提示词商城
AI 写作
图片
视频
热门角色
热门业务
模型专用
提示词工具
×
¥
查看详情
首页 / 网络安全事件报告生成器
🔥 会员专享 文生文 其它

网络安全事件报告生成器

👁️ 113 次查看
📅 Dec 3, 2025
💡 核心价值: 本提示词专为网络安全专业人员设计,能够根据提供的事件摘要自动生成专业、结构完整的安全事件报告。报告包含事件概述、影响分析、响应措施、根本原因分析以及预防建议等关键部分,采用技术文档写作风格,确保内容精确、清晰且客观。适用于各类网络安全事件的记录、分析和汇报场景,帮助组织完善安全事件管理流程。

🎯 可自定义参数(4个)

事件摘要
安全事件的详细描述,包括发现时间、影响范围、初步判断等信息
报告类型
报告的使用场景和类型
技术深度
技术分析的详细程度
受众群体
报告的主要阅读对象

🎨 效果示例

事件概述

  • 事件发现时间
    • 2025-11-30 09:14(UTC+8)
  • 事件类型分类
    • 勒索软件事件(疑似“LockBox”家族变种)
  • 涉及系统或资产
    • 财务网络段 Windows 终端共12台
    • 财务共享存储:FIN-NAS-01(部分目录无法访问)
    • 受影响文件特征:文档被附加“.lkbx”后缀,出现勒索说明“RECOVER_FILES.txt”

技术分析

  • 攻击向量分析

    • 初始入口:通过钓鱼邮件携带的恶意宏模板触发(用户在FIN-WS-07下载并启用宏)
    • 执行方式:恶意宏触发后调用WMI启动加密进程,在受害主机本地用户权限下运行
    • 规避与干扰:在加密前批量删除系统影子副本(调用vssadmin相关操作),降低本地快速恢复的可能
    • 网络活动:09:15–09:20对外短时TLS连接至185.203.21.45:443,未见明显大流量上传

  • 漏洞利用细节

    • 未发现明确利用已知远程执行漏洞的证据
    • 风险因素包括:
      • 邮件安全与宏执行策略缺口,允许来自不可信来源的宏运行
      • 终端补丁滞后,可能缺少针对宏行为限制与相关防护策略的安全增强
    • 运行权限:加密线程以本地用户权限执行,未见权限提升迹象

  • 入侵路径还原

    • 09:09:用户FIN-WS-07下载可疑办公模板(疑含恶意宏)
    • 09:12:目标主机开始批量删除影子副本
    • 09:12–09:14:本地加密任务启动并扩散至同网段其他终端(通过WMI触发加密进程),生成“RECOVER_FILES.txt”,文件扩展名改为“.lkbx”
    • 09:14:终端检测平台产生疑似勒索告警,现场确认12台主机被加密
    • 09:15–09:20:出现对外短时加密流量连接至185.203.21.45:443
    • 后续:受影响共享盘FIN-NAS-01部分目录无法访问

    注:当前证据支持“恶意宏 → WMI进程启动 → 本地加密与横向触发”的链路,未见域控或关键服务器被入侵的迹象。

影响评估

  • 业务影响范围
    • 财务核算与发票开具业务中断约2小时
    • 财务网络段内12台终端不可用或功能受限
    • FIN-NAS-01部分共享目录不可访问,影响日常协作
  • 数据泄露情况
    • 目前未发现数据外传证据:仅观察到短时对外HTTPS连接,未见大流量上传
    • 鉴于加密流量特性和时长,数据外泄可能性较低,但仍需通过流量取证与邮件网关日志进一步核实
  • 系统可用性影响
    • 约1.1万份办公文档被加密
    • 本地影子副本被删除,常规本地卷快照恢复难度上升
    • 需依赖昨晚23:00可用快照/备份进行恢复

响应措施

  • 立即响应行动(已执行)
    • 隔离受影响的12台终端,阻断横向传播
    • 关闭受影响文件共享,防止二次加密与污染
    • 阻断可疑对外IP连接
    • 启动取证:提取内存与磁盘镜像,保全相关日志
    • 准备从2025-11-29 23:00快照/备份进行恢复
  • 遏制措施实施(建议补充/确认)
    • 邮件层面:在邮件网关暂时提高策略,隔离同批次邮件与相似样本,基于哈希/特征封堵
    • 终端层面:在全网下发临时加固策略,禁止办公应用启动脚本、WMI/PowerShell子进程(基于现有EDR/AV与策略平台)
    • 网络层面:在边界与核心交换/防火墙进行按需隔离,限制WMI远程调用与SMB横向访问至最小范围
    • 账户与凭据:对受影响用户强制改密,检查存在的长期凭据与缓存令牌,必要时执行范围化凭据轮换
  • 恢复操作步骤(建议)
    1. 确认“清洁基线”:在隔离环境中完成受影响主机的重装/镜像还原,或通过可信黄金镜像重置并打齐补丁
    2. 备份安全性校验:对23:00快照执行离线扫描与抽样比对,确保快照不含恶意宏/计划任务/WMI订阅残留
    3. 分批恢复与验证:先恢复关键最小集,进行完整性校验与业务验证,再逐步扩大范围
    4. 共享存储恢复:对FIN-NAS-01受影响目录进行只读挂载、差异恢复与逐份校验,避免恢复后再次被加密
    5. 监控与验收:恢复后在7–14天内启用加强型主机与网络监控,对异常进程创建、WMI活动、批量文件改写保持告警

根本原因分析

  • 技术原因分析
    • 邮件与办公宏策略不足,来自不受信来源的宏得以执行
    • 终端补丁与安全策略滞后,缺少对办公应用调用脚本/WMI的行为级拦截
    • WMI远程执行控制不严,允许在网段内快速触发加密进程
    • 关键恢复点依赖本地影子副本,遭删除后恢复弹性不足
  • 流程缺陷识别
    • 钓鱼邮件处置与用户报告流程不完善,首次触发后未能在极短时间内止损
    • 补丁与安全基线合规检查存在滞后,未实现对高风险策略的强制一致性
    • 备份与恢复演练不足,对共享盘与终端多层次恢复路径准备不足
  • 人员因素评估
    • 用户安全意识不足,启用可疑宏导致初始感染
    • 一线处置虽及时,但在宏与WMI滥用的预防性控制上存在空档

改进建议

  • 技术防护建议
    • 办公与脚本防护
      • 禁止来自互联网的宏(基于文件标记/MOTW)与不受信发布者的VBA执行
      • 启用应用防护/攻击面缩减策略,阻止办公应用启动脚本、WMI、命令行与加密工具相关行为
      • 对WMI远程执行进行最小化准入与审计,必要时在财务网段默认禁用
    • 终端与系统
      • 全量补丁与基线加固,统一EDR策略为“阻断+回滚”模式(勒索行为拦截)
      • 启用受控文件夹访问、重要目录白名单保护,限制非常规进程批量改写
      • 强化日志与可观测性(进程创建、WMI操作、文件重命名/扩展名大规模变化)
    • 网络与邮件
      • 实施最小化出站策略与分区分段,限制至业务必需的端口与目的地
      • 邮件网关启用沙箱与宏剥离/转换策略,对高风险附件执行隔离审查
      • 部署域名与URL防护策略,对短时恶意C2/支付站点进行快速封堵
    • 备份与恢复
      • 落实“3-2-1”备份策略,确保至少一份离线/不可篡改备份
      • 为共享盘与关键工作站建立快照链路与周期性恢复演练,验证RTO/RPO
  • 流程优化方案
    • 建立钓鱼邮件快速处置流程:用户一键举报→网关溯源与同批次隔离→告警通知→快速狩猎
    • 推行补丁与策略合规基线,设立强制执行与例外审批闭环,定期审计覆盖率与时效
    • 明确重大加密事件的分级响应SOP,包括隔离阈值、跨部门联动与对外沟通流程
  • 人员培训建议
    • 定期开展有针对性的防钓鱼演练与案例复盘,突出“启用宏”与可疑模板风险
    • 对IT与安全团队进行WMI滥用、宏攻击链、勒索行为检测与应急处置培训
    • 加强一线服务台的初筛能力与上报时效,缩短“发现—隔离”时间窗口

以上报告基于当前已知事实与日志线索进行分析与复盘,未对未被证实的细节进行延伸推断。后续建议结合取证结果(邮件原始样本、宏代码、WMI日志、终端与网络可观测数据)进一步更新结论与处置计划。

事件概述

  • 事件发现时间
    • 2025-10-18 00:42(UTC+8),由应用防护与数据库审计同时触发告警
  • 事件类型分类
    • Web 应用层 SQL 注入导致的未授权数据读取(联合查询型,自动化探测伴随信息增益尝试)
  • 涉及系统或资产
    • 生产环境公网门户 /product 接口
    • 后端数据库(只读账户权限)
    • 安全设备:应用防护(WAF/应用防护模块)、数据库审计

技术分析

  • 攻击向量分析
    • 攻击目标为 /product 接口的 id 参数,出现大量异常查询与联合查询特征
    • 载荷模式具备典型 SQL 注入语义(例如使用恒等条件与 UNION SELECT 的组合,形如 "' OR 1=1 UNION SELECT ... --" 的变体)
    • 攻击特征包括:
      • 源地址集中于 IP 段 45.83.19.0/24
      • 多 User-Agent 轮换与速率控制,显示自动化脚本探测与规避策略
      • 并发与速率低于常见阈值,意在绕过简单速率限制
  • 漏洞利用细节
    • 根因位于旧版数据访问层(DAO)对 SQL 使用字符串拼接,未实施参数化查询,导致可注入
    • 发布流程绕过安全基线,导致含漏洞的旧版 DAO 上线
    • 数据库访问使用只读账户,无写入或权限提升迹象
    • 数据库审计显示 00:45–00:47(UTC+8)期间,通过只读账户执行了 3 次联合查询,读取 users 表中非敏感字段及加盐 bcrypt 密码哈希
    • 读取总量:134 条记录(邮箱、加盐 bcrypt 哈希、注册时间);未涉及支付信息或身份证号
  • 入侵路径还原
    • 攻击源(45.83.19.0/24 网段,UA 轮换)发起对 /product?id=... 的异常请求
    • 应用因旧版 DAO 存在字符串拼接缺陷,未对 id 参数进行参数化处理
    • 注入载荷被拼接入查询语句,后端数据库以只读账户执行联合查询
    • 应用返回包含 users 表字段的数据(邮箱、加盐 bcrypt 哈希、注册时间)共 134 条
    • 全流程未出现写操作或系统配置变更迹象

影响评估

  • 业务影响范围
    • 限于生产环境门户 /product 接口的数据读取面;未见业务功能异常或服务中断
  • 数据泄露情况
    • 泄露数据:users 表中 134 条记录的邮箱、加盐 bcrypt 密码哈希、注册时间
    • 未涉及支付信息或身份证号等更高敏感度数据
    • 访问权限:通过只读账户完成,仅为读取,无写入/删除
  • 系统可用性影响
    • 未见篡改或可用性下降;系统运行正常

响应措施

  • 立即响应行动
    • 临时阻断来源网段 45.83.19.0/24 及相关 ASN
    • 回滚含漏洞的应用版本,并上线参数化修复
    • 对可能受影响的账号强制重置密码
    • 对相关数据字段实施脱敏与最小化策略
  • 遏制措施实施
    • 在边界与应用层完成对来源的阻断,降低进一步探测与利用风险
    • 修复上线后移除注入面,阻断相同路径的重放与变体攻击
    • 通过口令重置降低因哈希外泄导致的交叉站点凭据风险
    • 数据最小化与脱敏减少同类事件的潜在信息收益
  • 恢复操作步骤
    • 已回滚至安全版本并部署参数化查询修复
    • 业务接口恢复稳定对外服务,数据库未见篡改迹象(以现有审计结论为准)
    • 对受影响账号执行密码重置并完成生效

根本原因分析

  • 技术原因分析
    • 旧版 DAO 采用字符串拼接构造 SQL,未使用参数化/预编译,形成可注入点
  • 流程缺陷识别
    • 发布流程绕过既定安全基线,导致含已知缺陷的组件进入生产
  • 人员因素评估
    • 基线要求未被严格执行与验证,变更安全控制未有效生效(依据“发布流程绕过安全基线”的现有结论)

改进建议

  • 技术防护建议
    • 全面替换为参数化/预编译查询;统一使用安全的数据访问层或 ORM,禁止直接字符串拼接
    • 针对联合查询与注入特征优化应用防护策略(包括速率、UA 轮换、异常参数特征的综合识别)
    • 加强数据库最小权限:只读账户限制对用户认证相关字段的访问范围;对高敏字段实施更细粒度的访问控制与脱敏
    • 针对外泄账户执行强制重新登录与令牌失效,降低会话滥用可能
    • 持续启用数据库审计与应用日志关联分析,保障可追溯性
  • 流程优化方案
    • 强化发布流程安全基线的强制校验与拦截(CI/CD Gate):引入/收紧 SAST、DAST/IAST、依赖与配置基线检查,在未通过前禁止进入生产
    • 完善变更管理与应急回滚预案,确保安全例外需经风险评估与管理层批准并留痕
    • 建立安全代码评审清单(含注入类缺陷必检项)与随机抽检机制
  • 人员培训建议
    • 面向研发开展注入防护、安全编码与依赖治理专项培训
    • 面向运维与安全团队开展自动化攻击识别、联动处置与取证留痕培训
    • 定期开展联合演练(含发布异常与应急修复场景),提升流程执行与协同效率

以上内容基于提供的事件摘要编制,未添加超出现有事实的事件细节。

事件概述

  • 事件发现时间:2025-09-05 07:20(UTC+8)
  • 事件类型分类:云账户凭证泄露导致资源滥用(加密货币挖矿)
  • 涉及系统或资产:
    • 开发账号的云计算与网络资源
    • 一对长期访问密钥(已吊销)
    • 临时创建的两台高规格计算实例与关联安全组
    • VPC 出站至已知矿池网络的流量

(严重等级:需按组织内部分级标准确认;评估要点见“影响评估”)

技术分析

  • 攻击向量分析

    • 公共代码托管平台的历史提交中暴露访问密钥,疑似被自动化爬虫/扫描器抓取后滥用。
    • 云监控在非工作时段识别到计费异常与指向矿池协议的出站流量,触发告警。

  • 漏洞利用细节

    • 未发现传统意义的软件漏洞利用;为凭证滥用场景。
    • 云审计日志显示主要为计算与网络相关 API 调用,未见对象存储或数据库访问行为。

  • 入侵路径还原

    1. 开发仓库历史提交误纳入访问密钥并对外公开。
    2. 攻击方获取密钥后调用云 API 在开发账号内创建两台高配计算实例并放行必要出站流量。
    3. 在新建实例上部署挖矿容器并通过特定协议向外部矿池持续通信。
    4. 云监控因账单激增与异常出站行为告警,安全团队介入并处置(吊销密钥、删除异常实例、阻断相关出站等)。

影响评估

  • 业务影响范围

    • 影响限定在开发账号的计算与网络资源层面;未观察到生产环境或对外业务中断。
    • 费用异常约 900 美元。

  • 数据泄露情况

    • 未见对象存储或数据库访问审计记录,暂无客户数据访问迹象。

  • 系统可用性影响

    • 开发账号计算资源被短时占用;生产系统可用性未受影响。
    • 出站至已知矿池网段已在网络层面阻断。

响应措施

  • 立即响应行动

    • 吊销泄露访问密钥并轮转相关角色/凭证。
    • 删除异常计算实例与关联安全组规则。
    • 在 VPC 层面阻断至已知矿池网段的出站流量。

  • 遏制措施实施

    • 对代码仓库执行强制密钥扫描与历史清理,移除敏感信息。
    • 调整监控告警策略,增强对计费异常与特定协议出站的检测灵敏度。
    • 限制开发账号的高成本资源创建路径(临时管控)。

  • 恢复操作步骤

    • 校验账号内剩余资源与权限基线,确认无残留后门与策略异常。
    • 复核云审计日志,确认无额外未授权访问活动。
    • 恢复正常开发资源配额与网络策略(在新增防护到位后)。

根本原因分析

  • 技术原因分析

    • 长期访问密钥被提交至公共仓库,缺少自动化密钥扫描拦截。
    • 访问密钥缺乏足够的最小权限与使用范围限制(如条件约束、环境绑定)。
    • 网络与组织层面缺少对高风险出站目的(矿池协议/网段)的默认阻断。

  • 流程缺陷识别

    • 代码评审与发布流程未将“敏感信息检测”作为强制门禁。
    • 凭证生命周期管理不完善(缺少定期轮换与可追溯性要求)。
    • 开发账号缺少创建高成本资源的前置审批或策略性约束。

  • 人员因素评估

    • 对“凭证不得入库”的安全意识与操作规范执行不到位。
    • 对公共仓库暴露风险与历史提交清理的知识与实践不足。

改进建议

  • 技术防护建议

    • 凭证管理
      • 优先采用短期/无长期密钥的机制(如基于身份联合/OIDC 的临时凭证),避免长期静态密钥。
      • 对不可避免的密钥实施最小权限、条件限制(来源 IP、设备、时间)、强制轮换与使用审计。
    • 云账户与资源防护
      • 在组织/文件夹层实施策略与防护栏(如服务控制策略/权限边界),限制开发账号创建高成本实例与外联高风险目的。
      • 部署预算与配额防护:设置软/硬预算阈值与自动化关停策略;对异常计费触发自动化降权/冻结。
      • 在网络层启用默认阻断策略与允许清单,持续封禁已知矿池协议/网段。
    • 监控与响应
      • 扩展对密钥滥用特征的行为分析(异常 API 模式、创建高配实例、非常规时段操作)。
      • 提升日志留存与集中化:统一收集审计、计费、网络流量与主机遥测,设定跨信号关联规则。

  • 流程优化方案

    • 将“密钥/敏感信息扫描”纳入全流程(pre-commit、CI、合入、发布),发现即阻断;对历史仓库执行一次性全量扫描与修复。
    • 建立高成本资源创建与外联例外的审批流程与变更记录。
    • 制定并执行凭证生命周期策略(申请、发放、轮换、回收、审计),定期开展凭证资产盘点。

  • 人员培训建议

    • 面向研发与运维的安全编码与凭证管理培训,涵盖:密钥隔离、环境变量/密钥库使用、公共仓库风险与历史清理方法。
    • 定期开展演练(凭证泄露/资源滥用场景),提升发现与处置效率。

以上内容基于现有审计与处置信息汇总,未包含敏感标识与可复现细节;若需进一步定级与量化风险,请结合组织内部分级标准与后续取证结果。

示例详情

📖 如何使用

30秒出活:复制 → 粘贴 → 搞定
与其花几十分钟和AI聊天、试错,不如直接复制这些经过千人验证的模板,修改几个 {{变量}} 就能立刻获得专业级输出。省下来的时间,足够你轻松享受两杯咖啡!
加载中...
💬 不会填参数?让 AI 反过来问你
不确定变量该填什么?一键转为对话模式,AI 会像资深顾问一样逐步引导你,问几个问题就能自动生成完美匹配你需求的定制结果。零门槛,开口就行。
转为对话模式
🚀 告别复制粘贴,Chat 里直接调用
无需切换,输入 / 唤醒 8000+ 专家级提示词。 插件将全站提示词库深度集成于 Chat 输入框。基于当前对话语境,系统智能推荐最契合的 Prompt 并自动完成参数化,让海量资源触手可及,从此彻底告别"手动搬运"。
即将推出
🔌 接口一调,提示词自己会进化
手动跑一次还行,跑一百次呢?通过 API 接口动态注入变量,接入批量评价引擎,让程序自动迭代出更高质量的提示词方案。Prompt 会自己进化,你只管收结果。
发布 API
🤖 一键变成你的专属 Agent 应用
不想每次都配参数?把这条提示词直接发布成独立 Agent,内嵌图片生成、参数优化等工具,分享链接就能用。给团队或客户一个"开箱即用"的完整方案。
创建 Agent

✅ 特性总结

一键生成结构化安全事件报告,自动组织概述、影响、响应与改进建议
覆盖数据泄露、入侵、恶意软件等场景,轻松适配不同事件类型与流程
可按受众与技术深度调节表达,面向管理层或技术团队均清晰易读
自动提炼关键影响与业务范围,帮助快速评估风险等级与处置优先级
整合已采取与推荐的应对措施,输出可执行的恢复步骤与遏制行动清单
引导根因定位与流程优化复盘,促进持续改进,降低重复事故发生率
统一格式与术语表达,便于合规审计、内部汇报与对外沟通留痕
支持参数化模板复用与批量产出,显著减少人工整理与写作时间
清晰梳理攻击路径与受影响资产,提升跨团队协同与资源调度效率
严格避免主观判断与夸大细节,确保报告客观可靠、可被追溯验证

🎯 解决的问题

让安全团队在几分钟内生成可直接用于管理层汇报、合规留档与技术复盘的高质量事件报告;将零散的事件记录自动转化为结构化、可追溯、可执行的分析成果;按不同受众与技术深度自动切换报告风格,既能满足高层决策,也能支持一线处置;以专业、客观、可落地的结论驱动后续修复、优化与培训,形成持续改进闭环;显著降低报告撰写的人力与时间成本,减少沟通误差与合规风险,提升事件响应与复盘效率。

🕒 版本历史

当前版本
v2.1 2024-01-15
优化输出结构,增强情节连贯性
  • ✨ 新增章节节奏控制参数
  • 🔧 优化人物关系描述逻辑
  • 📝 改进主题深化引导语
  • 🎯 增强情节转折点设计
v2.0 2023-12-20
重构提示词架构,提升生成质量
  • 🚀 全新的提示词结构设计
  • 📊 增加输出格式化选项
  • 💡 优化角色塑造引导
v1.5 2023-11-10
修复已知问题,提升稳定性
  • 🐛 修复长文本处理bug
  • ⚡ 提升响应速度
v1.0 2023-10-01
首次发布
  • 🎉 初始版本上线
COMING SOON
版本历史追踪,即将启航
记录每一次提示词的进化与升级,敬请期待。

💬 用户评价

4.8
⭐⭐⭐⭐⭐
基于 28 条评价
5星
85%
4星
12%
3星
3%
👤
电商运营 - 张先生
⭐⭐⭐⭐⭐ 2025-01-15
双十一用这个提示词生成了20多张海报,效果非常好!点击率提升了35%,节省了大量设计时间。参数调整很灵活,能快速适配不同节日。
效果好 节省时间
👤
品牌设计师 - 李女士
⭐⭐⭐⭐⭐ 2025-01-10
作为设计师,这个提示词帮我快速生成创意方向,大大提升了工作效率。生成的海报氛围感很强,稍作调整就能直接使用。
创意好 专业
COMING SOON
用户评价与反馈系统,即将上线
倾听真实反馈,在这里留下您的使用心得,敬请期待。
加载中...
敬请期待...