这个skill专门用于生成安全事件关键信息摘要报告,提取安全事件关键信息并生成简洁的安全事件报告摘要。
在聊天中直接调用:
/cyber-events-log-abstract run
或带参数:
/cyber-events-log-abstract run --days 7
如果需要手动运行,直接执行:
py -3 "{baseDir}\run_abstract.py"
或
python "{baseDir}\run_abstract.py"
建议用 cron 表达式每小时触发一次:
0 (每小时){baseDir}\security_report.py优先使用 py,没有则用 python:
py -3 "{baseDir}\security_report.py"或
python "{baseDir}\security_report.py"脚本应在 stdout 输出 可解析的 JSON(允许前后有日志行,但必须能提取出一个完整 JSON 块),内容表示"统计周期内的安全事件聚合结果",而不是单条事件。
如果当前脚本输出不是 JSON,请按以下策略处理:
无论接口字段叫什么,都要归一化为以下语义字段(缺字段则置空):
eventName:事件名称/类型eventCount 或 counts:该类事件在周期内发生总次数(总量分析必须基于求和)riskLevel:风险等级(严重/高/中/低 或 1-4/1-5)timeRange:统计时间范围(start/end 或 firstSeen/lastSeen)sourceIp:主要攻击来源IP(若为TopN列表,保留Top3)destIp:主要受害资产IP(若为TopN列表,保留Top3)objectType:对象类型(主机/服务器/网络设备/业务系统等)将第1步得到的"安全事件聚合统计结果"作为输入数据,生成一份简洁的安全事件摘要报告。
【统一安全事件摘要报告生成任务】
你是一名资深网络安全运营分析专家。
输入数据为安全事件的聚合统计结果,每条记录代表某类事件在统计周期内的汇总信息,而不是单条事件。
注意:
请基于输入数据生成一份简洁的安全事件摘要报告,包含以下内容:
发生事件总数量为{{event_totals}}
{{trend_data}}
{{trend_data}}
2.示例表格格式:
输出top5_events
| 时间范围 | 持续天数 | 对象类型 | IP | 事件名称 | 风险等级 | 事件结果 | 事件次数 |
|---|
输出top3潜伏攻击ip
{{node6.long_cycle_top_attackers}}
| IP | 潜伏时间范围 | 潜伏天数 | 对象类型 | 代表事件 | 最高风险等级 | 累计事件次数 |
|---|
|----|------|------|-------|------|--------|-------|要为每条事件输出以下三部分内容(按 rank 顺序):
1) 【事件概览】
2) 【核心风险】
3) 【处置建议】
--days :统计周期天数(默认 1,即当天)--output-file :输出报告文件路径(默认在临时目录)> 若参数解析不可靠:以"默认值 + 用户自然语言意图"为准,但不得突破安全护栏。
共 1 个版本