cyber-events-log-abstract
专门生成安全事件关键信息摘要报告,提取安全事件关键信息并生成简洁的安全事件报告摘要。
Description
name: cyber-events-log-abstract description: 专门生成安全事件关键信息摘要报告,提取安全事件关键信息并生成简洁的安全事件报告摘要。 metadata: {"openclaw":{"emoji":"📋","os":["win32","linux"],"requires":{"anyBins":["python","py"]}}} user-invocable: true triggers:
- 安全事件摘要
- 生成安全事件摘要
- 事件摘要报告
- 安全事件关键信息
安全事件关键信息摘要生成器
这个skill专门用于生成安全事件关键信息摘要报告,提取安全事件关键信息并生成简洁的安全事件报告摘要。
功能概述
- 拉取XDR安全事件聚合统计
- 生成安全事件关键信息摘要报告
- 支持自定义时间范围查询
运行入口(给用户/cron调用)
直接运行命令
在聊天中直接调用:
/cyber-events-log-abstract run
或带参数:
/cyber-events-log-abstract run --days 7
手动执行脚本
如果需要手动运行,直接执行:
py -3 "{baseDir}\run_abstract.py"
或
python "{baseDir}\run_abstract.py"
定时任务 (Cron)
建议用 cron 表达式每小时触发一次:
0 * * * *(每小时)
1. 拉取XDR安全事件聚合统计(必须先执行)
脚本位置(已给定)
{baseDir}\security_report.py
执行方式(Windows)
优先使用 py,没有则用 python:
py -3 "{baseDir}\security_report.py"或python "{baseDir}\security_report.py"
期望输出(强约定)
脚本应在 stdout 输出 可解析的 JSON(允许前后有日志行,但必须能提取出一个完整 JSON 块),内容表示"统计周期内的安全事件聚合结果",而不是单条事件。 如果当前脚本输出不是 JSON,请按以下策略处理:
- 优先从输出中截取最后一段 JSON
- 截取失败则判定"数据不可用",仅输出错误信息与建议,不进入处置环节
字段归一化(在你脑内做映射)
无论接口字段叫什么,都要归一化为以下语义字段(缺字段则置空):
eventName:事件名称/类型eventCount或counts:该类事件在周期内发生总次数(总量分析必须基于求和)riskLevel:风险等级(严重/高/中/低 或 1-4/1-5)timeRange:统计时间范围(start/end 或 firstSeen/lastSeen)sourceIp:主要攻击来源IP(若为TopN列表,保留Top3)destIp:主要受害资产IP(若为TopN列表,保留Top3)objectType:对象类型(主机/服务器/网络设备/业务系统等)
2. 生成安全事件摘要报告(严格按模板输出,不得输出JSON)
将第1步得到的"安全事件聚合统计结果"作为输入数据,生成一份简洁的安全事件摘要报告。
报告固定模板(必须逐字遵守结构与要求)
【统一安全事件摘要报告生成任务】 你是一名资深网络安全运营分析专家。 输入数据为安全事件的聚合统计结果,每条记录代表某类事件在统计周期内的汇总信息,而不是单条事件。 注意: 1. counts / eventCount 表示事件在周期内的总发生次数 2. 事件总数量必须基于 eventCount 的求和结果进行分析 3. 不得将记录条数当作事件总数 请基于输入数据生成一份简洁的安全事件摘要报告,包含以下内容:
1. 事件趋势分析
发生事件总数量为{{event_totals}} {{trend_data}}
2. 风险峰值时间
{{trend_data}}
- 事件数量的峰值时间点
- 如果事件量分布均匀,无峰值,则说明情况
3. 主要攻击来源(IP / 国家 / 资产 / 分类)
- Top 5:{{trend_top5_ips}}
- 如果来源信息缺失,则基于已有字段(如资产、类别)推断可能来源类型
4.主要受害者(IP / 国家 / 资产 / 分类)
- Top 3:{{victim_top3_ips}}
4. 总体安全态势判断
- 根据趋势、峰值、来源信息综合判断整体威胁水平(如:持续上升、阶段性高峰、低风险平稳态势)。重点关注事件
- 找出 持续时间最长的事件,描述其名称、时间范围、持续天数、对象类型及 IP
- 找出 风险等级最高的事件,描述其名称、时间范围、风险等级、对象类型及 IP
2.示例表格格式: 输出top5_events | 时间范围 | 持续天数 | 对象类型 | IP | 事件名称 | 风险等级 | 事件结果 | 事件次数 | 输出top3潜伏攻击ip {{node6.long_cycle_top_attackers}} | IP | 潜伏时间范围 | 潜伏天数 | 对象类型 | 代表事件 | 最高风险等级 | 累计事件次数 | |----|------|------|-------|------|--------|-------|要为每条事件输出以下三部分内容(按 rank 顺序):
- 【事件概览】
- 事件类型(subCategory)
- 事件规模(eventCount)
- 对象类型(focusObjectCN)
- top3 IP(top3Ips)
- 【核心风险】
- 若存在 criticalDangerPoint 或 coreRisks,用一句话总结核心风险。
- 若不存在,则根据 subCategory 给一句最基础的风险描述(不要深入推断)。
- 【处置建议】
- 若 attackDisposalSuggestionList 不为空:按 step 顺序压缩整理(只保留一句话描述)。
- 若为空:统一给一句通用建议名规范,方便后续其他skills调用)。
可选参数(若用户在命令里给了就生效)
--days <int>:统计周期天数(默认 1,即当天)--output-file <path>:输出报告文件路径(默认在临时目录)
若参数解析不可靠:以"默认值 + 用户自然语言意图"为准,但不得突破安全护栏。
Reviews (0)
No reviews yet. Be the first to review!
Comments (0)
No comments yet. Be the first to share your thoughts!