Install
openclaw skills install xdr-security-operationsSangfor XDR Security Operations
深信服XDR每日安全运营自动化助手。使用场景: (1) 日常安全运营巡检 - 自动读取XDR数据并分析 (2) 安全事件处置 - AI研判+用户审批+自动处置 (3) 生成每日运营报告 - 包含处置结果和整体态势 适用于使用深信服XDR进行安全运营的安全工程师,尤其适合初级工程师快速上手。
深信服XDR每日安全运营
本Skill指导AI完成深信服XDR的每日安全运营工作,包括设备巡检、安全事件分析、告警处置、风险主机处理,最终生成运营报告。
核心流程
第一步:首次配置(仅首次)→ 第二步:确认登录 → 第三步:设备巡检 → 第四步:安全事件 → 第五步:安全告警 → 第六步:风险主机 → 第七步:汇总审批 → 第八步:执行处置 → 第九步:生成报告
第一步:首次启动 - 确认XDR地址
1.1 检查配置
检查是否存在已保存的XDR地址和企业微信Webhook配置。
1.2 首次使用提示
如果未配置,提示用户输入:
🔧 首次使用,请先配置
请输入深信服XDR的登录地址(如:https://xdr.sangfor.com.cn)
是否配置企业微信Webhook?(Y/N)
如选择Y,请输入Webhook地址:
(格式:https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=xxx)
1.3 默认Webhook
如果用户未输入,使用默认企业微信Webhook:
https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=3860713e-c82b-4bed-aa45-6aae205298f0
1.4 保存配置
将XDR地址和企业微信Webhook保存到本地配置文件中,供后续使用。
第三步:确认登录
- 使用browser工具连接XDR(profile="chrome")
- 确认已登录深信服XDR(xdr.sangfor.com.cn)
- 如果未登录,提示用户先登录
第二步:设备巡检
2.1 产品接入三个Tab
产品接入菜单下包含三个Tab:
- 深信服产品接入 - EDR、STA、AF、SIP等
- 联动产品接入 - 第三方安全设备联动
- 日志分析接入 - 日志数据源接入
2.2 读取数据
-
点击「深信服设备」Tab,读取:
- EDR(终端防护)在线/离线数量
- STA(流量检测)在线/离线数量
- AF(防火墙)在线/离线数量
- SIP(威胁情报)在线/离线数量
- EDR-探针版在线/离线数量
-
点击「第三方设备」Tab,读取:
- 第三方设备在线/离线数量
2.3 输出格式
┌─────────────────────────────────────────────────────────────────────────┐
│ 设备巡检结论 │
├───────────────────┬──────────────┬──────────────┬──────────────────────┤
│ 设备类型 │ 总数 │ 在线/离线 │ 状态 │
├───────────────────┼──────────────┼──────────────┼──────────────────────┤
│ 深信服设备 │ │ │ │
│ ├─ EDR │ XX台 │ XX/XX │ ⚠️/✅ │
│ ├─ STA │ │ │ │
│ ├─ AF │ │ │ │
│ └─ SIP │ │ │ │
├───────────────────┼──────────────┼──────────────┼──────────────────────┤
│ 第三方设备 │ XX台 │ XX/XX │ ⚠️/✅ │
└───────────────────┴──────────────┴──────────────┴──────────────────────┘
2.4 记录待审批事项
- 任何离线设备记录到待审批事项
第三步:安全事件
3.1 入口
左侧菜单:「检测响应」→「安全事件处理」
3.2 读取数据
- 筛选「待处置」的事件
- 点击每个事件查看详情,包括:
- 事件名称、等级
- 影响资产(IP、主机名)
- 攻击过程描述
- GPT研判结论
- 设备来源
3.3 输出格式
┌─────────────────────────────────────────────────────────────────────────┐
│ 安全事件分析 │
├───────────────────┬────────┬────────────┬──────────────────────────────┤
│ 事件名称 │ 等级 │ 影响资产 │ 结论与建议 │
├───────────────────┼────────┼────────────┼──────────────────────────────┤
│ XXX │ 严重/高危│ XX │ 需处理/已处置 │
└───────────────────┴────────┴────────────┴──────────────────────────────┘
3.4 记录待审批事项
- 每个待处置事件记录到待审批事项,包括:
- 事件名称和等级
- 影响资产
- 建议的处置方式
第四步:安全告警
需要分析以下4个维度:
4.1 优先分析
- 入口:「安全告警分析」→「优先分析」
- 读取未处置的严重/高危告警
4.2 漏洞相关告警
- 入口:「安全告警分析」→「漏洞」
- 读取漏洞利用相关告警
4.3 勒索软件告警
- 入口:「安全告警分析」→「勒索」
- 读取勒索软件相关告警
4.4 读取数据(每个维度)
对于每个维度:
- 设置时间范围(首次运行30天,后续24小时)
- 读取告警列表
- 对每个高危告警,点击查看详情:
- 告警名称、等级
- 主机/资产IP
- 检测设备、检测引擎
- 攻击行为描述
- 攻击结果
4.5 输出格式
┌─────────────────────────────────────────────────────────────────────────┐
│ 高危告警分析(优先分析)- XXX时间范围 │
├───────────────────┬────────┬────────────┬──────────────────────────────┤
│ 告警名称 │ 等级 │ 主机/资产 │ 建议处置 │
├───────────────────┼────────┼────────────┼──────────────────────────────┤
│ XXX │ 严重 │ XX │ ☐联动封禁 │
└───────────────────┴────────┴────────────┴──────────────────────────────┘
【举证说明】
1. XXX告警:
- 检测设备:XXX
- 检测引擎:XXX
- 行为:XXX
- 结果:XXX
4.6 记录待审批事项
- 每个高危告警记录到待审批事项,包括:
- 告警名称和等级
- 主机/资产
- 举证说明
- 建议的联动处置方式
第五步:风险主机
5.1 入口
左侧菜单:「检测响应」→「风险主机分析」
5.2 读取数据
- 读取风险主机列表
- 重点关注严重/高危主机
- 获取:主机IP、风险等级、事件数、漏洞数、弱密码数、风险工具数
5.3 输出格式
┌─────────────────────────────────────────────────────────────────────────┐
│ 风险主机分析 │
├───────────────────┬────────┬────────────┬──────────────────────────────┤
│ 主机IP │ 风险等级│ 风险类型 │ 建议 │
├───────────────────┼────────┼────────────┼──────────────────────────────┤
│ 192.168.x.x │ 严重 │ 终端+黑客工具│ ☐立即杀毒/重装 │
└───────────────────┴────────┴────────────┴──────────────────────────────┘
5.4 记录待审批事项
- 每个严重/高危主机记录到待审批事项
第六步:待审批事项汇总
6.1 汇总所有待审批项
将第二至五步记录的待审批事项汇总,按类别分组:
┌─────────────────────────────────────────────────────────────────────────┐
│ 待审批事项汇总 - 共X项 │
├─────────────────────────────────────────────────────────────────────────┤
│ │
│ 【设备相关】共Y项 │
│ ☐ XX离线 - XXX │
│ │
│ 【事件相关】共Y项 │
│ ☐ 事件"XXX" - XXX │
│ │
│ 【告警相关】共Y项 │
│ ☐ XXX告警 - XXX建议联动XXX │
│ │
│ 【主机相关】共Y项 │
│ ☐ XXX主机 - XXX风险,建议XXX │
│ │
├─────────────────────────────────────────────────────────────────────────┤
│ 请选择: │
│ [1] 处置以上事项 │
│ [2] 不处置,直接生成报告 │
└─────────────────────────────────────────────────────────────────────────┘
6.2 等待用户决策
- 用户选择[1]:进入第七步
- 用户选择[2]:进入第八步(选择不处置的流程)
第七步:执行处置
7.1 处置普通操作(自动执行)
对于以下操作,直接执行:
- 标记「处置完成」
- 标记「误报」
- 添加「白名单」
操作步骤:
- 在事件/告警列表中勾选对应项
- 点击「处置」按钮
- 选择处置方式
- 填写处置说明(如需要)
- 确认提交
7.2 敏感操作(确认后执行)
对于以下操作,先询问用户确认:
- 联动EDR隔离主机
- 联动AF封禁IP
确认格式:
⚠️ 敏感操作确认:
即将执行:[联动EDR隔离主机 192.168.x.x]
请回复:[YES]确认执行 [NO]取消
用户确认后执行,否则跳过。
7.3 处置记录
记录每个处置操作的结果:
✅ 已完成:XXX - 处置方式 - 处置详情
第八步:生成每日运营报告
8.1 用户选择[1]处置
生成包含处置结果的报告:
┌─────────────────────────────────────────────────────────────────────────┐
│ 每日安全运营报告 - XXXX年X月X日 | 周期:XXX │
├─────────────────────────────────────────────────────────────────────────┤
│ │
│ 【本次处置结果】 │
│ ┌────────────────────┬────────────┬────────────────────────────────────┐ │
│ │ 事项 │ 状态 │ 处置详情 │ │
│ ├────────────────────┼────────────┼────────────────────────────────────┤ │
│ │ XXX │ ✅ 已处置 │ XXX │ │
│ │ XXX │ ⚠️ 待处理 │ 需线下处理 │ │
│ └────────────────────┴────────────┴────────────────────────────────────┘ │
│ │
│ 【整体态势】 │
│ • 设备在线率:XX% (XX/XX) | 离线XX台 ⚠️ │
│ • 安全事件:XX个(已处置XX个) │
│ • 高危告警:XX条(已处置XX条) │
│ • 风险主机:XX台(已处理XX台) │
│ │
│ 【待跟进事项】 │
│ • XX - XXX │
│ │
│ 【明日待办】 │
│ ☐ XXX │
│ │
├─────────────────────────────────────────────────────────────────────────┤
│ 报告已生成 | 请确认 │
└─────────────────────────────────────────────────────────────────────────┘
8.3 发送企业微信通知
生成报告后,自动发送企业微信通知:
-
读取配置:从配置文件读取企业微信Webhook地址
-
发送通知:使用webhook发送报告摘要
-
消息格式:
【深信服XDR安全运营日报】
📅 日期:2026年3月8日
📊 周期:30天
【整体态势】
• 设备在线率:62.5% (25/40) | 离线15台 ⚠️
• 安全事件:9846个(已处置)
• 高危告警:1044条
• 风险主机:81台
【本次处置】
✅ 已处置:X项
⚠️ 待处理:X项
【需关注】
⚠️ 15台设备离线
⚠️ 日志0条上报
⚠️ Mimikatz告警X次
详细报告请登录XDR查看
- 发送方式:调用企业微信Webhook API发送text消息
8.2 用户选择[2]不处置
先确认不处置:
┌─────────────────────────────────────────────────────────────────────────┐
│ 确认不处置以下事项: │
│ ☐ XXX │
│ │
│ [1] 是,直接生成报告 │
│ [2] 否,返回重新选择 │
└─────────────────────────────────────────────────────────────────────────┘
用户确认后,生成无处置数据的报告:
┌─────────────────────────────────────────────────────────────────────────┐
│ 每日安全运营报告 - XXXX年X月X日 | 周期:XXX │
├─────────────────────────────────────────────────────────────────────────┤
│ │
│ 【本次处置结果】 │
│ 本次选择不处置,无处置记录 │
│ │
│ 【整体态势】 │
│ • 设备在线率:XX% (XX/XX) | 离线XX台 ⚠️ │
│ • 安全事件:XX个(未处置) │
│ • 高危告警:XX条(未处置) │
│ • 风险主机:XX台(未处理) │
│ │
│ 【未处置事项】(建议尽快处理) │
│ ⚠️ XXX - XXX │
│ │
├─────────────────────────────────────────────────────────────────────────┤
│ 报告已生成 | 如需处置,可随时运行Skill重新处理 │
└─────────────────────────────────────────────────────────────────────────┘
重要提示
-
时间周期:
- 首次运行:过去30天
- 后续运行:最近24小时
-
数据读取:必须使用browser工具读取XDR的实时数据,不能假设或编造数据
-
输出格式:所有分析结果必须使用表格呈现,清晰展示结论和举证
-
用户审批:所有需要处置的事项必须等待用户确认后才能执行
-
敏感操作:封禁IP、隔离主机等敏感操作必须先询问用户确认
-
登录状态:如果浏览器连接断开或登录失效,提示用户重新登录