[发明专利]一种基于SOAR的攻击行为响应方法、装置及处理设备

权利要求书

1.一种基于SOAR的攻击行为响应方法，其特征在于，所述方法包括：

获取目标安全设备发送过来的攻击行为告警信息，其中，包括所述目标安全设备的多个安全设备预先接入到系统中；

对所述攻击行为告警信息执行数据入库操作；

根据预设的告警信息响应策略，确定所述攻击行为告警信息适配的响应操作，其中，所述告警信息响应策略用于根据不同攻击行为告警信息生成不同响应操作；

联动所述多个安全设备，执行所述响应操作。

2.根据权利要求1所述的方法，其特征在于，所述获取目标安全设备发送过来的攻击行为告警信息，包括：

获取所述目标安全设备发送过来日志形式的所述攻击行为告警信息。

3.根据权利要求2所述的方法，其特征在于，所述获取所述目标安全设备发送过来日志形式的所述攻击行为告警信息，包括：

通过预设接口获取所述目标安全设备发送过来日志形式的所述攻击行为告警信息，其中，所述预设接口限定所接入的所述目标安全设备的攻击行为告警日志的预设字段通过。

4.根据权利要求1所述的方法，其特征在于，所述对所述攻击行为告警信息执行数据入库操作，包括：

对所述攻击行为告警信息进行数据解析，并按照预先设置的标准表结构要求和标准字段值要求，将所述攻击行为告警信息转化为标准形式的标准攻击行为告警信息；

将所述标注攻击行为告警信息存储于预设的数据库中，完成所述数据入库操作。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据由第一可视化面板输入的用户拖曳操作，将数据提取算子、日志过滤算子、日志关联算子、序列分析算子以及日志统计算子、阈值比较算子以及AI智能分析算子进行逻辑组合，得到多个数据处理脚本；

配置每个所述数据处理脚本的启用状态，得到所述告警信息响应策略，其中，所述启用状态包括关闭或者开启，多个开启后的所述数据处理脚本并行处理。

6.根据权利要求1所述的方法，其特征在于，所述联动所述多个安全设备，执行所述响应操作，包括：

确定执行所述响应操作的至少一个安全设备；

在所述多个安全设备的范围中，联动确定的所述执行所述响应操作的至少一个安全设备执行所述响应操作。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据由第二可视化面板输入的用户拖曳操作，对确定的所述多个安全设备的流程顺序进行编排；

所述联动所述多个安全设备，执行所述响应操作，包括：

联动所述多个安全设备按照所述流程顺序执行所述响应操作。

8.一种基于SOAR的攻击行为响应装置，其特征在于，所述装置包括：

获取单元，用于获取目标安全设备发送过来的攻击行为告警信息，其中，包括所述目标安全设备的多个安全设备预先接入到系统中；

入库单元，用于对所述攻击行为告警信息执行数据入库操作；

确定单元，用于根据预设的告警信息响应策略，确定所述攻击行为告警信息适配的响应操作，其中，所述告警信息响应策略用于根据不同攻击行为告警信息生成不同响应操作；

执行单元，用于联动所述多个安全设备，执行所述响应操作。

9.一种处理设备，其特征在于，包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时执行如权利要求1至7任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有多条指令，所述指令适于处理器进行加载，以执行权利要求1至7任一项所述的方法。