一种基于大数据的智能安全运营方法与流程

本发明属于大数据，尤其是涉及一种基于大数据的智能安全运营方法。

背景技术：

1、面对层出不穷的安全威胁，企业和组织纷纷部署了大量安全设备和系统，并且还在不断增加。安全运营人员每天都需要跟这些设备和系统，以及其它工具反复打交道，一个完整的安全运营流程往往涉及到多个设备和系统，需要在这些工具之间来回切换。尽管企业和组织可能已经部署了siem、soc平台或者大数据安全分析平台，能够在一定程度上集中化地采集和分析安全数据，但在实际环境中，仅仅依靠这类平台也不足以做出分析结论，还需要依据安全流程调用其它工具，获取其它信息来辅助决策。同时，决策之后的处置环节更是需要联动网络中的各种安全防御机制。可以发现，以数据为中心的集成无法真正整合现有分散的安全工具和技术，无法对它们进行配置、控制和查询。因此，未来的安全运营还需要一个全新视角的技术集成。

2、随着网络空间安全对抗的持续升级，当前企业和组织的安全运营工作在人员组织、告警处置、快速响应、知识沉淀、整合协作诸多方面面临的挑战越来越突出。为了应对挑战，顺应安全运营未来发展的新趋势，soar(security orchestration,automation andresponse，安全编排自动化与响应)应运而生。

3、gartner最新将soar定义为一种从各种来源获取输入，并应用工作流来处理各种安全过程与规程，从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排(通过与其它技术的集成)并自动执行以达成预期结果，譬如分诊管理，事件响应，威胁情报，合规性管理和威胁猎捕。

4、结合业界的定义，以及多年多来的深入实践，soar是一个将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起的，有序处理多源数据，持续进行安全告警分诊与调查、威胁猎捕、案件处置、事件响应，并最终实现高效、有效安全运营的智能协作系统。

5、公开于该背景技术部分的信息仅仅旨在加深对本发明的总体背景技术的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。

技术实现思路

1、本发明的目的在于提供一种基于大数据的智能安全运营方法，该方法通过安全编排自动化与响应技术soar来提高运维效率，soar的编排组件能将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起，自动化组件则旨在最小化事件响应过程中重复性任务的人工干预，综合运用经过编排的不同技术中的元素，驱动事件妥善解决，帮助加速问题的解决，有序处理多源数据，持续进行安全告警分诊与调查、威胁猎捕、案件处置、事件响应，并最终实现高效、有效安全运营的智能协作系统。

2、为了实现上述目的，本发明采用以下技术方案：

3、一种基于大数据的智能安全运营方法，其特征在于，所述智能安全运营方法包括：

4、s1：利用复杂事件处理规则引擎发现威胁；

5、s2：告警识别，与威胁情报碰撞；

6、s3：排除误报，调查取证，溯源分析；

7、s4：安全编排自动化与响应；

8、s5：剧本编排引擎；

9、s6：固化剧本；

10、s7：依次循环s1-s6，持续进行安全告警分诊与调查、威胁猎捕、案件处置、事件响应，并最终实现智能、高效、安全的运营。

11、进一步，s1具体为：

12、通过日志收集服务，收集不同来源日志数据，包括服务器、网络设备、安全设备以及流量日志数据；

13、通过日志解析服务，对收集到的不同日志数据进行归一化处理，增加日志类型标签，存储至数据引擎和缓存消息队列；

14、利用复杂事件处理规则引擎，采用大数据和机器学习技术，通过该引擎，准确定位攻击事件，发现威胁信息。

15、进一步，s2具体为：

16、通过将原始告警中的ip服务器以及终端id字段在系统内部的资产库当中关联详细的资产信息，并且自动补充到告警信息中，结合调用威胁情报平台去初步地匹配原始告警中的urls、文件或者域名，以判断是否命中了恶意的情报的样本。

17、进一步，s3具体为：

18、将非恶意的告警信息作为误报直接关闭，减少后面人工审计的运营负担；没有作为误报关闭的可疑告警信息，进行调查取证，通过soar的自动调用能力，调用后台的数据，收集更多的ioc信息，或者利用调用沙箱对可疑文件进行动态的检测，得到检测结果，从而实现证据的自动收集；

19、通过溯源关联分析，实现告警事件的上下文相关联事件的聚合。

20、进一步，s4具体为：

21、安全工程师根据s3中soar自动补充和取证的信息做出研判，进入到事件响应处置的流程：

22、通过运用playbook剧本串并联构建安全事件处置的工作流，自动化触发不同安全设备执行响应动作，变被动应急响应为自动化持续响应；

23、利用soar中编排的剧本自动地执行安全处置的动作，包括邮件im通知员工，或创建处置或漏洞工单调用工单系统，或向防火墙/终端edr下发安全策略，把处置动作封装成自动的脚本，通过剧本的方式做编排，做自动的调用；从而通过soar完成了一次告警事件的检测与响应的流程。

24、进一步，s5具体为：

25、剧本编排引擎，基于开源的flowbale工作流引擎进行二次开发；其中包括可视化剧本的编排引擎和剧本的执行引擎；可视化剧本的编排引擎通过可视化设计组件进行流程设计并关联自定义设计表单。

26、进一步，s6具体为：

27、通过将剧本的引入，将流程案件知识固化下来，牵引安全运营方法能力侧的建设。

28、采用上述技术方案，本发明具有如下有益效果：

29、1、通过基于大数据的威胁场景分析和可视化技术，对攻击行为进行猎捕和追溯，快速定位攻击来源。

30、2、通过持续的漏洞监控和自动化管理，帮助客户将风险管理落到实处，并结合工单处置流转系统实现了对漏洞的全生命周期的闭环管理。

31、3、通过深度关联分析和基于工作流引擎的工单处置流转系统，自动化分析威胁和响应处置，提升客户安全运营整体效率，缩短运维响应时间。

32、4、通过安全运营服务和安全编排自动化响应soar技术，帮助客户降低整体的安全运营投入成本和风险，减轻客户的安全运营负担。

技术特征：

1.一种基于大数据的智能安全运营方法，其特征在于，所述智能安全运营方法包括：

2.根据权利要求1所述的基于大数据的智能安全运营方法，其特征在于，s1具体为：

3.根据权利要求1所述的基于大数据的智能安全运营方法，其特征在于，s2具体为：

4.根据权利要求1所述的基于大数据的智能安全运营方法，其特征在于，s3具体为：

5.根据权利要求1所述的基于大数据的智能安全运营方法，其特征在于，s4具体为：

6.根据权利要求1所述的基于大数据的智能安全运营方法，其特征在于，s5具体为：

7.根据权利要求1所述的基于大数据的智能安全运营方法，其特征在于，s6具体为：

技术总结
本发明公开了一种基于大数据的智能安全运营方法，结合大数据的威胁场景分析技术使用复杂事件处理(Complex Event Processing，CEP)规则引擎，通过关联、时序、聚合等方式对多种数据进行分析处理，通过接收不同设备发出的安全日志、行为日志以及数据访问和传输日志，再经过平台解析、增强、归一化等技术标准化后，进行深度关联分析从而生成安全告警事件，并结合安全编排自动化与响应(Security Orchestration,Automation and Response，SOAR)，帮助企业和组织收集安全运维团队监控到的各种信息(包括各种安全系统产生的告警)，并对这些信息进行事件分析和告警分诊，然后在标准工作流程的指引下，利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。

技术研发人员：许玉娜,孙鸿斌,王少南,陈青民,马天宁,朱静
受保护的技术使用者：北京安信天行科技有限公司
技术研发日：
技术公布日：2024/1/12