[发明专利]一种SOAR剧本运行方法、设备、可读介质及服务器

说明书

本申请提供了一种SOAR剧本运行方法、设备、可读介质及服务器，方法包括：获取SOAR剧本对应的路径运行信息集合，路径信息集合包括多个并行运行路径，其中，并行运行路径包括分支剧本节点、从属剧本节点和聚合剧本节点；获取所有分支剧本节点、从属剧本节点和聚合剧本节点对应的运行顺序；根据运行顺序依次运行分支剧本节点、从属剧本节点和聚合剧本节点，其中，每个分支剧本节点对应的位于同一层序的多个从属剧本节点同步运行。以解决在大量剧本同时执行过程中或复杂业务场景中，执行多个应用节点任务时会出现阻塞情况，导致运行剧本效率低的同时执行失败率高的问题。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种SOAR剧本运行方法、设备、可读介质及服务器。

背景技术

SOAR(Security Orchestration，Automation and Response，安全编排和自动化响应)为安全编排自动化与响应，并将其看作是安全编排与自动化(SOA，SecurityOrchestration and Automation)、安全事件响应平台(SIRP,Security IncidentResponse Platform)和威胁情报平台(TIP,Threat Intelligence Platform)三种技术/工具的融合。安全编排是指将客户不同的系统或者一个系统内部不同组件的安全能力通过可编程接口API(Application Programming Interface，应用程序接口)和人工检测点，按照一定的逻辑关系组合到一起，用以完成某个特定安全操作的过程。SOAR平台可以对现有的安全能力进行灵活编排，通过编写剧本(Playbook)完成场景构建，实现自动化运营。

其中，SOAR平台中包括多个应用App对应的应用节点和虚拟节点，每个应用App中包括一系列动作(Action)。而剧本是由一系列动作和虚拟节点连接构成的，包含了安全运营完整的研判处置流程。然而，目前相关技术中在运行剧本流程时，通常采用对剧本流程中每个执行路径中每个应用节点进行串行处理。例如当并行运行路径中包括两个串行路径，四个应用节点位于两个不同层序，每两个节点组成一个串行路径，通常需执行第一条串行路径中应用节点后才能执行第二条串行路径。从而在大量剧本同时执行过程中或复杂业务场景中，执行多个应用节点任务时会出现阻塞情况，导致运行剧本效率低的同时执行失败率高。

发明内容

本申请提供了一种SOAR剧本运行方法、设备、可读介质及服务器。以解决在大量剧本同时执行过程中或复杂业务场景中，执行多个应用节点任务时会出现阻塞情况，导致运行剧本效率低的同时执行失败率高的问题。

第一方面，本申请提供了一种SOAR剧本运行方法，具体包括以下步骤：

获取SOAR剧本对应的路径运行信息集合，路径信息集合包括多个并行运行路径，其中，并行运行路径包括分支剧本节点、从属剧本节点和聚合剧本节点，每个分支剧本节点对应多个从属剧本节点，多个从属剧本节点对应一个聚合剧本节点；分支剧本节点、从属剧本节点和聚合剧本节点用于执行SOAR剧本对应的预设任务；

获取所有分支剧本节点、从属剧本节点和聚合剧本节点对应的运行顺序；

根据运行顺序依次运行分支剧本节点、从属剧本节点和聚合剧本节点，其中，每个分支剧本节点对应的位于同一层序的多个从属剧本节点同步运行。

可选的，路径信息集合还包括多个串行运行路径，串行运行路径包括根剧本节点和从属剧本节点，每个根剧本节点对应一个从属剧本节点；方法还包括：

获取所有根剧本节点与从属剧本节点对应的运行顺序；

根据运行顺序依次运行根剧本节点与从属剧本节点，其中，根剧本节点与从属剧本节点位于SOAR剧本中不同层序。

可选的，获取SOAR剧本对应的路径运行信息集合之前，方法还包括：

获取SOAR剧本信息，SOAR剧本信息包括剧本节点集合；