分類和映射

分類和映射是指對云服務告警進行類型匹配和字段映射。

安全編排

安全編排（Security Orchestration）是將企業和組織在安全運營過程中涉及的不同系統或者一個系統內部不同組件的安全功能通過可編程接口（API）封裝后形成的安全能力（即應用）和人工檢查點按照一定的邏輯關系組合到一起，以完成某個特定的安全運營過程和規程。

安全編排是將安全運營相關的工具/技術、流程和人員等各種能力整合到一起的一種協同工作方式。

劇本

劇本（Playbook）是安全運營流程在安全編排系統中的形式化表述，它是將安全運營流程和規程轉換為機讀工作流的過程。

劇本體現了安全防護的邏輯，指示如何調度安全能力。劇本具有靈活性和可擴展性，可以根據實際需求進行修改和擴展，以適應不斷變化的安全威脅和業務需求。

流程

流程（Workflow）是將安全運營相關的工具、技術、流程和人員等各種能力整合到一起，形成一種協同工作方式。它由多個相連接的組件構成，流程定義完成后可被外部觸發，例如，當新工單產生時自動觸發自動審核工單流程。您可以通過可視化流程編輯畫布，定義每個節點的組件動作。

流程是劇本觸發時響應的方式，它負責將劇本中的指令和規程轉化為具體的操作和執行步驟。

劇本和流程的關系

• 聯系：劇本提供了安全運營的指導和規則，而流程則負責將這些規則轉化為具體的執行步驟和操作。劇本和流程相互依賴，劇本指導流程的執行，而流程則實現了劇本的意圖和要求。

• 區別：劇本和流程之間也存在一定的區別。首先，劇本更側重于定義和描述安全運營的流程和規程，它關注的是整體的框架和策略；而流程則更側重于具體的操作和執行步驟，它關注的是如何將劇本中的要求轉化為實際的行動。其次，劇本具有較大的靈活性和可擴展性，可以根據需要進行修改和擴展；而流程則相對固定，一旦設計完成，就需要按照規定的步驟執行。

示例：以一個具體的網絡安全事件響應案例為例，當組織遭受到一次網絡攻擊時，安全編排系統會首先根據預設的劇本識別出攻擊的類型和嚴重程度。然后，系統會根據劇本中定義的流程，自動觸發相應的安全措施，如隔離被攻擊的系統、收集攻擊數據、通知安全團隊等。在這個過程中，劇本和流程緊密配合，確保安全響應的準確性和及時性。

插件管理

• 插件：是包含函數、連接器、公共庫的聚合。插件有自定義插件和商業插件兩種類型，其中，自定義的插件可以在集市中顯示，也可以在劇本中使用。

• 插件集：是具有相同業務場景的插件集合。

• 函數：是可以在劇本中選用的執行函數，在劇本中執行特定的行為。

• 連接器：是用于連接數據源，將告警、事件等安全數據接入態勢感知（專業版），包括事件觸發和定時觸發兩種連接器類型。

• 公共庫：是一個公共模塊，包含在其他組件中會使用到的API調用和公共函數。

操作連接

操作連接是安全編排流程中，每個插件節點需要使用到的連接域名和鑒權參數。用于在安全編排的流程執行過程中，每個插件節點運行時，傳入需要連接的域名信息，以及在訪問該域名時，需要使用到的用戶鑒權信息，如用戶名/密碼、賬號AK/SK等。

操作連接與插件的關系

每個插件在運行過程中，需要通過域名調用的方式訪問其他云服務或者三方服務，調用過程中需要鑒權，因此，在插件的登錄憑證參數中會定義需要的域名參數（Endpoint）和認證參數（用戶名/密碼、賬號AK/SK等）。操作連接則是配置插件登錄憑證的參數值，流程中每個插件節點綁定不同的操作連接，支持相同插件的不同節點訪問不同的服務。

實例監控

當劇本/流程執行完成后，實例管理列表中會生成劇本/流程實例，即實例監控。實例監控列表每條記錄是一個實例，可呈現實例的歷史實例任務列表，以及歷史實例任務的運行情況。