提示词商城
AI 写作
图片
视频
热门角色
热门业务
模型专用
提示词工具
×
¥
查看详情
首页 / 创建安全警报通知
🔥 会员专享 文生文 安全

创建安全警报通知

👁️ 414 次查看
📅 Oct 16, 2025
💡 核心价值: 生成针对指定威胁的安全警报通知,提供专业技术建议。

🎯 可自定义参数(2个)

威胁详情
描述具体的安全威胁,如:未授权访问尝试。
输出语言
指定输出语言,例如:中文、英文等。

🎨 效果示例

安全警报:服务账号 svc-backup 疑似凭证泄露导致异常VPN登录

严重性:高

概要

  • 在时间窗 02:13–02:28(以SIEM记录时区为准),资产 vpn-gateway-01 触发聚合告警:账号 svc-backup 在15分钟内出现9次VPN身份验证失败后紧接一次成功登录。
  • 来源IP:203.0.113.42;SIEM标记为地理位置异常(与该账号历史登录位置或允许区域不一致)。
  • 行为特征符合凭证填充/暴力尝试后成功使用有效凭证的模式,存在凭证泄露风险。

受影响资产/主体

  • 资产:vpn-gateway-01(VPN网关)
  • 账号:svc-backup(服务账号,若不允许交互式VPN登录,该行为为异常)
  • 来源IP:203.0.113.42(如为脱敏示例地址,请在调查中替换为真实值进行阻断与归因)

风险评估

  • 可能性:中-高(失败序列后成功、地理异常提高置信度)
  • 影响范围:高(成功的VPN登录提供内网访问,潜在横向移动、数据访问或对备份系统的篡改/删除风险)
  • 相关战术/技术(MITRE ATT&CK):
    • T1110(凭证暴力/填充)
    • T1078(有效账户)
    • T1133(外部远程服务,如VPN)

关键证据

  • 用户名:svc-backup
  • 失败次数:9;后续成功:1
  • 时间窗:02:13–02:28
  • 资产:vpn-gateway-01
  • 来源IP:203.0.113.42
  • 地理位置:异常(与历史基线不一致)

建议的立即处置措施(优先级从高到低)

  1. 会话处置
    • 在 vpn-gateway-01 上强制断开 svc-backup 当前及近期建立的VPN会话;撤销会话令牌。
    • 临时封禁来源IP 203.0.113.42 于VPN访问策略及边界防火墙(若非脱敏示例)。
  2. 账号保护
    • 暂停/禁用 svc-backup 的交互式VPN登录权限。
    • 立即轮换该账号的密码/密钥;撤销相关API密钥、证书与长期令牌。
    • 若业务需要保留VPN访问,强制启用MFA并限制来源网络(白名单)。
  3. 事件响应
    • 升级至事件响应流程;定义工单并保全日志与证据。
    • 启用自适应风险控制:对“多次失败+随即成功+地理异常”的组合行为执行自动阻断。

调查与取证步骤

  • 日志收集(覆盖整个时间窗及前后至少24小时)
    • VPN网关认证/会话日志、AAA/RADIUS/LDAP日志、失败原因代码、客户端信息(版本、设备指纹/证书,如有)、分配内网IP、数据传输量。
    • 身份源(IdP/AD)登录审计、密码变更记录、策略变更记录。
  • 行为核验
    • 核对 svc-backup 的基线:该账号是否允许交互式登录、典型使用地点、允许的来源IP/网络。
    • 检查是否存在并发会话或其他来源IP对同账号尝试。
    • 复核“地理异常”的判定依据(历史轨迹、政策限制、近期出差/维护窗口)。
  • 访问范围与影响
    • 根据分配的VPN内网IP,审计会话期间访问的内部资源(尤其是备份服务器、文件共享、管理接口)。
    • 检查备份系统近24–72小时内的任务、作业配置、删除/导出行为与异常失败/中断。
  • 交叉关联
    • 关联EDR/DLP/邮件安全/代理日志的可疑活动(横向移动、凭证访问、数据外传)。
    • 搜索同源IP对其他账户或服务的失败/成功登录。

缓解与预防建议

  • 账号与权限治理
    • 将服务账号改为非交互式使用;对服务账号实施最小权限与专用认证(证书/密钥),禁止密码式VPN登录。
    • 对服务与特权账号实施来源网络白名单与设备证书绑定。
  • 访问控制与检测
    • 在VPN/IdP上启用自适应MFA与地理位置/不可能旅行检测;对短时多次失败后成功的模式设为高优先级告警并自动阻断。
    • 调整速率限制与账户锁定策略,平衡可用性与防护(例如窗口内失败阈值触发临时锁定与额外验证)。
  • 凭证管理
    • 将服务账号凭证纳入集中秘密管理与定期轮换;避免共享凭证与硬编码。
    • 启用审计与预警:凭证使用超出预期场景时告警。
  • 合规与通报
    • 依据适用法规与合同评估是否需要向数据保护官、客户或监管机构通报;完成事件记录与根因分析报告。

误报排除要点

  • 业务是否存在合法维护活动或新地点登录变更。
  • 自动化任务/脚本是否可能触发短时失败(例如时钟漂移、目录服务暂时不可用)后成功。
  • 若来源IP为脱敏示例地址(如文档保留段),需以真实IP进行归因与阻断。

当前处置状态

  • 建议立即执行会话断开、账号保护与证据保全;并在调查确认后完成根因处置与策略加固。

Security Alert: Suspicious PowerShell Activity and Persistence on db-prod-02

Severity: High (production database host, potential post-compromise persistence)

Summary

  • EDR reported on db-prod-02:
    • Execution of powershell.exe with an encoded (-enc) command.
    • Network connection initiated to 10.10.5.23 (RFC1918 internal address).
    • Creation of a new Windows Scheduled Task named “UpdateSvc”.
  • Indicators suggest initial compromise followed by establishment of persistence. The activity on a production database server presents elevated risk of unauthorized data access, lateral movement, and service disruption.

Key Indicators of Compromise (IOCs)

  • Host: db-prod-02 (Windows).
  • Process: powershell.exe with “-enc …” (Base64-encoded command).
  • Network: outbound connection to 10.10.5.23.
  • Persistence: new Scheduled Task “UpdateSvc”.
  • MITRE ATT&CK:
    • T1059.001 – Command and Scripting Interpreter: PowerShell.
    • T1053.005 – Scheduled Task/Job: Scheduled Task.
    • T1105 – Ingress Tool Transfer (suspicious download via PowerShell).

Immediate Actions (Execute Now)

  • Isolate db-prod-02 via EDR network containment to prevent further command-and-control and lateral movement.
  • Block communications to/from 10.10.5.23 at firewall/ACL until validated as a trusted service; investigate 10.10.5.23 in parallel.
  • Preserve evidence:
    • Do not reboot the host.
    • Capture volatile data (running processes, network connections, scheduled tasks, services) and acquire memory for forensic analysis if tooling is available.
  • Disable (do not delete yet) the “UpdateSvc” scheduled task to stop persistence while preserving artifacts:
    • schtasks /query /TN "UpdateSvc" /V /FO LIST
    • schtasks /query /TN "UpdateSvc" /XML > C:\IR\UpdateSvc.xml
    • schtasks /change /TN "UpdateSvc" /DISABLE
  • Elevate to Incident Response process and notify data protection stakeholders due to potential exposure of production data.

Investigation and Triage Steps

  • PowerShell activity
    • Retrieve full EDR telemetry: parent process, user context, command-line, timestamps.
    • Decode the Base64 payload offline to identify behavior:
    • Check PowerShell logs (if enabled):
      • Windows Event ID 4104 (ScriptBlock Logging).
      • Event ID 4688 (process creation) for powershell.exe and its parent.
  • Scheduled Task analysis
    • Inspect “UpdateSvc” task actions, triggers, user, and path (XML export).
    • Identify any referenced scripts/binaries; compute hashes and quarantine copies for analysis.
    • Review Microsoft-Windows-TaskScheduler/Operational logs:
      • Event ID 106 (Task registered), 140 (Task registration updated), 200 (Task started).
  • Network and lateral movement
    • Correlate connection details to 10.10.5.23: ports, protocol, volume, timing.
    • Validate asset ownership and role of 10.10.5.23; perform rapid triage on that host for similar IOCs.
  • Account and access review
    • Identify user principal executing powershell.exe and creating the task.
    • Review authentication events:
      • Event ID 4624 (logon), 4648 (logon with explicit credentials), 4672 (special privileges), 4768/4769 (Kerberos).
    • Check for anomalous admin activity and recent password changes.
  • Host artifacts (collect if feasible)
    • Prefetch for powershell.exe (if enabled).
    • Shimcache/Amcache and RecentFileCache for executed binaries.
    • Registry persistence keys (Run/RunOnce, Services, WMI subscriptions).
    • Scheduled Tasks directory contents: C:\Windows\System32\Tasks\UpdateSvc.
    • Sysmon (if deployed): Event ID 1 (process creation), 3 (network connection), 7 (module load).

Containment and Remediation (Post-Triage)

  • Remove malicious artifacts:
    • Delete the “UpdateSvc” task after full capture: schtasks /Delete /TN "UpdateSvc" /F.
    • Remove/dropper scripts and binaries identified by the decoded payload and task actions.
  • Credential hygiene:
    • Reset credentials for accounts observed running the PowerShell and task.
    • Rotate service and database account credentials/secrets; invalidate access tokens/keys.
  • Patch and hardening:
    • Apply missing OS/application patches.
    • Enforce PowerShell Constrained Language Mode and Script Block Logging; enable AMSI-integrated scanning.
    • Restrict PowerShell remoting to admin-only paths; enforce just-in-time access.
  • Network controls:
    • Maintain blocks on 10.10.5.23 if confirmed malicious; implement egress filtering and segmentation controls for production DB servers.
  • Monitoring:
    • Hunt across environment for the “UpdateSvc” task name, similar Base64 PowerShell patterns, and connections to 10.10.5.23.
    • Add detections for powershell.exe with “-enc”, scheduled task creation by non-standard accounts, and unexpected outbound connections from database hosts.

Risk Assessment

  • High likelihood of malicious activity due to encoded PowerShell, suspicious download, and new persistence mechanism.
  • High potential impact: compromise of production database confidentiality and integrity, possible regulatory exposure depending on stored data.

Reporting and Compliance

  • Document all actions, timestamps, and collected artifacts.
  • If regulated data may be affected, initiate data protection impact assessment and notify appropriate compliance stakeholders per policy and legal obligations.

安全警报:支持邮箱账号疑似被滥用导致客户数据外发

等级与状态

事件概要

  • 发现该邮箱账号被滥用外发含客户姓名与电话的附件。
  • 疑似数据外泄,涉及约120条客户记录。
  • 外发对象、具体邮件数量和时间窗口尚待进一步核实。

影响与风险评估

  • 数据类型:个人可识别信息(姓名、电话号码)。
  • 潜在影响:客户隐私泄露、合规风险(如适用GDPR/CCPA/本地数据保护法)、品牌与信任受损、可能引发钓鱼/社会工程风险。
  • 风险等级评估为高,需立即遏制并开展调查与合规评估。

已采取措施

  • 启用邮箱隔离,阻断该账号进一步外发邮件。
  • 重置账户密码,阻断已知凭证滥用。

需要在1小时内完成的立即行动

  1. 账号与访问控制

    • 强制启用该账号及同类敏感邮箱的多因素认证(MFA)。
    • 在身份提供方(IdP)执行强制注销并撤销所有现有会话与OAuth令牌。
    • 检查并删除可疑的邮箱转发规则、自动回复、重定向、外发白名单等。

  2. 范围与外发确认

    • 通过邮件网关/安全平台/服务器日志导出该账号在可疑时间窗口的外发记录、收件人列表、邮件主题、附件名称与大小。
    • 识别所有可能外发的附件哈希值(SHA256)与消息ID,建立初步IOC清单。

  3. 终止外泄与DLP加强

    • 临时创建传输规则/DLP策略:阻断含电话号码等PII特征的外发邮件与相似附件哈希。
    • 对目标外部域进行临时阻断或加强出站策略(如可行)。

  4. 取证与保全

    • 保留证据:邮件原文与全量头部、安管平台告警、审计日志(登录、令牌、规则变更、管理操作)、时间轴。
    • 对可疑终端(若账号在本地客户端使用)进行恶意软件与凭证盗取排查。

调查与根因分析(待执行)

  • 登录活动审计:来源IP、地理位置、设备指纹、登录失败/成功事件、是否存在异常OAuth授权或应用专用密码。
  • 账号配置变更审计:邮箱规则新增/修改时间、管理员操作记录。
  • 识别外发邮件的具体内容与数据字段范围,确认确切泄露条目数。
  • 关联分析:检查组织内其他客服或共享邮箱是否存在类似异常外发。

合规与通报建议

  • 将事件上报隐私与法务团队,开展适用性评估。
  • 如适用GDPR:在确认发生个人数据泄露后,应在72小时内向监管机构通报;评估是否需通知受影响个人。其他地区法规(如CCPA、PDPA等)依各法域要求执行。
  • 准备统一对外沟通口径,避免未经授权的信息披露。

后续整改与防护

  • 对所有高风险邮箱启用强制MFA、禁用外部自动转发、最小权限与条件式访问。
  • 部署或优化DLP策略(电话号码/姓名正则匹配、精确数据匹配),对含PII的外发进行审批或加密。
  • 加强邮件安全网关隔离与沙箱策略,对异常外发速率与附件类型设置阈值告警。
  • 安全意识培训:提醒客服与支持团队识别可疑登录提示和钓鱼邮件。
  • 定期进行凭证健康检查与密码轮换;审计共享邮箱与服务账号使用场景。

需要相关团队立即配合

  • SOC/安全运营:日志检索、IOC收集、威胁狩猎与持续监控。
  • IT/邮件管理员:会话撤销、规则清理、DLP/传输策略落实、收件人列表导出。
  • 隐私与法务:法规适用性评估、监管与客户通知方案拟定。
  • 公关与客户支持:准备后续客户沟通稿(如确认影响)。

当前信息缺口(需尽快补齐)

  • 可疑外发的时间范围与邮件数量
  • 收件人域名与具体清单
  • 附件内容的精确数据字段与条目确认
  • 登录来源与是否存在令牌/规则篡改证据

联络与升级

  • 事件负责人与值班联系人:请在安全运营工单中查看并同步进展
  • 升级条件:一旦确认数据泄露范围扩大、出现新的外发事件或发现多账号受影响,立即升级为重大事件并启动全员响应流程

请相关团队按上述行动清单执行,并在2小时内反馈外发范围与证据保全状态。

示例详情

📖 如何使用

30秒出活:复制 → 粘贴 → 搞定
与其花几十分钟和AI聊天、试错,不如直接复制这些经过千人验证的模板,修改几个 {{变量}} 就能立刻获得专业级输出。省下来的时间,足够你轻松享受两杯咖啡!
加载中...
💬 不会填参数?让 AI 反过来问你
不确定变量该填什么?一键转为对话模式,AI 会像资深顾问一样逐步引导你,问几个问题就能自动生成完美匹配你需求的定制结果。零门槛,开口就行。
转为对话模式
🚀 告别复制粘贴,Chat 里直接调用
无需切换,输入 / 唤醒 8000+ 专家级提示词。 插件将全站提示词库深度集成于 Chat 输入框。基于当前对话语境,系统智能推荐最契合的 Prompt 并自动完成参数化,让海量资源触手可及,从此彻底告别"手动搬运"。
即将推出
🔌 接口一调,提示词自己会进化
手动跑一次还行,跑一百次呢?通过 API 接口动态注入变量,接入批量评价引擎,让程序自动迭代出更高质量的提示词方案。Prompt 会自己进化,你只管收结果。
发布 API
🤖 一键变成你的专属 Agent 应用
不想每次都配参数?把这条提示词直接发布成独立 Agent,内嵌图片生成、参数优化等工具,分享链接就能用。给团队或客户一个"开箱即用"的完整方案。
创建 Agent

✅ 特性总结

一键生成指定威胁的安全警报,清晰呈现风险概况、影响范围与处置优先级。
自动提炼告警证据与关键指标,输出可执行处置步骤、隔离方案与持续监控清单。
内置合规提示,自动对齐数据保护要求,显著减少审计风险与跨部门沟通成本。
支持多语言与多渠道格式,一次编写即可用于邮件、公告、工单与内部群发送。
按严重级别自动分层通知,分别面向管理层、业务团队与安全值班输出要点版。
结合上下文与历史事件,智能判断可能影响与连锁风险,为应急演练提供依据。
可定制模板与参数,轻松适配不同行业术语、合规框架与组织沟通风格需求。
自动生成时间线、影响资产与处置状态,提升透明度,便于指挥调度与复盘总结协作。
内置误报排查指南与沟通脚本,降低骚扰性警报,保护团队专注度与响应质量。
可追踪建议执行进度,自动提醒未完成任务,让安全措施持续落地形成闭环。

🎯 解决的问题

把零散的威胁线索迅速转化为标准化、可执行的安全警报通知,面向技术、管理与合规多角色同步输出清晰信息与行动指引。通过统一模板与专家级表达,帮助安全团队更快定位风险、减少误报与信息失真,覆盖风险等级评估、影响范围定位、立即处置步骤与合规提醒,并支持多语言发布与多渠道分发,最终提升响应效率与组织信任感,推动持续付费使用。

🕒 版本历史

当前版本
v2.1 2024-01-15
优化输出结构,增强情节连贯性
  • ✨ 新增章节节奏控制参数
  • 🔧 优化人物关系描述逻辑
  • 📝 改进主题深化引导语
  • 🎯 增强情节转折点设计
v2.0 2023-12-20
重构提示词架构,提升生成质量
  • 🚀 全新的提示词结构设计
  • 📊 增加输出格式化选项
  • 💡 优化角色塑造引导
v1.5 2023-11-10
修复已知问题,提升稳定性
  • 🐛 修复长文本处理bug
  • ⚡ 提升响应速度
v1.0 2023-10-01
首次发布
  • 🎉 初始版本上线
COMING SOON
版本历史追踪,即将启航
记录每一次提示词的进化与升级,敬请期待。

💬 用户评价

4.8
⭐⭐⭐⭐⭐
基于 28 条评价
5星
85%
4星
12%
3星
3%
👤
电商运营 - 张先生
⭐⭐⭐⭐⭐ 2025-01-15
双十一用这个提示词生成了20多张海报,效果非常好!点击率提升了35%,节省了大量设计时间。参数调整很灵活,能快速适配不同节日。
效果好 节省时间
👤
品牌设计师 - 李女士
⭐⭐⭐⭐⭐ 2025-01-10
作为设计师,这个提示词帮我快速生成创意方向,大大提升了工作效率。生成的海报氛围感很强,稍作调整就能直接使用。
创意好 专业
COMING SOON
用户评价与反馈系统,即将上线
倾听真实反馈,在这里留下您的使用心得,敬请期待。
加载中...
敬请期待...