在告警确诊为威胁后,我们还需要上服务器处理对应的威胁,可能是杀进程,清理进程文件等一系列的操作,当然也可能是去服务器上提取进程树,查看iptables策略等事项。我们考虑将这些事情的处理统一由任务系统来完成。
具体任务内容 则封装到不同的工具中,由不同的工具来完成不同的事情,比如提取进程树就是一个独立的工具;
具体的任务业务流如下图
整体领域模型设计
核心模块类图如下
其中OA,IDC代表不同类型的机器类型,OA代表windows机器,IDC代表Linux服务器
