安全运维的过程流程繁琐，处置周期较长，沟通成本较大，安全分析师的经验需要长期积累且经验难以固化，导致人力不足，安全设备整合度低，联动性不强，安全设备各自为战，缺少统一协同工作能力，造成资源浪费。为此，本技术提供了一种安全事件处理方案，能够提高安全事件的处理效率以及降低安全设备的资源浪费。
40.参见图1所示，本技术实施例公开了一种安全事件处理方法，应用于服务端，包括：
41.步骤s11：生成安全事件对应的作战室页面。
42.在具体的实施方式中，本技术实施例当监测到网络环境中出现安全事件，则生成所述安全事件对应的作战室页面。具体的，可以通过安全管理平台对网络环境进行监测。其中，网络环境可以为办公网，包括办公网内所有的硬件设备和软件系统。
43.当然，当安全管理人员发现网络环境中出现安全事件，也可以通过其客户端触发生成安全事件对应的作战室页面的流程。具体的，当安全管理平台或者安全管理人员发现网络环境出现安全事件时，自动或者手动创建一个该安全事件对应的案件，创建案件后，前端生成一个作战室页面。
44.在具体的实施方式中，可以确定处理所述安全事件所需的安全能力，并基于所需的安全能力生成所述安全事件对应的作战室页面。可以理解的是，本技术实施例是基于安全事件所需的安全能力，并基于所需的安全能力生成所述安全事件对应的作战室页面，将相应的安全能力在作战室页面进行展示，而不是将所有的安全能力展示，这样有助于用户快速定位相应的安全能力，提升安全事件的处理效率。
45.进一步，由此安全事件的处理环节，需要人工任务，比如专家提出处理建议等，因此，本技术实施例可以确定处理所述安全事件所需的安全能力和人工任务，并基于所需的安全能力和人工任务生成所述安全事件对应的作战室页面。
46.也即，相关用户可以通过本技术实施例生成的作战室页面进行安全能力或人工任务的选择。
47.步骤s12：根据客户端发送的进入作战室请求，判断所述客户端对应的用户是否为所述安全事件的相关用户，若是，则将所述作战室页面作为响应信息返回给所述客户端。
48.在具体的实施方式中，可以根据客户端发送的进入作战室请求中携带的标识信息，判断所述客户端对应的用户是否为所述安全事件的相关用户。
49.其中，标识信息可以为案件id，也即，安全事件的相关用户可以通过案件id进入该案件的作战室。
50.并且，本技术实施例若所述客户端对应的用户为所述安全事件的相关用户，则与该客户端建立websocket连接。
51.需要指出的是，websocket是独立的、创建在tcp上的协议。websocket通过http/1.1协议的101状态码进行握手，允许服务端主动向客户端推送数据。在websocket api中，浏览器和服务器只需要完成一次握手，两者之间就直接可以创建持久性的连接，并进行双向数据传输。通过websocket建立连接，将安全人员的操作信息，推送到各个用户客户端，其他安全人员看到信息后可以实时进行相应回应及操作，从而完成多人员多角色协同工作。实现企业多地人员、不同角色、跨团队可以高效率协同处置安全事件。
52.步骤s13：当获取到任一所述相关用户的客户端基于所述作战室页面发送的安全能力执行请求，则从安全能力中心调取并执行相应的安全能力。
53.其中，安全能力中心中集成了各种安全能力，可以包括办公网、局域网、公共网的安全设备的安全能力。可以理解的是，安全能力中心将不同安全设备统一管理起来，通过接口调用相应的安全能力，调用某个能力时传入相应参数即可。
54.也即，在具体的实施方式中，相关用户可以在作战室页面中选择相应的安全能力，并执行。
55.进一步，在具体的实施方式中，可以当获取到第一客户端基于所述作战室页面发送的人工任务执行请求，则基于所述人工任务执行请求将相应的人工任务信息发送至对应的第二客户端；获取所述第二客户端发送的反馈信息，并将所述反馈信息推送至所述第一客户端，以便所述第一客户端对应的用户基于所述反馈信息在所述作战室页面选择相应的安全能力。
56.也即，本技术实施例中的安全能力选择，可以是用户直接选择，也可以是用户在获取其他用户的建议后进行选择。
57.步骤s14：将所述安全能力的执行信息实时推送至后序用户的客户端进行显示，以便所述后序用户根据所述执行信息执行相应的操作，实现多用户对所述安全事件的协同处理。
58.在具体的实施方式中，执行信息可以包括安全能力的执行结果、对应的案件id、执行时间、执行人等。当然，本技术实施例也可以将所述安全能力的执行信息实时推送至执行该安全能力的用户的客户端进行显示，具体的，均是通过作战室页面进行显示。可以理解的是，由于是实时显示，作战室页面是按照安全能力和人工任务的执行时间顺序展现的，用户可以看到自己的执行信息，以及前序用户的执行信息，也即，当前执行的安全能力的信息发送给执行用户和下一个参与协同处理的用户。
59.另外，需要指出的是，在具体的实施方式中，若不是当前执行安全能力的用户的后序用户，可以发送相应的信息查询请求，服务端收到该请求后，判断该用户是有具有查看权限，若有，则将相应的执行信息返回给该用户的客户端。
60.可见，本技术实施例先生成安全事件对应的作战室页面，然后根据客户端发送的进入作战室请求，判断所述客户端对应的用户是否为所述安全事件的相关用户，若是，则将所述作战室页面作为响应信息返回给所述客户端，当获取到任一所述相关用户的客户端基于所述作战室页面发送的安全能力执行请求，则从安全能力中心调取并执行相应的安全能力，将所述安全能力的执行信息实时推送至后序用户的客户端进行显示，以便所述后序用
户根据所述执行信息执行相应的操作，实现多用户对所述安全事件的协同处理。这样，通过统一的作战室页面实现多用户对安全事件的协同处理，并通过包括各种安全能力的安全能力中心，实现安全能力的统一调度，能够提高安全事件的处理效率以及降低安全设备的资源浪费。
61.例如，参见图2所示，图2为本技术实施例公开的一种具体的安全事件处理方法流程图。当安全管理平台或者人员发现有异常事件时，自动或者手动创建一个案件，创建案件后，前端生成一个页面，该页面定义为作战室，在作战室中可以选择安全能力中心中的能力或者人工任务，相关用户根据案件id进入该案件的作战室，用户a执行能力a，用户b根据用户a的操作，发起人工任务，处理人为用户c，用户c根据用户b的人工任务进行反馈和建议，用户b综合考虑后执行能力b。能力a、人工任务、能力b在作战室按照记录的执行时间先后展现，只有执行用户和后序用户可以看到，也即只推送至执行用户和后序用户的客户端进行显示。这样用户a、用户b、用户c及其他用户达成协同作战。
62.其中，用户a在作战室选择能力a，确认后，调用安全能力中心中的安全能力a，安全能力中心上集成了各种设备的安全能力，调用某个能力时传入相应参数，向安全能力中心请求相应能力，即可调用能力成功，解决了不同设备接口参数差异较大问题。并且，本技术实施例可以标识能力a返回的执行结果及对应的案件id，执行该能力的时间a，执行人。具体代码如下：
63.//创建作战室能力a的对象，设置该对象所属案件的id及能力a的执行时间
64.warroomnodecommand nodecommanda＝new warroomnodecommand()；
65.nodecommanda.setincidentid(standardactiona.getincidentid())；
66.nodecommanda.setcreatetime(standardactiona.getcreatetime())；
67.并且，websocketserver向和这个案件建立连接的当前执行的客户端和后序客户端发送信息，表示执行了能力a，此时用户b也能实时看到此信息。
68.//服务器根据案件id向客户端发送命令信息
69.websocketserver.sendallbyincidentid(nodecommanda.getincidentid(),mapper.writevalueasstring(nodecommanda))；
70.进一步的，用户b通过客户端看到用户a执行能力a后，需要向用户c确认及选择执行后续能力，即用户c为处理人，通过websocketserver发送人工任务信息到用户c，记录发起时间、处理人等信息，例如参见图3所示，图3为本技术实施例公开的一种具体的人工任务处理界面示意图。用户c看到用户b的人工任务，对此进行选择、反馈、上传附件等处理后提交。用户b综合考虑后，选择能力b，调用安全能力中心中的能力b，并标识能力b返回的执行结果及对应的案件id，执行该能力的时间，执行人b。具体代码如下：
71.//创建作战室能力b的对象，设置该对象所属案件的id及能力b的执行时间
72.warroomnodecommand nodecommandb＝new warroomnodecommand()；
73.nodecommandb.setincidentid(standardactionb.getincidentid())；
74.nodecommandb.setcreatetime(standardactionb.getcreatetime())；
75.进一步的，websocketserver向和这个案件建立连接的相应客户端发送信息，表示执行了能力b，用户b、以及用户b的后序用户能实时看到此信息。当然，如果用户a和用户c有相应的权限，并进行了消息订阅，也可以将相应的信息发送至用户a和用户c对应的客户端，
以便用户a和用户c进行查看。具体代码如下：
76.//服务器根据案件id向客户端发送命令信息
77.websocketserver.sendallbyincidentid(nodecommandb.getincidentid(),mapper.writevalueasstring(nodecommandb))。
78.参见图4所示，本技术实施例公开了一种安全事件处理装置，应用于服务端，包括：
79.作战室页面生成模块11，用于生成安全事件对应的作战室页面。
80.进入作战室请求处理模块12，用于根据客户端发送的进入作战室请求，判断所述客户端对应的用户是否为所述安全事件的相关用户，若是，则将所述作战室页面作为响应信息返回给所述客户端。
81.安全能力执行请求处理模块13，用于当获取到任一所述相关用户的客户端基于所述作战室页面发送的安全能力执行请求，则从安全能力中心调取并执行相应的安全能力。
82.执行信息推送模块14，用于将所述安全能力的执行信息实时推送至后序用户的客户端进行显示，以便所述后序用户根据所述执行信息执行相应的操作，实现多用户对所述安全事件的协同处理。
83.可见，本技术实施例先生成安全事件对应的作战室页面，然后根据客户端发送的进入作战室请求，判断所述客户端对应的用户是否为所述安全事件的相关用户，若是，则将所述作战室页面作为响应信息返回给所述客户端，当获取到任一所述相关用户的客户端基于所述作战室页面发送的安全能力执行请求，则从安全能力中心调取并执行相应的安全能力，将所述安全能力的执行信息实时推送至后序用户的客户端进行显示，以便所述后序用户根据所述执行信息执行相应的操作，实现多用户对所述安全事件的协同处理。这样，通过统一的作战室页面实现多用户对安全事件的协同处理，并通过包括各种安全能力的安全能力中心，实现安全能力的统一调度，能够提高安全事件的处理效率以及降低安全设备的资源浪费。
84.其中，作战室页面生成模块11，具体用于当监测到网络环境中出现安全事件，则生成所述安全事件对应的作战室页面。
85.并且，在具体的实施方式中，作战室页面生成模块11，具体用于确定处理所述安全事件所需的安全能力，并基于所需的安全能力生成所述安全事件对应的作战室页面。
86.进一步的，作战室页面生成模块11，具体用于确定处理所述安全事件所需的安全能力和人工任务，并基于所需的安全能力和人工任务生成所述安全事件对应的作战室页面。
87.并且，所述装置还包括人工任务执行请求处理模块，用于当获取到第一客户端基于所述作战室页面发送的人工任务执行请求，则基于所述人工任务执行请求将相应的人工任务信息发送至对应的第二客户端；获取所述第二客户端发送的反馈信息，并将所述反馈信息推送至所述第一客户端，以便所述第一客户端对应的用户基于所述反馈信息在所述作战室页面选择相应的安全能力。
88.进一步的，进入作战室请求处理模块12，具体用于根据客户端发送的进入作战室请求中携带的标识信息，判断所述客户端对应的用户是否为所述安全事件的相关用户。并且，若所述客户端对应的用户为所述安全事件的相关用户，则与该客户端建立websocket连接。
89.参见图5所示，本技术实施例公开了一种电子设备20，包括处理器21和存储器22；其中，所述存储器22，用于保存计算机程序；所述处理器21，用于执行所述计算机程序，前述实施例公开的安全事件处理方法。
90.关于上述安全事件处理方法的具体过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。
91.并且，所述存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，存储方式可以是短暂存储或者永久存储。
92.另外，所述电子设备20还包括电源23、通信接口24、输入输出接口25和通信总线26；其中，所述电源23用于为所述电子设备20上的各硬件设备提供工作电压；所述通信接口24能够为所述电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议，在此不对其进行具体限定；所述输入输出接口25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。
93.进一步的，本技术实施例还公开了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述实施例公开的安全事件处理方法。
94.关于上述安全事件处理方法的具体过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。
95.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
96.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
97.以上对本技术所提供的一种安全事件处理方法、装置、设备及介质进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。