一种威胁文件处置方法、装置及介质与流程

专利检索2022-05-10  3



1.本技术涉及网络安全技术领域,特别涉及一种威胁文件处置方法、装置及介质。


背景技术:

2.当前许多企业自身缺乏安全能力,存在企业分支及pc(personal computer,个人计算机)安全问题,在分支办公及移动办公pc场景中,多采用sd

wan(software defined wide area network,即软件定义广域网)部署的分支配合免费杀毒软件来维护网络安全。但该方式存在如下缺点,首先,分支网络、终端与游离于公司安全防护设备之外的移动办公pc脱离了总部的安全设备防护,存在较大安全风险,一旦失陷则容易将风险扩散到公司内网。其次,每个公司单独部署自己的sd

wan,对于小型企业来说,大大增加了网络安全防护成本


技术实现要素:

3.有鉴于此,本技术的目的在于提供一种威胁文件处置方法、装置及介质,能够减少企业网络的安全风险,也节约了网络安全防护成本。其具体方案如下:
4.第一方面,本技术公开了一种威胁文件处置方法,应用于云安全平台,包括:
5.获取威胁文件扫描任务,其中,所述威胁文件扫描任务中包括待扫描设备的设备信息;
6.将所述威胁文件扫描任务下发至终端安全管理端,以便所述终端安全管理端将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端执行所述威胁文件扫描任务,其中,所述终端安全管理端为所述云安全平台提供的;
7.从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。
8.可选地,所述威胁文件扫描任务还包括扫描时间,所述将所述威胁文件处理任务下发至终端安全管理端,包括:
9.根据所述扫描时间将所述威胁文件扫描任务下发至终端安全管理端。
10.可选地,还包括:
11.通过所述云安全平台的前端页面对所述扫描结果进行显示。
12.可选地,所述从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果,包括:
13.接收所述终端安全管理端返回的所述威胁文件扫描任务对应的第一任务标识;
14.利用所述第一任务标识从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。
15.可选地,所还包括:
16.向所述终端安全管理端下发对所述扫描结果中的威胁文件进行处置的威胁文件处置任务。
17.可选地,所述向所述终端安全管理端下发对所述扫描结果中的威胁文件进行处置
的威胁文件处置任务,包括:
18.在获取到通过所述前端页面输入的威胁文件处置指令的情况下,根据所述威胁文件处置指令和威胁文件处置策略向所述终端安全管理端下发所述威胁文件处置任务,以便所述终端安全管理端将所述威胁文件处置任务下发到对应设备上的终端安全客户端执行所述威胁文件处置任务;
19.或,在获取到所述扫描结果的情况下,根据所述扫描结果和所述威胁文件处置策略自动向所述终端安全管理端下发所述威胁文件处置任务,以便所述终端安全管理端将所述威胁文件处置任务下发到对应设备上的终端安全客户端执行所述威胁文件处置任务。
20.可选地,所述向所述终端安全管理端下发对所述扫描结果中的威胁文件进行处置的威胁文件处置任务之后,还包括:
21.接收所述终端安全管理端返回的所述威胁文件处置任务对应的第二任务标识;
22.利用所述第二任务标识从所述终端安全管理端中获取所述威胁文件处置任务对应的处置状态。
23.第二方面,本技术公开了一种云安全平台,包括:
24.任务获取模块,用于获取威胁文件扫描任务,其中,所述威胁文件扫描任务中包括待扫描设备的设备信息;
25.扫描任务下发模块,用于将所述威胁文件扫描任务下发至终端安全管理端,以便所述终端安全管理端将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端执行所述威胁文件扫描任务,其中,所述终端安全管理端为所述云安全平台提供的;
26.扫描结果查询模块,用于从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。
27.可选的,所述云安全平台,还包括:
28.威胁处置模块,用于向所述终端安全管理端下发对所述扫描结果中的威胁文件进行处置的威胁文件处置任务。
29.第三方面,本技术公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的威胁文件处置方法。
30.可见,本技术公开了一种威胁文件处置方法,应用于云安全平台,包括:获取威胁文件扫描任务,其中,所述威胁文件扫描任务中包括待扫描设备的设备信息。然后将所述威胁文件扫描任务下发至终端安全管理端,以便所述终端安全管理端将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端执行所述威胁文件扫描任务。接着从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。由此可见,本技术中由云安全平台、终端安全管理端及终端安全客户端完成威胁文件扫描、处置操作,企业总部和分支只需要通过订阅云安全平台的方式便可以对网络安全进行防护,减少企业网络的安全风险,且不需要部署sd

wan,也节约了网络安全防护成本。
附图说明
31.为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据
提供的附图获得其他的附图。
32.图1为本技术公开的一种威胁文件处置方法流程图;
33.图2为本技术公开的一种具体的威胁文件处置方法部分流程图;
34.图3为本技术公开的一种具体的威胁文件处置方法部分流程图;
35.图4为本技术公开的一种整体架构图;
36.图5为本技术公开的一种定时的威胁文件扫描任务下发示意图;
37.图6为本技术公开的一种威胁文件扫描任务下发示意图;
38.图7为本技术公开的一种扫描结果查询示意图;
39.图8为本技术公开的一种威胁文件处置任务下发示意图;
40.图9为本技术公开的一种威胁文件处置结果查询示意图;
41.图10为本技术公开的一种云安全平台结构示意图。
具体实施方式
42.下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本技术一部分实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本技术保护的范围。
43.参见图1所示,本技术实施例公开了一种威胁文件处置方法,应用于云安全平台,该方法包括:
44.步骤s11:获取威胁文件扫描任务,其中,所述威胁文件扫描任务中包括待扫描设备的设备信息。
45.所述云安全平台为可以提供安全云服务的平台,例如,可以为sase(secure access service edge,安全访问服务边缘)云平台,sase是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务,实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联,终端安全管理端用于对终端安全服务进行管理,例如,所述终端安全管理端可以为edr(endpoint detection and resopnse,终端检测响应平台)mgr(manager),终端安全客户端用于面向用户提供终端安全检测服务,例如,edr客户端(例如,edr client),当然,还可以包括所述终端安全客户端对应的终端安全服务端,所述终端安全服务端可以为edr服务端,也即edr server。
46.在一些具体的实施过程中,当所述云安全平台为sase云平台,所述终端安全管理端可以为edr mgr,所述终端安全客户端为edr客户端,还包括edr服务端的情况下,sase云平台、edr mgr、edr客户端以及edr服务端的一种部署方式可以为,在整个云平台的第一节点上部署sase云平台,然后在整个云平台的第二节点上部署edr mgr,还需要在整个云平台的第三节点上部署edr服务端,在用户的终端设备上部署edr客户端,其中,所述第一节点、所述第二节点以及所述第三节点可以为虚拟机,也可以为物理机,具体可以根据实际情况确定,在此不做具体限定,所述sase云平台、edr mgr、edr服务端的部署可以采用容器方式进行部署,也可以采用非容器进行部署,具体可以根据实际情况确定,在此不做具体限定,所述用户的终端设备包括用户的pc等,具体可以根据实际情况确定,在此不做具体限定。当
然,此处只是例举了一种云安全平台、终端安全管理端、终端安全客户端的部署方式,还可以有其他可行的部署方式,本技术不限定具体的部署方式。
47.在实际应用中,在需要对用户的终端设备进行威胁文件扫描时,可以通过所述云安全平台进行威胁文件扫描,相应地,所述云安全平台需要先获取威胁文件扫描任务,其中,所述威胁文件扫描任务中包括待扫描设备的设备信息。
48.在具体的实施过程中,云安全平台对外提供前端页面,以便用户通过所述前端页面输入相关信息,所述前端页面可以为网页版的页面,也可以为专用的应用软件的形式,具体可以根据实际情况确定,在此不作具体限定。
49.相应地,所述获取威胁文件扫描任务,包括:获取通过所述云安全平台的前端页面输入的威胁文件扫描任务,所述前端页面为所述云安全平台为用户提供的与云安全平台交互的接口。也即,用户可以通过所述前端页面输入威胁文件扫描任务,在用户通过所述前端页面输入威胁文件扫描任务之后,便需要所述云安全平台获取通过所述前端页面输入的威胁文件扫描任务。
50.其中,所述威胁文件扫描任务中除了包括待扫描设备的设备信息之外,还可以包括扫描时间,此外,所述威胁文件扫描任务还可以包括威胁文件处置策略,所述威胁文件处置策略包括不同等级的威胁文件所需要进行的隔离、信任或忽略等操作,当然,所述威胁文件扫描任务也可以不包括威胁文件处置策略,当威胁文件扫描任务不包括威胁文件处置策略时,可以采用所述云安全平台上统一配置的威胁文件处置策略,所述威胁文件扫描任务还可以包括扫描方式,例如,快速扫描,全盘扫描,当然,威胁文件扫描任务也可以不包括扫描方式,当威胁文件扫描任务不包括扫描方式时,可以采用所述终端安全客户端统一配置的扫描方式,所述待扫描设备包括电脑以及网络安全设备等,且所述待扫描设备上均安装有终端安全客户端,例如,edr客户端。
51.步骤s12:将所述威胁文件扫描任务下发至终端安全管理端,以便所述终端安全管理端将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端执行所述威胁文件扫描任务,其中,所述终端安全管理端为所述云安全平台提供的。
52.在获取到所述威胁文件扫描任务之后,还需要将所述威胁文件扫描任务下发到终端安全管理端,其中,所述终端安全管理端为所述云安全平台提供的,以便所述终端安全管理端将所述威胁文件扫描任务下发到所述待扫描设备下的终端安全客户端,所述终端安全客户端在接收到所述威胁文件扫描任务之后,便会对所述待扫描设备上的数据进行分析,以便扫描到所述待扫描设备上存在的威胁文件,其中,终端安全客户端可以通过分析所述待扫描设备上的文件,从而确定所述待扫描设备是否存在威胁文件,以及威胁文件的文件路径、文件类型及威胁等级等,所述终端安全客户端的扫描方式可以根据实际情况设置,例如,可以将所述终端安全客户端的扫描方式分为快速扫描和全盘扫描,其中,快速扫描可以包括扫描待扫描设备上的部分盘中最近一周之内的文件,全盘扫描可以为扫描待扫描设备上的全部盘中最近半年之内的文件等,具体可以根据实际情况设置,在此不做具体限定。
53.具体的,所述终端安全管理端将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端执行所述威胁文件扫描任务,可以包括:所述终端安全管理端将所述威胁文件扫描任务下发到终端安全服务端,由所述终端安全服务端再将所述威胁文件扫描任务下发到终端安全客户端执行所述威胁文件扫描任务。例如,edr mgr将所述威胁文件扫描
任务下发到edr服务端,由所述edr服务端再将所述威胁文件扫描任务下发到edr客户端执行所述威胁文件扫描任务。
54.其中,所述威胁文件扫描任务还包括扫描时间,相应地,将所述威胁文件处理任务下发至终端安全管理端,包括:根据所述扫描时间将所述威胁文件扫描任务下发至终端安全管理端中。具体的,包括:如果获取到所述威胁文件扫描任务的时间在当前时间对应的当前任务拉取周期之后,且所述扫描时间在当前任务拉取周期之后,在下一个任务拉取周期之前,则直接将所述威胁文件扫描任务下发至所述终端安全管理端,以便所述终端安全管理端在达到所述扫描时间时,将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端中;如果所述扫描时间在当前任务拉取周期的下一个任务拉取周期之后,则将所述威胁文件扫描任务存储到数据库中,在到达当前任务拉取周期的下一个任务拉取周期时,从所述数据库中拉取所述威胁文件扫描任务,并将所述威胁文件扫描任务下发至所述终端安全管理端,以便所述终端安全管理端在达到所述扫描时间时,将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端中。
55.也即,可以预先设置任务拉取周期,例如,每天上午7点钟开始拉取扫描时间为当天的威胁文件扫描任务,如果获取到所述威胁文件扫描任务的时间在当前时间对应的当前任务拉取周期之后,且扫描时间在当前时间对应的当前任务拉取周期之后,在下一个任务拉取周期之前,则可以直接将所述威胁文件扫描任务下发到所述终端安全管理端中,由所述终端安全管理端对所述威胁文件扫描任务进行暂存或直接下发到所述待扫描设备上的终端安全客户端中,其中,当前时间对应的当前任务拉取周期的理解可以参照以下例子,例如,当前时间为上午10点,任务拉取周期为每天上午7点,则当前时间对应的当前任务拉取周期为今天上午7点。例如,当前时间为上午10点,在此时获取到威胁文件扫描任务,该威胁文件扫描任务的扫描时间是今天下午4点,由于任务拉取周期为每天上午7点,且扫描时间为今天的威胁文件扫描任务的任务拉取周期为今天上午7点,所以在当前时间(也即今天上午10点)获取到的该威胁文件扫描任务需要直接下发到所述终端安全管理端中,以便所述终端安全管理端对该威胁扫描任务进行暂存,在今天下午4点到达时,将该威胁文件扫描任务下发到对应的设备上的终端安全客户端中。
56.如果扫描时间在下一个任务拉取周期之后,则可以在到达下一个任务拉取周期时,再对该威胁文件扫描任务进行拉取,所以需要将该威胁文件扫描任务存储到数据库中,在到达当前任务拉取周期的下一个任务拉取周期时,从所述数据库中拉取该威胁文件扫描任务,并将该威胁文件扫描任务下发至所述终端安全管理端,所述终端安全管理端在达到所述扫描时间时,会将该威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端中,所述终端安全客户端便会执行该威胁文件扫描任务,得到对应的扫描结果。例如,当前时间为下午4点,获取到的威胁文件扫描任务的扫描时间为明天上午10点,任务拉取周期为每天上午7点,则将该威胁文件扫描任务存储到数据库中,在明天上午7点时,从所述数据库中拉取出该威胁文件扫描任务,并将该威胁文件扫描任务下发到终端安全管理端中,终端安全管理端会在达到明天上午10点时,将该威胁文件扫描任务下发到对应设备上的终端安全客户端中。
57.其中,将所述威胁文件扫描任务存储到数据库中,在到达当前任务拉取周期的下一个任务拉取周期时,从所述数据库中拉取所述威胁文件扫描任务,并将所述威胁文件扫
描任务下发至所述终端安全管理端,以便所述终端安全管理端在达到所述扫描时间时,将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端中,包括:将所述威胁文件扫描任务存储到数据库中;在到达当前任务拉取周期的下一个任务拉取周期时,通过所述云安全平台上的目标定时任务拉取模块从所述数据库中拉取所述威胁文件扫描任务,并将所述威胁文件扫描任务存储到定时扫描任务队列中,其中,所述目标定时任务拉取模块为在当前任务拉取周期的任务拉取结束时,采用etcd锁机制获得分布式锁的定时任务拉取模块,所述定时扫描任务队列为rabbitmq队列;从所述定时扫描任务队列中将所述威胁文件扫描任务下发至所述终端安全管理端以便所述终端安全管理端在达到所述扫描时间时,将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端中。
58.也即,将威胁文件扫描任务存储到数据库中之后,需要由定时任务拉取模块从数据库中将威胁文件扫描任务拉取出来,所述定时任务拉取模块可以包括多个,具体由哪一个定时任务拉取模块进行拉取,可以采用etcd锁机制进行控制,在每个任务拉取周期的威胁文件扫描任务拉取结束之后,各个定时任务拉取模块采用etcd锁机制获取分布式锁,当前任务拉取周期获得分布式锁的目标定时任务拉取模块负责下一个任务拉取周期的威胁文件扫描任务拉取。目标定时任务扫描模块在到达下一个任务拉取周期时,从所述数据块中拉取所述威胁文件扫描任务,并将拉取到的所述威胁文件扫描任务存储到定时扫描任务队列中,所述定时扫描任务队列为rabbitmq队列,然后从所述定时扫描任务队列中将所述威胁文件扫描任务下发至所述终端安全管理端,以便所述终端安全管理端在达到所述扫描时间时,将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端中。
59.步骤s13:从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。
60.将所述威胁文件扫描任务下发到所述终端安全管理端,再由所述终端安全管理端将所述威胁文件扫描任务下发到所述终端安全客户端中之后,还需要从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果,其中,所述扫描结果中可以包括威胁文件的文件路径、文件类型、威胁等级等
61.在获取到所述扫描结果之后,还可以通过所述云安全平台的前端页面对所述扫描结果进行显示。这样用户可以通过所述前端页面查看所述扫描结果,便针对所述扫描结果中扫描到的威胁文件进行相应的处置。
62.获取到所述扫描结果之后,还可以向所述终端安全管理端下发对所述扫描结果中的威胁文件进行处置的威胁文件处置任务。也即,可以对所述扫描结果中的威胁文件进行对应的处置。
63.其中,向所述终端安全管理端下发对所述扫描结果中的威胁文件进行处置的威胁文件处置任务,包括:在获取到通过所述前端页面输入的威胁文件处置指令时,根据所述威胁文件处置指令和威胁文件处置策略向所述终端安全管理端下发所述威胁文件处置任务,以便所述终端安全管理端将所述威胁文件处置任务下发到对应设备上的终端安全客户端中,以便对应的终端安全客户端执行所述威胁文件处置任务,其中,所述威胁文件处置指令中包括待处置威胁文件的文件信息及对应的设备信息,所述待处置威胁文件为所述扫描结果中扫描到的威胁文件;或,在获取到所述扫描结果时,根据所述扫描结果和所述威胁文件处置策略自动向所述终端安全管理端下发威胁文件处置任务,以便所述终端安全管理端将所述威胁文件处置任务下发到对应设备上的终端安全客户端中,以便对应的终端安全客户
端执行所述威胁文件处置任务。
64.也即,在获取到所述扫描结果之后,还需要对所述扫描结果中扫描到的威胁文件进行处置,可以在获取到用户通过所述前端页面输入威胁文件处置指令的情况下,根据威胁文件处置策略和所述威胁文件处置指令向所述终端安全管理端下发威胁文件处置任务,其中,所述威胁文件处置指令中可以指明需要处置的是哪些设备上的哪些威胁文件,所述威胁文件处置策略可以为在输入所述威胁文件扫描任务时输入的,也可以在所述云安全平台设置时统一配置的。
65.当然,也可以在获取到所述扫描结果的情况下,根据所述扫描结果和所述威胁文件处置策略自动向所述edr mgr下发威胁文件处置任务,不需要再由用户触发。
66.可见,本技术公开了一种威胁文件处置方法,应用于云安全平台,包括:获取威胁文件扫描任务,其中,所述威胁文件扫描任务中包括待扫描设备的设备信息。然后将所述威胁文件扫描任务下发至终端安全管理端,以便所述终端安全管理端将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端执行所述威胁文件扫描任务。接着从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。由此可见,本技术中由云安全平台、终端安全管理端及终端安全客户端完成威胁文件扫描、处置操作,企业总部和分支只需要通过订阅云安全平台的方式便可以对网络安全进行防护,减少企业网络的安全风险,且不需要部署sd

wan,也节约了网络安全防护成本。
67.参见图2所示,从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果,并通过所述前端页面显示所述扫描结果,包括:
68.步骤s21:接收所述终端安全管理端返回的所述威胁文件扫描任务对应的第一任务标识。
69.在将所述威胁文件扫描任务下发到所述终端安全管理端,以便由所述终端安全管理端将所述威胁文件扫描任务下发到所述终端安全客户端之后,还需要从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果,并进行可视化显示。
70.具体的,就是先获取所述终端安全管理端返回的所述威胁文件扫描任务对应的第一任务标识,其中,所述第一任务标识用于标识所述威胁文件扫描任务,根据所述第一任务标识可以在所述终端安全管理端中找到与所述威胁文件扫描任务相关联的数据。
71.步骤s22:利用所述第一任务标识从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。
72.在获取到所述第一任务标识之后,便可以利用所述第一任务标识从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。
73.具体的,可以先将所述第一任务标识存储到查杀结果查询队列中,其中,所述查杀结果查询队列为rabbitmq队列。
74.也即,在获取到所述第一任务标识之后,将所述第一任务标识存储到查杀结果查询队列中,其中,所述查杀结果查询队列为rabbitmq队列。其中,rabbitmq是实现了高级消息队列协议(amqp,advanced message queuing protocol)的开源消息代理软件(亦称面向消息的中间件),rabbitmq服务器是用erlang语言编写的,而集群和故障转移是构建在开放电信平台框架上的,所有主要的编程语言均有与代理接口通讯的客户端库。
75.然后从所述查杀结果查询队列中获取所述第一任务标识,并利用所述第一任务标
识从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。
76.也即,接着便可以从所述查杀结果查询队列中获取所述第一任务标识,并利用所述第一任务标识从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。
77.在获取到所述扫描结果之后,还可以将所述扫描结果存储到数据库中,并通过所述前端页面显示所述扫描结果。
78.也即,在获取到所述扫描结果之后需要将所述扫描结果存储到数据库中,并通过所述前端页面显示所述扫描结果。其中,所述数据库可以为mongodb,mongodb是一个基于分布式文件存储的数据库,由c 语言编写,旨在为web应用提供可扩展的高性能数据存储解决方案。
79.参见图3所示,向所述终端安全管理端下发对所述扫描结果中的威胁文件进行处置的威胁文件处置任务之后,还包括:
80.步骤s31:接收所述终端安全管理端返回的所述威胁文件处置任务对应的第二任务标识;
81.步骤s32:利用所述第二任务标识从所述终端安全管理端中获取所述威胁文件处置任务对应的处置状态。
82.也即,将所述威胁文件处置任务下发给所述终端安全管理端之后,还需要获取到所述终端安全管理端返回的所述威胁文件处置任务对应的第二任务标识,其中,所述第二任务标识可以标识所述威胁文件处置任务。
83.在获取到所述第二任务标识之后,利用所述第二任务标识从所述终端安全管理端中获取所述威胁文件处置任务对应的处置状态。具体的,就是先将所述第二任务标识存储到威胁处置结果查询队列中,接着便可以从所述威胁处置结果查询队列中获取所述第二任务标识,并利用所述第二任务标识从所述终端安全管理端中获取所述威胁文件处置任务对应的处置状态,其中,所述威胁处置结果查询队列为rabbitmq队列。
84.在从所述终端安全管理端中查询到所述威胁文件处置任务的处置状态为处置结束时,便需要更新所述数据库中所述扫描结果中扫描到的威胁文件的状态,看是处置成功,还是处置失败,如果是处置失败,还包括失败的原因。
85.参见图4所示,为本技术提出的一种威胁文件处置方法的整体架构图。包括交互层、逻辑业务层及数据层,其中,所述交互层为用户提供在前端进行威胁文件处置策略选择、威胁文件扫描任务新增等操作的接口,也即前端页面。所述逻辑业务层包括sase云平台、edr mgr及edr等,其中,edr可以包括edr服务端和edr客户端,所述逻辑业务层进行威胁文件扫描任务下发、扫描结果查询、威胁文件处置任务下发以及威胁处置结果查询等操作。所述数据层可以实现威胁文件扫描任务、扫描结果、威胁处置结果相关数据的存取,其中,用于存储威胁文件扫描任务的定时扫描任务下发队列,用于存储前述的第一任务标识的查杀结果查询队列,以及用于存储前述的第二任务标识的威胁处置结果查询队列可以设置为rabbitmq队列,用于存储威胁文件扫描任务的扫描任务表和用户存储扫描结果的扫描结果表可以存储在mongodb数据库中。
86.参见图5所示,为定时的威胁文件扫描任务下发示意图。用户可以在前端页面提交一键查杀任务(也即前述的威胁文件扫描任务),也即用户可以在sase云平台的前端页面提交需进行的威胁文件扫描任务,包括待扫描设备、扫描方式、扫描时间、威胁文件处置策略
等,其中,威胁文件处置策略包括对不同级别的威胁文件所进行的隔离、信任、忽略等操作。sase云平台的后台接收到前端页面传来的威胁文件扫描任务后,对威胁文件扫描任务按照入库格式进行组装,sase云平台的后台与mongodb连接,将组装好的威胁文件扫描任务放入mongodb等待定时任务进行拉取。
87.参见图6所示,为威胁文件扫描任务下发示意图。至少一定时任务采用etcd锁机制从分布式锁管理中抢夺分布式锁,抢到锁的定时任务从mongodb数据库中拉取威胁文件扫描任务;任务分发管理模块将定时任务拉取到的威胁文件扫描任务生产至定时扫描任务队列,再从定时扫描任务队列将威胁文件扫描任务下发到edr mgr中,edr mgr在到达扫描时间的情况下,将任务下发到edr客户端,各个edr客户端进行任务执行,将威胁文件扫描任务下发至edr mgr处后,edr mgr返回第一任务标识task_id给所述任务分发管理模块,再由所述任务分发管理模块将第一任务标识task_id生产至查杀结果查杀队列,以备后续的扫描结果查询。
88.参见图7所示,为扫描结果查询示意图。查杀结果查询模块消费查杀结果查询队列,通过拿到的第一任务标识task_id经由edr mgr查询扫描结果,其中,所述edr mgr需要从edr服务端中获取所述扫描结果,所述edr服务端从edr客户端中获取所述扫描结果,并将查到的扫描结果落入mongodb数据库,以及通过前端页面进行可视化显示。
89.参见图8所示,为威胁文件处置任务下发示意图。威胁文件的相关信息会在扫描结果中展示,在获取到威胁文件处置指令时,威胁处置模块从mongodb数据库中获取扫描结果,并根据威胁文件处置指令和威胁文件处置策略下发所述扫描结果对应的威胁文件处置任务,将威胁文件处置任务下发到edr mgr,以便由edr mgr下发至edr客户端,在将威胁文件处置任务下发到edr mgr之后,威胁处置模块还需要接收edr mgr返回的第二任务标识task_id,并将第二任务标识task_id存储到威胁处置结果查询队列中。
90.参见图9所示,为威胁文件处置结果查询示意图。威胁处置结果查询模块监听威胁处置结果查询队列,一旦有新的第二任务标识task_id写入,所述威胁处置结果查询模块便从威胁处置结果查询队列中获取到新写入的第二任务标识task_id,并利用该第二任务标识task_id从edr mgr轮询对应的威胁处置结果,当威胁处置状态为已完成时则更新扫描结果的威胁文件的处置状态,包括处置成功、失败及失败原因。
91.参见图10所示,本技术实施例公开了一种云安全平台,包括:
92.任务获取模块11,用于获取威胁文件扫描任务,其中,所述威胁文件扫描任务中包括待扫描设备的设备信息;
93.扫描任务下发模块12,用于将所述威胁文件扫描任务下发至终端安全管理端,以便所述终端安全管理端将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端执行所述威胁文件扫描任务,其中,所述终端安全管理端为所述云安全平台提供的;
94.扫描结果查询模块13,用于从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。
95.可见,本技术公开了一种威胁文件处置方法,应用于云安全平台,包括:获取威胁文件扫描任务,其中,所述威胁文件扫描任务中包括待扫描设备的设备信息。然后将所述威胁文件扫描任务下发至终端安全管理端,以便所述终端安全管理端将所述威胁文件扫描任务下发到所述待扫描设备上的终端安全客户端执行所述威胁文件扫描任务。接着从所述终
端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。由此可见,本技术中由云安全平台、终端安全管理端及终端安全客户端完成威胁文件扫描、处置操作,企业总部和分支只需要通过订阅云安全平台的方式便可以对网络安全进行防护,减少企业网络的安全风险,且不需要部署sd

wan,也节约了网络安全防护成本。
96.在一些具体的实施过程中,所述威胁文件扫描任务还包括扫描时间,所述任务下发模块12,用于:
97.根据所述扫描时间将所述威胁文件扫描任务下发至终端安全管理端。
98.在一些具体的实施过程中,还包括:
99.所述云安全平台的前端页面,用于对所述扫描结果进行显示。
100.在一些具体的实施过程中,所述扫描结果查询模块13,用于:
101.接收所述终端安全管理端返回的所述威胁文件扫描任务对应的第一任务标识;
102.利用所述第一任务标识从所述终端安全管理端中获取所述威胁文件扫描任务对应的扫描结果。
103.在一些具体的实施过程中,还包括威胁处置模块,用于:
104.向所述终端安全管理端下发对所述扫描结果中的威胁文件进行处置的威胁文件处置任务。
105.在一些具体的实施过程中,所述威胁处置模块,用于:
106.在获取到通过所述前端页面输入的威胁文件处置指令的情况下,根据所述威胁文件处置指令和威胁文件处置策略向所述终端安全管理端下发所述威胁文件处置任务,以便所述终端安全管理端将所述威胁文件处置任务下发到对应设备上的终端安全客户端执行所述威胁文件处置任务;
107.或,在获取到所述扫描结果的情况下,根据所述扫描结果和所述威胁文件处置策略自动向所述终端安全管理端下发所述威胁文件处置任务,以便所述终端安全管理端将所述威胁文件处置任务下发到对应设备上的终端安全客户端执行所述威胁文件处置任务。
108.在一些具体的实施过程中,还包括:
109.威胁文件处置结果查询模块,用于接收所述终端安全管理端返回的所述威胁文件处置任务对应的第二任务标识;利用所述第二任务标识从所述终端安全管理端中获取所述威胁文件处置任务对应的处置状态。
110.进一步的,本技术实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述任一实施例中公开的威胁文件处置方法。
111.其中,关于上述威胁文件处置方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
112.本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
113.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存
储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd

rom、或技术领域内所公知的任意其它形式的存储介质中。
114.最后,还需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
115.以上对本技术所提供的一种威胁文件处置方法、装置及介质进行了详细介绍,本文中应用了具体个例对本技术的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本技术的方法及其核心思想;同时,对于本领域的一般技术人员,依据本技术的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本技术的限制。
转载请注明原文地址:https://win.8miu.com/read-50272.html

最新回复(0)