(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111647481.1 (22)申请日 2021.12.3 0 (65)同一申请的已公布的文献号 申请公布号 CN 114338178 A (43)申请公布日 2022.04.12 (73)专利权人 北京安博通科技股份有限公司 地址 100120 北京市西城区德胜门东滨河 路3号6号楼C 0310室 (72)发明人 钟竹　薛洪亮　黄伟　 (74)专利代理 机构 北京弘权知识产权代理有限 公司 11363 专利代理师 郭放　许伟群 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 113468212 A,2021.10.01 CN 112346818 A,2021.02.09 CN 111831275 A,2020.10.27 US 20212 97427 A1,2021.09.23 CN 113259371 A,2021.08.13 廖雯. 《安全编排与自动化响应的探索与场 景实践》 . 《信息网络安全 》 .2020,全 文. 审查员 李婧 (54)发明名称 SOAR剧本模型、 剧本构建方法、 电子设备和 存储介质 (57)摘要 本申请提供了一种SOAR剧本模 型、 剧本构建 方法、 电子设备和存储介质， 方法包括获取初始 SOAR剧本模型； 根据初 始SOAR剧本模型构建剧本 模型， 剧本模型包括控制器、 触发器、 第一集合对 象容器、 第二集合对象容器、 第三集合对象容器、 第四集合对象容器、 第五集合对象容器和第六集 合对象容器。 剧本模型根据开始节点、 App信息、 条件判断信息、 连线方向集合、 变量信息和结束 节点生成目标SOAR剧本。 以解决在剧本使用的过 程中， 若出现需求问题时解决问题过程较长且效 率低的问题。 权利要求书2页 说明书9页 附图4页 CN 114338178 B 2022.11.29 CN 114338178 B 1.一种SOAR剧本构建方法， 其特征在于， 所述方法应用于事件管理系统， 具体包括以下 步骤： 获取初始SOAR剧本模型； 根据所述初始SOAR剧本模型构建剧本模型， 所述剧本模型包括： 控制器， 被 配置为执 行人工审批、 条件判断和定时器进程； 触发器， 被配置为存放多个前置App信息 并运行多个前置App， 接收输入的所述前置App 信息， 触发进入与所述前置Ap p信息对应的应用程序； 第一集合对象容器， 被配置为存放多个App信息 并运行多个App， 接收输入的所述App信 息， 调用所述Ap p信息对应的Ap p接口以实现应用对接； 第二集合对象容器， 被配置为存放并运行连线方向集合， 所述连线方向集合包括多个 节点之间的数据连线方向； 第三集合对象容器， 被配置为存放并运行连线走向条件集合， 所述连线走向条件集合 包括多个节点之间所述数据连线方向对应的条件判断信息； 所述条件判断信息用于表征是 否继续执 行所述数据连线方向； 第四集合对象容器， 被配置为存放与目标SOAR剧本对应的基本描述信息、 组织机构描 述信息以及执 行环境基础信息； 第五集合对象容器， 被配置为存放与目标SOAR剧本对应的变量信息； 所述变量信息为 预设剧本数据， 所述预设剧本数据用于在构建目标SOAR剧本时直接调用； 第六集合对象容器， 被配置为存放与目标SOAR剧本对应的来源描述信息， 所述来源描 述信息用于表征 所述剧本对应的来源。 2.根据权利要求1所述的方法， 其特征在于， 所述剧本模型还包括开始节点和结束节 点， 其中， 所述开始节点被配置为根据预设开始动作生成， 所述结束节点被配置为根据结束 动作生成所述剧本 。 3.根据权利要求2所述的方法， 其特征在于， 所述根据所述初始SOAR剧本模型构建剧本 模型之后， 还 包括： 接收输入的所述开始节点、 所述App信息、 所述条件判断信息、 所述连线方向集合、 所述 变量信息和所述结束节点； 其中， 所述App信息输入至所述第一集合对象容器， 所述条件判 断信息输入至第三集合对 象容器， 所述连线方向集合输入至第二集合对 象容器， 所述变量 信息输入至第五集 合对象容器； 所述剧本模型根据所述开始节点、 所述App信息、 所述条件判断信息、 所述连线方向集 合、 所述变量信息和所述结束节点 生成所述目标SOAR剧本 。 4.根据权利要求3所述的方法， 其特征在于， 所述剧本模型根据 所述开始节点、 所述App 信息、 所述条件判断信息、 所述连线方向集合、 所述变量信息和所述结束节点生成所述目标 SOAR剧本， 包括： 根据所述连线方向集合将所述开始节点、 所述App信息、 所述条件判断信息、 所述变量 信息和所述结束节点进行依赖关系的连线操作， 以生成所述目标SOAR剧本 。 5.根据权利要求 4所述的方法， 其特 征在于， 还 包括： 响应在所述事件管理系统 的用户界面上输入的对多个标识的拖拽操作， 生成所述目标 SOAR剧本； 其中， 多个标识为与所述控制器、 所述触发器、 所述第一集合对象容器、 所述第二权　利　要　求　书 1/2 页 2 CN 114338178 B 2集合对象容器、 所述第三集合对象容器、 所述第四集合对象容器、 所述第五集合对象容器和 所述第六集 合对象容器对应的可视化标识。 6.根据权利要求5所述的方法， 其特 征在于， 还 包括： 根据所述条件判断信息对所述目标SOAR剧本中的部分或全部动作进行审批处理； 经过 所述审批处理的所述动作将 被所述目标SOAR剧本执行， 未经过所述审 批处理的所述动作不 被所述目标SOAR剧本执 行。 7.一种事件管理系统， 其特征在于， 所述系统包括S OAR剧本模型， 所述SOAR剧本模型包 括： 控制器， 被 配置为执 行人工审批、 条件判断和定时器进程； 触发器， 被配置为存放多个前置App信息 并运行多个前置App， 接收输入的所述前置App 信息， 触发进入与所述前置Ap p信息对应的应用程序； 第一集合对象容器， 被配置为存放多个App信息 并运行多个App， 接收输入的所述App信 息， 调用所述Ap p信息对应的Ap p接口以实现应用对接； 第二集合对象容器， 被配置为存放并运行连线方向集合， 所述连线方向集合包括多个 节点之间的数据连线方向； 第三集合对象容器， 被配置为存放并运行连线走向条件集合， 所述连线走向条件集合 包括多个节点之间所述数据连线方向对应的条件判断信息； 所述条件判断信息用于表征是 否继续执 行所述数据连线方向； 第四集合对象容器， 被配置为存放与目标SOAR剧本对应的基本描述信息、 组织机构描 述信息以及执 行环境基础信息； 第五集合对象容器， 被配置为存放与目标SOAR剧本对应的变量信息； 所述变量信息为 预设剧本数据， 所述预设剧本数据用于在构建目标SOAR剧本时直接调用； 第六集合对象容器， 被配置为存放与目标SOAR剧本对应的来源描述信息， 所述来源描 述信息用于表征 所述剧本对应的来源。 8.一种计算机可读的存储介质， 其特征在于， 所述存储介质中存储有计算机程序， 其 中， 所述计算机程序被设置为处 理器运行时执 行权利要求1至 6中任一项中所述的方法。 9.一种电子设备， 包括存储器和处理器， 其特征在于， 所述存储器中存储有计算机程 序， 所述处理器被设置为运行所述计算机程序以执行权利要求1至6中任一项中所述的方 法。权　利　要　求　书 2/2 页 3 CN 114338178 B 3