back
loading skill details...
深信服XDR每日安全运营自动化助手。使用场景: (1) 日常安全运营巡检 - 自动读取XDR数据并分析 (2) 安全事件处置 - AI研判+用户审批+自动处置 (3) 生成每日运营报告 - 包含处置结果和整体态势 适用于使用深信服XDR进行安全运营的安全工程师,尤其适合初级工程师快速上手。
--- name: xdr-security-operations description: | 深信服XDR每日安全运营自动化助手。使用场景: (1) 日常安全运营巡检 - 自动读取XDR数据并分析 (2) 安全事件处置 - AI研判+用户审批+自动处置 (3) 生成每日运营报告 - 包含处置结果和整体态势 适用于使用深信服XDR进行安全运营的安全工程师,尤其适合初级工程师快速上手。 --- # 深信服XDR每日安全运营 本Skill指导AI完成深信服XDR的每日安全运营工作,包括设备巡检、安全事件分析、告警处置、风险主机处理,最终生成运营报告。 ## 核心流程 ``` 第一步:首次配置(仅首次)→ 第二步:确认登录 → 第三步:设备巡检 → 第四步:安全事件 → 第五步:安全告警 → 第六步:风险主机 → 第七步:汇总审批 → 第八步:执行处置 → 第九步:生成报告 ``` ## 第一步:首次启动 - 确认XDR地址 ### 1.1 检查配置 检查是否存在已保存的XDR地址和企业微信Webhook配置。 ### 1.2 首次使用提示 如果未配置,提示用户输入: ``` 🔧 首次使用,请先配置 请输入深信服XDR的登录地址(如:https://xdr.sangfor.com.cn) 是否配置企业微信Webhook?(Y/N) 如选择Y,请输入Webhook地址: (格式:https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=xxx) ``` ### 1.3 默认Webhook 如果用户未输入,使用默认企业微信Webhook: ``` https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=3860713e-c82b-4bed-aa45-6aae205298f0 ``` ### 1.4 保存配置 将XDR地址和企业微信Webhook保存到本地配置文件中,供后续使用。 ## 第三步:确认登录 1. 使用browser工具连接XDR(profile="chrome") 2. 确认已登录深信服XDR(xdr.sangfor.com.cn) 3. 如果未登录,提示用户先登录 ## 第二步:设备巡检 ### 2.1 产品接入三个Tab 产品接入菜单下包含三个Tab: 1. **深信服产品接入** - EDR、STA、AF、SIP等 2. **联动产品接入** - 第三方安全设备联动 3. **日志分析接入** - 日志数据源接入 ### 2.2 读取数据 1. 点击「深信服设备」Tab,读取: - EDR(终端防护)在线/离线数量 - STA(流量检测)在线/离线数量 - AF(防火墙)在线/离线数量 - SIP(威胁情报)在线/离线数量 - EDR-探针版在线/离线数量 2. 点击「第三方设备」Tab,读取: - 第三方设备在线/离线数量 ### 2.3 输出格式 ``` ┌─────────────────────────────────────────────────────────────────────────┐ │ 设备巡检结论 │ ├───────────────────┬──────────────┬──────────────┬──────────────────────┤ │ 设备类型 │ 总数 │ 在线/离线 │ 状态 │ ├───────────────────┼──────────────┼──────────────┼──────────────────────┤ │ 深信服设备 │ │ │ │ │ ├─ EDR │ XX台 │ XX/XX │ ⚠️/✅ │ │ ├─ STA │ │ │ │ │ ├─ AF │ │ │ │ │ └─ SIP │ │ │ │ ├───────────────────┼──────────────┼──────────────┼──────────────────────┤ │ 第三方设备 │ XX台 │ XX/XX │ ⚠️/✅ │ └───────────────────┴──────────────┴──────────────┴──────────────────────┘ ``` ### 2.4 记录待审批事项 - 任何离线设备记录到待审批事项 ## 第三步:安全事件 ### 3.1 入口 左侧菜单:「检测响应」→「安全事件处理」 ### 3.2 读取数据 1. 筛选「待处置」的事件 2. 点击每个事件查看详情,包括: - 事件名称、等级 - 影响资产(IP、主机名) - 攻击过程描述 - GPT研判结论 - 设备来源 ### 3.3 输出格式 ``` ┌─────────────────────────────────────────────────────────────────────────┐ │ 安全事件分析 │ ├───────────────────┬────────┬────────────┬──────────────────────────────┤ │ 事件名称 │ 等级 │ 影响资产 │ 结论与建议 │ ├───────────────────┼────────┼────────────┼──────────────────────────────┤ │ XXX │ 严重/高危│ XX │ 需处理/已处置 │ └───────────────────┴────────┴────────────┴──────────────────────────────┘ ``` ### 3.4 记录待审批事项 - 每个待处置事件记录到待审批事项,包括: - 事件名称和等级 - 影响资产 - 建议的处置方式 ## 第四步:安全告警 需要分析以下4个维度: ### 4.1 优先分析 - 入口:「安全告警分析」→「优先分析」 - 读取未处置的严重/高危告警 ### 4.2 漏洞相关告警 - 入口:「安全告警分析」→「漏洞」 - 读取漏洞利用相关告警 ### 4.3 勒索软件告警 - 入口:「安全告警分析」→「勒索」 - 读取勒索软件相关告警 ### 4.4 读取数据(每个维度) 对于每个维度: 1. 设置时间范围(首次运行30天,后续24小时) 2. 读取告警列表 3. 对每个高危告警,点击查看详情: - 告警名称、等级 - 主机/资产IP - 检测设备、检测引擎 - 攻击行为描述 - 攻击结果 ### 4.5 输出格式 ``` ┌─────────────────────────────────────────────────────────────────────────┐ │ 高危告警分析(优先分析)- XXX时间范围 │ ├───────────────────┬────────┬────────────┬──────────────────────────────┤ │ 告警名称 │ 等级 │ 主机/资产 │ 建议处置 │ ├───────────────────┼────────┼────────────┼──────────────────────────────┤ │ XXX │ 严重 │ XX │ ☐联动封禁 │ └───────────────────┴────────┴────────────┴──────────────────────────────┘ 【举证说明】 1. XXX告警: - 检测设备:XXX - 检测引擎:XXX - 行为:XXX - 结果:XXX ``` ### 4.6 记录待审批事项 - 每个高危告警记录到待审批事项,包括: - 告警名称和等级 - 主机/资产 - 举证说明 - 建议的联动处置方式 ## 第五步:风险主机 ### 5.1 入口 左侧菜单:「检测响应」→「风险主机分析」 ### 5.2 读取数据 1. 读取风险主机列表 2. 重点关注严重/高危主机 3. 获取:主机IP、风险等级、事件数、漏洞数、弱密码数、风险工具数 ### 5.3 输出格式 ``` ┌─────────────────────────────────────────────────────────────────────────┐ │ 风险主机分析 │ ├───────────────────┬────────┬────────────┬──────────────────────────────┤ │ 主机IP │ 风险等级│ 风险类型 │ 建议 │ ├───────────────────┼────────┼────────────┼──────────────────────────────┤ │ 192.168.x.x │ 严重 │ 终端+黑客工具│ ☐立即杀毒/重装 │ └───────────────────┴────────┴────────────┴──────────────────────────────┘ ``` ### 5.4 记录待审批事项 - 每个严重/高危主机记录到待审批事项 ## 第六步:待审批事项汇总 ### 6.1 汇总所有待审批项 将第二至五步记录的待审批事项汇总,按类别分组: ``` ┌─────────────────────────────────────────────────────────────────────────┐ │ 待审批事项汇总 - 共X项 │ ├─────────────────────────────────────────────────────────────────────────┤ │ │ │ 【设备相关】共Y项 │ │ ☐ XX离线 - XXX │ │ │ │ 【事件相关】共Y项 │ │ ☐ 事件"XXX" - XXX │ │ │ │ 【告警相关】共Y项 │ │ ☐ XXX告警 - XXX建议联动XXX │ │ │ │ 【主机相关】共Y项 │ │ ☐ XXX主机 - XXX风险,建议XXX │ │ │ ├─────────────────────────────────────────────────────────────────────────┤ │ 请选择: │ │ [1] 处置以上事项 │ │ [2] 不处置,直接生成报告 │ └─────────────────────────────────────────────────────────────────────────┘ ``` ### 6.2 等待用户决策 - 用户选择[1]:进入第七步 - 用户选择[2]:进入第八步(选择不处置的流程) ## 第七步:执行处置 ### 7.1 处置普通操作(自动执行) 对于以下操作,直接执行: - 标记「处置完成」 - 标记「误报」 - 添加「白名单」 操作步骤: 1. 在事件/告警列表中勾选对应项 2. 点击「处置」按钮 3. 选择处置方式 4. 填写处置说明(如需要) 5. 确认提交 ### 7.2 敏感操作(确认后执行) 对于以下操作,先询问用户确认: - 联动EDR隔离主机 - 联动AF封禁IP 确认格式: ``` ⚠️ 敏感操作确认: 即将执行:[联动EDR隔离主机 192.168.x.x] 请回复:[YES]确认执行 [NO]取消 ``` 用户确认后执行,否则跳过。 ### 7.3 处置记录 记录每个处置操作的结果: ``` ✅ 已完成:XXX - 处置方式 - 处置详情 ``` ## 第八步:生成每日运营报告 ### 8.1 用户选择[1]处置 生成包含处置结果的报告: ``` ┌─────────────────────────────────────────────────────────────────────────┐ │ 每日安全运营报告 - XXXX年X月X日 | 周期:XXX │ ├─────────────────────────────────────────────────────────────────────────┤ │ │ │ 【本次处置结果】 │ │ ┌────────────────────┬────────────┬────────────────────────────────────┐ │ │ │ 事项 │ 状态 │ 处置详情 │ │ │ ├────────────────────┼────────────┼────────────────────────────────────┤ │ │ │ XXX │ ✅ 已处置 │ XXX │ │ │ │ XXX │ ⚠️ 待处理 │ 需线下处理 │ │ │ └────────────────────┴────────────┴────────────────────────────────────┘ │ │ │ │ 【整体态势】 │ │ • 设备在线率:XX% (XX/XX) | 离线XX台 ⚠️ │ │ • 安全事件:XX个(已处置XX个) │ │ • 高危告警:XX条(已处置XX条) │ │ • 风险主机:XX台(已处理XX台) │ │ │ │ 【待跟进事项】 │ │ • XX - XXX │ │ │ │ 【明日待办】 │ │ ☐ XXX │ │ │ ├─────────────────────────────────────────────────────────────────────────┤ │ 报告已生成 | 请确认 │ └─────────────────────────────────────────────────────────────────────────┘ ``` ### 8.3 发送企业微信通知 生成报告后,自动发送企业微信通知: 1. **读取配置**:从配置文件读取企业微信Webhook地址 2. **发送通知**:使用webhook发送报告摘要 3. **消息格式**: ``` 【深信服XDR安全运营日报】 📅 日期:2026年3月8日 📊 周期:30天 【整体态势】 • 设备在线率:62.5% (25/40) | 离线15台 ⚠️ • 安全事件:9846个(已处置) • 高危告警:1044条 • 风险主机:81台 【本次处置】 ✅ 已处置:X项 ⚠️ 待处理:X项 【需关注】 ⚠️ 15台设备离线 ⚠️ 日志0条上报 ⚠️ Mimikatz告警X次 详细报告请登录XDR查看 ``` 4. **发送方式**:调用企业微信Webhook API发送text消息 ### 8.2 用户选择[2]不处置 先确认不处置: ``` ┌─────────────────────────────────────────────────────────────────────────┐ │ 确认不处置以下事项: │ │ ☐ XXX │ │ │ │ [1] 是,直接生成报告 │ │ [2] 否,返回重新选择 │ └─────────────────────────────────────────────────────────────────────────┘ ``` 用户确认后,生成无处置数据的报告: ``` ┌─────────────────────────────────────────────────────────────────────────┐ │ 每日安全运营报告 - XXXX年X月X日 | 周期:XXX │ ├─────────────────────────────────────────────────────────────────────────┤ │ │ │ 【本次处置结果】 │ │ 本次选择不处置,无处置记录 │ │ │ │ 【整体态势】 │ │ • 设备在线率:XX% (XX/XX) | 离线XX台 ⚠️ │ │ • 安全事件:XX个(未处置) │ │ • 高危告警:XX条(未处置) │ │ • 风险主机:XX台(未处理) │ │ │ │ 【未处置事项】(建议尽快处理) │ │ ⚠️ XXX - XXX │ │ │ ├─────────────────────────────────────────────────────────────────────────┤ │ 报告已生成 | 如需处置,可随时运行Skill重新处理 │ └─────────────────────────────────────────────────────────────────────────┘ ``` ## 重要提示 1. **时间周期**: - 首次运行:过去30天 - 后续运行:最近24小时 2. **数据读取**:必须使用browser工具读取XDR的实时数据,不能假设或编造数据 3. **输出格式**:所有分析结果必须使用表格呈现,清晰展示结论和举证 4. **用户审批**:所有需要处置的事项必须等待用户确认后才能执行 5. **敏感操作**:封禁IP、隔离主机等敏感操作必须先询问用户确认 6. **登录状态**:如果浏览器连接断开或登录失效,提示用户重新登录
don't have the plugin yet? install it then click "run inline in claude" again.