一种基于SOAR的资产外联的处理方法、装置和系统与流程

一种基于soar的资产外联的处理方法、装置和系统
技术领域
1.本技术涉及网络安全技术领域，具体而言，涉及一种基于soar的资产外联的处理方法、装置和系统。


背景技术：

2.在传统资产外联告警处置场景中，安全运维人员需要在安全运营系统上报的海量告警数据中发现资产外联的违规行为后，须自行关联分析相关日志数据进行深度分析，判断告警有效之后，定位设备并线下进行问题排查与处置。整个响应流程繁琐而低效，需要人工推进，难以形成标准化流程；当针对重复发生的同类事件，处理方式和流程雷同，处理时间长，且需要消耗大量安全运维资源关注和推动消除问题，效果事倍功半；特别当大量设备与系统都需要同时进行处置时，对每个主机系统进行逐一操作，效率低、处置响应慢且需消耗大量人力资源。


技术实现要素：

3.本技术实施例的目的在于提供一种基于soar的资产外联的处理方法、装置和系统，用以解决上述问题。
4.第一方面，本发明提供一种基于soar的资产外联的处理方法，所述方法包括：获取至少一个探针上传的事件信息，其中，每一探针部署在一终端设备上，所述事件信息包括资产外联的违规行为信息；根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果，其中，所述预设的分析库中预先存储有多类违规行为和每类违规行为映射的分析结果；根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案；利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置。
5.在上述设计的基于soar的资产外联的处理方法中，本方案基于安全业务流程自动化及响应技术(soar)来获取至少一个探针上传的事件信息，然后自动化地根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果；然后根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案，最终利用查找的处置方案对对应发生违规行为的终端设备进行安全处理，从而使得资产外联的违规行为被自动化研判处理，从而解决目前人工进行研判处理带来的效率低、耗费资源的问题，从而减少资源浪费，提高资产外联的违规行为的处理效率。
6.在第一方面的可选实施方式中，所述获取至少一个探针上传的事件信息，包括：获取至少一个设置在属于关注资产的终端设备上的探针上传的事件信息。
7.在第一方面的可选实施方式中，所述获取至少一个设置在属于关注资产的终端设备上的探针上传的事件信息，包括：获取至少一个探针上传的发生资产外联的违规行为的终端设备的标识；根据每一探针上传的终端设备的标识判断对应的终端设备是否属于关注资产；若属于关注资产，则获取属于关注资产的终端设备的探针上传的事件信息。
8.在第一方面的可选实施方式中，在所述根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果之后，所述方法还包括：根据每一违规行为信息对应的分析结果判断是否存在属于同一违规行为的分析结果；若是，则将属于同一事件的分析结果进行整合，获得综合分析结果；根据综合分析结果在预设的方案库中查找对应的处置方案；根据综合分析结果查找到的处置方案对发生同一违规行为的所有终端设备进行安全处置。
9.在第一方面的可选实施方式中，在所述利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置之后，所述方法还包括：自动提取并保存每一探针上传的对应终端设备的违规行为信息或攻击信息。
10.在第一方面的可选实施方式中，在所述利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置之后，所述方法还包括：提取每一事件信息中违规行为的特征信息；根据每一事件信息中的违规行为的特征信息对预设的分析库中对应的违规行为信息进行更新和补充。
11.在第一方面的可选实施方式中，在所述利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置之后，所述方法还包括：根据探针上传的资产外联的违规行为信息、违规行为信息对应的终端设备、违规行为信息对应的分析结果以及处置方案生成案例和处置报告；将生成的案例进行存储，并将所述处置报告发送给预先设定的地址。
12.第二方面，本发明提供一种基于soar的资产外联的处理装置，所述装置包括：获取模块，用于获取至少一个探针上传的事件信息，其中，每一探针部署在一终端设备上，所述事件信息包括资产外联的违规行为信息；分析模块，用于根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果，其中，所述预设的分析库中预先存储有多类违规行为和每类违规行为映射的分析结果；查找模块，用于根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案；处置模块，用于利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置。
13.在上述设计的基于soar的资产外联的处理装置中，本方案基于安全业务流程自动化及响应技术(soar)来自动化获取至少一个探针上传的事件信息，然后自动化地根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果；然后根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案，最终利用查找的熬的处置方案对对应发生违规行为的终端设备进行安全处理，从而使得资产外联的违规行为被自动化研判处理，从而解决目前人工进行研判处理带来的效率低、耗费资源的问题，从而减少资源浪费，提高资产外联的违规行为的处理效率。
14.在第二方面的可选实施方式中，所述获取模块，具体用于获取至少一个设置在属于关注资产的终端设备上的探针上传的事件信息。
15.在第二方面的可选实施方式中，所述获取模块，具体用于获取至少一个探针上传的发生资产外联的违规行为的终端设备的标识；根据每一探针上传的终端设备的标识判断对应的终端设备是否属于关注资产；若属于关注资产，则获取属于关注资产的终端设备的探针上传的事件信息。
16.在第二方面的可选实施方式中，所述装置还包括判断模块，用于根据每一违规行
为信息对应的分析结果判断是否存在属于同一违规行为的分析结果；整合模块，用于将属于同一事件的分析结果进行整合，获得综合分析结果；所述查找模块，还用于根据综合分析结果在预设的方案库中查找对应的处置方案；所述处置模块，还用于根据综合分析结果查找到的处置方案对发生同一违规行为的所有终端设备进行处置。
17.在第二方面的可选实施方式中，所述装置还包括提取模块，用于自动提取并保存每一探针上传的对应终端设备的违规行为信息或攻击信息。
18.在第二方面的可选实施方式中，所述提取模块，还用于提取每一事件信息中违规行为的特征信息；更新模块，用于根据每一事件信息中违规行为的特征信息对预设的分析库中对应的违规行为信息进行更新和补充。
19.在第二方面的可选实施方式中，所述装置还包括生成模块，用于根据探针上传的资产外联的违规行为信息、违规行为信息对应的终端设备、违规行为信息对应的分析结果以及处置方案生成案例和处置报告；发送存储模块，用于将生成的案例进行存储，并将所述处置报告发送给预先设定的地址。
20.第三方面，本发明提供一种基于soar的资产外联的处理系统，所述系统包括：终端探针系统、智能分析系统以及自动响应系统；所述终端探针系统用于部署多个探针在终端设备上，并接收和存储所有探针上传的事件信息，所述事件信息包括对应终端设备的资产外联的违规行为信息；所述智能分析系统包括预设的分析库，所述预设的分析库中预先存储有多类违规行为和每类违规行为映射的分析结果，所述智能分析系统用于根据预设的分析库并行对每一探针收集的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果；所述自动响应系统包括预设的方案库，所述方案库中存储有多个处置方案，每一处置方案与一分析结果对应；所述自动响应系统，用于根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案，并利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置。
21.在上述设计的基于soar的资产外联的处理系统中，本方案基于安全业务流程自动化及响应技术(soar)来设计终端探针系统、智能分析系统以及自动响应系统，从而自动化获取至少一个探针上传的事件信息，然后自动化地根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果；然后根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案，最终利用查找的熬的处置方案对对应发生违规行为的终端设备进行安全处理，从而使得资产外联的违规行为被自动化研判处理，从而解决目前人工进行研判处理带来的效率低、耗费资源的问题，从而减少资源浪费，提高资产外联的违规行为的处理效率。
22.第四方面，本发明提供一种电子设备，所述电子设备中配置有前述实施方式所述的资产外联的处理系统。
23.第五方面，本技术提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时执行第一方面、第一方面的任一可选的实现方式中的所述方法。
24.第六方面，本技术提供了一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行第一方面、第一方面的任一可选的实现方式中的所述方法。
附图说明
25.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
26.图1为本技术实施例提供的资产外联的处理方法的第一流程图；
27.图2为本技术实施例提供的资产外联的处理方法的第二流程图；
28.图3为本技术实施例提供的资产外联的处理方法的第三流程图；
29.图4为本技术实施例提供的资产外联的处理装置的结构图；
30.图5为本技术实施例提供的服务器的交互示意图；
31.图6为本技术实施例提供的电子设备的结构示意图。
32.图标：400-获取模块；410-分析模块；420-查找模块；430-处置模块；440-判断模块；450-整合模块；460-提取模块；470-更新模块；480-生成模块；490-发送存储模块；5-服务器；51-终端探针系统；52-智能分析系统；53-自动响应系统；510-探针；a-终端设备；6-电子设备；601-处理器；602-存储器；603-通信总线。
具体实施方式
33.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
34.本技术实施例提供一种资产外联的处理方法，该资产外联的处理方法基于安全业务流程自动化及响应技术(soar)来自动化的对资产外联的违规行为进行处理，从而节约人工成本与时间，如图1所示，该资产外联的处理方法，包括：
35.步骤s100：获取至少一个探针上传的事件信息，其中，事件信息包括资产外联的违规行为信息。
36.步骤s110：根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果。
37.步骤s120：根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案。
38.步骤s130：利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置。
39.在步骤s100中，每一个探针配置在一个终端设备上以检测终端设备的运行状态，在用户操作终端设备发生资产外联的违规行为时，探针会采集该终端设备发生的资产外联的违规行为信息，其中，资产外联的违规行为可包括如下行为中任意一种或几种：访问禁止访问的网址，例如访问外网等；下载禁止下载的文件；下载文件导致被攻击或中病毒等。
40.其中，步骤s100中的事件信息可包括资产外联的违规行为信息以及对应的终端设备的信息，这样能够保证知晓是哪台终端设备产生了违规行为。
41.作为一种可能的实施方式，如图2所示，步骤s100具体可包括如下步骤：
42.步骤s200：获取至少一个设置在属于关注资产的终端设备上的探针上传的事件信息。
43.在步骤s200中，作为一种可能的实施方式，本方案可将每一终端设备作为关注资
产，进而在每一终端设备上均部署探针来检测每一终端设备的运行情况；作为另一种可能的实施方式，实际应用过程中，终端设备之间存在着安全性要求的区别，如一些终端设备的安全要求较低，这些终端设备可以执行一些安全系数较低的违规行为，例如仅仅访问外网等，而对于安全要求较高的另外一些终端设备，无论什么违规行为均不可发生，这样的安全要求较高的设备为本实施方式描述的关注资产。
44.在上述基础上，本方案步骤s200获取的是设置在属于关注资产的终端设备上的探针上传的事件信息。具体的，步骤s200可通过如下方式实现：首先获取至少一个探针上传的发生资产外联的违规行为的终端设备的标识；根据每一探针上传的终端设备的标识判断对应的终端设备是否属于关注资产，若属于关注资产，则获取属于关注资产的终端设备的探针上传的事件信息。其中，本方案可首先将属于关注资产的终端设备的标识进行存储，进而在进行关注资产判断时将探针上传的终端设备的标识与存储的属于关注资产的终端设备的标识进行比对即可，其中，终端设备的标识可为终端设备的ip、mac地址等等。
45.通过上述方式得到至少一个探针上传的事件信息后，本方案执行步骤s110根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果，其中，预设的分析库中预先存储有多类违规信息和每类违规行为对应的分析结果。
46.例如，步骤s110中本方案基于威胁情报并行分析每一探针上传的事件信息中的地址或内容是否命中威胁情报库，如ip、url、域名、邮箱是否是恶意地址或风险地址；文件md5是否是恶意文件等；同时，基于行为分析技术分析用户行为和行为路径是否异常，是否违背行为极限要求等等；基于病毒库分析上传下载的文件中是否存在病毒信息等。
47.在通过前述步骤得到每一违规行为信息对应的分析结果后，本方案执行步骤s120根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案，其中，预设的方案库中预先存储有多种处置方案，每种处置方案与一分析结果对应，例如，针对访问外网网站的分析结果可对应执行上网提醒或阻断外联行为的处置方案；针对恶意攻击的分析结果可对应执行拦截攻击ip的处置方案；针对病毒侵入的分析结果可对应执行病毒查杀、终端隔离以及病毒文件隔离提取的处置方案。
48.在通过上述方式得到每一分析结果对应的处置方案后，本方案执行步骤s130利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置。作为一种可能的实施方式，在本方案执行主体即服务器具有安全处置能力的基础上，服务器可直接基于步骤s130查找到的处置方案对对应发生违规行为的终端设备进行安全处置；作为另一种可能的实施方式，本方案的执行主体即服务器可以联动安全设备根据查找到的处置方案对对应的终端设备进行安全处置，例如，联动防火墙服务器或入侵防护系统服务器等对发生违规行为的终端设备进行安全处理，从而实现对资产外联行为的控制和阻断，避免或降低给业务造成损失。
49.另外，本方案在联动其他安全设备进行保护时，自动根据对接的安全设备进行执行设备的选择和处置方案的优化，即本发明会周期性检测联动设备在线情况及相应的负载和资源占用情况，当安全事件发生时动态的根据联动设备类型、性能及部署位置调整处置方案，如发现资产外联情况时，而入侵防护系统由于某种原因处于不工作状态，那么就可以动态的调整处置方案给防火墙下发访问控制策略禁止攻击ip的访问。如还可以联动上网行
为管理平台的话，就会联动上网管理平台进行上网提醒和上网记录、上网阻拦等等。
50.上述设计的基于soar的资产外联的处理方法，本方案基于安全业务流程自动化及响应技术(soar)来自动化获取至少一个探针上传的事件信息，然后自动化地根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果；然后根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案，最终利用查找到的处置方案对对应发生违规行为的终端设备进行安全处理，从而使得资产外联的违规行为被自动化研判处理，从而解决目前人工进行研判处理带来的效率低、耗费资源的问题，从而减少资源浪费，提高资产外联的违规行为的处理效率。
51.在本实施例的可选实施方式中，在多个探针均上传有事件信息的情况下，可能会存在发生同一事件的情况，例如，多台终端设备被同一ip恶意攻击等，在此基础上，本方案在执行步骤s110获得每一违规行为信息对应的分析结果后，如图3所示，还可执行如下步骤：
52.步骤s300：根据每一违规行为信息对应的分析结果判断是否存在属于同一违规行为的分析结果，若是，则转到步骤s310。
53.步骤s310：将属于同一事件的分析结果进行结合，获得综合分析结果。
54.步骤s320：根据综合分析结果在预设的方案库中查找对应的处置方案。
55.步骤s330：根据综合分析结果查找到的处置方案对发生同一违规行为的所有终端设备进行处置。
56.在上述步骤中，本方案将属于同一违规行为的分析结果进行整合，从而得到综合分析结果，例如，若多台终端设备被攻击，本方案根据每个终端设备的探针上传的事件信息得到对应的分析结果，判断分析结果对应的攻击ip是否属于同一ip，若属于同一ip，则说明属于同一违规行为，从而进行整合。这里需要说明的是，不属于同一违规行为的分析结果则按照步骤s120到步骤s130处理，而属于同一违规行为的分析结果则按照步骤s310到步骤s330处理，即根据综合分析结果在预设的方案库中查找对应的处置方案，并根据综合分析结果查找到的处置方案对发生同一违规行为的所有终端设备进行处置。
57.在本实施例的可选实施方式中，在执行步骤s130对违规行为的终端设备进行安全处理后，本方案可自动提取并保存每一探针上传的对应终端设备的违规行为信息或攻击信息，用于后续追溯和维权；另外，本方案还可以提取每一事件信息中的违规行为的特征信息，根据每一事件信息中违规行为的特征信息对预设的分析库中对应的违规行为信息进行更新和补充完善，从而使得将最新发生的违规行为信息中具有的新特征丰富到分析丰富分析库，提升分析库的分析能力。其中，该违规行为的特征信息表示违规行为信息所具有的特征属性，例如，访问外网违规行为中，外网网址的特殊标识即为该违规行为信息具有的特征属性等。
58.例如，违规行为信息a1在分析库中具有特征a、特征b以及特征c，当前上传的事件信息的违规行为信息中，分析库分析到该违规行为信息中具有特征a、特征b以及特征c，从而确定当前上传的事件信息的违规行为信息为a1，而当前上传的时间信息的违规行为信息a1还包括有特征d，通过事件信息中的违规行为信息对预设的分析库中对应的违规行为信息进行更新，从而使得分析库中丰富了违规行为信息a1的特征d，从而提升分析库的分析能力。
59.在本实施例的可选实施方式中，在执行步骤s130对违规行为的终端设备进行安全处理后，本方案还可以根据探针上传的资产外联的违规行为信息、违规行为信息对应的终端设备、违规行为信息对应的分析结果以及处置方案生成案例和处置报告；将处置报告发送给预先设定的地址，从而使得运维人员及时了解处理情况，将案例可存储在服务器中，从而在运维人员调用时进行查看。
60.图4出示了本技术提供的基于soar的资产外联的处理装置的示意性结构框图，应理解，该装置与图3中执行的方法实施例对应，能够执行前述的方法涉及的步骤，该装置具体的功能可以参见上文中的描述，为避免重复，此处适当省略详细描述。该装置包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置的操作系统(operating system，os)中的软件功能模块。具体地，该装置包括：获取模块400，用于获取至少一个探针上传的事件信息，其中，每一探针部署在一终端设备上，事件信息包括资产外联的违规行为信息；分析模块410，用于根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果，其中，预设的分析库中预先存储有多类违规行为和每类违规行为映射的分析结果；查找模块420，用于根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案；处置模块430，用于利用查找到的处置方案对对应发生违规行为的终端设备进行安全处置。
61.在上述设计的基于soar的资产外联的处理装置中，本方案基于安全业务流程自动化及响应技术(soar)来自动化获取至少一个探针上传的事件信息，然后自动化地根据预设的分析库并行对每一探针上传的事件信息中的违规行为信息进行分析，获得每一违规行为信息对应的分析结果；然后根据每一违规行为信息对应的分析结果在预设的方案库中查找对应的处置方案，最终利用查找的熬的处置方案对对应发生违规行为的终端设备进行安全处理，从而使得资产外联的违规行为被自动化研判处理，从而解决目前人工进行研判处理带来的效率低、耗费资源的问题，从而减少资源浪费，提高资产外联的违规行为的处理效率。
62.在本实施例的可选实施方式中，获取模块400，具体用于获取至少一个设置在属于关注资产的终端设备上的探针上传的事件信息。
63.在本实施例的可选实施方式中，获取模块400，具体用于获取至少一个探针上传的发生资产外联的违规行为的终端设备的标识；根据每一探针上传的终端设备的标识判断对应的终端设备是否属于关注资产；若属于关注资产，则获取属于关注资产的终端设备的探针上传的事件信息。
64.在本实施例的可选实施方式中，该装置还包括判断模块440，用于根据每一违规行为信息对应的分析结果判断是否存在属于同一违规行为的分析结果；整合模块450，用于将属于同一事件的分析结果进行整合，获得综合分析结果；查找模块420，还用于根据综合分析结果在预设的方案库中查找对应的处置方案；处置模块430，还用于根据综合分析结果查找到的处置方案对发生同一违规行为的所有终端设备进行处置。
65.在本实施例的可选实施方式中，该装置还包括提取模块460，用于自动提取并保存每一探针上传的对应终端设备的违规行为信息或攻击信息。
66.在本实施例的可选实施方式中，提取模块460，还用于提取每一事件信息中违规行为的特征信息；更新模块470，用于根据每一事件信息中的违规行为的特征信息对预设的分
memory,简称rom)，磁存储器，快闪存储器，磁盘或光盘。
74.本技术提供一种计算机程序产品，该计算机程序产品在计算机上运行时，使得计算机执行任一可选的实现方式中的方法。
75.在本技术所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
76.另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
77.再者，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
78.在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
79.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。